RESUMEN

Los motores de búsqueda se han convertido en parte de la vida diaria de las personas que utilizan Internet y tecnologías de recuperación de datos. El Grupo de Trabajo del artículo 29 reconoce la utilidad de los motores de búsqueda y su importancia.

En el presente dictamen, el Grupo de Trabajo elabora una lista clara de las responsabilidades que, en virtud de la Directiva sobre protección de datos (95/46/CE),  incumben a los proveedores de motores de búsqueda en calidad de responsables del tratamiento de datos. Como proveedores de datos de contenido (esto es, el índice de los resultados de la búsqueda), los motores de búsqueda están sujetos a la legislación europea en materia de protección de datos en casos particulares, por ejemplo si proponen un servicio de almacenamiento en una memoria oculta, o si se especializan en crear perfiles de personas. El principal objetivo que se persigue a través del presente dictamen consiste en llegar a un equilibrio entre las necesidades legítimas de los proveedores de motores de búsqueda en el ejercicio de su actividad y la protección de los datos personales de los internautas.

El dictamen aborda la definición de motores de búsqueda, los tipos de datos tratados en el marco de los servicios de búsqueda, el marco jurídico, las finalidades/razones del tratamiento legítimo, la obligación de informar a los interesados, y los derechos de los interesados.

Una de las principales conclusiones del dictamen es que la Directiva sobre protección de datos se aplica generalmente al tratamiento de los datos personales por los motores de búsqueda, incluso cuando su sede se encuentra fuera del EEE, y que incumbe a los que se encuentran en esta situación clarificar su papel en el EEE así como el alcance de sus responsabilidades en virtud de la Directiva. De la Directiva sobre conservación de datos (2006/24/CE) se desprende claramente que no se aplica a los proveedores de motores de búsqueda.

Este dictamen concluye que los datos personales sólo deben tratarse con fines legítimos.

Los proveedores de motores de búsqueda deben suprimir o hacer anónimos de forma irreversible los datos personales en cuanto dejen de tener los fines determinados y legítimos para los que se recogieron, y deben estar en condiciones de justificar la conservación y la longevidad de las cookies (“chivatos”) utilizadas en cualquier momento. Se requiere el consentimiento del usuario para cualquier comparación cruzaday planeada de datos del usuario y para el enriquecimiento del perfil de este último. Los motores de búsqueda deben respetar las cláusulas de exclusión voluntaria de los editores de sitios Internet y responder inmediatamente a las solicitudes de los usuarios relativas a la actualización/refresco de las memorias ocultas (cache). El Grupo de Trabajo recuerda la obligación de los motores de búsqueda de informar claramente de antemano a los usuarios de todas las utilizaciones previstas de sus datos, y de respetar su derecho a acceder, examinar o corregir estos datos personales de conformidad con lo dispuesto en el artículo 12 de la Directiva sobre protección de datos (95/46/CE).

EL GRUPO DE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES

Creado en virtud de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 (1),

Visto el artículo 29, el artículo 30, apartado 1, letra a), el artículo 30, apartado 3, y el artículo 15, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,

Visto el artículo 255 del Tratado CE y el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión,

Visto su Reglamento,

HA ADOPTADO EL PRESENTE DICTAMEN:

1. INTRODUCCIÓN

Los proveedores de motores de búsqueda en Internet desempeñan un papel crucial de intermediarios en la sociedad de la información. El Grupo de Trabajo reconoce la necesidad y la utilidad de los motores de búsqueda, y es consciente de su contribución al desarrollo de la sociedad de la información.

Para las autoridades independientes de protección de datos del EEE, la importancia creciente de los motores de búsqueda desde el punto de vista de la protección de datos se traduce en el número creciente de denuncias recibidas por parte de individuos (interesados) con respecto a presuntas violaciones de su derecho a la intimidad. También se ha observado un aumento de las solicitudes de los responsables del tratamiento de los datos y de la prensa por lo que respecta a las implicaciones de los servicios de búsqueda en Internet en la protección de los datos personales.

Las denuncias de los interesados y las solicitudes de los responsables del tratamiento y de la prensa reflejan los dos diferentes papeles desempeñados por los proveedores de motores de búsqueda con respecto a los datos personales.

En primer lugar, como prestadores de servicios a los usuarios, los motores de búsqueda recogen y tratan grandes cantidades de datos de los usuarios, incluidos los recogidos por medios técnicos, como las cookies (“chivatos”). Los datos recogidos pueden ser desde direcciones IP de los distintos usuarios hasta historiales de búsqueda amplios, o también datos proporcionados por los propios usuarios cuando se registran con el fin de utilizar servicios personalizados. La recogida de datos de los usuarios plantea numerosas cuestiones. Después del asunto AOL, mucha gente tomó conciencia de la sensibilidad de la información personal contenida en los registros de búsquedas (2) (search logs). El Grupo de Trabajo opina que los motores de búsqueda, en su papel de colectores de datos de los usuarios, no han explicado suficientemente hasta ahora a los usuarios de sus servicios la naturaleza y el objetivo de sus operaciones.

En segundo lugar, como proveedores de contenidos, los motores de búsqueda contribuyen a que las publicaciones en Internet sean fácilmente accesibles al público mundial. Algunos motores de búsqueda vuelven a publicar datos en lo que se llama una “memoria cache” (memoria oculta). Al buscar y agrupar información corriente de distintos tipos relativa a una persona, los motores de búsqueda pueden crear un nuevo perfil, con un riesgo mucho mayor para la persona interesada que si todos los datos que figuran en Internet se mantuvieran separados unos de otros. Las capacidades de representación y agregación de los motores de búsqueda pueden perjudicar considerablemente a los individuos, tanto en su vida personal como en la sociedad, en particular si los datos personales que figuran en los resultados de la búsqueda son incorrectos, incompletos o excesivos.

El Grupo de Trabajo internacional sobre protección de datos en las telecomunicaciones (3) adoptó una posición común sobre protección de la intimidad y motores de búsqueda el 15 de abril de 1998, que se revisó los días 6 y 7 de abril de 2006 (4)

El Grupo expresó su temor ante la capacidad de los motores de búsqueda de permitir la creación de perfiles de personas físicas. Esta posición común describía cómo las actividades de los motores de búsqueda podían constituir una amenaza para la intimidad e indicaba que todo tipo de información personal incluida en un sitio Internet podía ser utilizada por terceros con el fin de establecer un perfil.

Además, en la 28 Conferencia Internacional de los Comisarios responsables de la protección de datos y la intimidad, celebrada en Londres los días 2 y 3 de noviembre de 2006, se adoptó una Resolución sobre la protección de la intimidad y los motores de búsqueda (5)

Esta Resolución pide a los proveedores de motores de búsqueda que respeten las normas de protección de la intimidad definidas en la legislación nacional de numerosos países, así como en documentos de política internacional y en Tratados internacionales, y que modifiquen sus prácticas en consecuencia. Aborda varias cuestiones relativas a los registros de servidores, las consultas combinadas y su almacenamiento y el establecimiento de perfiles detallados de los usuarios.

2. DEFINICIÓN DE “MOTOR DE BÚSQUEDA” Y MODELO DE EMPRESA

En general, los motores de búsqueda son servicios que ayudan a sus usuarios a encontrar información en Internet. Se puede distinguir según el tipo de datos que buscan, incluso imágenes y/o vídeos, y/o sonido, o distintos tipos de formatos. Los motores de búsqueda dirigidos específicamente a establecer perfiles de personas sobre la base de los datos personales encontrados en Internet constituyen una nueva área.

En el contexto de la Directiva sobre el comercio electrónico (2000/31/CE), los motores de búsqueda se consideran un tipo de servicio de la sociedad de la información (6), a saber, herramientas de localización de la información (7)

El Grupo de Trabajo utiliza esta clasificación como punto de partida.

En el presente dictamen, el Grupo de Trabajo se interesa principalmente por los proveedores de motores de búsqueda que siguen el modelo de empresa dominante basado en la publicidad. Se interesa por todos los grandes motores conocidos, así como por los motores especializados tales como los que se centran en el establecimiento de perfiles de personas, y los meta-motores de búsqueda que presentan, y agrupan eventualmente, los resultados de otros motores de búsqueda existentes. El presente dictamen no se refiere a las funciones de búsqueda integradas en los sitios Internet con el fin de efectuar búsquedas sólo en el ámbito propio de dicho sitio.

La rentabilidad de estos motores de búsqueda depende generalmente de la eficacia de la publicidad que acompaña los resultados de las consultas. En la mayoría de los casos, se generan ingresos por medio del método del “pago por clic”. Según este modelo, el motor de búsqueda factura a la empresa de publicidad cada vez que un usuario clica en un vínculo patrocinado. La mayor parte de las investigaciones en el ámbito de la exactitud de los resultados de las consultas y la publicidad se orientan hacia la contextualización.

Para que los motores de búsqueda produzcan los resultados deseados y orienten correctamente la publicidad con el fin de optimizar sus ingresos, deben obtener la mejor información posible de las características y del contexto de cada consulta.

3. ¿QUÉ TIPO DE DATOS?

Los motores de búsqueda tratan distintos datos (8). En el anexo figura una lista de los datos en cuestión.

Ficheros de registro (log files)

Los ficheros de registro del uso por parte de determinadas personas de los servicios de los motores de búsqueda son – suponiendo que no se hagan anónimos – los datos personales más importantes tratados por los proveedores de motores de búsqueda. Los datos que describen la utilización de los servicios pueden dividirse en distintas categorías: los registros de consultas (contenido de las consultas, fecha y hora, fuente (dirección IP y cookie), preferencias del usuario y datos relativos a su ordenador); los datos relativos al contenido propuesto (vínculos y publicidad resultantes de cada consulta) y los datos relativos a los lugares visitados a continuación por el usuario (clics).

Los motores de búsqueda también pueden tratar datos operativos relativos a los datos del usuario, datos relativos a los usuarios registrados, y datos de otros servicios y fuentes como el correo electrónico, la búsqueda en el ordenador del usuario (desktop search) y la publicidad en sitios Internet de terceros.

