Google México violó la Ley de Protección de Datos, de acuerdo con el IFAI

Ene 29, 2015

http://eleconomista.com.mx/columnas/columna-especial-empresas/2015/01/29/google-mexico-violo-ley-proteccion-datos-acuerdo-ifai

 

Cédric Laurant

En un comunicado del 27 de enero del 2015, el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) dio a conocer que había iniciado un procedimiento por el cual iba próximamente a sancionar la filial mexicana de la empresa estadounidense Google, el buscador de Internet más conocido y usado por los internautas mexicanos. La noticia se conoció en la víspera del Día Internacional de Protección de Datos Personales, para el que se están desarrollando eventos en todo el mundo sobre esa temática. La fecha no fue elegida al azar: su intención era una operación promocional para mostrar que el IFAI vigila la aplicación de la Ley de Protección de Datos Personales que protege a todos los usuarios de motores de búsqueda en México.

Esta acción provocó muchas reacciones en círculos de la industria y entre expertos en protección de datos. Las ondas de esta nueva polémica jurídica están por sentirse entre todas las empresas extranjeras en México que tienen actividades similares al motor de búsqueda estadounidense: Bing (Microsoft), Yahoo!, etcétera, y también compañías que operan redes sociales: Facebook, Linkedin, Twitter y muchas otras más.

El IFAI usó las palabras “hecho sin precedente” para calificar su decisión. Explicamos brevemente aquí por qué lo es y por qué no lo es.

Es un hecho sin precedente porque es la primera vez que defiende la autoridad federal de protección de datos la aplicación de la ley en la materia (la denominada Ley Federal de Protección de Datos Personales en Posesión de Particulares) frente a filiales de empresas extranjeras que suelen argumentar que sus actividades de tratamiento de datos, por llevarse a cabo en el extranjero, no les obliga a cumplir con esa ley. Google México argumenta aquí que las actividades de tratamiento de datos personales de sus usuarios mexicanos —y de los que hacen su búsqueda desde México— en el buscador google.com.mx las opera exclusivamente Google Inc. en Estados Unidos y, en consecuencia, no tiene que cumplir con ese punto de la ley. El IFAI refuta esta posición, por primera vez de manera pública, explicando que es su filial establecida en el territorio mexicano, Google México, la responsable del tratamiento de esos datos personales.

La verdadera razón por la cual llega a esa conclusión no la explica en su anuncio. Pero es la parte más crítica de la argumentación —sobre la cual se van a pelear un ejército de abogados, en el IFAI, en Google y en todas las empresas que deben ahora sentirse amenazadas por la reciente decisión de la autoridad.

El IFAI sacó ese argumento precisamente de un fallo histórico del año pasado del Tribunal de Justicia de la Unión Europea —la jurisdicción del más alto nivel en la Unión Europea. En mayo del 2014, la jurisdicción suprema europea decidió que Google Inc. y su filial en España, Google Spain, tenían ambos que cumplir con la normativa de protección de datos aplicable en toda la Unión Europea y eran responsables del tratamiento de datos de sus usuarios en España. Concluyó que ambas empresas tenían que atender a la solicitud de un titular que quería que el buscador desindexara los resultados vinculados a su nombre porque los resultados mostrados en Google ya no eran relevantes, eran obsoletos y sin mayor interés para el público en general.

Los argumentos más relevantes de esa decisión, fundamentales para comprender los argumentos en el caso mexicano, son los siguientes:

1. el Tribunal decidió que la actividad de un buscador como el de Google implica y consiste en un tratamiento de datos personales;

2. Google Inc. utiliza una empresa filial en España “como agente promotor de venta de los espacios publicitarios que se generan en el sitio de Internet ‘www.google.com’”, la cual actúa como agente comercial de Google en España y “tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de publicidad ‘on line’ a través de Internet para terceros, así como la comercialización de esta publicidad”;

3. aunque “no esté probado que Google Spain realice en España una actividad directamente vinculada a la indexación o al almacenamiento de información o de datos contenidos en los sitios de Internet de terceros”, “la actividad de promoción y venta de espacios publicitarios, de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search” (el motor de búsqueda que opera Google, Inc. desde Estados Unidos);

4. interpretando la normativa europea, el Tribunal explicó que no se exige que el tratamiento de datos sea efectuado por la empresa Google Spain, sino que se realice “en el marco de las actividades” de ésta; también que el tratamiento de datos personales por el motor de búsqueda como Google Search se efectúa “en el marco de las actividades” de la filial de Google Inc., Google Spain, establecida en el territorio de la Unión Europea, ya que esa filial se enfoca en “la promoción y venta en (España) de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor”.

La decisión del IFAI coincide en la argumentación del tribunal europeo para justificar su posición hacia Google México:

1. la actividad de un buscador constituye un “tratamiento” de datos personales según la ley mexicana de protección de datos;

2. Google México tiene las mismas funciones que la filial española de Google Inc.;

3. los estatutos sociales de Google México mencionan específicamente que la empresa tiene por objeto la prestación de servicios de motor de búsqueda. Aunque no fuera lo que hace en realidad la filial mexicana, su actividad de promoción y venta de espacios publicitarios en México constituyen el aspecto esencial del negocio y de los ingresos de su empresa matriz, Google Inc.;

4. La actividad del buscador de Google Inc. se realiza en el marco de las actividades de Google México.

Por esas razones, la decisión del IFAI no es un hecho sin precedente porque Google Inc. ya está obligado a cumplir con la normativa europea de protección de datos. De hecho, según las últimas estadísticas, Google ya ha evaluado, hasta el miércoles 28 de enero, 756,580 direcciones web (URL) para que sean desindexados (y no “eliminados”, como lo establece engañosamente la página en Google) para cumplir con las 207,854 solicitudes de cancelación de datos personales que ya ha recibido hasta ahora y desindexar 252,928 URL.

Que ahora cualquier usuario en México pueda exigir que la empresa de búsquedas en Internet cumpla con su solicitud de cancelación de sus datos en el buscador para respetar la ley mexicana sí es un hecho sin precedente del que se hablará mucho en los próximos meses.

En un próximo artículo, examinaremos las implicaciones que tiene esa decisión para Google, en México y fuera, pero también para todas las empresas extranjeras con establecimiento en el país que obran en el mismo sector: motores de búsqueda y empresas que operan redes sociales. Estaremos atentos a revisar los argumentos del IFAI y de Google México cuando se publiquen.