Está en la página 1de 31

GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29

GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29 00737/ES WP 148 Dictamen sobre cuestiones

00737/ES

WP 148

Dictamen sobre cuestiones de protección de datos en relación con buscadores

Adoptado el 4 de abril de 2008

El presente texto es una traducción no oficial, destinada únicamente para su uso como instrumento documental.

El Grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Sus tareas se definen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.

La secretaría pertenece a la Dirección C (Justicia Civil, Derechos fundamentales y Ciudadanía) de la Comisión Europea, Dirección General de Justicia, Libertad y Seguridad, B-1049, Bruselas, Bélgica, Oficina nº LX-46 06/80.

Página web: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Índice

RESUMEN EJECUTIVO

3

1. INTRODUCCIÓN

4

2. DEFINICIÓN DE UN “BUSCADOR” Y MODELO DE NEGOCIOS

5

3. ¿QUÉ TIPO DE DATOS?

6

4. MARCO JURÍDICO

8

4. 1. Responsables de tratamiento de datos de usuarios

8

4.1.1.

El derecho fundamental del respeto de vida privada

8

4.1.2.

Aplicabilidad de la Directiva 95/46/CE (Directiva de protección de datos)

8

4.1.3

Aplicabilidad de la Directiva 2002/58/CE (Directiva sobre la privacidad y las

comunicaciones electrónicas) y de la Directiva 2006/24/CE (Directiva de

conservación de datos)

12

4.2 Proveedores de contenido

14

4.2.1.

Libertad de expresión y derecho a la intimidad

14

4.2.2

Directiva de protección de datos

14

5. LA LEGALIDAD DEL TRATAMIENTO

16

5.1. Fines/ motivos mencionados por los proveedores de servicios de búsqueda

16

5.2. Análisis por parte del Grupo de Trabajo de los fines y motivos

17

5.3. Algunas cuestiones que debe resolver el sector

20

6. OBLIGACIÓN DE INFORMAR AL INTERESADO

23

7. DERECHOS DEL INTERESADO

24

8. CONCLUSIONES

25

ANEXO 1 – EJEMPLO DE DATOS OBJETO DE TRATAMIENTO POR LOS BUSCADORES Y TERMINOLOGÍA

29

ANEXO 2

30

-2-

RESUMEN EJECUTIVO

Los buscadores se han convertido en parte de la vida diaria de las personas que utilizan Internet y tecnologías de obtención de información. El Grupo de Trabajo del Artículo 29 reconoce la utilidad de los buscadores, así como su importancia.

En este Dictamen, el Grupo de Trabajo identifica un conjunto claro de responsabilidades en virtud de la Directiva de protección de datos (95/46/CE) para los proveedores de servicios de búsqueda como responsables de tratamiento de datos de usuarios. Como proveedores de datos de contenido (por ejemplo, el índice de los resultados de la búsqueda), la legislación europea en materia de protección de datos también se aplica a los buscadores en situaciones específicas, por ejemplo, si ofrecen un servicio de almacenamiento temporal o se especializan en elaborar perfiles de personas. El principal objetivo en el Dictamen es lograr un equilibrio entre las necesidades empresariales legítimas de los proveedores de los buscadores y la protección de los datos personales de los usuarios de Internet.

El Dictamen aborda la definición de buscadores, los tipos de datos objeto de tratamiento en la prestación de los servicios de búsqueda, el marco jurídico, los fines/ motivos para el tratamiento legítimo, la obligación de informar a los interesados y los derechos de éstos.

Una conclusión clave de este Dictamen es que la Directiva de protección de datos se aplica generalmente al tratamiento de datos personales por parte de los buscadores, incluso cuando las oficinas centrales se encuentran fuera del EEE y que la responsabilidad de los buscadores en esta situación es aclarar su función en el EEE y el alcance de sus responsabilidades en virtud de la Directiva. En la Directiva de conservación de datos (2006/24/CE) se destaca claramente que no es aplicable a los proveedores de servicios de búsqueda.

Este Dictamen concluye que sólo deben tratarse datos personales con fines legítimos. Los proveedores de servicios de búsqueda deben eliminar o convertir en anónimos de forma irreversible los datos personales cuando ya no sean útiles para el fin determinado y legítimo para el que se recabaron, así como ser capaces de justificar la conservación y la longevidad de las cookies instaladas en todo momento. Debe obtenerse el consentimiento del usuario para todas las referencias cruzadas previstas de los datos de los usuarios y de las prácticas de enriquecimiento de los perfiles de usuarios. Los buscadores deben respetar las autoexclusiones (opt-out) de los editores de páginas web y las solicitudes de los usuarios de actualizar las memorias caché deben cumplirse de forma inmediata. El Grupo de Trabajo recuerda la obligación de que los buscadores informen inicialmente y de forma clara a los usuarios de todos los usos previstos de sus datos y respeten su derecho a acceder, consultar o rectificar fácilmente sus datos personales de acuerdo con el artículo 12 de la Directiva de protección de datos (95/46/CE).

-3-

EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE LOS DATOS PERSONALES creado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 1 ,

vistos los artículos 29 y 30, apartados 1 (a) y 3 de dicha Directiva y el artículo 15, apartado 3 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002,

visto el artículo 255 del Tratado CE y el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo de 20 de mayo de 2001 relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión;

vistas sus Normas de Procedimiento;

HA ADOPTADO EL PRESENTE DOCUMENTO:

1.

INTRODUCCIÓN

Los proveedores de servicios de búsqueda de la World Wide Web desempeñan un papel vital en la sociedad de la información como intermediarios. El Grupo de Trabajo reconoce la necesidad y la utilidad de los buscadores y reconoce su contribución al desarrollo de la sociedad de la información.

Para las autoridades independientes de protección de datos en el EEE, la importancia cada vez mayor de los buscadores desde la perspectiva de la protección de datos se refleja en el creciente número de reclamaciones recibidas de personas (interesados) acerca de posibles incumplimientos de su derecho a la privacidad. También se ha percibido un marcado aumento de las consultas tanto de responsables de tratamiento como de la prensa acerca de las implicaciones de los servicios de búsqueda en Internet en relación con la protección de datos personales.

Las reclamaciones de los interesados y las consultas de los responsables de tratamiento y de la prensa reflejan los dos papeles distintos que desempeñan los proveedores de servicios de búsqueda en relación con los datos personales.

En primer lugar, en su función como proveedores de servicios a los usuarios, los buscadores recaban y tratan grandes cantidades de datos de usuarios, incluyendo datos recabados con medios técnicos como las cookies. Los datos recabados pueden ir desde las direcciones IP de usuarios individuales a largos historiales de patrones de búsquedas pasadas o datos proporcionados por los propios usuarios al registrarse para utilizar servicios personalizados. La recopilación de datos de los usuarios plantea muchas preguntas. Después del caso de AOL, una gran parte de la ciudadanía es consciente de la sensibilidad de la información personal contenida en los registros de búsquedas. 2 El

1 Diario Oficial nº L281 de 23/11/1997, p. 31, disponible en:

http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm

2 En el verano de 2006, el proveedor de servicios publicó una muestra de búsquedas y resultados de unos 650.000 usuarios durante un periodo de tres meses. Aunque AOL había sustituido los nombres de los

-4-

Grupo de Trabajo opina que los buscadores, en su función de recabar datos de los usuarios, hasta el momento no han explicado suficientemente la naturaleza y la finalidad de sus operaciones a los usuarios de sus servicios.

En segundo lugar, en su función como proveedores de contenidos, los buscadores ayudan a hacer que las publicaciones en Internet sean fácilmente accesibles al público a escala mundial. Algunos buscadores vuelven a publicar datos en la llamada memoria caché. Recuperando y agrupando información dispersa de distintos tipos sobre una única persona, los buscadores pueden crear una nueva imagen con un riesgo muy superior para el interesado que si cada dato publicado en Internet se mantuviera por separado. La capacidad de representación y agrupación de los buscadores puede afectar significativamente a las personas tanto en sus vidas personales como en la sociedad, especialmente si los datos personales de la búsqueda son incorrectos, incompletos o excesivos.

El Grupo internacional sobre protección de datos en las telecomunicaciones 3 adoptó una posición común sobre protección de la intimidad y buscadores el 15 de abril de 1998, revisada el 6-7 de abril de 2006 4 . El Grupo de Trabajo compartió en ésta sus preocupaciones sobre el potencial de los buscadores de permitir la creación de perfiles de personas físicas. Esta posición común destacaba cómo algunas actividades de los buscadores podían suponer una amenaza a la intimidad de las personas, así como que cualquier tipo de información personal publicada en una página web pudiera utilizarla un tercero para elaborar un perfil.

Asimismo, la 28ª Conferencia Internacional de Autoridades de Privacidad y Protección de Datos, adoptó la Resolución relativa a la protección de datos y buscadores 5 , Londres, 2 – 3 de noviembre de 2006. La resolución pide a los proveedores de servicios de búsqueda que respeten las normas sobre la privacidad según se establecen en las legislaciones nacionales de muchos países, así como en documentos de política internacional y tratados y modifiquen sus prácticas de acuerdo con ellas. Trata diversos aspectos relacionados con los registros de los servidores, las solicitudes de búsqueda combinadas y su almacenamiento y la elaboración de perfiles detallados de usuarios.

2. DEFINICIÓN DE UN “BUSCADOR” Y MODELO DE NEGOCIOS

En general, los buscadores son servicios que ayudan a los usuarios a encontrar información en Internet. Pueden diferenciarse según los distintos tipos de datos que recaban, incluyendo imágenes y/ o vídeos y/ o sonido o distintos tipos de formatos. Un nuevo campo de desarrollo lo constituyen los buscadores cuyo objetivo específico es elaborar perfiles de personas basándose en datos personales que se encuentran en cualquier parte de Internet.

usuarios por un número, los periodistas descubrieron que estos resultados podían llevar hasta los usuarios individuales, no sólo por el llamado “egosurfing” (una persona busca información sobre sí misma), sino también mediante la combinación de diversas búsquedas por parte de un único usuario.

3 El Grupo de Trabajo lo crearon los Comisarios de Protección de Datos de distintos países con el objetivo de mejorar la protección de datos y de la privacidad en las telecomunicaciones y los medios de comunicación.

-5-

En el contexto de la Directiva sobre comercio electrónico (2000/31/CE), los buscadores se han definido como un tipo de servicio de la sociedad de la información 6 , a saber, herramientas de localización de información 7 . El Grupo de Trabajo utiliza esta clasificación en categorías como punto de partida. En este Dictamen el Grupo de Trabajo se centra en los proveedores de servicios de búsqueda que siguen el modelo de negocio de buscadores dominante basado en la publicidad. Aquí se incluyen todos los buscadores principales conocidos, además de buscadores especializados como buscadores centrados en la elaboración de perfiles personales y los metabuscadores que presentan y, posiblemente, reagrupan los resultados de otros buscadores existentes. Este Dictamen no trata las funciones de búsqueda incluidas en páginas web con el fin de buscar exclusivamente en el propio dominio de la página web.

La rentabilidad de dichos buscadores se basa, en general, en la eficacia de la publicidad que acompaña a los resultados de la búsqueda. Los ingresos se generan en la mayoría de los casos a través de un método de búsqueda pagada. En este modelo, el buscador cobra a la empresa de publicidad siempre que un usuario hace clic en un enlace patrocinado. Mucha investigación sobre la precisión de los resultados de la búsqueda y los anuncios se centra en la contextualización correcta. Para que el buscador produzca los resultados deseados y para fijar adecuadamente los anuncios con el objetivo de optimizar los ingresos, los buscadores intentan investigar lo máximo posible las características y el contexto de cada búsqueda individual.

3. ¿QUÉ TIPO DE DATOS?

Los buscadores tratan diversos datos 8 . En el apéndice se puede encontrar una lista de los datos implicados.

Ficheros históricos (Fichero Log) Los ficheros históricos sobre la utilización específica de las personas de los servicios de los buscadores son, suponiendo que no se vuelvan anónimos, los datos personales más importantes objeto de tratamiento por parte de los proveedores de servicios de búsqueda. Los datos que señalan la utilización del servicio pueden dividirse en distintas categorías:

los registros de consultas (contenido de las búsquedas, fecha y hora, fuente (dirección IP y cookie), preferencias del usuario y datos relativos al ordenador del usuario); los datos sobre el contenido ofrecido (enlaces y publicidad como resultado de cada búsqueda); y los datos de la posterior navegación del usuario (clics). Los buscadores también pueden tratar datos operativos que clasifiquen datos de los usuarios, datos sobre usuarios registrados y datos de otros servicios y fuentes como el correo electrónico, las búsquedas en el escritorio y la publicidad en las páginas web de terceros.

6 Los buscadores de Internet se consideran en la legislación europea en materia de servicios de la sociedad de la información, definidos en el artículo 2 de la Directiva 2000/31/CE. Este artículo hace referencia a la Directiva 98/34/CE, que especifica el concepto de servicio de la sociedad de la información.

7 Véase el artículo 21.2 en relación con el Considerando 18 de la Directiva de Comercio Electrónico

(2000/31/CE).

8 Uno de los medios utilizados por el Grupo de Trabajo del Artículo 29 fue la elaboración de un cuestionario sobre políticas de privacidad. El cuestionario se envió a varios buscadores de los Estados miembro, así como a varios motores de búsqueda de EE.UU. Este Dictamen se basa parcialmente en el análisis de las respuestas a este cuestionario. El cuestionario se adjunta al dictamen como Apéndice 2.

-6-

Direcciones IP Un proveedor de buscadores puede relacionar distintas solicitudes de búsqueda y sesiones de búsqueda que tengan su origen en una única dirección IP 9 . De este modo, es posible efectuar un seguimiento y una correlación de todas las búsquedas en Internet con origen en una dirección IP si se archivan estas búsquedas. Se puede mejorar la identificación cuando se establece una correlación de la dirección IP con una cookie de ID única de usuario distribuida por el proveedor del buscador, puesto que esta cookie no cambiará cuando se modifique la dirección IP.

La dirección IP también puede utilizarse como información de ubicación, aunque en muchos casos pueda ser ahora imprecisa.

Cookies Las cookies de usuarios las proporciona un buscador y se almacenan en el ordenador del usuario. El contenido de las cookies varía de un proveedor de buscador a otro. Las cookies instaladas por los buscadores normalmente contienen información sobre el sistema operativo y el navegador del usuario y un número de identificación único para cada cuenta de usuario. Permiten una identificación más precisa del usuario que la dirección IP. Por ejemplo, si varios usuarios comparten el ordenador con cuentas separadas, cada usuario tendría su propia cookie que le identificaría de forma exclusiva como usuario del ordenador. Cuando un ordenador posee una dirección IP dinámica y variable y las cookies no se eliminan al final de una sesión, dicha cookie hace posible realizar un seguimiento del usuario desde una dirección IP hasta la siguiente. También se puede utilizar para establecer una correlación entre búsquedas con origen en ordenadores itinerantes, por ejemplo, ordenadores portátiles, puesto que un usuario tendría la misma cookie en ubicaciones distintas. Por último, si varios ordenadores comparten una conexión a Internet (por ejemplo, detrás de una caja o de un router de traducción de dirección de red), la cookie permitirá una identificación de los usuarios individuales en los distintos ordenadores.

Los buscadores utilizan cookies (normalmente cookies permanentes) para mejorar la calidad de su servicio almacenando las preferencias del usuario y realizando un seguimiento de las tendencias de éste, como el modo de buscar de las personas. La mayoría de los navegadores están configurados inicialmente para aceptar cookies, pero es posible volver a configurarlos para rechazar todas las cookies, sólo aceptar cookies de sesión o indicar cuándo se envía una cookie. Sin embargo, es posible que algunas características y servicios no funcionen correctamente si se inhabilitan las cookies y la configuración de las características avanzadas que implica la gestión de cookies no siempre resulta fácil.

Cookies en Flash Algunas empresas de buscadores instalan cookies en Flash en el ordenador del usuario. En estos momentos, las cookies en Flash no se pueden eliminar de forma sencilla, es decir, utilizando las herramientas de eliminación incluidas por defecto en los navegadores. Las cookies en Flash se han utilizado, por ejemplo, como apoyo de las cookies normales que pueden eliminar fácilmente los usuarios o para almacenar información extensa sobre las búsquedas de los usuarios (por ejemplo, todas las búsquedas en la web enviadas a un buscador).

9 Cada vez más proveedores de servicios de Internet distribuyen direcciones IP fijas a usuarios individuales.

-7-

4.

MARCO JURÍDICO

4. 1. Responsables de tratamiento de datos de usuarios

4.1.1. El derecho fundamental del respeto de vida privada

El derecho al respeto de la vida privada, según se consagra en el artículo 8 del Convenio

Europeo de Derechos Humanos y Libertades Fundamentales (CEDH), constituye el centro de la legislación europea en materia de protección de datos. La recopilación y almacenamiento de forma masiva de los historiales de búsqueda de las personas de forma directa o indirectamente identificable invoca la protección del artículo 8 del CEDH.

El

historial de búsquedas de una persona contiene una huella de los intereses, relaciones

e

intenciones de dicha persona. Estos datos pueden utilizarse posteriormente con

finalidades comerciales y como resultado de solicitudes y de operaciones de phishing y/o extracción de datos por parte de los cuerpos y fuerzas de seguridad del Estado o de los servicios de seguridad nacional.

De acuerdo con el Considerando 2 de la Directiva 95/46/CE, “los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos”.

Los buscadores desempeñan un papel fundamental como primer punto de contacto para acceder libremente a la información en Internet. Dicho acceso libre a la información es esencial para construir la opinión personal de una persona en nuestra democracia. Por lo tanto, el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea es de especial relevancia puesto que prevé que la información debe ser accesible “sin injerencia de las autoridades públicas”, como parte de la libertad de expresión y de información”.

4.1.2. Aplicabilidad de la Directiva 95/46/CE (Directiva de protección de datos)

En documentos de trabajo anteriores, el Grupo de Trabajo del Artículo 29 ha proporcionado aclaraciones en relación con las normas de protección de datos como consecuencia del registro de las direcciones IP y de la utilización de cookies en el contexto de los servicios de la sociedad de la información. Este dictamen proporcionará otra guía en lo que respecta a la aplicación de las definiciones de “datos personales” y “responsable de tratamiento” en los proveedores de servicios de búsqueda. Los servicios de los buscadores pueden prestarse a través de Internet desde la UE/ el EEE, desde una ubicación fuera del territorio de los Estados miembros de la UE/ del EEE, o desde múltiples ubicaciones en la UE/ el EEE y fuera de éstos. Por lo tanto, también se discutirán las disposiciones del artículo 4. El artículo 4 de la Directiva de protección de datos trata el derecho nacional aplicable en materia de protección de datos.

-8-

Datos personales: direcciones IP y cookies En su Dictamen (WP 136) sobre el concepto de datos personales, el Grupo de Trabajo aclaró la definición de datos personales 10 . El historial de búsquedas de una persona constituye un dato personal si la persona a la que hace referencia es identificable. Aunque los buscadores no pueden identificar directamente las direcciones IP en la mayoría de los casos, un tercero puede conseguir realizar dicha identificación. Los proveedores de acceso a Internet conservan los datos de las direcciones IP. Las autoridades de seguridad nacional y los cuerpos y fuerzas de seguridad del Estado pueden conseguir acceder a estos datos y, en algunos Estados miembros, algunos grupos privados también han conseguido acceder mediante un proceso civil. De este modo, en la mayoría de los casos, incluyendo casos con asignación de direcciones IP dinámicas, se dispondrá de los datos necesarios para identificar a los usuarios de las direcciones IP.

El Grupo de Trabajo indicó en el WP 136 que “… excepto si el proveedor de servicios de Internet es capaz de distinguir con absoluta certeza que los datos corresponden a usuarios que no pueden identificarse, deberá tratar toda la información sobre IP como datos personales que deberán protegerse”. Estas consideraciones se aplicarán de la misma forma a los operadores de buscadores.

Cookies Cuando una cookie contiene una ID de usuario única, esta ID es claramente un dato personal. La utilización de cookies permanentes o de dispositivos similares con una ID de usuario única permite el seguimiento de los usuarios de un ordenador concreto incluso cuando se utilizan direcciones IP dinámicas 11 . Los datos de comportamiento que se generan mediante la utilización de estos dispositivos permiten centrarse más en las características personales de la persona en cuestión. Esto se encuentra en línea con la lógica fundamental del modelo de negocio dominante.

Responsable del tratamiento Un proveedor de buscadores que trata datos de los usuarios incluyendo direcciones IP y/ o cookies permanentes que contengan un identificador único se encuentra dentro del ámbito material de la definición de responsable de tratamiento, puedo que determina de forma efectiva las finalidades y los medios del tratamiento. La naturaleza multinacional de los grandes proveedores de servicios de búsqueda (con frecuencia con oficinas principales ubicadas fuera del EEE, con servicios prestados en todo el mundo, y con la implicación de distintas sucursales y posiblemente de terceros en el tratamiento de los datos personales) ha ocasionado un debate sobre la pregunta de quién debería considerarse el responsable de tratamiento en relación con un tratamiento de datos personales.

Al Grupo de Trabajo le gustaría insistir en la diferencia entre las definiciones de legislación en materia de protección de datos del EEE y la cuestión de si esta legislación se aplica en una situación determinada. Un proveedor de buscadores que efectúa el tratamiento de datos personales, como registros con historiales de búsquedas

11 WP 136: “En este punto, debe indicarse que, aunque la identificación a partir del nombre es el caso más frecuente, en la práctica, puede que no resulte necesario un nombre en todos los casos para identificar a una persona. Esto puede ocurrir cuando se utilizan otros identificadores para distinguir a alguien. De hecho, los ficheros informatizados que registran datos personales normalmente asignan un identificador único a cada persona registrada con el fin de evitar la confusión entre dos personas en el fichero.”

-9-

personalmente identificables, se considera el responsable de tratamiento de estos datos personales, independientemente de la cuestión acerca de la jurisdicción.

Artículo 4 de la Directiva de protección de datos/ derecho aplicable El artículo 4 de la Directiva de protección de datos trata la cuestión del derecho nacional aplicable. El Grupo de Trabajo ha proporcionado directrices ulteriores en relación con lo dispuesto en el artículo 4 en su “Documento de trabajo sobre la determinación de la aplicación internacional de la legislación europea en materia de protección de datos a los tratamientos de datos personales en Internet por parte de páginas web situadas fuera de la UE 12 ”. Existen dos razones detrás de esta disposición. La primera es evitar vacíos en el sistema establecido para la protección de datos en la Comunidad Europea, así como que se sortee éste. La segunda es evitar la posibilidad de que la misma operación de tratamiento se rija por leyes de más de un Estado miembro de la UE. A causa de la naturaleza transnacional de los flujos de datos inducidos por los buscadores, el Grupo de Trabajo trata específicamente ambas complicaciones.

En el caso de un proveedor de servicios de búsqueda que se establezca y preste todos sus servicios desde uno o más Estados miembros, no existe ninguna duda de que su tratamiento de datos personales se encuentra dentro del ámbito de la Directiva de protección de datos. Es importante hacer constar que en este caso, las normas de protección de datos no se limitan a los interesados situados en el territorio de un Estado miembro o que posean su nacionalidad.

Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto.

Establecimiento en el territorio de un Estado miembro (EEE) El artículo 4(1) (a) prevé que el derecho nacional en materia de protección de datos de un Estado miembro debe aplicarse cuando ciertas operaciones de tratamiento de datos personales por parte del responsable de tratamiento se realicen “en el marco de las actividades de un establecimiento” de dicho responsable de tratamiento en el territorio de un Estado miembro. Una operación concreta de tratamiento de datos personales debe considerarse desde el punto de partida. Cuando se aplica a un buscador concreto cuyas oficinas principales se encuentran situadas fuera del EEE, la pregunta que debe responderse es si el tratamiento de los datos del usuario implica a establecimientos en el territorio de un Estado miembro.

Como ya ha señalado el Grupo de Trabajo en su documento de trabajo anterior 13 , la existencia de un “establecimiento” implica el ejercicio real y efectivo de actividades a través de gestiones estables y debe determinarse de conformidad con la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas. La forma jurídica del

-10-

establecimiento (una oficina local, una filial con personalidad jurídica o una representación mediante terceros) no resulta determinante.

Sin embargo, otro requisito consiste en que la operación de tratamiento se realice “en el marco de las actividades” del establecimiento. Esto significa que el establecimiento también debe desempeñar un papel importante en la operación de tratamiento concreta. Éste es claramente el caso cuando:

- un establecimiento es responsable de las relaciones con los usuarios del buscador en una jurisdicción concreta;

- un proveedor de buscadores establece una oficina en un Estado miembro (EEE) implicada en la venta de anuncios dirigidos a los habitantes de dicho estado;

- el establecimiento de un proveedor de buscadores cumple los autos judiciales y/ o solicitudes de cumplimiento de la ley por parte de las autoridades competentes de un Estado miembro en relación con los datos de los usuarios.

El proveedor de buscadores es responsable de aclarar el grado de implicación de los establecimientos en el territorio de los Estados miembro en el tratamiento de datos personales. Si un establecimiento nacional se ve implicado en el tratamiento de datos de los usuarios, se aplica el artículo 4(1) (a) de la Directiva de protección de datos.

Los proveedores de servicios de búsqueda situados fuera de la UE deben informar a sus usuarios sobre las condiciones en las que deben cumplir la Directiva de protección de datos, ya sea por el establecimiento o por el recurso a medios.

Recurso a medios Los buscadores que recurren a medios en el territorio de un Estado miembro (EEE) para el tratamiento de datos personales también se encuentran dentro del ámbito de la legislación en materia de protección de datos del Estado miembro. La legislación en materia de protección de datos de un Estado miembro también se aplica cuando el responsable de tratamiento […] recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.

En lo que respecta a la prestación de servicios de buscadores desde fuera de la UE, los centros de datos situados en el territorio de un Estado miembro pueden utilizarse para el almacenamiento y el tratamiento a distancia de datos personales. Otros tipos de medios podrían ser la utilización de ordenadores personales, terminales y servidores. La utilización de cookies y dispositivos de software similares por parte de un proveedor de servicios online también puede considerarse como recurso a medios en el territorio del Estado miembro, invocando, de este modo, la legislación en materia de protección de datos de dicho Estado miembro. Esta cuestión se debatió en el documento de trabajo citado con anterioridad (WP56). Se indica que “el ordenador del usuario puede considerarse un medio en el sentido del artículo 4 (1) de la Directiva 95/46/CE. Se encuentra situado en el territorio de un Estado miembro. El responsable decide recurrir a este medio con el fin de tratar datos personales y, según se ha explicado en apartados anteriores, se producen diversas operaciones técnicas sin el control del interesado. El responsable de tratamiento controla el equipo del usuario y este equipo no se utiliza exclusivamente con fines de tránsito por el territorio de la Comunidad Europea.

-11-

Conclusión El efecto combinado de los artículos 4(1) (a) y 4(1) (c) de la Directiva de protección de datos es que sus disposiciones se aplican al tratamiento de datos personales por parte de los proveedores de servicios de búsqueda en muchos casos, incluso cuando sus oficinas centrales se encuentran situadas fuera del EEE.

La decisión de qué legislación nacional se aplica en un caso concreto es una cuestión de un análisis posterior de los hechos de ese caso. El Grupo de Trabajo espera que los proveedores de servicios de búsqueda contribuyan a este análisis proporcionando una aclaración adecuada de su papel y actividades en el EEE.

En el caso de proveedores de servicios de búsqueda multinacionales:

- un Estado miembro en el que el proveedor de buscadores está establecido aplicará su legislación nacional en materia de protección de datos al tratamiento, de acuerdo con el artículo 4(1) (a);

- si el proveedor de buscadores no se encuentra establecido en ningún Estado miembro, un Estado miembro aplicará su legislación nacional en materia de protección de datos al tratamiento, de acuerdo con el artículo 4 (1) (c), si la empresa recurre a medios, automatizados o no, en el territorio de dicho Estado miembro 14 , con fines de tratamiento de datos personales (por ejemplo, la utilización de una cookie).

En algunos casos, un proveedor multinacional de buscadores deberá cumplir múltiples legislaciones en materia de protección de datos como resultado de las normas en relación con el derecho aplicable y la naturaleza transnacional de su tratamiento de datos personales:

- un Estado miembro aplicará su derecho nacional a un buscador establecido fuera del EEE si recurre a medios;

- un Estado miembro no puede aplicar su derecho nacional a un buscador establecido en el EEE en otra jurisdicción, aunque el buscador recurra a medios. En dichos casos, se aplicará el derecho nacional del Estado miembro en el que se encuentre establecido el buscador.

4.1.3 Aplicabilidad de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) y de la Directiva 2006/24/CE (Directiva de conservación de datos)

Los servicios de los buscadores en sentido estricto no se encuentran dentro del ámbito del nuevo marco normativo para las comunicaciones electrónicas del que forma parte la Directiva sobre la privacidad y las comunicaciones electrónicas. El artículo 2 apartado c de la Directiva marco (2002/21/CE), que contiene algunas de las definiciones generales

14 El Grupo de Trabajo considera que los siguientes criterios determinan la obligatoriedad de cumplimiento del artículo 4 (1) (c) en relación con la utilización de cookies. El primero es la situación en la que un proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro al cual no se aplica el artículo 4 (1) (a) porque este establecimiento no posee un impacto significativo en el tratamiento de datos (como, por ejemplo, un representante ante la prensa). Otros criterios son el desarrollo y/ o diseño de servicios de buscadores específicos para un país, el conocimiento real por parte del proveedor de servicios online de que está tratando con usuarios localizados, así como la ventaja de una cuota duradera del mercado de usuarios en un Estado miembro concreto.

-12-

del marco normativo, excluye explícitamente los servicios que prestan o ejercen control editorial sobre el contenido:

“Servicio de comunicaciones electrónicas”: el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos; quedan excluidos asimismo los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas;

Por lo tanto, los buscadores quedan fuera del ámbito de la definición de servicios de comunicación electrónica.

Un proveedor de buscadores puede ofrecer, sin embargo, un servicio adicional que se encuentre dentro del ámbito de un servicio de comunicaciones electrónicas, como un servicio de correo electrónico públicamente accesible que se encontraría sujeto a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/24/CE de conservación de datos.