Direcciones IP

Un proveedor de un motor de búsqueda puede vincular distintas consultas y sesiones de búsqueda procedentes de una misma dirección IP (9) . De esta manera es posible seguir y correlacionar todas las búsquedas en Internet procedentes de una dirección IP, si se registran estas consultas. La identificación del usuario puede aún mejorarse, si se relaciona la dirección IP con la cookie de identificación única de este usuario asignada por el proveedor del motor de búsqueda, puesto que esta cookie no cambiará cuando se modifique la dirección IP.

La dirección IP también puede utilizarse como información de localización, si bien de momento puede ser imprecisa en muchos casos.

Cookies de red

Las cookies de usuario las proporciona el motor de búsqueda y se almacenan en el ordenador del usuario. El contenido de las cookies varía de un proveedor de motor de búsqueda a otro. Las cookies desplegadas por los motores de búsqueda contienen generalmente información relativa al sistema operativo y al navegador del usuario, así como un número de identificación único para cada cuenta de usuario. Permiten identificar al usuario con más exactitud que la dirección IP. Por ejemplo, si el ordenador es compartido por varios usuarios que disponen de cuentas distintas, cada usuario tiene su propia cookie que lo define de manera única como usuario del ordenador. Cuando un ordenador posee una dirección IP dinámica y variable, y las cookies no se borran al final de la sesión, este tipo de cookies permiten localizar al usuario de una dirección IP a la siguiente. También pueden utilizarse para relacionar búsquedas procedentes de ordenadores nómadas, por ejemplo ordenadores portátiles, puesto que un usuario tendrá la misma cookie en distintos lugares. Por último, si varios ordenadores comparten una conexión a Internet (p. ej. detrás de una caja (box) o de un router con traducción de direcciones de red), la cookie permite identificar a los distintos usuarios en los distintos ordenadores.

Los motores de búsqueda utilizan cookies (generalmente cookies permanentes) para mejorar la calidad de su servicio, almacenando las preferencias de los usuarios y registrando sus prácticas, como la manera en que efectúan sus búsquedas. La mayoría de los navegadores se configuran al inicio para aceptar cookies, pero es posible configurar el navegador para que las rechace todas, para que sólo acepte cookies de sesión, o para que indique cuándo se está enviando una cookie. Sin embargo, es posible que algunas funciones y algunos servicios no funcionen correctamente si se desactivan las cookies, y algunas funciones avanzadas para la gestión de cookies no son siempre suficientemente fáciles de configurar.

Cookies flash

Algunas empresas de motores de búsqueda instalan cookies flash en el ordenador del usuario. En la actualidad no es fácil suprimir estas cookies, por ejemplo con las herramientas de supresión instaladas por defecto en los navegadores de Internet. Las cookies flash se utilizan por ejemplo como copia de seguridad de las cookies normales, que pueden ser fácilmente borradas por los usuarios, o para almacenar información detallada sobre las búsquedas efectuadas por los usuarios (por ejemplo, todas las consultas enviadas a un motor de búsqueda).

4. MARCO JURÍDICO

4.1. Responsables del tratamiento de los datos de los usuarios

4.1.1. Derecho fundamental – el respeto a la intimidad

La recogida y almacenamiento a gran escala del historial de búsqueda de los individuos de forma directa o indirectamente identificable están incluidos en la protección prevista en el artículo 8 de la Carta Europea de Derechos Fundamentales.

El historial de búsqueda de una persona constituye una indicación de los intereses, relaciones e intenciones de esta persona. Estos datos pueden utilizarse tanto con fines comerciales como en respuesta a consultas, operaciones de búsqueda aleatoria y/o extracción de datos por parte de las autoridades policiales o los servicios de seguridad nacionales.

En virtud del considerando 2 de la Directiva 95/46/CE, “los sistemas de tratamiento de datos están al servicio del hombre; … deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos”.

Los motores de búsqueda desempeñan un papel crucial como primer punto de contacto para acceder libremente a la información de Internet. Este libre acceso a la información es esencial para la configuración de opiniones personales en nuestra democracia. El artículo 11 de la Carta Europea de Derechos Fundamentales reviste por tanto una importancia particular, ya que prevé que la información debe estar accesible sin vigilancia por parte de las autoridades públicas, como elemento de la libertad de expresión e información.

4.1.2. Aplicabilidad de la Directiva 95/46/CE (Directiva sobre protección de datos)

En anteriores documentos de trabajo, el Grupo de Trabajo del artículo 29 clarificó las normas sobre protección de datos desencadenadas por el registro de las direcciones IP y el uso de cookies en el marco de los servicios de la sociedad de la información. El presente dictamen proporcionará aún más orientaciones sobre la aplicación de las definiciones de “datos personales” y de “responsable del tratamiento” por parte de los proveedores de motores de búsqueda. Los servicios de motor de búsqueda pueden ser prestados en Internet a partir de la UE/EEE, desde un lugar situado fuera del territorio de los Estados miembros de la UE/EEE, o también desde varios lugares de la UE/EEE y el extranjero. Por tanto, también se abordarán las disposiciones del artículo 4. El artículo 4 de la Directiva sobre protección de datos se refiere a la aplicabilidad de los Derechos nacionales en materia de protección de datos.

Datos personales: direcciones IP y cookies

En su dictamen (WP 136) sobre el concepto de datos personales, el Grupo de Trabajo clarificó la definición de datos personales (10) . El historial de búsqueda de una persona constituye una forma de datos personales si la persona en cuestión es identificable. Si bien, en la mayoría de los casos, las direcciones IP no son directamente identificables por los motores de búsqueda, un tercero puede llegar a identificar a la persona en cuestión.

Los proveedores de acceso a Internet disponen de datos relativos a la dirección IP. Las autoridades policiales y las autoridades nacionales de seguridad pueden obtener acceso a estos datos y, en algunos Estados miembros, partes privadas han obtenido también este acceso en el marco de procedimientos civiles. Así pues, en la mayoría de los casos – incluso en casos con asignación de una dirección IP dinámica – estarán disponibles los datos necesarios para identificar al usuario o usuarios de la dirección IP.

En su dictamen WP 136, el Grupo de Trabajo indicaba que “… a menos que el prestatario de servicios de Internet sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas”. Esto se aplica también a los operadores de motores de búsqueda.

Cookies

Cuando una cookie contiene un identificador único de usuario, éste es claramente un dato personal. La utilización de una cookie permanente o de dispositivos similares con un identificador único de usuario permite seguir a los usuarios de un ordenador concreto, incluso en caso de utilización de direcciones IP dinámicas (11). Los datos sobre comportamiento generados por la utilización de estos dispositivos permiten centrarse más aún en las características personales del individuo en cuestión. Eso va en el sentido de la lógica fundamental del modelo de empresa dominante.

Responsable del tratamiento

Un proveedor de motor de búsqueda que trata datos de los usuarios que incluyen direcciones IP y/o cookies permanentes que contienen un identificador único responde a la definición de responsable del tratamiento, puesto que determina efectivamente los fines y medios del tratamiento. La naturaleza multinacional de los grandes proveedores de motores de búsqueda – cuya sede se encuentra a menudo fuera del EEE, cuyos servicios se ofrecen en todo el mundo y que hacen intervenir a diferentes ramas y, eventualmente, a terceros, en el tratamiento de los datos personales – dio lugar a un debate en torno a la cuestión de quién debería considerarse responsable del tratamiento de los datos personales.

El Grupo de Trabajo querría destacar la diferencia entre las definiciones de las normas del EEE en materia de protección de datos y la cuestión de si estas normas se aplican en una situación concreta. Se considera que un proveedor de motor de búsqueda que trata datos personales, tales como registros que contienen historiales de búsqueda identificables personalmente, es el responsable del tratamiento de estos datos personales, independientemente de la jurisdicción.

Artículo 4 de la Directiva sobre protección de datos/legislación aplicable

El artículo 4 de la Directiva sobre protección de datos aborda la cuestión de la legislación aplicable. El Grupo de Trabajo ha proporcionado orientaciones complementarias relativas a las disposiciones del artículo 4 en su “Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE (12)“. Dos razones se esconden tras esta disposición. La primera es evitar que haya lagunas en el sistema de protección de datos comunitario existente y que éste sea burlado. El segundo es evitar que la misma operación de tratamiento pueda regirse por el Derecho de varios Estados miembros de la UE. Debido a la naturaleza transnacional de los flujos de datos producidos por los motores de búsqueda, el Grupo de Trabajo aborda específicamente las dos complicaciones.

En el caso de un proveedor de motor de búsqueda establecido y que proporciona todos sus servicios a partir de uno o más Estados miembros, no cabe duda de que el tratamiento de los datos personales está regulado por la Directiva sobre protección de datos. Es importante tener en cuenta que, en este caso, las normas sobre protección de datos no se limitan a las personas que se encuentran en el territorio o que poseen la nacionalidad de uno de los Estados miembros.

Cuando el proveedor del motor de búsqueda es un responsable del tratamiento no establecido en el EEE, existen dos casos en los que se aplica el Derecho comunitario en materia de protección de datos a pesar de todo. En primer lugar, cuando el proveedor del motor de búsqueda posee un establecimiento en un Estado miembro, tal como se prevé en el artículo 4, apartado 1, letra a). En segundo lugar, cuando el motor de búsqueda recurre a medios que se encuentran en el territorio de un Estado miembro, tal como se prevé en el artículo 4, apartado 1, letra c). En este último caso, el motor de búsqueda, con arreglo al artículo 4, apartado 2, debe designar a un representante en el territorio de dicho Estado miembro.

Establecimiento en el territorio de un Estado miembro (EEE)

El artículo 4, apartado 1, letra a) establece que se aplicarán las disposiciones nacionales sobre protección de datos de un Estado miembro cuando el tratamiento sea efectuado “en el marco de las actividades de un establecimiento” del responsable del tratamiento en el territorio de un Estado miembro. Una operación de tratamiento concreta debe tomarse como punto de partida. Cuando se trata de un motor de búsqueda cuya sede está situada fuera del EEE, es necesario plantearse la cuestión de si los establecimientos situados en el territorio de un Estado miembro participan en el tratamiento de los datos de los usuarios.

