¿Por qué se ha sancionado a Google en Perú?

Google ha sido objeto de la primera sanción sobre el llamado “Derecho al Olvido” en Perú. En diciembre de 2015, la Dirección General de Protección de Datos Personales impuso a Google una multa de 65 UITs por negarse a retirar resultados de búsqueda negativos de un ciudadano peruano y obstaculizar el ejercicio de su derecho de protección de datos personales. Siguiendo nuestra entrega anterior, ahora analizamos en detalle las razones que llevaron a la Autoridad Nacional de Protección de Datos a esta decisión.

¿Se le aplica la Ley peruana a Google?

Lo primero que tuvo que establecer la Dirección es si la Ley de Protección de Datos peruana resultaba aplicable para una empresa de Internet con domicilio en Estados Unidos y, por ende, si Google Inc. estaba obligado a respetar el derecho de protección de datos de un ciudadano peruano. Para la Dirección, existen diferentes nexos que justifican su responsabilidad como titular del tratamiento de datos. Uno de ellos fue la existencia de un establecimiento de la empresa en Perú. Esto se refiere a que, a pesar de que el titular tenga diferentes formalidades societarias, el hecho de que exista un establecimiento debidamente constituido en territorio peruano ya da lugar a la aplicación de esta Ley. Además, para la Dirección, tanto Google Perú como Google Inc. son sociedades que se encuentran vinculadas por el hecho de que una (la doméstica) nutre con publicidad al servicio “Google Search”, de Google Inc. (de Estados Unidos). De la misma manera, la Dirección sostuvo que existe otra justificación para su alcance porque Google usa medios que se encuentran ubicados en territorio nacional. Esta afirmación la sustenta en el hecho de que Google Search incluye información con soporte en nuestro país e información de residentes peruanos, todo para extraer información que daría respuesta también a usuarios peruanos, lo que sustenta la venta de publicidad dirigida al público peruano. En particular, la Dirección parece sostener que Google deliberadamente trata datos personales de ciudadanos peruanos:

En consecuencia, para brindar el servicio de búsqueda en Internet al mercado peruano, Google realiza la operación técnica consistente en visitar (con anterioridad) las páginas web ubicadas en servidores web peruanos, registrar e indexar la información extraída, por lo que resulta evidente que utiliza medios situados en territorio peruano, y en su caso, para tratamientos de datos, fuera del control de los titulares de datos personales (ciudadanos peruanos).

El tercer criterio que utiliza la Dirección para determinarse competente para sancionar a Google es el de la “naturaleza de las cosas”. Según la Dirección, dada las actividades de Google, su presencia global, su diseño de negocio y la necesidad de atender el derecho del ciudadano debe de obligarse a la empresa a asumir las leyes locales sin prestar atención a los formalismos de domicilio o jurisdicción estricta.

Además, la Dirección estableció otros dos criterios para justificar su jurisdicción sobre Google:

  1. que la empresa llevaba a cabo un servicio que indiscutiblemente incidía sobre el territorio peruano, al recopilar “datos personales de ciudadanos peruanos mediante el uso de arañas y otros programas de rastreo e indexación, con el fin de facilitar dicha información, de forma clasificada y por distintos criterios de búsquedas,” y,
  2. que mostraba anuncios contratados y/o relevantes por peruanos y comercializados por Google Perú como parte de sus resultados de búsqueda mostrados por Google Inc.

¿Google trata datos personales?

En una de las secciones más breves de su Resolución, la Dirección determina que Google a través de su servicio de búsqueda lleva a cabo un tratamiento de datos personales en los términos de la Ley peruana de Protección de Datos Personales por dos razones.

La primera es que Google se sirve de una “operación técnica automatizada para la recopilación, almacenamiento y difusión de información en sus servidores”. Sin importar que la publicación original de la información sea responsabilidad de otros sitios web, la Dirección de Datos Personales afirma que el solo hecho de que el algoritmo de búsqueda de Google esté diseñado como lo está significa que es responsable por tratar datos personales.