El artículo 5(2) de la Directiva de conservación de datos dispone específicamente que “de conformidad con la presente Directiva, no podrá conservarse ningún dato que revele el contenido de la comunicación”. Las propias búsquedas se considerarían contenido en vez de tráfico de datos y, por lo tanto, la Directiva no justificaría su conservación.

Por consiguiente, no se justifica ninguna referencia a la Directiva de conservación de datos en relación con el almacenamiento de registros de servidores generados al ofrecer un servicio de buscador.

Artículo 5(3) y 13 de la Directiva sobre la privacidad y las comunicaciones electrónicas Algunas disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas como el artículo 5(3) (cookies y spyware) y el artículo 13 (comunicaciones no solicitadas) son disposiciones generales que son aplicables no sólo a los servicios de comunicaciones electrónicas, sino también a cualquier otro servicio cuando se utilicen estas técnicas.

El artículo 5(3) de la Directiva sobre la privacidad y las comunicaciones electrónicas, que debe leerse junto con el Considerando 25 de la misma Directiva, trata el almacenamiento de información en el equipo terminal de los usuarios. La utilización de cookies permanentes con identificadores únicos permite realizar un seguimiento y elaborar un perfil de la utilización de un ordenador concreto, incluso cuando se utilizan direcciones IP dinámicas. El artículo 5(3) y el Considerando 25 de la Directiva sobre la privacidad y las comunicaciones electrónicas disponen claramente que el almacenamiento de dicha información en el equipo terminal del usuario, es decir, cookies y dispositivos similares (en resumen: cookies), debe realizarse de acuerdo con las disposiciones de la Directiva de protección de datos. El artículo 5(3) de la Directiva sobre la privacidad y las comunicaciones electrónicas aclara, de este modo, las obligaciones en relación con la utilización de una cookie por parte de un servicio de la sociedad de la información impuestas por la Directiva de protección de datos.

-13-

4.2 Proveedores de contenido

Los buscadores tratan información, incluyendo información personal, recorriendo, analizando e indexando la World Wide Web y otros recursos que se pueden buscar y, por lo tanto, que resultan fácilmente accesibles a través de estos servicios. Algunos servicios de buscadores vuelven a publicar datos en la llamada memoria caché.

4.2.1. Libertad de expresión y derecho a la intimidad

El Grupo de Trabajo es consciente del papel especial que desempeñan los buscadores en el entorno de la información online. Debe lograrse un equilibrio entre la legislación en materia de protección de datos de la Comunidad Europea y las legislaciones de los diversos Estados miembro, entre la protección del derecho a la intimidad y la protección de los datos personales por una parte, y el flujo libre de información y el derecho fundamental a la libertad de expresión, por otra.

El objetivo del artículo 9 de la Directiva de protección de datos es lograr este equilibrio en la legislación de los Estados miembro en el contexto de los medios de comunicación. Asimismo, el Tribunal de Justicia Europeo ha indicado claramente que los límites a la libertad de expresión que pudieran derivarse de la aplicación de los principios de protección de datos deben cumplir la ley y respetar el principio de proporcionalidad 15 .

4.2.2 Directiva de protección de datos

La Directiva de protección de datos no contiene ninguna referencia especial al tratamiento de datos personales por parte de los servicios de la sociedad de la información que actúan como intermediarios seleccionados. El criterio decisivo de la Directiva de protección de datos (95/46/CE) para la aplicabilidad de las normas de protección de datos es la definición del responsable de tratamiento, especialmente si una parte “sola o conjuntamente con otras determina los fines y los medios del tratamiento de datos personales”. La cuestión de si un intermediario debe considerarse como el propio responsable de tratamiento o un responsable de tratamiento conjuntamente con otros en relación con un tratamiento concreto de datos personales se separa de la cuestión de responsabilidad por dicho tratamiento 16 .

El principio de proporcionalidad requiere que, en tanto en cuanto un proveedor de buscadores actúe sólo como intermediario, no debe considerarse que sea el responsable de tratamiento principal en relación con el tratamiento de datos personales relacionado

15 El Tribunal de Justicia Europeo ha explicado con más detalle la proporcionalidad del impacto de las normas de protección de datos, por ejemplo, sobre la libertad de expresión, en su sentencia en el caso de Lindqvist v. Suecia, apartados 88-90.

16 En algunos Estados miembro existen excepciones horizontales especiales (“puertos seguros”) en relación con la responsabilidad de los motores de búsqueda (“herramientas de localización de información”). La Directiva sobre comercio electrónico (2000/31/CE) no prevé puertos seguros para los motores de búsqueda, pero en algunos Estados miembro se han aplicado estas normas. Véase “Primer informe sobre la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), 21.11.2003, COM/2003/0702 final.”, p. 13.

-14-

con el contenido que está teniendo lugar. En este caso, el responsable de tratamiento de datos personales principal es el proveedor de la información 17 . El control formal, jurídico

y práctico que ejerce el buscador sobre los datos personales implicados se encuentra

limitado normalmente a la posibilidad de eliminar datos de sus servidores. En relación con la eliminación de datos personales de sus índices y resultados de búsquedas, los

buscadores poseen un control suficiente para ser considerados responsables de

tratamiento (ya sea solos o conjuntamente con otros) en aquellos casos, pero el grado en

el que existe una obligación de eliminar o bloquear datos personales puede depender del

derecho delictual general y de las disposiciones sobre responsabilidad del Estado miembro concreto 18 .

Los propietarios de páginas web pueden autoexcluirse a priori tanto del buscador como de la memoria caché utilizando ficheros robots.txt o mediante las etiquetas Noindex/ NoArchive 19 . Resulta esencial que los proveedores de servicios de búsqueda respeten la autoexclusión de los editores de las páginas web. Esta autoexclusión puede expresarse antes de que el buscador recorra por primera vez la página web o una vez que ya la ha recorrido; en este caso, deben realizarse actualizaciones del buscador con la mayor frecuencia posible.

Los buscadores no siempre se limitan estrictamente a un papel intermediario. Por ejemplo, algunos buscadores almacenan partes completas del contenido de Internet en sus servidores, incluyendo los datos personales que figuran en dicho contenido. Asimismo, no queda claro hasta qué punto los buscadores se dirigen activamente a información identificable personalmente en el contenido que procesan. La búsqueda, el análisis y la indexación pueden realizarse de forma automática sin revelar la presencia de información personalmente identificable. El formato de los tipos específicos de información personalmente identificable, como números de la seguridad social, números de tarjetas de crédito, números de teléfono y direcciones de correo electrónico, hacen que estos datos sean fácilmente detectables. Pero también existe una tecnología más sofisticada y la están empleando cada vez más los proveedores de servicios de búsqueda, como la tecnología de reconocimiento facial en el contexto de tratamiento y búsqueda de imágenes.

De este modo, los proveedores de servicios de búsqueda pueden realizar operaciones con valor añadido relacionadas con las características o tipos de datos personales en la información que procesan. En dichos casos, el proveedor del buscador es completamente responsable en virtud de la legislación en materia de protección de datos del contenido

17 Los usuarios de los servicios de buscadores podrían, estrictamente hablando, considerarse también responsables de tratamiento, pero su función se encontraría normalmente fuera del ámbito de la Directiva como “actividad exclusivamente personal” (véase artículo 3(2), segundo apartado). 18 En algunos Estados miembro de la UE, las autoridades de protección de datos han regulado específicamente la responsabilidad de los proveedores de servicios de búsqueda de eliminar los datos de contenidos del índice de búsqueda, basándose en el derecho de oposición consagrado en el artículo 14 de la Directiva de protección de datos (95/46/CE) y en la Directiva sobre comercio electrónico (2000/31/CE). De acuerdo con dicha legislación nacional, los buscadores se encuentran obligados a seguir una política de notificación y anotación similar a los proveedores de servicios de hosting con el fin de impedir la responsabilidad. 19 Ésta puede ser más que una solución opcional. Aquéllos que hagan públicos datos personales deben considerar si su base jurídica para dicha publicación incluye la indexación de esta información por parte de los buscadores y crear las protecciones correspondientes según sean necesarias, incluyendo, aunque sin limitarse a ello, la utilización de ficheros robots.txt y/ o de etiquetas Noindex/ NoArchive.

-15-

resultante relacionado con el tratamiento de datos personales. Se aplica la misma responsabilidad a un buscador que vende publicidad originada por datos personales, como el nombre de una persona.

La funcionalidad de almacenamiento temporal La funcionalidad de la memoria caché es otra forma mediante la que un proveedor de un buscador puede ir más allá de su exclusiva función de intermediario. El periodo de conservación del contenido en una memoria caché debe limitarse al periodo de tiempo necesario para tratar el problema de la inaccesibilidad temporal a la propia página web.

Cualquier periodo de almacenamiento temporal de datos personales contenidos en páginas web indexadas más allá de esta necesidad de disponibilidad técnica debe considerarse como una nueva publicación independiente. El Grupo de Trabajo hace al proveedor de dichas funcionalidades de almacenamiento temporal responsable de cumplir la legislación en materia de protección de datos, de acuerdo con su función de responsable de tratamiento de los datos personales contenidos en las publicaciones almacenadas. En situaciones en las que se modifica la publicación original, por ejemplo, para eliminar datos personales incorrectos, el responsable de tratamiento de la memoria caché debe cumplir inmediatamente cualquier solicitud para actualizar la copia en la memoria caché o para bloquearla temporalmente hasta que el buscador vuelva a visitar la página web.

5. LA LEGALIDAD DEL TRATAMIENTO

De acuerdo con el artículo 6 de la Directiva de protección de datos, los datos personales deben ser tratados de manera leal y lícita; deben ser recogidos con fines determinados, explícitos y legítimos y no serán tratados posteriormente de manera incompatible con dichos fines. Asimismo, los datos procesados deben ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente. Para que un tratamiento de datos personales sea lícito, debe cumplir uno o más de los seis motivos para un tratamiento legítimo establecidos en el artículo 7 de dicha Directiva.

5.1. Fines/ motivos mencionados por los proveedores de servicios de búsqueda

Los proveedores de servicios de búsqueda han mencionado, en general, los siguientes fines y motivos para utilizar y almacenar datos personales en su función como responsables de tratamiento de datos de los usuarios.

Mejorar el servicio Muchos responsables de tratamiento utilizan los registros (logs) de sus servidores para mejorar sus servicios y la calidad de sus servicios de búsqueda. En su opinión, el análisis de los registros de los servidores constituye una herramienta importante para perfeccionar la calidad de las búsquedas, de los resultados y de la publicidad y también para diseñar servicios nuevos, aunque todavía no se hayan previsto.

Proteger el sistema Se dice que los logs contribuyen a mantener la seguridad de los buscadores. Algunos proveedores servicios de búsqueda han indicado que la conservación de registros puede

-16-

ayudar a proteger el sistema ante ataques a su seguridad, y que requieren una muestra de historial suficiente de los datos del log para detectar patrones y analizar amenazas para la seguridad.

Prevención de fraudes Se dice que los logs de los servidores contribuyen a proteger los sistemas y a los usuarios de los buscadores de fraudes y abusos. Muchos proveedores de servicios de búsqueda utilizan un mecanismo de “pago por clic” para los anuncios mostrados. Como inconveniente, esto puede conllevar que se cobre incorrectamente a una empresa si un atacante utiliza un software automático para pinchar sistemáticamente en los anuncios. Los proveedores de servicios de búsqueda prestan atención a garantizar que se detecten y erradiquen este tipo de comportamientos.

Se defienden requisitos de contabilidad como finalidad para servicios como los clics en enlaces patrocinados, en los que existe una obligación contractual y contable de conservar los datos, como mínimo, hasta que se abonen las facturas y haya expirado el periodo para conflictos jurídicos.

Publicidad personalizada Los proveedores de servicios de búsqueda quieren mostrar publicidad personalizada con el objetivo de aumentar sus ingresos. Las prácticas actuales tienen en cuenta el historial de las búsquedas pasadas, las categorías de usuarios y criterios geográficos. Por lo tanto, basándose en el comportamiento del usuario y en su dirección IP, se puede mostrar un anuncio personalizado.

Algunos buscadores recaban estadísticas para determinar qué categorías de usuarios acceden a qué información online y en qué momento del año. Estos datos pueden utilizarse para mejorar el servicio, dirigir anuncios y también con fines comerciales, para determinar el coste para una empresa que desea hacer publicidad de sus productos.

Fuerzas y cuerpos de seguridad Algunos proveedores indican que los registros son una herramienta importante para las fuerzas y cuerpos de seguridad para investigar y perseguir delitos graves como la explotación infantil.

5.2. Análisis por parte del Grupo de Trabajo de los fines y motivos

En general, los proveedores de servicios de búsqueda no proporcionan una visión general exhaustiva de las distintas finalidades determinadas, explícitas y legítimas para los que tratan datos personales. En primer lugar, algunas finalidades como “mejorar el servicio” u “ofrecer publicidad personalizada” se definen con demasiada amplitud para ofrecer un marco apropiado para juzgar la legitimidad de la finalidad. En segundo lugar, dado que muchos proveedores de servicios de búsqueda mencionan muchas finalidades distintas para el tratamiento, no queda claro hasta qué punto se vuelven a tratar los datos para otra finalidad incompatible con la finalidad para la que se recogieron originariamente.

La recopilación y el tratamiento de datos personales puede basarse en uno o más motivos legítimos. A continuación se indican tres motivos que pueden esgrimir los proveedores de servicios de búsqueda para distintas finalidades.

-17-

- Consentimiento – artículo 7 (a) de la Directiva de protección de datos

La mayoría de los proveedores de servicios de búsqueda ofrecen acceso tanto registrado como no registrado al servicio. En este último caso, por ejemplo, cuando un usuario ha creado una cuenta de usuario específica, se puede utilizar el consentimiento 20 como motivo legítimo para el tratamiento de algunas categorías de datos personales bien determinadas para finalidades legítimas concretas, incluyendo la conservación de datos durante un periodo de tiempo limitado. No se puede interpretar como otorgado el consentimiento por un usuario anónimo del servicio, ni en relación con los datos personales recabados de usuarios que no hayan decidido identificarse voluntariamente. Estos datos no podrán ser objeto de tratamiento ni de almacenamiento para cualquier fin distinto a actuar ante una solicitud específica con una lista de resultados de búsqueda.

- Necesario para la ejecución de un contrato – artículo 7 (b) de la Directiva de protección de datos

El tratamiento también puede ser necesario para la ejecución de un contrato del que el interesado es parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado. Los buscadores pueden utilizar esta base jurídica para recabar los datos personales que proporcione voluntariamente un usuario para registrarse para un servicio determinado, como una cuenta de usuario. También puede utilizarse esta motivación, similar a la del consentimiento, para tratar categorías bien determinadas de datos personales de usuarios registrados con fines legítimos bien determinados.

Muchas empresas de Internet también argumentan que un usuario establece una relación contractual de facto al utilizar servicios ofrecidos en su página web, como un formulario de búsqueda. Sin embargo, esta suposición general no cumple la limitación estricta de necesidad que requiere la Directiva 21 .

- Necesario para la satisfacción del interés legítimo perseguido por el responsable de tratamiento – artículo 7 (f) de la Directiva de protección de datos

De acuerdo con el artículo 7 (f) de la Directiva, el tratamiento podría ser necesario para la satisfacción del interés legítimo perseguido por el responsable de tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés

o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Mejora del servicio Algunos proveedores de servicios de búsqueda almacenan el contenido de las búsquedas de los usuarios en logs. Dicha información es una herramienta importante para los

proveedores de servicios de búsqueda, pues les permite mejorar sus servicios analizando

el tipo de búsquedas que realizan las personas, la forma de la que eligen mejorar dichas

búsquedas y los resultados de las búsquedas que decidieron seguir. Sin embargo, el

20 El artículo 2 (h) de la Directiva de protección de datos dispone que el consentimiento del interesado será “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”. 21 Artículo 7 apartado (b) de la Directiva: “…necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado”.

-18-

Grupo de Trabajo del Artículo 29 opina que las búsquedas no necesitan ser atribuibles a personas identificadas para poder utilizarse para mejorar los servicios de búsqueda.

Con el fin de establecer una correlación con las acciones de un usuario individual (y, de este modo, descubrir, por ejemplo, si las sugerencias efectuadas por el buscador resultan útiles), sólo es necesario distinguir las acciones de un usuario durante una única búsqueda de las de otro; no es necesario poder identificar a dichos usuarios. Por ejemplo, un buscador puede querer saber que el Usuario X buscó “Woodhouse” y posteriormente decidió pinchar también en los resultados para la variación de ortografía sugerida “Wodehouse”, pero no necesita saber quién es el Usuario X. Por lo tanto, la mejora del servicio no puede considerarse un motivo legítimo para almacenar datos que no se han hecho anónimos.

Seguridad del sistema Los buscadores pueden considerar la necesidad de mantener la seguridad de su sistema como un interés legítimo y unos motivos adecuados para efectuar un tratamiento de datos personales. Sin embargo, cualquier dato personal almacenado con fines de seguridad debe estar sujeto a una limitación estricta de la finalidad. Por lo tanto, los datos almacenados con fines de seguridad no pueden utilizarse para optimizar un servicio, por ejemplo. Los proveedores de servicios de búsqueda argumentan que los registros de los servidores deben almacenarse durante un periodo razonable (el número de meses difiere de un buscador a otro) para permitirles detectar patrones de comportamientos de usuarios y, de este modo, identificar e impedir ataques de denegación de servicio y otras amenazas para la seguridad. Todos los proveedores deben poder justificar exhaustivamente el periodo de retención que adopten con este fin, el cual dependerá de la necesidad de tratar estos datos.

Prevención de fraudes Los buscadores también pueden tener un interés legítimo en detectar e impedir fraudes como “el fraude del clic”, pero al igual que ocurre con los fines de seguridad, la cantidad de datos personales almacenados y objeto de tratamiento, así como la longitud del periodo durante el que éstos se conservan con este fin dependerán de si los datos son realmente necesarios para detectar e impedir fraudes.

Contabilidad Los requisitos de contabilidad no pueden justificar el registro sistemático de datos de búsqueda normales, en los que el usuario no hizo clic en un enlace patrocinado. El Grupo de Trabajo también tiene serias dudas (basándose en la información recibida de los proveedores de servicios de búsqueda al responder al cuestionario) de que los datos personales de los usuarios de los buscadores sean realmente esenciales para fines contables. Para una evaluación concluyente se necesitará una investigación ulterior. En cualquier caso, el Grupo de Trabajo pide a los proveedores de servicios de búsqueda que desarrollen mecanismos de contabilidad más respetuosos con la privacidad, por ejemplo, utilizando datos anónimos.

Publicidad personalizada Los proveedores de servicios de búsqueda que deseen ofrecer publicidad personalizada para aumentar sus ingresos pueden encontrar un motivo para el tratamiento legítimo de algunos datos personales en el artículo 7 (a) de la Directiva (consentimiento) o en el artículo 7 (b) de la misma (ejecución de un contrato), pero es difícil encontrar un motivo legítimo para esta práctica para usuarios que no se hayan registrado específicamente

-19-

basándose en información específica sobre la finalidad del tratamiento. El Grupo de Trabajo prefiere claramente los datos anónimos.

Solicitudes judiciales y de los cuerpos y fuerzas de seguridad Las autoridades competentes pueden solicitar algunas veces datos de usuarios a los buscadores con el fin de detectar o impedir delitos. Los particulares también pueden intentar obtener una orden judicial que obligue a un proveedor de un buscador a comunicar datos de usuarios. Cuando dichas solicitudes vengan precedidas por procedimientos jurídicos válidos y tengan como resultado órdenes judiciales válidas, por supuesto, los proveedores de servicios de búsqueda deberán cumplirlas y proporcionar la información que sea necesaria. Sin embargo, no debe confundirse este cumplimiento con una obligación o justificación jurídica para almacenar dichos datos exclusivamente con estos fines.

Asimismo, una gran cantidad de datos personales en manos de los proveedores de servicios de búsqueda puede animar a las autoridades competentes y a otros a ejercer estos derechos con mayor frecuencia e intensidad, lo cual, a su vez, podría traducirse en una pérdida de confianza del consumidor.

5.3. Algunas cuestiones que debe resolver el sector

Periodos de conservación Si el tratamiento efectuado por el proveedor de servicios de búsqueda se encuentra sujeto a la legislación nacional, debe cumplir tanto las normas de privacidad como los periodos de conservación previstos en la legislación del Estado miembro correspondiente.

Si los datos personales se almacenan, el periodo de conservación no debe ser superior al necesario para los fines determinados del tratamiento. Por lo tanto, después de la finalización de una sesión de búsqueda, deben borrarse los datos personales y, por lo tanto, un almacenamiento continuado necesita una justificación adecuada. Sin embargo, algunas empresas de buscadores parecen conservar los datos de forma indefinida, lo cual está prohibido. Para cada fin debe definirse un tiempo de conservación límite. Además, el conjunto de datos personales que debe conservarse no debe ser excesivo en relación con cada fin.

En la práctica, los principales buscadores conservan datos sobre sus usuarios de forma identificable personalmente durante más de un año (los plazos exactos difieren). El Grupo de Trabajo da la bienvenida a las recientes reducciones de los periodos de conservación de datos personales por parte de los principales buscadores. Sin embargo, el hecho de que las principales empresas del sector hayan podido reducir sus periodos de conservación sugiere que los plazos anteriores eran superiores a lo necesario.

En vista de las explicaciones iniciales proporcionadas por los proveedores de servicios de búsqueda sobre los posibles fines para recabar datos personales, el Grupo de Trabajo no ve base para un periodo de conservación superior a los seis meses 22 .

Sin embargo, la conservación de datos personales y el periodo de conservación correspondiente debe siempre justificarse (con argumentos concretos y pertinentes) y

22 La legislación nacional puede requerir un periodo más breve para la eliminación de datos personales

-20-

reducirse al mínimo para mejorar la transparencia, para garantizar un tratamiento leal y para garantizar la proporcionalidad en relación con el fin que justifica dicha conservación.

A estos efectos, el Grupo de Trabajo invita a los proveedores de servicios de búsqueda a

aplicar el principio de “privacidad a través del diseño”, el cual contribuirá adicionalmente a reducir en mayor medida el periodo de conservación. Asimismo, el Grupo de Trabajo

considera que un periodo de conservación reducido incrementará la confianza de los usuarios en el servicio y, de este modo, supondrá una ventaja competitiva significativa.

En caso de que los buscadores conserven datos personales durante un periodo superior a los seis meses, deberán demostrar exhaustivamente que es estrictamente necesario para el servicio.

En todos los casos, los proveedores de servicios de búsqueda deben informar a los usuarios sobre las políticas de conservación aplicables para todo tipo de datos de usuarios que se traten.

Tratamiento ulterior con fines distintos El grado y la forma en la que se analicen posteriormente los datos de los usuarios y la creación de perfiles de usuarios (detallados) dependerán del proveedor de servicios de búsqueda. El Grupo de Trabajo es consciente de la posibilidad de que este tipo de tratamiento ulterior de datos de los usuarios afecte a un campo central de la innovación de la tecnología de los buscadores y pueda tener una elevada importancia para la competitividad. La divulgación completa de la utilización y análisis ulteriores de los datos de los usuarios también podría conllevar un aumento de la vulnerabilidad de los servicios de búsqueda ante el abuso de sus servicios. Sin embargo, dichas consideraciones no se pueden esgrimir como excusa para no cumplir con la legislación aplicable en los Estados miembros en materia de protección de datos. Asimismo, los proveedores de servicios de búsqueda no pueden defender que su objetivo al recabar datos personales es el desarrollo de nuevos servicios cuya naturaleza todavía no se ha decidido. La legalidad exige que los interesados conozcan el grado de intromisión en su intimidad en el momento en el que se obtienen sus datos. Esto no será posible a no ser que se definan las finalidades de forma más precisa.

Cookies

Las cookies permanentes que contienen un identificador de usuario único son datos personales y, por lo tanto, se encuentran sujetas a la legislación aplicable en materia de protección de datos. La responsabilidad de su tratamiento no puede reducirse a la responsabilidad del usuario de tomar o no tomar precauciones en la configuración de su navegador. El proveedor de servicios de búsqueda decide si se almacena una cookie, qué cookie se almacena y para qué finalidad se utiliza. Por último, las fechas de caducidad de las cookies establecidas por algunos proveedores de servicios de búsqueda parecen ser excesivas. Por ejemplo, varias empresas establecen que las cookies expiren tras muchos años. Cuando se utiliza una cookie, debe definirse una duración apropiada de la misma tanto para permitir una experiencia de navegación mejorada como una duración limitada de la cookie. Especialmente en vista de las configuraciones por defecto de los navegadores, es muy importante que los usuarios estén completamente informados sobre

la utilización y efecto de las cookies. Esta información debe ser más visible, en vez de

sencillamente formar parte de la política de privacidad del buscador, que puede no ser visible de forma inmediata.

-21-

Convertir en datos anónimos

Si no existe un motivo legítimo para el tratamiento o para la utilización más allá de los

fines legítimos bien determinados, los proveedores de servicios de búsqueda deben borrar los datos personales. En lugar de borrarlos, los buscadores también pueden convertir

esos datos en anónimos, pero dicha conversión debe ser completamente irreversible para que no se siga aplicando la Directiva de protección de datos.

Incluso cuando una dirección IP y una cookie se sustituyen por un identificador único, la correlación de las búsquedas almacenadas puede permitir la identificación de las personas. Por este motivo, cuando se escoge convertir los datos en anónimos en vez de borrarlos, deben estudiarse con atención los métodos utilizados y aplicarse rigurosamente. Esto puede implicar la eliminación de partes del historial de búsqueda para evitar la posibilidad de identificación indirecta del usuario que realizó esas búsquedas.

La conversión de datos en datos anónimos debe excluir cualquier posibilidad de identificar a las personas, incluso combinando información anónima conservada por la empresa del buscador con información conservada por otra parte interesada (por ejemplo,

un proveedor de servicios de Internet). Actualmente, algunos proveedores de servicios de búsqueda truncan las direcciones IPv4 eliminando el último byte, conservando, de este modo, información sobre el ISP o de la subred del usuario, pero sin identificar

directamente a la persona. La actividad podría entonces tener su origen en una dirección

IP de 254. Es posible que esto no sea siempre suficiente para garantizar el anonimato.

Por último, la conversión en datos anónimos o su borrado también deben aplicarse de forma retroactiva e incluir todos los logs pertinentes del buscador en todo el mundo.

Correlación de datos entre los servicios Muchos proveedores de servicios de búsqueda ofrecen a los usuarios la opción de personalizar su utilización de los servicios a través de una cuenta personal. Además de la búsqueda, ofrecen servicios como correo electrónico y/u otras herramientas de comunicación como servicios de mensajería o chat y herramientas de redes sociales como bitácoras (blogs) o comunidades sociales. Aunque el abanico de los servicios personalizados puede variar, una característica compartida es el modelo de negocio subyacente y el desarrollo continuo de nuevos servicios personalizados.

La correlación del comportamiento de los clientes en los distintos servicios personalizados de un proveedor de un buscador y, a veces, en distintas plataformas 23 es técnicamente sencilla de realizar, mediante la utilización de una cuenta personal central, pero también puede realizarse de otras formas, utilizando cookies u otras características distintivas, como las direcciones IP individuales. Por ejemplo, cuando un buscador ofrece un servicio como búsqueda en el escritorio, el buscador adquiere información sobre los (contenidos de) documentos que un usuario crea o visualiza. Con ayuda de estos datos, las búsquedas pueden adaptarse para obtener un resultado más preciso.

El

Grupo de Trabajo considera que la correlación de datos personales entre los servicios

y

plataformas para usuarios registrados sólo puede realizarse de forma legítima

23 Por ejemplo, en el caso de Microsoft, desde el buscador basado en la World Wide Web al hardware conectado a Internet vendido con fines de videojuegos (Xbox).

-22-

basándose en el consentimiento después de haber informado adecuadamente a los usuarios.

Registrarse ante el proveedor del buscador para beneficiarse de un servicio de búsqueda más personalizado debe ser un acto voluntario. Los proveedores de servicios de búsqueda no deben sugerir que para utilizar su servicio se requiera una cuenta personalizada, redirigiendo automáticamente a los usuarios no identificados a un formulario de registro para una cuenta personalizada, porque no existe ninguna necesidad ni, por lo tanto, ningún motivo legítimo para recabar estos datos personales distintos del consentimiento informado del usuario.

También puede efectuarse una correlación para los usuarios no registrados, basándose en la dirección IP o en una cookie única que pueden reconocer todos los distintos servicios ofrecidos por un proveedor de un buscador. Normalmente esto se hace de forma automática, sin que el usuario sea consciente de dicha correlación. La vigilancia encubierta del comportamiento de las personas, por supuesto, de comportamientos privados como visitar páginas web, no cumple los principios de tratamiento leal y legítimo de la Directiva de protección de datos. Los proveedores de servicios de búsqueda deben ser muy claros sobre el grado de correlación de datos entre los diversos servicios y actuar exclusivamente cuando exista consentimiento.

Por último, algunos proveedores de servicios de búsqueda admiten explícitamente en su política de privacidad que enriquecen los datos proporcionados por los usuarios con datos de terceros, otras empresas que, por ejemplo, adjuntan información geográfica a direcciones IP o páginas web que contienen anuncios vendidos por el proveedor de servicios de búsqueda 24 . Este tipo de correlación puede ser ilegal si no se informa a los interesados en el momento de recabar sus datos personales y si no se les proporciona una forma fácil de acceder a sus perfiles personales, así como el derecho a rectificar o suprimir algunos elementos incorrectos o superfluos. Si el tratamiento en cuestión no es necesario para prestar el servicio (de búsqueda), se requerirá el consentimiento informado y libre del usuario para que el tratamiento sea legítimo.

6. OBLIGACIÓN DE INFORMAR AL INTERESADO

La mayoría de los usuarios de Internet no son conscientes de la gran cantidad de datos que se tratan sobre su comportamiento en las búsquedas ni de los fines para los que se

24 Por ejemplo, Microsoft, en su Resumen de la declaración de privacidad dice: “Cuando se registre en algunos servicios de Microsoft, le pediremos que proporcione datos personales. Los datos recopilados por Microsoft podrían combinarse con datos obtenidos de otros servicios de Microsoft y otras empresas.” URL:

http://privacy.microsoft.com/. Y sobre compartir datos con socios en relación con la publicidad, en su declaración de privacidad completa, Microsoft indica: “Asimismo, recopilamos algunos datos estándar que su explorador envía a cada sitio Web visitado, como su dirección IP, el tipo y el idioma del explorador, los tiempos de acceso y las direcciones de sitios Web remitentes.” URL: http://privacy.microsoft.com/en- us/fullnotice.aspx Google en su política de privacidad indica: “Google recopila información personal cuando usted se registra en un servicio Google o facilita de manera voluntaria dicha información de cualquier otro modo. Puede ser que combinemos la información personal que nos ha facilitado con la información de otros servicios Google o de terceros para ofrecerle una mejor experiencia al usuario, incluyendo personalizar contenidos a su medida para usted.” URL:

http://www.google.com/intl/en/privacy.html Yahoo! en su política de privacidad indica: “Yahoo! Puede combinar información que tengamos sobre usted con información que obtengamos con nuestros socios comerciales u otras empresas.” URL: http://info.yahoo.com/privacy/us/yahoo/details.html

-23-

utilizan. Si no son conscientes de ese tratamiento, no pueden tomar decisiones informadas sobre él.

La obligación de informar a las personas sobre el tratamiento de sus datos es uno de los principios fundamentales de la Directiva de protección de datos. El artículo 10 regula la comunicación de esta información cuando los datos se obtengan directamente del interesado. Los responsables del tratamiento deberán comunicar al interesado la siguiente información:

- la identidad del responsable del tratamiento y, en su caso, de su representante;

- los fines del tratamiento de que van a ser objeto los datos;

- cualquier otra información como

- los destinatarios o las categorías de destinatarios de los datos;

- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

- la existencia de derechos de acceso y rectificación de los datos que la conciernen.

Como responsables del tratamiento de los datos de los usuarios, los buscadores deben aclarar a los usuarios qué información se recaba sobre ellos y para qué se utiliza. Debe proporcionarse una descripción básica de la utilización de la información personal siempre que ésta se recabe, incluso cuando en otra parte se proporciona una descripción más detallada. Del mismo modo, debe informarse a los usuarios sobre el software, como las cookies, que puede instalarse en su ordenador cuando utilizan la página web y cómo éste puede rechazarse o eliminarse. El Grupo de Trabajo considera que esta información es necesaria en el caso de los buscadores para garantizar un tratamiento leal.

La información que han proporcionado los proveedores de servicios de búsqueda como respuesta al cuestionario del Grupo de Trabajo muestra que existen divergencias importantes. Algunos buscadores cumplen con lo que se especifica en la Directiva, incluyendo enlaces a su política de privacidad, tanto desde la página de inicio, como desde las páginas que se generan en un proceso de búsqueda, e información sobre cookies. Con otros buscadores, es muy difícil localizar la política de privacidad. Los usuarios deben poder acceder fácilmente a la política de privacidad antes de realizar cualquier búsqueda, incluso desde la página de inicio del buscador.

El Grupo de Trabajo recomienda que la política de privacidad en su versión completa sea lo más completa y detallada posible, mencionando los principios fundamentales incluidos en la legislación en materia de protección de datos.

El Grupo de Trabajo hace constar que muchas políticas de privacidad presentan algunas deficiencias en relación con los derechos de acceso o cancelación de los interesados incluidos en los artículos 12, 13 y 14 de la Directiva de protección de datos. Estos derechos constituyen uno de los elementos fundamentales de la protección de la intimidad de las personas.

7. DERECHOS DEL INTERESADO

Los buscadores deben respetar el derecho de acceso de los interesados y, cuando proceda, el derecho de rectificación o de supresión de la información que se posee sobre ellos. Estos derechos se aplican en primer lugar a los datos de usuarios registrados que almacenan los buscadores, incluyendo perfiles personales. Sin embargo, estos derechos

-24-

también se aplican a los usuarios no registrados, que deben tener los medios de demostrar su identidad al proveedor del buscador, por ejemplo, registrándose para acceder a datos en el futuro y/o con una declaración de su proveedor de acceso sobre la utilización por parte de éstos de una dirección IP determinada en el periodo anterior sobre el que se solicita el acceso. En lo que respecta a los datos de contenido, los proveedores de servicios de búsqueda no deben ser, en general, los responsables principales de acuerdo con la legislación europea en materia de protección de datos.

En el año 2000, en su documento de trabajo “La privacidad en Internet” 25 , el Grupo de Trabajo ya explicaba: “La personalización de perfiles ha de estar sujeta a la información y al consentimiento previo de los interesados, que deberán tener derecho a retirar su aprobación en cualquier momento y con efecto futuro. En segundo lugar, los usuarios han de tener en todo momento la oportunidad de acceder a sus perfiles para inspeccionarlos y han de gozar del derecho de corregir y suprimir los datos almacenados.”

Al aplicarse específicamente a los buscadores, los usuarios deben poseer el derecho de acceder a cualquier dato personal almacenado sobre ellos de acuerdo con el artículo 12 de la Directiva de protección de datos (95/46/CE), incluyendo búsquedas pasadas, datos obtenidos de otras fuentes y datos que revelan su comportamiento y origen. El Grupo de Trabajo del Artículo 29 considera que resulta esencial que los proveedores de servicios de búsqueda proporcionen los medios necesarios para el ejercicio de estos derechos mediante, por ejemplo, una herramienta Web que permita a los usuarios registrados acceder directamente online a sus datos personales y ofrezca la posibilidad de oponerse al tratamiento de algunos datos.

En segundo lugar, el derecho a rectificar o suprimir la información también se aplica a ciertos datos conservados en “caché” por los proveedores de servicios de búsqueda, una vez que estos datos ya no se ajustan a los contenidos reales publicados en Internet por los responsables de tratamiento de las páginas web que publican esta información 26 . En esta situación, al recibir una solicitud de un interesado, los proveedores de servicios de búsqueda deben actuar inmediatamente para suprimir o rectificar la información incompleta o no actualizada. La caché puede actualizarse mediante una nueva visita instantánea y automática a la publicación original. Los proveedores de servicios de búsqueda deben ofrecer a los usuarios la posibilidad de solicitar la supresión de dicho contenido de su caché de forma gratuita.

8.

CONCLUSIONES

Internet se diseñó como una red mundial y abierta que permitiera los intercambios de información. Sin embargo, es necesario lograr un equilibrio entre la naturaleza abierta de Internet y la protección de los datos personales de los usuarios de ésta. Este equilibrio puede lograrse distinguiendo entre dos funciones básicas distintas de los proveedores de servicios de búsqueda. En su primera función, como responsables del tratamiento de los datos de los usuarios (como las direcciones IP que recaban de los usuarios y su historial de búsqueda individual), deben considerarse plenamente responsables de acuerdo con la Directiva de protección de datos. En su segunda función, como proveedores de datos de contenido (como los datos del índice), en general no debe considerárseles como responsables principales de los datos personales que tratan de acuerdo con la legislación europea en materia de protección de datos. Las excepciones son la disponibilidad de la

25 WP 37, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2000/wp37en.pdf

26 El Grupo de Trabajo sugiere que los editores de páginas web desarrollen medidas para informar automáticamente a los buscadores de cualquier solicitud que reciban para suprimir datos personales.

-25-

caché a largo plazo y las operaciones de valor añadido sobre datos personales (como buscadores especializados en elaborar perfiles de personas naturales). Al prestar dichos servicios, los buscadores deben ser plenamente responsables de acuerdo con la Directiva de protección de datos y cumplir con todas las disposiciones pertinentes.

El artículo 4 de la Directiva de protección de datos indica que sus disposiciones se aplican a un responsable de tratamiento que posea un establecimiento en el territorio de, como mínimo, un Estado miembro implicado en el tratamiento de datos personales. Las disposiciones de la Directiva también se pueden aplicar a los proveedores de servicios de búsqueda sin un establecimiento en el territorio de la Comunidad Europea, si recurren a medios, automatizados o no, situados en el territorio de un Estado miembro con fines de tratamiento de datos personales.

Basándose en las consideraciones anteriores y teniendo en cuenta el modus operandi actual de los buscadores, se pueden obtener las siguientes conclusiones:

Aplicabilidad de las Directivas de la CE

1. La Directiva de protección de datos (95/46/CE) se aplica, en general, al tratamiento de datos personales por parte de los buscadores, incluso cuando sus oficinas principales se encuentran fuera del EEE.

2. Los proveedores de servicios de búsqueda situados fuera de la UE deben informar a sus usuarios sobre las condiciones en las que deben cumplir la Directiva de protección de datos, ya sea por el establecimiento o por el recurso a medios.

3. La Directiva de conservación de datos (2006/24/CE) no se aplica a los buscadores de Internet.

Obligaciones de los proveedores de los buscadores

4. Los buscadores sólo pueden efectuar el tratamiento de datos personales con fines legítimos y la cantidad de datos debe ser pertinente y no excesiva en relación con los diversos fines que deben perseguirse.

5. Los proveedores de servicios de búsqueda deben suprimir o convertir en anónimos (de forma irreversible y eficaz) los datos personales una vez que éstos ya no resulten necesarios para la finalidad para la que fueron recabados. El Grupo de Trabajo pide el desarrollo de proyectos adecuados para convertir los datos en anónimos por parte de los proveedores de servicios de búsqueda.

6. Los periodos de conservación deben reducirse al mínimo y ser proporcionados a cada finalidad establecida por los proveedores de servicios de búsqueda. En vista de las explicaciones iniciales proporcionadas por los proveedores de servicios de búsqueda sobre las posibles finalidades para las que se recaban datos personales, el Grupo de Trabajo no ve base para que un periodo de conservación superior a los seis meses. Sin embargo, la legislación nacional puede requerir la supresión de los datos personales en un periodo de tiempo más breve. En caso de que los buscadores conserven datos personales durante un periodo superior a los seis meses, deberán demostrar exhaustivamente que es estrictamente necesario para el servicio.

-26-

En cualquier caso, la información sobre el periodo de conservación de datos escogido por el proveedor de servicios de búsqueda debe ser fácilmente accesible desde su página de inicio.

7. Aunque los proveedores de servicios de búsqueda recaban inevitablemente algunos datos personales sobre los usuarios de sus servicios, como sus direcciones IP, como resultado del tráfico HTTP estándar, no es necesario recabar datos personales adicionales de usuarios individuales para poder prestar el servicio de proporcionar publicidad y resultados de búsqueda.

8. Si los proveedores de servicios de búsqueda utilizan cookies, la duración no debe ser superior a la que se demuestre como necesaria. De forma similar a las cookies, las “flash cookies” sólo deben instalarse si se proporciona información transparente sobre el fin para el que se instalan y cómo acceder, rectificar y suprimir esta información.

9. Los proveedores de servicios de búsqueda deben ofrecer a los usuarios información clara e inteligible sobre su identidad y ubicación y sobre los datos que tienen la intención de recabar, almacenar o transmitir, así como sobre la finalidad para la que se recaban 27 .

10. El enriquecimiento de los perfiles de usuarios con datos no proporcionados por los propios usuarios debe basarse en el consentimiento de éstos.

11. Si los proveedores de servicios de búsqueda proporcionan medios para conservar el historial de búsqueda individual, deben asegurarse de que cuentan con el consentimiento del usuario.

12. Los buscadores deben respetar las autoexclusiones (opt-outs) del editor de la página web que indiquen que no debe visitarse, indexarse o incluirse dicha página web en la caché de los buscadores.

13. Cuando los proveedores de servicios de búsqueda proporcionen una caché en la que los datos personales se encuentran disponibles durante un tiempo superior a la publicación original, deben respetar el derecho de los interesados a que se supriman los datos excesivos e inexactos de su caché.

14. Los proveedores de servicios de búsqueda que se especialicen en la creación de operaciones de valor añadido, como perfiles de personas físicas (llamados “buscadores de personas”) y software de reconocimiento facial en imágenes, deben poseer un motivo legítimo para el tratamiento, como el consentimiento, y cumplir todos los demás requisitos de la Directiva de protección de datos, como la obligación de garantizar la calidad de los datos y la legalidad del tratamiento.

Derechos de los usuarios

15. Los usuarios de los servicios de buscadores tienen derecho a acceder, inspeccionar y rectificar, en su caso, de acuerdo con el artículo 12 de la Directiva de protección de datos (95/46/CE), todos sus datos personales, incluyendo sus perfiles e historial de búsqueda.

27 El Grupo de Trabajo recomienda un modelo de capas para la política de privacidad según se describe en el WP Dictamen sobre más disposiciones sobre información armonizada (WP 100,,

-27-

16.

Las correlaciones cruzadas de datos que se originan en servicios diferentes pertenecientes al proveedor de servicios de búsqueda sólo pueden realizarse si el usuario ha dado el consentimiento para dicho servicio específico.

Por el Grupo de Trabajo El Presidente [-----------]

-28-

ANEXO 1 – EJEMPLO DE DATOS OBJETO DE TRATAMIENTO POR LOS BUSCADORES Y TERMINOLOGÍA

Registros de consultas

 

Búsqueda

Consulta introducida en el servicio del buscador, normalmente almacenada en los registros de éste en forma de la URL de la página ofrecida como resultado de la búsqueda.

Dirección IP

Dirección de Protocolo de Internet del ordenador del usuario para la búsqueda realizada

Fecha y hora

Fecha y hora en la que se efectúa una búsqueda determinada

Cookie

Cookie(s) (y/ o dispositivo(s) similar(es)) almacenada en el ordenador del usuario, incluyendo todos los parámetros de la misma, como el valor y la fecha de expiración. En el servidor del buscador, todos los datos que hacen referencia a la cookie, como la siguiente información: “La cookie/dispositivo X se ha instalado

en

el ordenador con la dirección IP Y en la fecha y hora Z.”

Flash Cookie

u “objeto local compartido” es una cookie instalada mediante la tecnología Flash. En la actualidad, no puede eliminarse sencillamente mediante la configuración del navegador, a diferencia de las cookies tradicionales.

URL a la que se hace referencia

URL de la página web sobre la que se realiza la búsqueda, posiblemente la URL

de

un tercero

Preferencias

Preferencias específicas posibles del usuario en la configuración avanzada del servicio

Navegador

Datos del navegador, incluyendo el tipo y la versión

Sistema operativo

Datos del sistema operativo

Idioma

Configuración de idioma del navegador del usuario, que puede utilizarse para inferir el idioma preferido por el usuario.

Contenido ofrecido

 

Enlaces

Enlaces que se han ofrecido a un usuario específico como resultado de una búsqueda en una fecha y hora concretas. Los resultados del buscador son dinámicos. Para poder evaluar los resultados en detalle, el proveedor del buscador necesita almacenar datos sobre los enlaces específicos y el orden en el que han aparecido en una fecha y hora concretas como respuesta a una búsqueda determinada de un usuario.

Anuncios

Anuncios que se han mostrado al usuario como resultado de una búsqueda específica de éste.

Navegación del

Clics del usuario en los resultados orgánicos y anuncios de la página(s) de resultados de la búsqueda. Esto incluye la gama de resultados específicos que ha seguido el usuario (en primer lugar se siguió el enlace nº 1, después de lo cual, el usuario volvió y siguió el enlace nº 8).

usuario

Datos operativos

A

causa del valor operativo y de la utilización de algunos de los datos descritos

anteriormente, por ejemplo, para la detección de fraudes, la seguridad/integridad del servicio y la elaboración de perfiles del usuario, los buscadores etiquetan y analizan estos datos de diversas formas. Por ejemplo, una dirección IP concreta puede etiquetarse como fuente probable de búsqueda o de pinchar en spam, un clic específico en un anuncio puede etiquetarse como fraudulento, una búsqueda puede etiquetarse como relativa a fuentes de información sobre un tema concreto.

Datos sobre usuarios registrados

Un proveedor de un buscador puede ofrecer a los usuarios que se registren para obtener servicios mejorados. El proveedor normalmente efectúa el tratamiento de los datos de la cuenta del usuario, como el identificador y la contraseña, una dirección de correo electrónico y otros datos personales proporcionados por el usuario como intereses, preferencias, edad y sexo.

Datos de otros servicios/ fuentes

La mayoría de los proveedores de servicios de búsqueda ofrecen otros servicios, como correo electrónico, búsquedas en el escritorio y publicidad sobre páginas web y servicios de terceros. Estos servicios generan datos del usuario entre los que puede establecerse una correlación y los cuales pueden utilizarse para mejorar la información existente sobre los usuarios en el buscador. Los datos del usuario y los posibles perfiles también se pueden enriquecer con datos de otras fuentes como datos geográficos de direcciones IP y datos demográficos.

-29-

ANEXO 2

CUESTIONARIO PARA BUSCADORES SOBRE POLÍTICAS DE PRIVACIDAD

1. ¿Almacena datos sobre las personas que utilizan sus servicios de búsqueda?

2. ¿Qué tipo de información almacena/archiva en relación con sus servicios de búsqueda? (por ejemplo, registros de servidores, palabras clave, resultados de búsqueda, direcciones IP, cookies, datos sobre clics, imágenes de páginas web (memoria caché), etc.)

3. ¿Pide el consentimiento del usuario (consentimiento informado) para almacenar los datos indicados en su respuesta a la pregunta 2? En caso afirmativo, ¿cómo lo pide? En caso negativo, ¿en qué base jurídica justifica el almacenamiento de estos datos?

4. ¿Crea perfiles de comportamiento de usuarios con los datos indicados en su respuesta a la pregunta 2? En caso afirmativo, ¿con qué fines? ¿Qué datos trata? ¿Con qué identificador (por ejemplo, dirección IP, ID del usuario, ID de cookie) almacena los perfiles? ¿Pide el consentimiento del usuario?

5. Si ofrece otros servicios personalizados además de los servicios de búsqueda, ¿comparte los datos recabados en sus servicios de búsqueda con estos otros servicios y/ o viceversa? En caso afirmativo, sírvase especificar qué datos.

6. ¿Durante cuánto tiempo almacena los datos indicados en su respuesta a la pregunta 2 y con qué fines?

7. ¿Qué criterios considera al determinar el periodo de almacenamiento?

8. Cuando almacena datos durante un periodo predeterminado, ¿qué hace cuando dicho periodo expira y qué procedimientos existen a este respecto?

9. ¿Convierte los datos en anónimos? En caso afirmativo, ¿cómo lo hace? ¿La conversión es irreversible? ¿Qué información siguen conteniendo los datos convertidos en anónimos?

10. ¿Los datos son accesibles, por ejemplo, para el personal, o se tratan sin intervención humana?

11. ¿Comunica estos datos a terceros? ¿En qué países? Sírvase especificar para las siguientes categorías el tipo de datos que puede compartir y en qué países:

-30-

- Empresas de publicidad

- Empresas de publicidad asociadas

- Autoridades competentes (cumplimiento de obligaciones jurídicas de entregar los datos, por ejemplo, en procesos judiciales)

- Otros; sírvase especificar

12. ¿Cómo informa a los usuarios sobre la recopilación, el tratamiento y el almacenamiento de datos? ¿Ofrece a los usuarios información exhaustiva sobre, por ejemplo, cookies, elaboración de perfiles y otras herramientas que supervisan la actividad de la página web? En caso afirmativo, sírvase adjuntar una copia de la notificación de información, así como una descripción de su ubicación.

13. ¿Otorga a los usuarios el derecho a acceder y a rectificar los datos o a modificarlos, suprimirlos o bloquearlos? ¿Es posible autoexcluir (opt-out) completamente la recopilación o el almacenamiento de datos de forma que no se recaben datos de personas y no queden pistas del usuario individual en cualquier sistema de almacenamiento pertinente? ¿Existe algún coste asociado al ejercicio de estos derechos?

14. ¿Aplica medidas de seguridad al almacenamiento de datos? ¿Cuáles?

15. ¿Ha enviado alguna notificación a una autoridad nacional de protección de datos en el EEE? En caso afirmativo, sírvase indicar la autoridad. En caso negativo, sírvase indicar las razones por las que no lo ha hecho.

-31-