Tal como destacó el Grupo de Trabajo en su anterior documento de trabajo (13), la existencia de un “establecimiento” implica el ejercicio efectivo y real de una actividad a través de acuerdos estables, y debe determinarse de acuerdo con la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas. La forma jurídica del establecimiento (una oficina local, una filial con personalidad jurídica o una agencia de un tercero) no es decisiva.

Sin embargo, la operación de tratamiento debe por otro lado efectuarse “en el marco de las actividades” del establecimiento. Eso significa que el establecimiento debe también desempeñar un papel significativo en el tratamiento en cuestión. Es el caso claramente si:

– un establecimiento es responsable de las relaciones con los usuarios del motor de búsqueda en una jurisdicción determinada;

– un proveedor de motor de búsqueda establece una oficina en un Estado miembro (EEE) que participa en la venta de publicidad orientada a los habitantes de este Estado;

– el establecimiento de un proveedor de motor de búsqueda respeta las resoluciones de los tribunales y/o responde a las solicitudes de las autoridades competentes de un Estado miembro respecto a los datos de los usuarios.

Incumbe al proveedor del motor de búsqueda clarificar el grado de participación de los establecimientos que se encuentran en el territorio de un Estado miembro en el tratamiento de los datos personales. Si un establecimiento nacional participa en el tratamiento de datos de los usuarios, se aplica el artículo 4, apartado 1, letra a) de la Directiva sobre protección de datos.

Los proveedores de motores de búsqueda no establecidos en el EEE deben informar a sus usuarios acerca de las condiciones en las que deben respetar la Directiva sobre protección de datos, tanto por razón de la presencia de establecimientos como por la utilización de medios en el territorio de un Estado miembro.

Uso de medios

Los motores de búsqueda que recurren a medios en el territorio de un Estado miembro (EEE) para tratar datos personales están incluidos también en las normas sobre protección de datos de dicho Estado miembro. El Derecho en materia de protección de datos de un Estado miembro se aplicará aun cuando el responsable del tratamiento [… ] recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

Por lo que se refiere a la prestación de servicios de motor de búsqueda desde un lugar situado fuera de la UE, los centros de datos situados en el territorio de un Estado miembro pueden utilizarse para el almacenamiento y el tratamiento a distancia de datos personales. Otros tipos de medios podrían ser el uso de ordenadores personales, terminales y servidores. La utilización de cookies y de programas informáticos similares por un prestador de servicios en línea puede también considerarse como un recurso a medios en el territorio de un Estado miembro, invocándose así la aplicación del Derecho en materia de protección de datos de dicho Estado miembro. La cuestión se abordó en el documento de trabajo previamente mencionado (WP56). En dicho documento se establece que “el PC del usuario puede considerarse un “medio” con arreglo a la letra c) del apartado 1 del artículo 4 de la Directiva 95/46/CE. Está ubicado en el territorio de un Estado miembro. El responsable decidió utilizarlo para el tratamiento de datos personales y, tal como se explica en los apartados anteriores, tienen lugar varias operaciones técnicas sin un control por parte del interesado. El responsable del tratamiento emplea los medios del usuario y no lo hace solamente con fines de tránsito en el territorio de la Comunidad.”

Conclusión

El efecto combinado de los artículos 4, apartado 1, letra a), y el artículo 4, apartado 1, letra c), de la Directiva sobre protección de datos es que sus disposiciones se aplican al tratamiento de datos personales por los proveedores de motores de búsqueda en numerosos casos, aunque su sede se encuentre fuera del EEE.

Con el fin de determinar qué Derecho nacional se aplica en un caso concreto, conviene analizar de manera más profunda los datos de dicho caso. El Grupo de Trabajo espera que los proveedores de motores de búsqueda contribuyan a este análisis ofreciendo las aclaraciones adecuadas sobre su papel y sus actividades en el EEE.

En el caso de proveedores de motores de búsqueda multinacionales:

– un Estado miembro en el que esté establecido un proveedor de un motor de búsqueda debe aplicar al tratamiento su Derecho nacional en materia de protección de datos, de conformidad con lo dispuesto en el artículo 4, apartado 1, letra a);

– si el proveedor del motor de búsqueda no está establecido en ningún Estado miembro, el Estado miembro debe aplicar al tratamiento su Derecho nacional en materia de protección de datos, de acuerdo con el artículo 4, apartado 1, letra c), si la empresa recurre a medios, automatizados o no, situados en el territorio de dicho Estado miembro (14), para el tratamiento de datos personales (por ejemplo, la utilización de cookies).

En algunos casos, un proveedor de un motor de búsqueda multinacional deberá respetar varias normativas en materia de protección de datos como resultado de las normas relativas a la legislación aplicable y a la naturaleza transnacional de sus operaciones de tratamiento de datos personales:

– un Estado miembro aplicará su Derecho nacional a un motor de búsqueda establecido fuera del EEE, si recurre a medios;

– un Estado miembro no puede aplicar su Derecho nacional a un motor de búsqueda establecido en otra jurisdicción del EEE, aunque el motor de búsqueda recurra a medios. En este caso, se aplicará el Derecho nacional del Estado miembro en el que esté establecido el motor de búsqueda.

4.1.3 Aplicabilidad de la Directiva 2002/58/CE (Directiva sobre la privacidad) y de la Directiva 2006/24/CE (Directiva sobre conservación de datos)

Los servicios de motor de búsqueda en sentido estricto no están incluidos en general en el nuevo contexto reglamentario de las comunicaciones electrónicas en el que se inscribe la Directiva sobre la privacidad y las comunicaciones electrónicas. El artículo 2, letra c), de la Directiva Marco (2002/21/CE), que contiene algunas definiciones generales relativas al marco reglamentario, excluye explícitamente los servicios consistentes en suministrar contenidos o en ejercer un control editorial sobre ellos:

“Servicio de comunicaciones electrónicas: el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos; quedan excluidos asimismo los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas;”

Los motores de búsqueda no están incluidos por tanto en la definición de servicios de comunicaciones electrónicas.

Un proveedor de motor de búsqueda puede sin embargo ofrecer un servicio suplementario que esté incluido en el ámbito de los servicios de comunicaciones electrónicas, como un servicio de correo electrónico accesible públicamente, que estaría sometido a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas y a la Directiva 2006/24/CE sobre la conservación de datos.

El artículo 5, apartado 2, de la Directiva sobre conservación de datos establece específicamente que “de conformidad con la presente Directiva, no podrá conservarse ningún dato que revele el contenido de la comunicación”. Las propias consultas se considerarían contenido más que datos de tráfico, y la Directiva no justificaría por tanto su conservación.

Por consiguiente, no se justifica ninguna referencia a la Directiva sobre conservación de datos en relación con el almacenamiento de registros de servidores generados por la prestación de un servicio de motor de búsqueda. 

Artículo 5, apartado 3, y artículo 13 de la Directiva sobre la privacidad y las comunicaciones electrónicas

Algunas disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas, como el apartado 3 del artículo 5 (cookies y programas espía) y el artículo 13 (comunicaciones no solicitadas) son disposiciones generales aplicables no sólo a los servicios de comunicaciones electrónicas, sino también a cualquier otro servicio cuando se utilizan estas técnicas.

El apartado 3 del artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas, que debe leerse conjuntamente con el considerando 25 de la misma Directiva, se refiere al almacenamiento de información en el equipo terminal de los usuarios. La utilización de cookies permanentes con identificadores únicos permite seguir y establecer un perfil de la utilización de un ordenador determinado, incluso en caso de utilización de direcciones IP dinámicas. El apartado 3 del artículo 5, y el considerando 25 de la Directiva sobre la privacidad y las comunicaciones electrónicas, establecen claramente que el almacenamiento de tal información en el equipo terminal de los usuarios, es decir, cookies y dispositivos similares (en resumen, cookies), debe hacerse de acuerdo con las disposiciones de la Directiva sobre protección de datos. El apartado 3 del artículo 5 de la Directiva sobre la privacidad y las comunicaciones electrónicas clarifica así las obligaciones relativas a la utilización de las cookies por un servicio de la sociedad de la información, que se derivan de la Directiva sobre protección de datos.

4.2 Proveedores de contenidos

Los motores de búsqueda tratan información, incluida la información personal, explorando, analizando e indexando Internet y otras fuentes que pueden explorar y hacer fácilmente accesibles por medio de estos servicios. Algunos servicios de motores de búsqueda también vuelven a publicar los datos en las llamadas “memoria cache”.

4.2.1. Libertad de expresión y derecho a la intimidad

El Grupo de Trabajo es consciente del papel particular que desempeñan los motores de búsqueda en el contexto de la información en línea. El Derecho comunitario en materia de protección de datos y los Derechos de los distintos Estados miembros deben llegar a un equilibrio entre la protección del derecho a la intimidad y la protección de los datos personales por una parte, y la libre circulación de información y el derecho fundamental a la libertad de expresión, por otra parte.

El artículo 9 de la Directiva sobre protección de datos tiene por objeto garantizar que se logre este equilibrio en los Derechos de los Estados miembros en el contexto de los medios de comunicación. Además, el Tribunal de Justicia europeo ha indicado claramente que los límites a la libertad de expresión que pudieran derivar de la aplicación de los principios de protección de datos deben respetar la ley y el principio de proporcionalidad (15).

4.2.2 Directiva sobre protección de datos

La Directiva sobre protección de datos no contiene ninguna referencia particular al tratamiento de los datos personales en el marco de los servicios de la sociedad de la información que actúan como intermediarios en la extracción de datos. El criterio de la Directiva sobre protección de datos (95/46/CE) decisivo para la aplicabilidad de las normas de protección de datos es la definición del responsable del tratamiento, en particular, que una parte “sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”. La cuestión de si un intermediario debe ser considerado como responsable del tratamiento, él solo o conjuntamente con otros, es distinta de la cuestión de la responsabilidad de dicho tratamiento (16).