[…] si bien los editores de los sitios web son los que publican la información en internet, facilitando el acceso a terceros, no sería posible que los usuarios accedan a dicha información si los proveedores del servicio de búsquedas no clasificaran la información que recopilan mediante criterios de búsqueda diversos. […] En consecuencia, desde el momento en que la actividad de los motores de búsqueda en internet catalogan la información según un orden de preferencia determinado para ser facilitados a terceros, la reclamada está decidiendo sobre la finalidad y los medios de su actividad, por lo que es responsable del tratamiento.

En segundo lugar, porque Google al ofrecer al mercado el servicio de búsquedas web permitiendo criterios de búsqueda como nombres y apellidos de ciudadanos está afectándose la privacidad de las personas. Sobre el punto, la Dirección afirma que:

Es innegable que este servicio afecta la privacidad de los ciudadanos. Si las búsquedas efectuadas por los usuarios incluyen “nombres y apellidos” de una persona, los resultados arrojarán información relacionada con ésta, y el uso que se haga de esta información puede mantenerse en el ámbito privado o afectar a la persona objeto de la búsqueda desde el punto de vista profesional, social, familiar, moral entre otros.

¿Cómo afectó Google los derechos del ciudadano peruano?

Lo que el ciudadano solicitaba era que toda noticia relacionada con su denuncia penal no figuren entre los resultados del buscador. Inicialmente, el reclamante había solicitado la tutela directa de su derecho ante el propio Google. Tras la denegatoria del pedido, el titular de los datos personales acudió a la Dirección con el objeto de iniciar un procedimiento trilateral de tutela. En su decisión, la Dirección consideró que no podía dejarse de atender el derecho del ciudadano (i) sólo porque los editores de los sitios web que publicaron la información perjudicial no han implementado los mecanismos necesarios para que el reclamante pueda ejercer su derecho de cancelación, y, (ii) porque Google Perú no es titular de la información cuya tutela se reclama.

La Dirección reconoce el hecho evidente de que, incluso si Google retira los enlaces, la información continuará estando disponible en línea. Sin embargo, a la Dirección le preocupa el efecto de “mayor visibilidad” que la actividad del buscador le otorga a dichas páginas. En ese sentido, su decisión está orientada a que se desligue el nombre del ciudadano de los resultados de búsqueda pero que los mismo puedan seguir apareciendo en Google si se usa otro criterio de consulta. Por tanto, concluye que el derecho de cancelación de datos personales sí puede ejercerse directamente ante el motor de búsqueda sin necesidad de dirigirse previamente a los editores de sitios web bajo la ley peruana.

Así, la Dirección determinó que Google había cometido dos infracciones independientes: (i) obstaculizar el ejercicio del derecho reclamado, al escudarse en su personería jurídica extranjera; y, (ii) negarse a atender su solicitud de cancelación cuando está obligado a hacerlo. En consecuencia, la Autoridad, a través de su Dirección, ordenó a Google Perú y a Google Inc. bloquear los datos personales (nombres y apellidos) de este ciudadano de toda información o noticia relacionada con la materia del sobreseimiento de la causa mencionada que aparezcan en los resultados del motor de búsqueda.

***

Hasta esta etapa del procedimiento, Google nunca llegó a ofrecer razones de fondo para excusarse de su responsabilidad. Por el contrario, mantuvo su defensa formal señalando que su filial peruana no debía ser parte del procedimiento y que su casa matriz en Estados Unidos no había sido notificada apropiadamente. Ello dejó un campo libre para que la Dirección General de Protección de Datos aplicara los criterios de decisión que más le convenían y terminara sancionándolo.

Tres aspectos merecen un estudio más detallado en este caso. El primero es el criterio usado por la Dirección para señalarse competente, según el cual cuando un servicio tiene datos de peruanos y es accesible desde Perú ya puede exigirse a la empresa el cumplimiento de la legislación local, sin importar su domicilio. Este ha sido un punto flaco de la Ley desde su inicio y en el pasado la Dirección ha recurrido a cosas como el Registro WHOIS o la sección informativa de un fanpage en Facebook para afirmar o negar su competencia. Además, resulta un criterio distinto al que se aplica en casos de derechos de autor o delitos informáticos. Extender el criterio ensayado en este caso implicaría que servicios de redes sociales (Facebook), almacenamiento de documentos (Dropbox) o software como servicio (Salesforce, Amazon Web Services) tengan la responsabilidad de cumplir con el detalle de la ley peruana. Presionados a hacerlo, estos servicios internacionales podrían elegir dejar de prestar servicios en Perú o incrementar sustancialmente su costo para cumplir con la legislación local.