El principio de proporcionalidad requiere que, en la medida en que un proveedor de un motor de búsqueda actúe exclusivamente como intermediario, no debe considerarse como responsable principal del tratamiento de datos personales efectuado. En este caso, los responsables principales del tratamiento de datos personales son los proveedores de información (17). La responsabilidad formal, jurídica y práctica de los datos personales que incumbe al motor de búsqueda se limita generalmente a la posibilidad de retirar datos de sus servidores. Por lo que se refiere a la retirada de datos personales de su índice y de sus resultados de búsqueda, los motores de búsqueda tienen una responsabilidad suficiente para considerarse responsables del tratamiento (solos o conjuntamente con otros) en estos casos, pero la medida en la que existe una obligación de retirar o bloquear datos personales puede depender de la legislación en materia de responsabilidad civil y de las normas en materia de responsabilidad del Estado miembro en cuestión (18). Los propietarios de sitios Internet pueden decidir a priori no participar ni en el motor de búsqueda ni en la memoria oculta, utilizando el fichero robots.txt o las balizas Noindex/NoArchive (19). Es esencial que los proveedores de motores de búsqueda respeten la elección de los editores de sitios Internet de no participar en sus servicios. Esta elección puede expresarse antes de la primera exploración del sitio Internet, o una vez que ya se haya explorado. En este caso, las actualizaciones del motor de búsqueda deben efectuarse cuanto antes.

Los motores de búsqueda no se limitan siempre exclusivamente a un papel de intermediario. Algunos motores de búsqueda almacenan en sus servidores, por ejemplo, porciones enteras de contenidos de Internet – incluidos los datos personales que figuran en estos contenidos. No queda claro en qué medida los motores de búsqueda orientan activamente información identificable personalmente en el contenido que tratan. La exploración, el análisis y la indexación pueden hacerse automáticamente sin revelar la presencia de información identificable personalmente. El formato de tipos específicos de información identificable personalmente, como números de la seguridad social, números de tarjetas de crédito, números de teléfono y direcciones electrónicas, hacen que estos datos sean fácilmente detectables. Pero los proveedores de motores de búsqueda emplean cada vez más tecnologías existentes más sofisticadas, como la tecnología de reconocimiento facial en el marco del tratamiento de imágenes y la búsqueda de imágenes.

Los proveedores de motores de búsqueda pueden así efectuar operaciones de valor añadido vinculadas a características o a tipos de datos personales sobre la información que tratan. En este caso, el proveedor del motor de búsqueda es enteramente responsable, en virtud de la normativa sobre protección de datos, del contenido resultante relacionado con el tratamiento de datos personales. La misma responsabilidad se aplica a un motor de búsqueda que vende publicidad inducida por datos personales, como el nombre de una persona.

Funcionalidad de almacenamiento en la memoria oculta

La funcionalidad de almacenamiento en la memoria oculta es otro medio por el que un proveedor de motor de búsqueda puede ir más allá de su papel de intermediario exclusivo. El periodo de conservación de un contenido en una memoria oculta debería limitarse al periodo de tiempo necesario para solucionar el problema de inaccesibilidad temporal del propio sitio Internet.

Todo periodo de almacenamiento en la memoria oculta de datos personales contenidos en sitios Internet indexados que vaya más allá de esta necesidad de disponibilidad técnica debería considerarse como una nueva publicación independiente. El Grupo de Trabajo considera a los proveedores de estas funcionalidades de almacenamiento responsables del cumplimiento de la normativa sobre protección de datos, en su calidad de responsables del tratamiento de los datos personales contenidos en las publicaciones almacenadas en la memoria oculta. Siempre que la publicación original se altera, por ejemplo para suprimir datos personales incorrectos, el responsable del tratamiento de la memoria oculta debe responder inmediatamente a toda solicitud de actualización de la copia almacenada en la memoria oculta, o bien bloquear temporalmente esta copia hasta que el sitio Internet sea visitado de nuevo por el motor de búsqueda. 

5. LEGITIMIDAD DEL TRATAMIENTO

Con arreglo al artículo 6 de la Directiva sobre protección de datos, los datos personales deben ser tratados de manera leal y lícita; deben recogerse con fines determinados, explícitos y legítimos, y no ser tratados de manera incompatible con dichos fines.

Además, los datos personales serán adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente. Para que el tratamiento de datos personales sea legítimo, debe cumplir una o más de las seis razones de tratamiento legítimo establecidas en el artículo 7 de dicha Directiva.

5. 1. Finalidades/razones mencionadas por los proveedores de motores de búsqueda

Los proveedores de motores de búsqueda mencionan generalmente las siguientes finalidades y razones para explicar la utilización y el almacenamiento de datos personales en el marco de su papel de responsables del tratamiento de datos de los usuarios.

Mejora del servicio

Numerosos responsables del tratamiento utilizan registros de servidores para mejorar sus servicios y la calidad de sus servicios de búsqueda. El análisis de los registros de servidores es, en su opinión, una herramienta importante para mejorar la calidad de las consultas, resultados y publicidad, así como para desarrollar nuevos servicios, aún indeterminados.

Protección del sistema

Supuestamente, los registros de servidores contribuyen a garantizar la seguridad de los servicios de los motores de búsqueda. Algunos proveedores de motores de búsqueda han declarado que la conservación de los registros podría contribuir a proteger el sistema frente a ataques a la seguridad, y que necesitan una muestra histórica suficiente de datos de registros de servidores con el fin de detectar patrones y analizar las amenazas para la seguridad.

Prevención del fraude

Los registros de servidores contribuirían a proteger los sistemas y a los usuarios de los motores de búsqueda frente a fraudes y abusos. Numerosos proveedores de motores de búsqueda utilizan un mecanismo de “pago por clic” para la publicidad que muestran. El inconveniente es que a una empresa se le puede facturar injustamente si un agresor utiliza un programa automático para clicar sistemáticamente en la publicidad. Los proveedores de motores de búsqueda velan por que este tipo de comportamiento se detecte y erradique.

Los requisitos contables se citan como fines para servicios tales como los clics en vínculos patrocinados, para los que existe una obligación contractual y contable de conservar datos, al menos hasta el pago de las facturas y hasta la expiración del plazo para iniciar un litigio. 

Publicidad personalizada

Los proveedores de motores de búsqueda tratan de personalizar la publicidad con el fin de aumentar sus ingresos. La práctica actual consiste en tener en cuenta el historial de las consultas, la clasificación de los usuarios y criterios geográficos. Por tanto, basándose en el comportamiento del usuario y en su dirección IP, puede mostrarse una publicidad personalizada.

Estadísticas: son recogidas por algunos motores de búsqueda con el fin de determinar qué categorías de usuarios acceden a qué información en línea y en qué momento del año.

Estos datos pueden servir para mejorar el servicio, orientar la publicidad y también con fines comerciales, con objeto de determinar el coste para una empresa que desee hacer publicidad de sus productos.

Aplicación de la ley

Algunos proveedores afirman que los registros son herramientas importantes para la aplicación de la ley, con el fin de investigar delitos graves y perseguirlos, por ejemplo la explotación infantil.

5.2. Análisis de las finalidades y razones por parte del Grupo de Trabajo

En general, los proveedores de motores de búsqueda no proporcionan una visión completa de los distintos fines determinados, explícitos y legítimos para los que tratan los datos personales. En primer lugar, la definición de algunos fines, como “la mejora del servicio” o “la oferta de publicidad personalizada” es demasiado amplia para ofrecer un marco adecuado para evaluar la legitimidad del fin. En segundo lugar, dado que numerosos proveedores de motores de búsqueda mencionan varias finalidades diferentes para el tratamiento, no se sabe claramente en qué medida los datos se vuelven a tratar para otro fin incompatible con el fin para el que se habían recogido inicialmente.

La recogida y el tratamiento de datos personales pueden estar basados en una o más razones legítimas. Existen tres razones a las que los proveedores de motores de búsqueda pueden recurrir para distintos propósitos.

– Consentimiento – artículo 7, letra a), de la Directiva sobre protección de datos

La mayoría de los proveedores de motores de búsqueda ofrecen tanto un acceso no registrado como un acceso registrado a su servicio. En este último caso, por ejemplo cuando un usuario crea una cuenta de usuario específica, el consentimiento (20) puede utilizarse como razón legítima para tratar algunas categorías determinadas de datos personales con fines legítimos determinados, incluida la conservación de datos durante un periodo de tiempo limitado. El consentimiento no puede invocarse respecto a los usuarios anónimos del servicio ni a los datos personales de usuarios que han optado por no revelar su identidad. Estos datos no pueden tratarse ni almacenarse con otros fines que no sea el tratamiento de una consulta específica con una lista de resultados de búsqueda.

– Necesidad para la ejecución de un contrato – artículo 7, letra b), de la Directiva sobre protección de datos

El tratamiento también podrá ser necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado. Los proveedores de motores de búsqueda pueden utilizar este fundamento jurídico para recoger los datos personales que un usuario proporciona espontáneamente en su inscripción en un servicio determinado, como una cuenta de usuario, por ejemplo. Pueden también utilizar este fundamento, similar al consentimiento, para tratar algunas categorías determinadas de datos personales de usuarios autentificados con fines legítimos determinados.

Numerosas empresas de Internet alegan también que un usuario entra de facto en una relación contractual cuando utiliza los servicios propuestos en su página de Internet, como por ejemplo un formulario de búsqueda. Sin embargo, este postulado general no responde a la limitación estricta de la necesidad, tal como requiere la Directiva (21).

– Necesidad para la satisfacción del interés legítimo perseguido por el responsable del tratamiento – artículo 7, letra f), de la Directiva sobre protección de datos

Con arreglo al artículo 7, letra f), de la Directiva, el tratamiento podría ser necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1.

Mejora del servicio

Varios proveedores de motores de búsqueda almacenan el contenido de las consultas de los usuarios en sus registros de servidores. Esta información constituye una herramienta importante para los proveedores de motores de búsqueda, que les permite mejorar sus servicios analizando el tipo de consultas efectuadas por los usuarios, la manera en que deciden afinar estas consultas y los resultados de búsqueda que deciden seguir. El Grupo de Trabajo del Artículo 29 opina no obstante que no es necesario que las consultas sean atribuibles a individuos identificados para que puedan utilizarse con el fin de mejorar los servicios de búsqueda.

A fin de poder relacionar las distintas acciones de un usuario (y descubrir así si las sugerencias del motor de búsqueda son útiles), es necesario simplemente poder diferenciar las acciones de un usuario en una consulta de las de otro usuario. No es necesario poder identificar a estos usuarios. Por ejemplo, un motor de búsqueda puede querer saber que el usuario X lanzó una búsqueda sobre el término “Woodhouse” y a continuación decidió también clicar en los resultados relativos a la variante ortográfica propuesta “Wodehouse”, pero no necesita saber quién es el usuario X. La mejora de los servicios no puede por tanto considerarse una razón legítima para almacenar datos que no se hayan hecho anónimos.

Seguridad del sistema

Los motores de búsqueda pueden considerar que la necesidad de mantener la seguridad de su sistema es un interés legítimo y una razón adecuada para proceder al tratamiento de datos personales. Sin embargo, el almacenamiento de todo dato personal por razones de seguridad debe someterse a una limitación estricta de su finalidad. Por tanto, los datos almacenados por razones de seguridad no pueden utilizarse para optimizar un servicio, por ejemplo. Los proveedores de motores de búsqueda alegan que los registros de servidores deben almacenarse durante un plazo razonable (el número de meses difiere de un motor de búsqueda a otro) con el fin de permitirles detectar modelos de comportamiento de los usuarios, y así identificar y prevenir los ataques de denegación de servicio y otras amenazas a la seguridad. Todos estos proveedores deberían estar en condiciones de justificar ampliamente el periodo de conservación que adoptan a tal efecto y que dependerá de la necesidad de tratar estos datos.

Prevención del fraude

Los motores de búsqueda también pueden tener un interés legítimo en detectar y prevenir los fraudes, como el “fraude del clic”, pero, al igual que con el fin del mantenimiento de la seguridad, la cantidad de datos personales almacenados y tratados, así como el período de tiempo durante el cual estos datos se conservan a tal efecto, dependerán de la necesidad real o no de estos datos para detectar y prevenir el fraude.

Contabilidad

Las exigencias contables no pueden justificar el registro sistemático de los datos de motores de búsqueda ordinarios en los que el usuario no haya clicado en un vínculo patrocinado. El Grupo de Trabajo, sobre la base de la información recibida de los proveedores de motores de búsqueda en respuesta al cuestionario, duda seriamente que los datos personales de los usuarios de motores de búsqueda sean realmente esenciales a efectos de la contabilidad. Para obtener una evaluación concluyente, sería necesario realizar estudios más detallados. En cualquier caso, el Grupo de Trabajo pide a los proveedores de motores de búsqueda que desarrollen mecanismos contables que permitan proteger mejor la intimidad, por ejemplo utilizando datos anónimos.

Publicidad personalizada

Los proveedores de motores de búsqueda que deseen presentar publicidad personalizada con el fin de aumentar sus ingresos, pueden encontrar una razón para el tratamiento legítimo de algunos datos personales en el artículo 7, letra a), de la Directiva (consentimiento) o en el artículo 7, letra b), de la Directiva (ejecución de un contrato), pero es difícil encontrar una razón legítima para esta práctica respecto a los usuarios que no se hayan registrado específicamente teniendo conocimiento de información concreta sobre la finalidad del tratamiento. El Grupo de Trabajo prefiere claramente los datos anónimos.

Aplicación de la ley y solicitudes jurídicas

Las autoridades policiales y judiciales pueden a veces solicitar datos de los usuarios de los motores de búsqueda con el fin de detectar o prevenir delitos. Partes privadas pueden también intentar obtener una decisión judicial que exija a un proveedor de un motor de búsqueda que ceda datos de los usuarios. Cuando estas peticiones siguen procedimientos jurídicos válidos que dan lugar a decisiones judiciales válidas, los proveedores de motores de búsqueda deben por supuesto obedecer y proporcionar la información necesaria. Eso no debe no obstante confundirse con una obligación jurídica o una justificación para almacenar estos datos solamente a tal efecto.

Además, grandes cantidades de datos personales que se encuentran en las manos de los proveedores de motores de búsqueda pueden animar a las autoridades policiales y judiciales a ejercer sus derechos más a menudo y con más intensidad, lo que, a largo plazo, puede dar lugar a una pérdida de confianza del consumidor.

5.3. Algunas cuestiones que debe solucionar la industria

Periodos de conservación

Si el tratamiento efectuado por el proveedor de motor de búsqueda está sujeto al Derecho nacional, debe cumplir tanto las normas sobre confidencialidad como los periodos de conservación previstos en la legislación de ese Estado miembro concreto.

Si se almacenan datos personales, el periodo de conservación no deberá ser más largo de lo que sea necesario para los fines específicos del tratamiento. Por tanto, al término de la sesión de búsqueda, podrían borrarse los datos personales, y un almacenamiento prolongado debe por tanto justificarse debidamente. Sin embargo, algunas empresas de motores de búsqueda parecen conservar datos indefinidamente, lo que está prohibido.

Debería establecerse un periodo de conservación limitado para cada finalidad. Además, el conjunto de datos personales que debe conservarse no debería ser excesivo con relación a cada finalidad.

En la práctica, los grandes motores de búsqueda conservan datos relativos a sus usuarios en formularios identificables personalmente durante más de un año (las condiciones concretas varían). El Grupo de Trabajo acoge con satisfacción las recientes reducciones de los periodos de conservación de los datos personales realizadas por los grandes proveedores de motores de búsqueda. Sin embargo, el hecho de que las empresas líderes en el sector hayan podido reducir sus periodos de conservación sugiere que los plazos anteriores eran más largos de lo necesario.

Habida cuenta de las explicaciones iniciales dadas por los proveedores de motores de búsqueda con respecto a los posibles fines de la recogida de datos personales, el Grupo de Trabajo no ve razón para ampliar el periodo de conservación más allá de seis meses (22).

Sin embargo, la conservación de los datos personales y el correspondiente periodo de conservación deben justificarse (con argumentos concretos y pertinentes) y reducirse al mínimo, con el fin de aumentar la transparencia, garantizar un tratamiento legítimo y garantizar la proporcionalidad con el fin que justifica dicha conservación.

A tal efecto, el Grupo de Trabajo invita a los proveedores de motores de búsqueda a que apliquen el principio de la “privacidad desde la concepción” (privacy by design), que contribuirá a reducir aún más el periodo de conservación. Además, el Grupo de Trabajo considera que el hecho de reducir el periodo de conservación reforzaría la confianza de los usuarios y constituiría por tanto una ventaja competitiva significativa.

Si los proveedores de motores de búsqueda conservan datos personales durante más de seis meses, deberán demostrar detalladamente que ello es estrictamente necesario para el servicio.

En todos los casos, los proveedores de motores de búsqueda deberán informar a los usuarios acerca de las políticas de conservación aplicables a todos los tipos de datos de los usuarios que tratan.

Tratamiento posterior con distintos fines

La medida en que los datos de los usuarios son objeto de un análisis posterior, la manera en que esto se hace, y si se crean o no perfiles de usuario (detallados), depende del proveedor del motor de búsqueda. El Grupo de Trabajo es consciente de la posibilidad de que este tipo de tratamiento posterior de los datos de los usuarios afecte a un ámbito esencial de la innovación de la tecnología de los motores de búsqueda, y pueda ser de gran importancia en términos de competencia. La total revelación de la utilización y análisis posteriores de los datos de los usuarios podría también implicar un aumento de la vulnerabilidad de los servicios de motor de búsqueda frente a la utilización abusiva de sus servicios. Estas consideraciones no pueden no obstante servir como excusa para el incumplimiento de la normativa vigente en materia de protección de datos en los Estados miembros. Además, los proveedores de motores de búsqueda no pueden afirmar que su objetivo al recoger datos personales sea desarrollar nuevos servicios cuya naturaleza es aún indeterminada. La equidad requiere que las personas interesadas tengan conocimiento de la medida en que el motor de búsqueda podría invadir su intimidad al obtener sus datos. Esto no será posible a menos que se definan más concretamente los fines.

Cookies

Las cookies permanentes que contienen un identificador de usuario único son datos personales y están por tanto sujetas a la legislación vigente en materia de protección de datos. La responsabilidad de su tratamiento no puede reducirse a la responsabilidad que incumbe al usuario de tomar o no precauciones en la configuración de su navegador. El proveedor del motor de búsqueda decide si se almacena una cookie, qué cookie se almacena, y con qué fines se utiliza. Por último, las fechas de expiración de las cookiesfijadas por algunos proveedores de motores de búsqueda parecen excesivas. Varias empresas utilizan por ejemplo cookies que expiran en un plazo de varios años. Cuando se utiliza una cookie, debería definirse para ésta una duración adecuada que permita mejorar la navegación por Internet y limitar la duración de la cookie. A la luz, en particular, de las configuraciones por defecto de los navegadores, es muy importante que los usuarios estén plenamente informados de la utilización y el efecto de las cookies. Esta información debería ponerse más de relieve y no figurar simplemente en la política de privacidad del motor de búsqueda, que puede no estar inmediatamente visible.

Anonimato

Si no existe ninguna razón legítima para tratar los datos personales, o para utilizarlos más allá de los fines legítimos bien determinados, los proveedores de motores de búsqueda deben borrarlos. En vez de borrarlos, los motores de búsqueda pueden también hacer anónimos los datos, pero este anonimato debe ser completamente irreversible para que la Directiva sobre protección de datos deje de aplicarse. 

Incluso cuando la dirección IP y las cookies son sustituidas por un identificador único, la correlación de las consultas almacenadas puede permitir identificar a los individuos. Por eso, cuando se prefiere el anonimato a la supresión de los datos, los métodos utilizados deberían estudiarse cuidadosamente y aplicarse concienzudamente. Esto puede implicar la supresión de partes de los historiales de búsqueda, con el fin de evitar la posibilidad de identificación indirecta del usuario que haya efectuado las búsquedas en cuestión.

El anonimato de los datos debería excluir toda posibilidad de identificar a los individuos, incluso combinando la información anónima de la empresa del motor de búsqueda con la información que tenga otra parte interesada (por ejemplo, un prestador de servicios de Internet). Actualmente, algunos proveedores de motores de búsqueda truncan las direcciones IPv4 suprimiendo el octeto final, conservando así efectivamente información sobre el prestador de servicios de Internet o la red secundaria del usuario, pero sin identificar directamente al individuo. La actividad podría así proceder de cualquiera de las 254 direcciones IP. Esto podría no ser siempre suficiente para garantizar el anonimato.

Por último, el anonimato de los registros o la supresión de los mismos debe también aplicarse retroactivamente y englobar todos los registros de motores de búsqueda pertinentes del mundo.

Correlación de datos entre los servicios

Numerosos proveedores de motores de búsqueda proponen a los usuarios la opción de personalizar la utilización que hacen de sus servicios gracias a una cuenta personal.

Además de búsquedas, proponen servicios tales como correo electrónico y/u otras herramientas de comunicación como servicios de mensajería o chat, y herramientas de fácil utilización como los blogs o comunidades sociales. Si bien la gama de servicios personalizados puede variar, una característica común es el modelo de empresa subyacente y el desarrollo continuo de nuevos servicios personalizados.

La correlación del comportamiento del cliente entre distintos servicios personalizados de un proveedor de motor de búsqueda y, a veces, entre distintas plataformas (23), se ve facilitada técnicamente por la utilización de una cuenta personal central, pero también puede realizarse por otros medios, gracias a cookies u otras características de diferenciación, como las direcciones IP individuales. Por ejemplo, cuando un motor de búsqueda propone también un servicio de búsqueda en el ordenador del usuario (“desktop search”), el motor de búsqueda obtiene información relativa a documentos (incluso a su contenido) que un usuario crea o consulta. Con ayuda de estos datos, las consultas pueden adaptarse a un resultado más preciso.

El Grupo de Trabajo opina que la correlación de datos personales entre los servicios y las plataformas para los usuarios autentificados sólo puede hacerse legítimamente con el consentimiento de los usuarios, después de haber informado correctamente a éstos.

El registro con un proveedor de motor de búsqueda con el fin de beneficiarse de un servicio de búsqueda más personalizado debería ser voluntario. Los proveedores de motores de búsqueda no pueden sugerir que sea necesario crear una cuenta personalizada para utilizar sus servicios dirigiendo automáticamente a usuarios no identificados a un formulario de registro para una cuenta personalizada, porque no es necesario y no hay por tanto ninguna razón legítima para recoger datos personales distintos del consentimiento informado del usuario.

La correlación puede también realizarse con usuarios no autentificados, gracias a la dirección IP o cookie única que puede ser reconocida por los diferentes servicios propuestos por un proveedor de motor de búsqueda. Generalmente, esto se hace automáticamente sin conocimiento del usuario. La vigilancia secreta del comportamiento de los usuarios, un comportamiento indudablemente privado, tal como la visita a sitios Internet, va contra los principios de tratamiento leal y lícito de la Directiva sobre protección de datos. Los proveedores de motores de búsqueda deberían indicar claramente en qué medida se transmiten los datos entre los servicios y proceder únicamente con el consentimiento de los usuarios.

Por último, algunos proveedores de motores de búsqueda reconocen explícitamente en su política de privacidad que enriquecen los datos proporcionados por los usuarios con datos procedentes de terceros, de otras empresas que pueden, por ejemplo, adjuntar información geográfica a las series de direcciones IP o de sitios Internet que contienen publicidad vendida por el proveedor del motor de búsqueda (24). Esta clase de correlación puede ser ilícita si las personas interesadas no son informadas en el momento de dar sus datos personales, si no pueden acceder fácilmente a su perfil personal, y si no tienen derecho a corregir o suprimir elementos incorrectos o superfluos. Si el tratamiento en cuestión no es necesario para la prestación del servicio (de búsqueda), debe requerirse el consentimiento informado otorgado libremente por el usuario para que el tratamiento sea legítimo.

6. OBLIGACIÓN DE INFORMAR AL INTERESADO

La mayoría de los internautas no son conscientes de las grandes cantidades de datos relativos a sus consultas que se tratan, ni de los fines de su utilización. Si no son conscientes de este tratamiento, son incapaces de tomar decisiones con conocimiento de causa a este respecto.

La obligación de informar a las personas acerca del tratamiento de sus datos personales es uno de los principios fundamentales de la Directiva sobre protección de datos. El artículo 10 establece la información que debe proporcionarse cuando los datos se obtienen directamente del interesado. Los responsables del tratamiento de los datos deben proporcionar la información siguiente a la persona interesada:

– la identidad del responsable del tratamiento y, en su caso, de su representante;

– los fines previstos del tratamiento de que van a ser objeto los datos;

– cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

– el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

– la existencia de derechos de acceso y rectificación de los datos que le conciernen.

Como responsables del tratamiento de los datos de los usuarios, los motores de búsqueda deberían indicar claramente a los usuarios qué datos recogen sobre ellos y para qué los utilizan. Cada vez que se recoge información personal debería proporcionarse una descripción básica del uso de la misma, incluso cuando exista una descripción más detallada en otra parte. Los usuarios deberían también ser informados de los programas, tales como cookies, que pueden instalarse en su ordenador cuando utilizan el sitio Internet, y la manera en que pueden rechazarlas o suprimirlas. El Grupo de Trabajo considera que esta información es necesaria en el caso de los motores de búsqueda, con el fin de garantizar un tratamiento legítimo.

La información proporcionada por los proveedores de motores de búsqueda en respuesta al cuestionario del Grupo de Trabajo pone de manifiesto que existen diferencias importantes. Algunos motores de búsqueda cumplen las disposiciones de la Directiva, incluidos los vínculos hacia su política de privacidad, tanto en la página inicial como en las páginas generadas en el proceso de búsqueda, así como información relativa a las cookies. En otros motores de búsqueda, es muy difícil localizar la política de privacidad.

Los usuarios deben poder acceder fácilmente a la política de privacidad antes de efectuar una búsqueda, incluso desde la página inicial del motor de búsqueda.

El Grupo de Trabajo recomienda que la versión íntegra de la política de privacidad sea lo más completa y detallada posible, y que mencione los principios fundamentales de la legislación en materia de protección de datos.

El Grupo de Trabajo observa que muchas políticas de privacidad muestran deficiencias por lo que se refiere a los derechos de acceso o supresión del interesado previstos en los artículos 12, 13 y 14 de la Directiva sobre protección de datos. Estos derechos son uno de los elementos fundamentales de la protección de la intimidad de las personas. 

7. DERECHOS DEL INTERESADO

Los motores de búsqueda deben respetar los derechos de los interesados a acceder y, en su caso, a corregir o suprimir la información relativa a ellos. Estos derechos se aplican sobre todo a los datos de los usuarios autentificados almacenados por los motores de búsqueda, incluidos los perfiles personales. Estos derechos se aplican no obstante también a los usuarios no registrados, que deberían disponer de medios para demostrar su identidad al proveedor del motor de búsqueda, por ejemplo registrándose con el fin de tener acceso a los datos futuros y/o con ayuda de una declaración de su proveedor de acceso que certifique la utilización de una dirección IP específica durante el período para el que se requiere el acceso. En cuanto al contenido de los datos, en general no se considera a los proveedores de motores de búsqueda como principales responsables en virtud de la legislación europea en materia de protección de datos.

En 2000, en su documento de trabajo “Privacidad en Internet” (25) , el Grupo de Trabajo ya explicaba: “La personalización de perfiles ha de estar sujeta a la información y al consentimiento previo de los interesados, que deberán tener derecho a retirar su aprobación en cualquier momento y con efecto futuro. Los usuarios han de tener en todo momento la oportunidad de acceder a sus perfiles para inspeccionarlos y han de gozar del derecho de corregir y suprimir los datos almacenados.”

Cuando esto se aplica específicamente a los motores de búsqueda, los usuarios deben tener derecho a acceder a todo dato personal almacenado respecto de ellos, de conformidad con lo dispuesto en el artículo 12 de la Directiva sobre protección de datos (95/46/CE), incluidas las búsquedas efectuadas anteriormente, los datos recogidos de otras fuentes y los datos que revelan su comportamiento o su origen. El Grupo de Trabajo del Artículo 29 considera que es esencial que los proveedores de motores de búsqueda pongan a disposición de los usuarios los medios necesarios para permitirles ejercer estos derechos, por medio, por ejemplo, de una herramienta en línea que permita a los usuarios registrados acceder directamente a sus datos personales y les dé la posibilidad de oponerse al tratamiento de algunos de ellos.

Además, el derecho a corregir o suprimir información se aplica también a algunos datos específicos de la memoria oculta en posesión de los proveedores de motores de búsqueda, una vez que estos datos no corresponden ya al contenido publicado en Internet por los responsables del tratamiento del sitio o sitios Internet que publican esta información (26) . En este caso, cuando reciben una solicitud de un interesado, los proveedores de motores de búsqueda deben actuar rápidamente con el fin de suprimir o corregir la información incompleta u obsoleta. La memoria oculta puede ser actualizada mediante una nueva visita instantánea automática a la publicación original. Los proveedores de motores de búsqueda deben ofrecer a los usuarios la posibilidad de pedir gratuitamente la supresión de este tipo de contenidos de su memoria oculta.

8. CONCLUSIONES

Internet se concibió como una red global abierta que permite intercambiar información.

Sin embargo, es necesario encontrar un equilibrio entre la naturaleza abierta de Internet y la protección de los datos personales de los internautas. Este equilibrio puede encontrarse distinguiendo entre los dos papeles principales de los proveedores de motores de búsqueda. En su primer papel, el de responsables del tratamiento de datos de los usuarios (tal como las direcciones IP que recogen de los usuarios y sus historiales de búsqueda), deben considerarse enteramente responsables en virtud de la Directiva sobre protección de datos. En su segundo papel, el de proveedores de datos de contenido (como los datos del índice), no deben considerarse generalmente como principales responsables, en virtud de la legislación europea en materia de protección de datos, de los datos personales que tratan. Las excepciones son la existencia de una memoria oculta a largo plazo y las operaciones de valor añadido sobre los datos personales (como los motores de búsqueda que tienen por objetivo establecer perfiles de personas físicas). Cuando proporcionan esta clase de servicios, los motores de búsqueda deben considerarse plenamente responsables en virtud de la Directiva sobre protección de datos, y deben cumplir todas las disposiciones aplicables al respecto.

El artículo 4 de la Directiva sobre protección de datos establece que sus disposiciones se aplican a los responsables del tratamiento que tengan un establecimiento en el territorio de al menos un Estado miembro que participe en el tratamiento de datos personales. Las disposiciones de la Directiva pueden también aplicarse a los proveedores de motores de búsqueda que no posean establecimiento en el territorio de la Comunidad si recurren, con fines de tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de un Estado miembro.

Sobre la base de las consideraciones anteriores, y habida cuenta del actual modus operandi de los motores de búsqueda, pueden sacarse las siguientes conclusiones:

Aplicabilidad de las Directivas CE

1. La Directiva sobre protección de datos (95/46/CE) se aplica generalmente al tratamiento de datos personales por los motores de búsqueda, incluso cuando su sede se encuentra fuera del EEE.

2. Los proveedores de motores de búsqueda con sede fuera del EEE deberían informar a sus usuarios de las condiciones en que deben cumplir la Directiva sobre protección de datos, tanto debido a la presencia de un establecimiento como a la utilización de medios que se encuentren en el territorio de un Estado miembro.

3. La Directiva sobre conservación de datos (2006/24/CE) no se aplica a los motores de búsqueda en Internet.

Obligaciones de los proveedores de motores de búsqueda

4. Los motores de búsqueda solo podrán tratar datos personales con fines legítimos, y la cantidad de datos debe ser pertinente y no excesiva con relación a los fines previstos. 

5. Los proveedores de motores de búsqueda deben suprimir y hacer anónimos los datos personales (de manera irreversible y eficaz) una vez que no sean ya necesarios para el fin para el que se habían recogido. El Grupo de Trabajo pide que los proveedores de motores de búsqueda desarrollen programas adecuados para lograr el anonimato.

6. Los periodos de conservación deberían reducirse al mínimo y ser proporcionales al fin previsto por los proveedores de motores de búsqueda.

A la luz de las explicaciones iniciales dadas por los proveedores de motores de búsqueda con respecto a los posibles fines de la recogida de datos personales, el Grupo de Trabajo no ve razón para conservar estos datos más allá de seis meses. La legislación nacional puede sin embargo exigir que los datos personales se supriman antes. Si los proveedores de motores de búsqueda conservan los datos personales más de seis meses, deben demostrar de manera detallada que ello es estrictamente necesario para el servicio. En cualquier caso, la información relativa al periodo de conservación de los datos elegido por los proveedores de motores de búsqueda debe ser fácilmente accesible en su página inicial.

7. Si bien los proveedores de motores de búsqueda recogen inevitablemente algunos datos personales relativos a los usuarios de sus servicios, como la dirección IP, a resultas de un tráfico HTTP normal, no es necesario recoger datos personales suplementarios de los usuarios individuales para poder prestar el servicio o proponer resultados de búsqueda y publicidad.

8. Si los proveedores de motores de búsqueda utilizan cookies, su duración de vida no debería ser más larga de lo necesario. Al igual que las cookies de Internet, sólo deberían instalarse cookies flash si se proporciona información transparente sobre las razones de su instalación y sobre cómo acceder a esta información, modificarla y suprimirla.

9. Los proveedores de motores de búsqueda deben proporcionar a los usuarios información clara e inteligible sobre su identidad y su situación, así como sobre los datos que prevén recoger, almacenar o transmitir, y sobre la finalidad de la recogida de estos datos (27).

10. El enriquecimiento de los perfiles de usuarios con datos no proporcionados por los propios usuarios debe hacerse con el consentimiento de éstos.

11. Si los proveedores de motores de búsqueda ofrecen medios para conservar los historiales de búsqueda, deben obtener el consentimiento del usuario.

12. Los motores de búsqueda deben respetar la elección de los editores de los sitios Internet de no participar en sus servicios, indicando que el sitio de Internet en cuestión no debe explorarse ni indexarse, ni incluirse en la memoria oculta de los motores de búsqueda.

13. Cuando los proveedores de motores de búsqueda cuentan con una memoria oculta en la que los datos personales están disponibles durante mucho más tiempo que en la publicación original, deben respetar el derecho de los interesados a que se retiren los datos excesivos o incorrectos de su memoria oculta.

14. Los proveedores de motores de búsqueda especializados en la creación de operaciones de valor añadido, tales como los perfiles de personas físicas (llamados “motores de búsqueda de personas”) y los programas de reconocimiento facial de imágenes, deben tener una razón legítima para tratar los datos personales, como el consentimiento del interesado, y deben cumplir todos los demás requisitos de la Directiva sobre protección de datos, como la obligación de garantizar la calidad de los datos y la equidad del tratamiento.

Derechos de los usuarios

15. Los usuarios de los servicios de motores de búsqueda tienen derecho a acceder, examinar y, en su caso, corregir, con arreglo al artículo 12 de la Directiva sobre protección de datos (95/46/CE), todos sus datos personales, incluidos su perfil y sus historiales de búsqueda.

16. Sólo puede efectuarse la correlación cruzada de datos procedentes de distintos servicios pertenecientes al proveedor del motor de búsqueda si el usuario ha dado su consentimiento para este servicio específico.

Hecho en Bruselas, el 4 de abril de 2008.

Por el Grupo de Trabajo

El Presidente

Alex TÜRK

ANEXO 1.- EJEMPLO DE DATOS TRATADOS POR LOS MOTORES DE BÚSQUEDA Y TERMINOLOGÍA

Registros de consultas

Consulta: Consulta introducida en el motor de búsqueda, normalmente almacenada en los registros del motor de búsqueda en forma de la URL de la página propuesta como resultado de la consulta.

Dirección IP:  Dirección del protocolo de Internet del ordenador del usuario para cada consulta introducida.

Fecha y hora : Fecha y hora en la que se ha realizado una consulta específica.

Cookie : Las cookies y/o dispositivos similares almacenados en el ordenador del usuario, incluidos todos los parámetros de las cookies, como su valor y su fecha de expiración. En el servidor del   motor de búsqueda figuran todos los datos relativos a la cookie, como la siguiente información: “la cookie/dispositivo X se ha colocado en el ordenador que tiene la dirección IP Y, en la fecha y hora Z”.

Cookie flash: o “Local Shared Object” es una cookie instalada por medio de la tecnología Flash. No puede borrarse simplemente mediante los parámetros del navegador, a diferencia de las cookies de Internet tradicionales.

URL de referencia:  URL de la página Internet en la que se ha introducido la consulta, que puede ser una URL de un tercero.

Preferencias: Posibles preferencias específicas del usuario en la configuración avanzada del servicio.

Navegador : Información relativa al navegador, incluidos el tipo y la versión.

Sistema operativo : Información relativa al sistema operativo.

Lengua:  Configuración de la lengua del navegador del usuario, que pueden utilizarse para deducir la preferencia lingüística del usuario.

Contenido propuesto

Vínculos : Vínculos propuestos a un usuario a raíz de una consulta en una fecha y una hora determinados. Los resultados de los motores de búsqueda son dinámicos. Para poder evaluar los resultados detalladamente, el proveedor del motor de búsqueda debe almacenar la información relativa a los vínculos específicos y el orden en el que se han presentado en una fecha y una hora determinados en respuesta a una consulta de un usuario.

Publicidad: Publicidad que se presenta al usuario tras una consulta.

Navegación del usuario : Clics del usuario en los resultados orgánicos y la publicidad de las páginas de resultados. Esto incluye la clasificación de los resultados específicos que han sido seguidos por el usuario (el vínculo nº 1 se siguió en primer lugar, después de lo cual el usuario volvió de nuevo a la página de los resultados y siguió el vínculo nº 8).

Datos operativos: Debido al valor operativo y el uso de algunos de los datos mencionados anteriormente, por ejemplo para detectar fraudes, garantizar la seguridad/integridad del servicio y establecer el perfil de los usuarios, los motores de búsqueda indican y analizan estos datos de distintas maneras. Por ejemplo, una dirección IP concreta puede señalarse como fuente probable de fraude en las consultas o clics, un clic específico en una publicidad puede señalarse como fraudulento, y una consulta puede señalarse como vinculada a fuentes de información sobre un determinado tema.

Datos relativos a los usuarios registrados : Un proveedor de motor de búsqueda puede proponer a los usuarios que se registren con el fin de beneficiarse de mejores servicios. En general, el proveedor trata datos de las cuentas de usuario, como el nombre de usuario y su contraseña, una dirección electrónica y cualquier otro dato personal proporcionado por el usuario, como sus intereses, preferencias, edad y sexo.

Datos de otros servicios/fuentes : La mayoría de los proveedores de motores de búsqueda proponen otros servicios, como el correo electrónico, la búsqueda en el ordenador del usuario y la publicidad en sitios Internet y servicios terceros. Estos servicios generan datos de los usuarios que pueden ponerse en correlación y utilizarse para mejorar el conocimiento que los motores de búsqueda tienen de los usuarios. Los datos de los usuarios y los posibles perfiles también pueden enriquecerse con ayuda de datos procedente de otras fuentes, como los datos de localización geográfica de las direcciones IP y los datos demográficos

ANEXO 2 .- CUESTIONARIO RELATIVO A LAS POLÍTICAS DE PRIVACIDAD PARA LOS MOTORES DE BÚSQUEDA

1. ¿Almacena datos relativos a la utilización individual de sus servicios de búsqueda?

2. ¿Qué tipo de información almacena/archiva en el marco de sus servicios de búsqueda? [p. ej. registros de servidores, palabras clave, resultados de búsqueda, direcciones IP, cookies, datos relativos a los clics, copias instantáneas de sitios Internet (memorias ocultas), etc.]

3. ¿Pide el consentimiento (informado) del usuario para almacenar los datos indicados en su respuesta a la pregunta 2? En caso afirmativo, ¿de qué manera?  En caso negativo, ¿con qué fundamento jurídico justifica el almacenamiento de estos datos?

4. ¿Crea perfiles de comportamiento del usuario basándose en los datos indicados en su respuesta a la pregunta 2? En caso afirmativo, ¿con qué fin? ¿Qué datos trata? ¿Bajo qué identificador (p. ej. dirección IP, nombre de usuario, cookie de identificación) almacena estos perfiles? ¿Pide el consentimiento del usuario?

5. Si ofrece otros servicios especializados además de los servicios de búsqueda, ¿comparte los datos recogidos en el marco de sus servicios de búsqueda con estos otros servicios, y/o viceversa? En caso afirmativo, indique qué datos.

6. ¿Cuánto tiempo conserva los datos indicados en su respuesta a la pregunta 2 y con qué fines?

7. ¿A qué criterios recurre para determinar el plazo de conservación?

8. Cuando almacena datos durante un periodo predeterminado, ¿qué hace una vez transcurrido este periodo, y qué procedimientos existen a este respecto?

9. ¿Hace anónimos los datos? En caso afirmativo, ¿cómo? ¿Es irreversible este anonimato? ¿Qué información siguen conteniendo los datos que se han hecho anónimos?

10. ¿Son accesibles los datos al personal, por ejemplo, o se tratan sin intervención humana?

11. ¿Transmite datos a terceros? ¿En qué países? Sírvase indicar, para las categorías siguientes, qué tipo de datos puede compartir y en qué países:

– Publicistas

– Socios publicitarios

– Autoridades policiales y judiciales (respeto de las obligaciones jurídicas de proporcionar datos, por ejemplo en asuntos judiciales)

– Otros (especifíquese)

12. ¿Cómo informa a los usuarios acerca de la recogida, tratamiento y conservación de los datos? ¿Proporciona a los usuarios información completa acerca de, por ejemplo, las cookies, el establecimiento de perfiles y otras herramientas que controlan la actividad del sitio Internet? En caso afirmativo, sírvase adjuntar una copia de la nota de información, así como una descripción del lugar donde se coloca dicha nota.

13. ¿Proporciona a los usuarios el derecho a acceder y rectificar, modificar, suprimir o bloquear los datos? ¿Es posible optar por que no se recoja ni almacene absolutamente ningún dato personal, y que no quede ningún rastro de un usuario individual en ningún sistema de almacenamiento? ¿Hay costes asociados al ejercicio de estos derechos?

14. ¿Aplica medidas de seguridad al tratamiento de los datos? ¿Cuáles?

15. ¿Ha informado a alguna autoridad nacional de protección de datos en el EEE? En caso afirmativo, indique a qué autoridad. En caso negativo, indique las razones.

—————————————————————————————

(1) Diario Oficial nº L 281 de 23/11/1995, p. 31, http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

(2) Durante el verano de 2006, el prestador de servicios publicó una muestra de consultas y resultados de aproximadamente 650.000 usuarios en un período de tres meses. Si bien AOL había sustituido los nombres de los usuarios por números, los periodistas descubrieron que estos resultados permitían a menudo remontarse a los distintos usuarios, no sólo debido a lo que se llaman “consultas por vanidad”  (personas que buscan información sobre ellas mismas), sino también combinando varias consultas efectuadas por un único usuario.

(3) El Grupo de Trabajo se creó por iniciativa de los Comisarios responsables de la protección de datos de distintos países con el fin de reforzar la protección de la intimidad y los datos en las telecomunicaciones y los medios de comunicación.

(4) http://www.datenschutz-berlin.de/doc/int/iwgdpt/search_engines_en.pdf

(5) http://www.privacyconference2006.co.uk/https://www.informatica-juridica.com/jurisprudencia/informatica-juridica-jurisprudencia/?PageID=3 

(6) Los motores de búsqueda en Internet se tienen en cuenta en la legislación europea sobre los servicios de la sociedad de la información, definidos en el artículo 2 de la Directiva 2000/31/CE. Este artículo hace referencia a la Directiva 98/34/CE, que define el concepto de servicio de la sociedad de la información.

(7) Véase el artículo 21.2 en relación con el considerando 18 de la Directiva sobre el comercio electrónico (2000/31/CE).

(8) Uno de los medios empleados por el Grupo de Trabajo del Artículo 29 era la preparación de un cuestionario relativo a las políticas de privacidad. El cuestionario se envió a varios motores de búsqueda en los Estados miembros, así como a varios motores con sede en Estados Unidos. El presente dictamen se basa en el análisis de las respuestas a este cuestionario. El cuestionario figura en el Anexo 2 del presente dictamen.

(9) Un número creciente de prestadores de servicios de Internet asignan direcciones IP fijas a los usuarios. 

(10) WP136, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_es.pdf

(11) WP 136: “Al llegar a este punto, conviene señalar que, si bien la identificación a través del nombre y apellidos es en la práctica lo más habitual, esa información puede no ser necesaria en todos los casos para identificar a una persona. Así puede suceder cuando se utilizan otros “identificadores” para singularizar a alguien. Efectivamente, los ficheros informatizados de datos personales suelen asignar un identificador único a las personas registradas para evitar toda confusión entre dos personas incluidas en el fichero.” 

(12) WP 56, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp56_es.pdf

(13) WP 56, página 8, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp56_es.pdf  

(14) El Grupo de Trabajo tiene en cuenta los criterios siguientes para determinar la aplicabilidad del artículo 4, apartado 1, letra c) con respecto a la utilización de cookies. El primero es el caso en que un proveedor de motor de búsqueda posee un establecimiento en un Estado miembro al que no se aplica el artículo 4, apartado 1, letra a), porque este establecimiento no tenga una incidencia significativa en el tratamiento de datos (por ejemplo, un representante de prensa). Otros criterios son el desarrollo y/o la concepción de servicios de motor de búsqueda específicos para un país, el hecho de que el prestador de servicios en línea sepa efectivamente que trata con usuarios que se encuentran en este país, así como el hecho de tener la ventaja de poseer una cuota estable del mercado de usuarios en un Estado miembro concreto. 

(15) El Tribunal de Justicia Europeo ha dado más precisiones relativas a la proporcionalidad del impacto de las normas de protección de datos, por ejemplo por lo que se refiere a la libertad de expresión, en su sentencia en el asunto Lindqvist contra Suecia, apartados 88-90.

(16) En algunos Estados miembros, existen excepciones horizontales particulares (“puertos seguros”) relativas a la responsabilidad de los motores de búsqueda (“herramientas de localización de información”). La Directiva sobre el comercio electrónico (2000/31/CE) no contiene puertos seguros para los motores de búsqueda, pero en algunos Estados miembros se han aplicado normas de esto tipo. Véase el “Primer informe sobre la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), 21.11.2003, COM/2003/0702 final, p. 13.

(17) Los usuarios del motor de búsqueda podrían, en sentido estricto, ser también considerados responsables del tratamiento, pero su papel no estará regulado por la Directiva puesto que se trata de “actividades exclusivamente personales” (véase el artículo 3, apartado 2, segundo guión).  

(18) En algunos Estados miembros de la UE, las autoridades de protección de datos han regulado específicamente la obligación de los proveedores de motores de búsqueda de retirar datos de contenido del índice de búsqueda, sobre la base del derecho de oposición consagrado en el artículo 14 de la Directiva sobre protección de datos (95/46/CE) así como en la Directiva sobre el comercio electrónico (2000/31/CE). En virtud de estas legislaciones nacionales, los motores de búsqueda se ven obligados a seguir una política de notificación y retirada similar a la seguida por los proveedores de servicios de alojamiento, con el fin de evitar la responsabilidad.

(19) Esto puede ser más que una solución facultativa. Los editores de datos personales deben examinar si su fundamento jurídico para la publicación incluye la indexación de esta información por los motores de búsqueda y crear las garantías correspondientes necesarias, incluida, pero no solamente, la utilización del fichero robots.txt y/o de las balizas Noindex/NoArchive.

(20) Artículo 2, letra h), de la Directiva sobre protección de datos: “”Consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”.

(21) Artículo 7, letra b), de la Directiva: “… necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado”. 

(22) La legislación nacional puede exigir la supresión más temprana de los datos personales. 

(23) Por ejemplo, en el caso de Microsoft, entre el motor de búsqueda en línea y la consola de juego conectada a Internet (Xbox). 

(24) Por ejemplo, en los Aspectos principales del aviso de privacidad de Microsoft Online, Microsoft declara lo siguiente: “En algunos sitios de Microsoft, le solicitaremos que nos proporcione información personal. La información recopilada a través de un servicio de Microsoft puede estar combinada con información obtenida a través de otros servicios de Microsoft. También podremos complementar la información que recopilemos con la obtenida de otras empresas.” URL: http://privacy.microsoft.com. Y, respecto a compartir datos con socios publicitarios, Microsoft, en su declaración de confidencialidad completa, declara: “Ofrecemos también publicidad y herramientas de análisis de sitios Internet sobre sitios y servicios distintos de Microsoft, y podemos también recoger información con respecto a las páginas consultadas en estos sitios de terceros”. URL: http://privacy.microsoft.com/en-us/fullnotice.aspx.  En su Política de Privacidad, Google declara: “Puede ser que combinemos la información personal que nos ha facilitado con la información de otros servicios Google o de terceros para ofrecerle una mejor experiencia al usuario, incluyendo personalizar contenidos a su medida para usted.” URL: http://www.google.es/privacy.html.  En su política de privacidad, Yahoo! declara: ¡”Yahoo!” puede combinar información que tenga de usted con información obtenida de nuestros socios comerciales u otras empresas.” URL: http://info.yahoo.com/privacy/us/yahoo/details.html.   

(25) WP 37, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp37es.pdf   

(26) El Grupo de Trabajo sugiere que los editores de páginas Internet establezcan medidas con el fin de informar automáticamente a los motores de búsqueda de todas las solicitudes de supresión de datos personales que se reciban. 

(27) El Grupo de Trabajo recomienda un modelo por capas para la política de privacidad, tal como describe en su dictamen titulado “Dictamen sobre una mayor armonización de las disposiciones relativas a la información” (WP 100, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/wp100_es.pdf)