El segundo es la afirmación de que un servicio que facilita el acceso a información publicada por terceros realiza un tratamiento de datos personales. En sus inicios, el derecho a la protección de datos fue concebido para que los ciudadanos impidan que terceros usen su nombre o sus datos de identidad sin su permiso y por fuera de la ley. Desde el inicio, siempre hubo excepciones como los usos domésticos (ej. una agenda de teléfonos personal), los usos estatales (ej. RENIEC), o seguridad jurídica (ej. Infocorp). En aquella época, no existía nada como un Buscador de Internet o el archivo digital de una biblioteca. Por ende, nunca se planteó si el procesamiento de la información contenida documentos y publicaciones que incluía datos personales daba lugar a una forma distinta de tratamiento. La pregunta es si el servicio de búsqueda integral que ofrecen estos sistemas es socialmente tan valioso como para ampararlo bajo una excepción. Obligarlos a cumplirla implica alterar la base de su funcionamiento y obligarlos a tomar decisiones sobre qué información resulta o no de interés público. En el camino, podríamos estar borrando de la vista pública información valiosa, que hoy no se sospecha necesaria pero que puede serlo en el futuro o creando un arma poderosa de censura privada. ¿Deberíamos de exceptuarlos así como se han exceptuado a las centrales de riesgo? La respuesta indaga en qué valor deseamos preferir: si el derecho de información o el derecho a la protección de datos.

El tercer elemento crítico es lo que esta resolución significa para las empresas peruanas. Las empresas domiciliadas en nuestro país no van a poder recurrir al argumento de su domicilio extranjero como lo hizo Google ni tendrán la holgura económica para arriesgarse a una multa de 200 mil soles. Si el criterio de la Dirección se mantiene, cualquier emprendimiento digital o investigación periodística que involucre hacer más accesible la información contenida en bases de datos publicadas por terceros quedará obligado a eliminar la información personal de quien lo solicite. Pensemos, por ejemplo, en páginas que hagan más accesible y navegable la jurisprudencia nacional, el registro de deudores de reparaciones civiles, las actas de votación de una elección, el registro de visitas a locales de la administración pública, entre otros. Todos ellos permiten, como parte de su funcionamiento, realizar búsquedas en torno a nombres de personas y, por ende, tendrán que actuar a pedido de esas personas si quieren borrar su información. Incluso nuestro propio servicio de Proyectos de Ley podría recibir solicitudes de ex congresistas pidiéndonos que dejemos de indexar su nombre asociado a los expedientes de ciertos proyectos de ley.

Resulta imprescindible que esta decisión y sus alcances se analicen desde una perspectiva más amplia en todos los sentidos. Por un lado, va a ser valiosísimo el aporte de un Juez que, a diferencia de un funcionario del Ministerio de Justicia, está llamado no solo a aplicar la Ley de Protección de Datos sino también la Constitución y sus normas de desarrollo. Además, también va a ser importante que como parte del análisis se tenga en cuenta el impacto que esta decisión puede generar entre las empresas y usuarios de servicios en línea. Por forzar una interpretación legal, podemos estar condenando toda una nueva generación de servicios que hacen más accesible la información pública y privada para facilitar la vida de las personas.

Esta es la segunda parte del especial sobre las dos resoluciones de la Dirección General de Protección de Datos Personales contra Google por el “Derecho al Olvido”. Aquí puedes ver la primera parte de esta serie, que presenta los hechos del caso. La siguiente entrada de esta serie analiza el Recurso de Reconsideración que presentó Google Perú a inicios de este año y que fue rechazado por la Autoridad.

Descarga: Resolución Directoral No. 045-2015-JUS/DGPDP

2 comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *