GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29

Transcripción

1 GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO /ES WP 148 Dictamen sobre cuestiones de protección de datos en relación con buscadores Adoptado el 4 de abril de 2008 El presente texto es una traducción no oficial, destinada únicamente para su uso como instrumento documental. El Grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata del órgano consultivo independiente de la UE sobre protección de los datos y la vida privada. Sus tareas se definen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. La secretaría pertenece a la Dirección C (Justicia Civil, Derechos fundamentales y Ciudadanía) de la Comisión Europea, Dirección General de Justicia, Libertad y Seguridad, B-1049, Bruselas, Bélgica, Oficina nº LX-46 06/80. Página web:

2 Índice RESUMEN EJECUTIVO INTRODUCCIÓN DEFINICIÓN DE UN BUSCADOR Y MODELO DE NEGOCIOS QUÉ TIPO DE DATOS? MARCO JURÍDICO Responsables de tratamiento de datos de usuarios El derecho fundamental del respeto de vida privada Aplicabilidad de la Directiva 95/46/CE (Directiva de protección de datos) Aplicabilidad de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) y de la Directiva 2006/24/CE (Directiva de conservación de datos) Proveedores de contenido Libertad de expresión y derecho a la intimidad Directiva de protección de datos LA LEGALIDAD DEL TRATAMIENTO Fines/ motivos mencionados por los proveedores de servicios de búsqueda Análisis por parte del Grupo de Trabajo de los fines y motivos Algunas cuestiones que debe resolver el sector OBLIGACIÓN DE INFORMAR AL INTERESADO DERECHOS DEL INTERESADO CONCLUSIONES ANEXO 1 EJEMPLO DE DATOS OBJETO DE TRATAMIENTO POR LOS BUSCADORES Y TERMINOLOGÍA ANEXO

3 RESUMEN EJECUTIVO Los buscadores se han convertido en parte de la vida diaria de las personas que utilizan Internet y tecnologías de obtención de información. El Grupo de Trabajo del Artículo 29 reconoce la utilidad de los buscadores, así como su importancia. En este Dictamen, el Grupo de Trabajo identifica un conjunto claro de responsabilidades en virtud de la Directiva de protección de datos (95/46/CE) para los proveedores de servicios de búsqueda como responsables de tratamiento de datos de usuarios. Como proveedores de datos de contenido (por ejemplo, el índice de los resultados de la búsqueda), la legislación europea en materia de protección de datos también se aplica a los buscadores en situaciones específicas, por ejemplo, si ofrecen un servicio de almacenamiento temporal o se especializan en elaborar perfiles de personas. El principal objetivo en el Dictamen es lograr un equilibrio entre las necesidades empresariales legítimas de los proveedores de los buscadores y la protección de los datos personales de los usuarios de Internet. El Dictamen aborda la definición de buscadores, los tipos de datos objeto de tratamiento en la prestación de los servicios de búsqueda, el marco jurídico, los fines/ motivos para el tratamiento legítimo, la obligación de informar a los interesados y los derechos de éstos. Una conclusión clave de este Dictamen es que la Directiva de protección de datos se aplica generalmente al tratamiento de datos personales por parte de los buscadores, incluso cuando las oficinas centrales se encuentran fuera del EEE y que la responsabilidad de los buscadores en esta situación es aclarar su función en el EEE y el alcance de sus responsabilidades en virtud de la Directiva. En la Directiva de conservación de datos (2006/24/CE) se destaca claramente que no es aplicable a los proveedores de servicios de búsqueda. Este Dictamen concluye que sólo deben tratarse datos personales con fines legítimos. Los proveedores de servicios de búsqueda deben eliminar o convertir en anónimos de forma irreversible los datos personales cuando ya no sean útiles para el fin determinado y legítimo para el que se recabaron, así como ser capaces de justificar la conservación y la longevidad de las cookies instaladas en todo momento. Debe obtenerse el consentimiento del usuario para todas las referencias cruzadas previstas de los datos de los usuarios y de las prácticas de enriquecimiento de los perfiles de usuarios. Los buscadores deben respetar las autoexclusiones (opt-out) de los editores de páginas web y las solicitudes de los usuarios de actualizar las memorias caché deben cumplirse de forma inmediata. El Grupo de Trabajo recuerda la obligación de que los buscadores informen inicialmente y de forma clara a los usuarios de todos los usos previstos de sus datos y respeten su derecho a acceder, consultar o rectificar fácilmente sus datos personales de acuerdo con el artículo 12 de la Directiva de protección de datos (95/46/CE). -3-

4 EL GRUPO DE TRABAJO SOBRE PROTECCIÓN DE LAS PERSONAS EN LO QUE RESPECTA AL TRATAMIENTO DE LOS DATOS PERSONALES creado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de , vistos los artículos 29 y 30, apartados 1 (a) y 3 de dicha Directiva y el artículo 15, apartado 3 de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002, visto el artículo 255 del Tratado CE y el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo de 20 de mayo de 2001 relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión; vistas sus Normas de Procedimiento; HA ADOPTADO EL PRESENTE DOCUMENTO: 1. INTRODUCCIÓN Los proveedores de servicios de búsqueda de la World Wide Web desempeñan un papel vital en la sociedad de la información como intermediarios. El Grupo de Trabajo reconoce la necesidad y la utilidad de los buscadores y reconoce su contribución al desarrollo de la sociedad de la información. Para las autoridades independientes de protección de datos en el EEE, la importancia cada vez mayor de los buscadores desde la perspectiva de la protección de datos se refleja en el creciente número de reclamaciones recibidas de personas (interesados) acerca de posibles incumplimientos de su derecho a la privacidad. También se ha percibido un marcado aumento de las consultas tanto de responsables de tratamiento como de la prensa acerca de las implicaciones de los servicios de búsqueda en Internet en relación con la protección de datos personales. Las reclamaciones de los interesados y las consultas de los responsables de tratamiento y de la prensa reflejan los dos papeles distintos que desempeñan los proveedores de servicios de búsqueda en relación con los datos personales. En primer lugar, en su función como proveedores de servicios a los usuarios, los buscadores recaban y tratan grandes cantidades de datos de usuarios, incluyendo datos recabados con medios técnicos como las cookies. Los datos recabados pueden ir desde las direcciones IP de usuarios individuales a largos historiales de patrones de búsquedas pasadas o datos proporcionados por los propios usuarios al registrarse para utilizar servicios personalizados. La recopilación de datos de los usuarios plantea muchas preguntas. Después del caso de AOL, una gran parte de la ciudadanía es consciente de la sensibilidad de la información personal contenida en los registros de búsquedas. 2 El 1 Diario Oficial nº L281 de 23/11/1997, p. 31, disponible en: 2 En el verano de 2006, el proveedor de servicios publicó una muestra de búsquedas y resultados de unos usuarios durante un periodo de tres meses. Aunque AOL había sustituido los nombres de los -4-

5 Grupo de Trabajo opina que los buscadores, en su función de recabar datos de los usuarios, hasta el momento no han explicado suficientemente la naturaleza y la finalidad de sus operaciones a los usuarios de sus servicios. En segundo lugar, en su función como proveedores de contenidos, los buscadores ayudan a hacer que las publicaciones en Internet sean fácilmente accesibles al público a escala mundial. Algunos buscadores vuelven a publicar datos en la llamada memoria caché. Recuperando y agrupando información dispersa de distintos tipos sobre una única persona, los buscadores pueden crear una nueva imagen con un riesgo muy superior para el interesado que si cada dato publicado en Internet se mantuviera por separado. La capacidad de representación y agrupación de los buscadores puede afectar significativamente a las personas tanto en sus vidas personales como en la sociedad, especialmente si los datos personales de la búsqueda son incorrectos, incompletos o excesivos. El Grupo internacional sobre protección de datos en las telecomunicaciones 3 adoptó una posición común sobre protección de la intimidad y buscadores el 15 de abril de 1998, revisada el 6-7 de abril de El Grupo de Trabajo compartió en ésta sus preocupaciones sobre el potencial de los buscadores de permitir la creación de perfiles de personas físicas. Esta posición común destacaba cómo algunas actividades de los buscadores podían suponer una amenaza a la intimidad de las personas, así como que cualquier tipo de información personal publicada en una página web pudiera utilizarla un tercero para elaborar un perfil. Asimismo, la 28ª Conferencia Internacional de Autoridades de Privacidad y Protección de Datos, adoptó la Resolución relativa a la protección de datos y buscadores 5, Londres, 2 3 de noviembre de La resolución pide a los proveedores de servicios de búsqueda que respeten las normas sobre la privacidad según se establecen en las legislaciones nacionales de muchos países, así como en documentos de política internacional y tratados y modifiquen sus prácticas de acuerdo con ellas. Trata diversos aspectos relacionados con los registros de los servidores, las solicitudes de búsqueda combinadas y su almacenamiento y la elaboración de perfiles detallados de usuarios. 2. DEFINICIÓN DE UN BUSCADOR Y MODELO DE NEGOCIOS En general, los buscadores son servicios que ayudan a los usuarios a encontrar información en Internet. Pueden diferenciarse según los distintos tipos de datos que recaban, incluyendo imágenes y/ o vídeos y/ o sonido o distintos tipos de formatos. Un nuevo campo de desarrollo lo constituyen los buscadores cuyo objetivo específico es elaborar perfiles de personas basándose en datos personales que se encuentran en cualquier parte de Internet. usuarios por un número, los periodistas descubrieron que estos resultados podían llevar hasta los usuarios individuales, no sólo por el llamado egosurfing (una persona busca información sobre sí misma), sino también mediante la combinación de diversas búsquedas por parte de un único usuario. 3 El Grupo de Trabajo lo crearon los Comisarios de Protección de Datos de distintos países con el objetivo de mejorar la protección de datos y de la privacidad en las telecomunicaciones y los medios de comunicación

6 En el contexto de la Directiva sobre comercio electrónico (2000/31/CE), los buscadores se han definido como un tipo de servicio de la sociedad de la información 6, a saber, herramientas de localización de información 7. El Grupo de Trabajo utiliza esta clasificación en categorías como punto de partida. En este Dictamen el Grupo de Trabajo se centra en los proveedores de servicios de búsqueda que siguen el modelo de negocio de buscadores dominante basado en la publicidad. Aquí se incluyen todos los buscadores principales conocidos, además de buscadores especializados como buscadores centrados en la elaboración de perfiles personales y los metabuscadores que presentan y, posiblemente, reagrupan los resultados de otros buscadores existentes. Este Dictamen no trata las funciones de búsqueda incluidas en páginas web con el fin de buscar exclusivamente en el propio dominio de la página web. La rentabilidad de dichos buscadores se basa, en general, en la eficacia de la publicidad que acompaña a los resultados de la búsqueda. Los ingresos se generan en la mayoría de los casos a través de un método de búsqueda pagada. En este modelo, el buscador cobra a la empresa de publicidad siempre que un usuario hace clic en un enlace patrocinado. Mucha investigación sobre la precisión de los resultados de la búsqueda y los anuncios se centra en la contextualización correcta. Para que el buscador produzca los resultados deseados y para fijar adecuadamente los anuncios con el objetivo de optimizar los ingresos, los buscadores intentan investigar lo máximo posible las características y el contexto de cada búsqueda individual. 3. QUÉ TIPO DE DATOS? Los buscadores tratan diversos datos 8. En el apéndice se puede encontrar una lista de los datos implicados. Ficheros históricos (Fichero Log) Los ficheros históricos sobre la utilización específica de las personas de los servicios de los buscadores son, suponiendo que no se vuelvan anónimos, los datos personales más importantes objeto de tratamiento por parte de los proveedores de servicios de búsqueda. Los datos que señalan la utilización del servicio pueden dividirse en distintas categorías: los registros de consultas (contenido de las búsquedas, fecha y hora, fuente (dirección IP y cookie), preferencias del usuario y datos relativos al ordenador del usuario); los datos sobre el contenido ofrecido (enlaces y publicidad como resultado de cada búsqueda); y los datos de la posterior navegación del usuario (clics). Los buscadores también pueden tratar datos operativos que clasifiquen datos de los usuarios, datos sobre usuarios registrados y datos de otros servicios y fuentes como el correo electrónico, las búsquedas en el escritorio y la publicidad en las páginas web de terceros. 6 Los buscadores de Internet se consideran en la legislación europea en materia de servicios de la sociedad de la información, definidos en el artículo 2 de la Directiva 2000/31/CE. Este artículo hace referencia a la Directiva 98/34/CE, que especifica el concepto de servicio de la sociedad de la información. 7 Véase el artículo 21.2 en relación con el Considerando 18 de la Directiva de Comercio Electrónico (2000/31/CE). 8 Uno de los medios utilizados por el Grupo de Trabajo del Artículo 29 fue la elaboración de un cuestionario sobre políticas de privacidad. El cuestionario se envió a varios buscadores de los Estados miembro, así como a varios motores de búsqueda de EE.UU. Este Dictamen se basa parcialmente en el análisis de las respuestas a este cuestionario. El cuestionario se adjunta al dictamen como Apéndice

7 Direcciones IP Un proveedor de buscadores puede relacionar distintas solicitudes de búsqueda y sesiones de búsqueda que tengan su origen en una única dirección IP 9. De este modo, es posible efectuar un seguimiento y una correlación de todas las búsquedas en Internet con origen en una dirección IP si se archivan estas búsquedas. Se puede mejorar la identificación cuando se establece una correlación de la dirección IP con una cookie de ID única de usuario distribuida por el proveedor del buscador, puesto que esta cookie no cambiará cuando se modifique la dirección IP. La dirección IP también puede utilizarse como información de ubicación, aunque en muchos casos pueda ser ahora imprecisa. Cookies Las cookies de usuarios las proporciona un buscador y se almacenan en el ordenador del usuario. El contenido de las cookies varía de un proveedor de buscador a otro. Las cookies instaladas por los buscadores normalmente contienen información sobre el sistema operativo y el navegador del usuario y un número de identificación único para cada cuenta de usuario. Permiten una identificación más precisa del usuario que la dirección IP. Por ejemplo, si varios usuarios comparten el ordenador con cuentas separadas, cada usuario tendría su propia cookie que le identificaría de forma exclusiva como usuario del ordenador. Cuando un ordenador posee una dirección IP dinámica y variable y las cookies no se eliminan al final de una sesión, dicha cookie hace posible realizar un seguimiento del usuario desde una dirección IP hasta la siguiente. También se puede utilizar para establecer una correlación entre búsquedas con origen en ordenadores itinerantes, por ejemplo, ordenadores portátiles, puesto que un usuario tendría la misma cookie en ubicaciones distintas. Por último, si varios ordenadores comparten una conexión a Internet (por ejemplo, detrás de una caja o de un router de traducción de dirección de red), la cookie permitirá una identificación de los usuarios individuales en los distintos ordenadores. Los buscadores utilizan cookies (normalmente cookies permanentes) para mejorar la calidad de su servicio almacenando las preferencias del usuario y realizando un seguimiento de las tendencias de éste, como el modo de buscar de las personas. La mayoría de los navegadores están configurados inicialmente para aceptar cookies, pero es posible volver a configurarlos para rechazar todas las cookies, sólo aceptar cookies de sesión o indicar cuándo se envía una cookie. Sin embargo, es posible que algunas características y servicios no funcionen correctamente si se inhabilitan las cookies y la configuración de las características avanzadas que implica la gestión de cookies no siempre resulta fácil. Cookies en Flash Algunas empresas de buscadores instalan cookies en Flash en el ordenador del usuario. En estos momentos, las cookies en Flash no se pueden eliminar de forma sencilla, es decir, utilizando las herramientas de eliminación incluidas por defecto en los navegadores. Las cookies en Flash se han utilizado, por ejemplo, como apoyo de las cookies normales que pueden eliminar fácilmente los usuarios o para almacenar información extensa sobre las búsquedas de los usuarios (por ejemplo, todas las búsquedas en la web enviadas a un buscador). 9 Cada vez más proveedores de servicios de Internet distribuyen direcciones IP fijas a usuarios individuales. -7-

8 4. MARCO JURÍDICO Responsables de tratamiento de datos de usuarios El derecho fundamental del respeto de vida privada El derecho al respeto de la vida privada, según se consagra en el artículo 8 del Convenio Europeo de Derechos Humanos y Libertades Fundamentales (CEDH), constituye el centro de la legislación europea en materia de protección de datos. La recopilación y almacenamiento de forma masiva de los historiales de búsqueda de las personas de forma directa o indirectamente identificable invoca la protección del artículo 8 del CEDH. El historial de búsquedas de una persona contiene una huella de los intereses, relaciones e intenciones de dicha persona. Estos datos pueden utilizarse posteriormente con finalidades comerciales y como resultado de solicitudes y de operaciones de phishing y/o extracción de datos por parte de los cuerpos y fuerzas de seguridad del Estado o de los servicios de seguridad nacional. De acuerdo con el Considerando 2 de la Directiva 95/46/CE, los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos. Los buscadores desempeñan un papel fundamental como primer punto de contacto para acceder libremente a la información en Internet. Dicho acceso libre a la información es esencial para construir la opinión personal de una persona en nuestra democracia. Por lo tanto, el artículo 11 de la Carta de los Derechos Fundamentales de la Unión Europea es de especial relevancia puesto que prevé que la información debe ser accesible sin injerencia de las autoridades públicas, como parte de la libertad de expresión y de información Aplicabilidad de la Directiva 95/46/CE (Directiva de protección de datos) En documentos de trabajo anteriores, el Grupo de Trabajo del Artículo 29 ha proporcionado aclaraciones en relación con las normas de protección de datos como consecuencia del registro de las direcciones IP y de la utilización de cookies en el contexto de los servicios de la sociedad de la información. Este dictamen proporcionará otra guía en lo que respecta a la aplicación de las definiciones de datos personales y responsable de tratamiento en los proveedores de servicios de búsqueda. Los servicios de los buscadores pueden prestarse a través de Internet desde la UE/ el EEE, desde una ubicación fuera del territorio de los Estados miembros de la UE/ del EEE, o desde múltiples ubicaciones en la UE/ el EEE y fuera de éstos. Por lo tanto, también se discutirán las disposiciones del artículo 4. El artículo 4 de la Directiva de protección de datos trata el derecho nacional aplicable en materia de protección de datos. -8-

9 Datos personales: direcciones IP y cookies En su Dictamen (WP 136) sobre el concepto de datos personales, el Grupo de Trabajo aclaró la definición de datos personales 10. El historial de búsquedas de una persona constituye un dato personal si la persona a la que hace referencia es identificable. Aunque los buscadores no pueden identificar directamente las direcciones IP en la mayoría de los casos, un tercero puede conseguir realizar dicha identificación. Los proveedores de acceso a Internet conservan los datos de las direcciones IP. Las autoridades de seguridad nacional y los cuerpos y fuerzas de seguridad del Estado pueden conseguir acceder a estos datos y, en algunos Estados miembros, algunos grupos privados también han conseguido acceder mediante un proceso civil. De este modo, en la mayoría de los casos, incluyendo casos con asignación de direcciones IP dinámicas, se dispondrá de los datos necesarios para identificar a los usuarios de las direcciones IP. El Grupo de Trabajo indicó en el WP 136 que excepto si el proveedor de servicios de Internet es capaz de distinguir con absoluta certeza que los datos corresponden a usuarios que no pueden identificarse, deberá tratar toda la información sobre IP como datos personales que deberán protegerse. Estas consideraciones se aplicarán de la misma forma a los operadores de buscadores. Cookies Cuando una cookie contiene una ID de usuario única, esta ID es claramente un dato personal. La utilización de cookies permanentes o de dispositivos similares con una ID de usuario única permite el seguimiento de los usuarios de un ordenador concreto incluso cuando se utilizan direcciones IP dinámicas 11. Los datos de comportamiento que se generan mediante la utilización de estos dispositivos permiten centrarse más en las características personales de la persona en cuestión. Esto se encuentra en línea con la lógica fundamental del modelo de negocio dominante. Responsable del tratamiento Un proveedor de buscadores que trata datos de los usuarios incluyendo direcciones IP y/ o cookies permanentes que contengan un identificador único se encuentra dentro del ámbito material de la definición de responsable de tratamiento, puedo que determina de forma efectiva las finalidades y los medios del tratamiento. La naturaleza multinacional de los grandes proveedores de servicios de búsqueda (con frecuencia con oficinas principales ubicadas fuera del EEE, con servicios prestados en todo el mundo, y con la implicación de distintas sucursales y posiblemente de terceros en el tratamiento de los datos personales) ha ocasionado un debate sobre la pregunta de quién debería considerarse el responsable de tratamiento en relación con un tratamiento de datos personales. Al Grupo de Trabajo le gustaría insistir en la diferencia entre las definiciones de legislación en materia de protección de datos del EEE y la cuestión de si esta legislación se aplica en una situación determinada. Un proveedor de buscadores que efectúa el tratamiento de datos personales, como registros con historiales de búsquedas 10 WP 136, 11 WP 136: En este punto, debe indicarse que, aunque la identificación a partir del nombre es el caso más frecuente, en la práctica, puede que no resulte necesario un nombre en todos los casos para identificar a una persona. Esto puede ocurrir cuando se utilizan otros identificadores para distinguir a alguien. De hecho, los ficheros informatizados que registran datos personales normalmente asignan un identificador único a cada persona registrada con el fin de evitar la confusión entre dos personas en el fichero. -9-

10 personalmente identificables, se considera el responsable de tratamiento de estos datos personales, independientemente de la cuestión acerca de la jurisdicción. Artículo 4 de la Directiva de protección de datos/ derecho aplicable El artículo 4 de la Directiva de protección de datos trata la cuestión del derecho nacional aplicable. El Grupo de Trabajo ha proporcionado directrices ulteriores en relación con lo dispuesto en el artículo 4 en su Documento de trabajo sobre la determinación de la aplicación internacional de la legislación europea en materia de protección de datos a los tratamientos de datos personales en Internet por parte de páginas web situadas fuera de la UE 12. Existen dos razones detrás de esta disposición. La primera es evitar vacíos en el sistema establecido para la protección de datos en la Comunidad Europea, así como que se sortee éste. La segunda es evitar la posibilidad de que la misma operación de tratamiento se rija por leyes de más de un Estado miembro de la UE. A causa de la naturaleza transnacional de los flujos de datos inducidos por los buscadores, el Grupo de Trabajo trata específicamente ambas complicaciones. En el caso de un proveedor de servicios de búsqueda que se establezca y preste todos sus servicios desde uno o más Estados miembros, no existe ninguna duda de que su tratamiento de datos personales se encuentra dentro del ámbito de la Directiva de protección de datos. Es importante hacer constar que en este caso, las normas de protección de datos no se limitan a los interesados situados en el territorio de un Estado miembro o que posean su nacionalidad. Cuando el proveedor de servicios de búsqueda es un responsable de tratamiento situado fuera del EEE, existen dos casos en los que se aplica la legislación comunitaria en materia de protección de datos. En primer lugar, cuando el proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro, de acuerdo con el artículo 4(1) (a). En segundo lugar, cuando el buscador recurre a medios situados en el territorio de un Estado miembro, de acuerdo con el artículo 4(1) (c). En este último caso, el buscador, de acuerdo con el artículo 4 (2), debe designar un representante en el territorio de dicho Estado miembro concreto. Establecimiento en el territorio de un Estado miembro (EEE) El artículo 4(1) (a) prevé que el derecho nacional en materia de protección de datos de un Estado miembro debe aplicarse cuando ciertas operaciones de tratamiento de datos personales por parte del responsable de tratamiento se realicen en el marco de las actividades de un establecimiento de dicho responsable de tratamiento en el territorio de un Estado miembro. Una operación concreta de tratamiento de datos personales debe considerarse desde el punto de partida. Cuando se aplica a un buscador concreto cuyas oficinas principales se encuentran situadas fuera del EEE, la pregunta que debe responderse es si el tratamiento de los datos del usuario implica a establecimientos en el territorio de un Estado miembro. Como ya ha señalado el Grupo de Trabajo en su documento de trabajo anterior 13, la existencia de un establecimiento implica el ejercicio real y efectivo de actividades a través de gestiones estables y debe determinarse de conformidad con la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas. La forma jurídica del 12 WP 56, 13 WP 56, página 8,

11 establecimiento (una oficina local, una filial con personalidad jurídica o una representación mediante terceros) no resulta determinante. Sin embargo, otro requisito consiste en que la operación de tratamiento se realice en el marco de las actividades del establecimiento. Esto significa que el establecimiento también debe desempeñar un papel importante en la operación de tratamiento concreta. Éste es claramente el caso cuando: - un establecimiento es responsable de las relaciones con los usuarios del buscador en una jurisdicción concreta; - un proveedor de buscadores establece una oficina en un Estado miembro (EEE) implicada en la venta de anuncios dirigidos a los habitantes de dicho estado; - el establecimiento de un proveedor de buscadores cumple los autos judiciales y/ o solicitudes de cumplimiento de la ley por parte de las autoridades competentes de un Estado miembro en relación con los datos de los usuarios. El proveedor de buscadores es responsable de aclarar el grado de implicación de los establecimientos en el territorio de los Estados miembro en el tratamiento de datos personales. Si un establecimiento nacional se ve implicado en el tratamiento de datos de los usuarios, se aplica el artículo 4(1) (a) de la Directiva de protección de datos. Los proveedores de servicios de búsqueda situados fuera de la UE deben informar a sus usuarios sobre las condiciones en las que deben cumplir la Directiva de protección de datos, ya sea por el establecimiento o por el recurso a medios. Recurso a medios Los buscadores que recurren a medios en el territorio de un Estado miembro (EEE) para el tratamiento de datos personales también se encuentran dentro del ámbito de la legislación en materia de protección de datos del Estado miembro. La legislación en materia de protección de datos de un Estado miembro también se aplica cuando el responsable de tratamiento [ ] recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea. En lo que respecta a la prestación de servicios de buscadores desde fuera de la UE, los centros de datos situados en el territorio de un Estado miembro pueden utilizarse para el almacenamiento y el tratamiento a distancia de datos personales. Otros tipos de medios podrían ser la utilización de ordenadores personales, terminales y servidores. La utilización de cookies y dispositivos de software similares por parte de un proveedor de servicios online también puede considerarse como recurso a medios en el territorio del Estado miembro, invocando, de este modo, la legislación en materia de protección de datos de dicho Estado miembro. Esta cuestión se debatió en el documento de trabajo citado con anterioridad (WP56). Se indica que el ordenador del usuario puede considerarse un medio en el sentido del artículo 4 (1) de la Directiva 95/46/CE. Se encuentra situado en el territorio de un Estado miembro. El responsable decide recurrir a este medio con el fin de tratar datos personales y, según se ha explicado en apartados anteriores, se producen diversas operaciones técnicas sin el control del interesado. El responsable de tratamiento controla el equipo del usuario y este equipo no se utiliza exclusivamente con fines de tránsito por el territorio de la Comunidad Europea. -11-

12 Conclusión El efecto combinado de los artículos 4(1) (a) y 4(1) (c) de la Directiva de protección de datos es que sus disposiciones se aplican al tratamiento de datos personales por parte de los proveedores de servicios de búsqueda en muchos casos, incluso cuando sus oficinas centrales se encuentran situadas fuera del EEE. La decisión de qué legislación nacional se aplica en un caso concreto es una cuestión de un análisis posterior de los hechos de ese caso. El Grupo de Trabajo espera que los proveedores de servicios de búsqueda contribuyan a este análisis proporcionando una aclaración adecuada de su papel y actividades en el EEE. En el caso de proveedores de servicios de búsqueda multinacionales: - un Estado miembro en el que el proveedor de buscadores está establecido aplicará su legislación nacional en materia de protección de datos al tratamiento, de acuerdo con el artículo 4(1) (a); - si el proveedor de buscadores no se encuentra establecido en ningún Estado miembro, un Estado miembro aplicará su legislación nacional en materia de protección de datos al tratamiento, de acuerdo con el artículo 4 (1) (c), si la empresa recurre a medios, automatizados o no, en el territorio de dicho Estado miembro 14, con fines de tratamiento de datos personales (por ejemplo, la utilización de una cookie). En algunos casos, un proveedor multinacional de buscadores deberá cumplir múltiples legislaciones en materia de protección de datos como resultado de las normas en relación con el derecho aplicable y la naturaleza transnacional de su tratamiento de datos personales: - un Estado miembro aplicará su derecho nacional a un buscador establecido fuera del EEE si recurre a medios; - un Estado miembro no puede aplicar su derecho nacional a un buscador establecido en el EEE en otra jurisdicción, aunque el buscador recurra a medios. En dichos casos, se aplicará el derecho nacional del Estado miembro en el que se encuentre establecido el buscador Aplicabilidad de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) y de la Directiva 2006/24/CE (Directiva de conservación de datos) Los servicios de los buscadores en sentido estricto no se encuentran dentro del ámbito del nuevo marco normativo para las comunicaciones electrónicas del que forma parte la Directiva sobre la privacidad y las comunicaciones electrónicas. El artículo 2 apartado c de la Directiva marco (2002/21/CE), que contiene algunas de las definiciones generales 14 El Grupo de Trabajo considera que los siguientes criterios determinan la obligatoriedad de cumplimiento del artículo 4 (1) (c) en relación con la utilización de cookies. El primero es la situación en la que un proveedor de servicios de búsqueda cuenta con un establecimiento en un Estado miembro al cual no se aplica el artículo 4 (1) (a) porque este establecimiento no posee un impacto significativo en el tratamiento de datos (como, por ejemplo, un representante ante la prensa). Otros criterios son el desarrollo y/ o diseño de servicios de buscadores específicos para un país, el conocimiento real por parte del proveedor de servicios online de que está tratando con usuarios localizados, así como la ventaja de una cuota duradera del mercado de usuarios en un Estado miembro concreto. -12-

13 del marco normativo, excluye explícitamente los servicios que prestan o ejercen control editorial sobre el contenido: Servicio de comunicaciones electrónicas : el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos; quedan excluidos asimismo los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas; Por lo tanto, los buscadores quedan fuera del ámbito de la definición de servicios de comunicación electrónica. Un proveedor de buscadores puede ofrecer, sin embargo, un servicio adicional que se encuentre dentro del ámbito de un servicio de comunicaciones electrónicas, como un servicio de correo electrónico públicamente accesible que se encontraría sujeto a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/24/CE de conservación de datos. El artículo 5(2) de la Directiva de conservación de datos dispone específicamente que de conformidad con la presente Directiva, no podrá conservarse ningún dato que revele el contenido de la comunicación. Las propias búsquedas se considerarían contenido en vez de tráfico de datos y, por lo tanto, la Directiva no justificaría su conservación. Por consiguiente, no se justifica ninguna referencia a la Directiva de conservación de datos en relación con el almacenamiento de registros de servidores generados al ofrecer un servicio de buscador. Artículo 5(3) y 13 de la Directiva sobre la privacidad y las comunicaciones electrónicas Algunas disposiciones de la Directiva sobre la privacidad y las comunicaciones electrónicas como el artículo 5(3) (cookies y spyware) y el artículo 13 (comunicaciones no solicitadas) son disposiciones generales que son aplicables no sólo a los servicios de comunicaciones electrónicas, sino también a cualquier otro servicio cuando se utilicen estas técnicas. El artículo 5(3) de la Directiva sobre la privacidad y las comunicaciones electrónicas, que debe leerse junto con el Considerando 25 de la misma Directiva, trata el almacenamiento de información en el equipo terminal de los usuarios. La utilización de cookies permanentes con identificadores únicos permite realizar un seguimiento y elaborar un perfil de la utilización de un ordenador concreto, incluso cuando se utilizan direcciones IP dinámicas. El artículo 5(3) y el Considerando 25 de la Directiva sobre la privacidad y las comunicaciones electrónicas disponen claramente que el almacenamiento de dicha información en el equipo terminal del usuario, es decir, cookies y dispositivos similares (en resumen: cookies), debe realizarse de acuerdo con las disposiciones de la Directiva de protección de datos. El artículo 5(3) de la Directiva sobre la privacidad y las comunicaciones electrónicas aclara, de este modo, las obligaciones en relación con la utilización de una cookie por parte de un servicio de la sociedad de la información impuestas por la Directiva de protección de datos. -13-

14 4.2 Proveedores de contenido Los buscadores tratan información, incluyendo información personal, recorriendo, analizando e indexando la World Wide Web y otros recursos que se pueden buscar y, por lo tanto, que resultan fácilmente accesibles a través de estos servicios. Algunos servicios de buscadores vuelven a publicar datos en la llamada memoria caché Libertad de expresión y derecho a la intimidad El Grupo de Trabajo es consciente del papel especial que desempeñan los buscadores en el entorno de la información online. Debe lograrse un equilibrio entre la legislación en materia de protección de datos de la Comunidad Europea y las legislaciones de los diversos Estados miembro, entre la protección del derecho a la intimidad y la protección de los datos personales por una parte, y el flujo libre de información y el derecho fundamental a la libertad de expresión, por otra. El objetivo del artículo 9 de la Directiva de protección de datos es lograr este equilibrio en la legislación de los Estados miembro en el contexto de los medios de comunicación. Asimismo, el Tribunal de Justicia Europeo ha indicado claramente que los límites a la libertad de expresión que pudieran derivarse de la aplicación de los principios de protección de datos deben cumplir la ley y respetar el principio de proporcionalidad Directiva de protección de datos La Directiva de protección de datos no contiene ninguna referencia especial al tratamiento de datos personales por parte de los servicios de la sociedad de la información que actúan como intermediarios seleccionados. El criterio decisivo de la Directiva de protección de datos (95/46/CE) para la aplicabilidad de las normas de protección de datos es la definición del responsable de tratamiento, especialmente si una parte sola o conjuntamente con otras determina los fines y los medios del tratamiento de datos personales. La cuestión de si un intermediario debe considerarse como el propio responsable de tratamiento o un responsable de tratamiento conjuntamente con otros en relación con un tratamiento concreto de datos personales se separa de la cuestión de responsabilidad por dicho tratamiento 16. El principio de proporcionalidad requiere que, en tanto en cuanto un proveedor de buscadores actúe sólo como intermediario, no debe considerarse que sea el responsable de tratamiento principal en relación con el tratamiento de datos personales relacionado 15 El Tribunal de Justicia Europeo ha explicado con más detalle la proporcionalidad del impacto de las normas de protección de datos, por ejemplo, sobre la libertad de expresión, en su sentencia en el caso de Lindqvist v. Suecia, apartados En algunos Estados miembro existen excepciones horizontales especiales ( puertos seguros ) en relación con la responsabilidad de los motores de búsqueda ( herramientas de localización de información ). La Directiva sobre comercio electrónico (2000/31/CE) no prevé puertos seguros para los motores de búsqueda, pero en algunos Estados miembro se han aplicado estas normas. Véase Primer informe sobre la aplicación de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), , COM/2003/0702 final., p

15 con el contenido que está teniendo lugar. En este caso, el responsable de tratamiento de datos personales principal es el proveedor de la información 17. El control formal, jurídico y práctico que ejerce el buscador sobre los datos personales implicados se encuentra limitado normalmente a la posibilidad de eliminar datos de sus servidores. En relación con la eliminación de datos personales de sus índices y resultados de búsquedas, los buscadores poseen un control suficiente para ser considerados responsables de tratamiento (ya sea solos o conjuntamente con otros) en aquellos casos, pero el grado en el que existe una obligación de eliminar o bloquear datos personales puede depender del derecho delictual general y de las disposiciones sobre responsabilidad del Estado miembro concreto 18. Los propietarios de páginas web pueden autoexcluirse a priori tanto del buscador como de la memoria caché utilizando ficheros robots.txt o mediante las etiquetas Noindex/ NoArchive 19. Resulta esencial que los proveedores de servicios de búsqueda respeten la autoexclusión de los editores de las páginas web. Esta autoexclusión puede expresarse antes de que el buscador recorra por primera vez la página web o una vez que ya la ha recorrido; en este caso, deben realizarse actualizaciones del buscador con la mayor frecuencia posible. Los buscadores no siempre se limitan estrictamente a un papel intermediario. Por ejemplo, algunos buscadores almacenan partes completas del contenido de Internet en sus servidores, incluyendo los datos personales que figuran en dicho contenido. Asimismo, no queda claro hasta qué punto los buscadores se dirigen activamente a información identificable personalmente en el contenido que procesan. La búsqueda, el análisis y la indexación pueden realizarse de forma automática sin revelar la presencia de información personalmente identificable. El formato de los tipos específicos de información personalmente identificable, como números de la seguridad social, números de tarjetas de crédito, números de teléfono y direcciones de correo electrónico, hacen que estos datos sean fácilmente detectables. Pero también existe una tecnología más sofisticada y la están empleando cada vez más los proveedores de servicios de búsqueda, como la tecnología de reconocimiento facial en el contexto de tratamiento y búsqueda de imágenes. De este modo, los proveedores de servicios de búsqueda pueden realizar operaciones con valor añadido relacionadas con las características o tipos de datos personales en la información que procesan. En dichos casos, el proveedor del buscador es completamente responsable en virtud de la legislación en materia de protección de datos del contenido 17 Los usuarios de los servicios de buscadores podrían, estrictamente hablando, considerarse también responsables de tratamiento, pero su función se encontraría normalmente fuera del ámbito de la Directiva como actividad exclusivamente personal (véase artículo 3(2), segundo apartado). 18 En algunos Estados miembro de la UE, las autoridades de protección de datos han regulado específicamente la responsabilidad de los proveedores de servicios de búsqueda de eliminar los datos de contenidos del índice de búsqueda, basándose en el derecho de oposición consagrado en el artículo 14 de la Directiva de protección de datos (95/46/CE) y en la Directiva sobre comercio electrónico (2000/31/CE). De acuerdo con dicha legislación nacional, los buscadores se encuentran obligados a seguir una política de notificación y anotación similar a los proveedores de servicios de hosting con el fin de impedir la responsabilidad. 19 Ésta puede ser más que una solución opcional. Aquéllos que hagan públicos datos personales deben considerar si su base jurídica para dicha publicación incluye la indexación de esta información por parte de los buscadores y crear las protecciones correspondientes según sean necesarias, incluyendo, aunque sin limitarse a ello, la utilización de ficheros robots.txt y/ o de etiquetas Noindex/ NoArchive. -15-

16 resultante relacionado con el tratamiento de datos personales. Se aplica la misma responsabilidad a un buscador que vende publicidad originada por datos personales, como el nombre de una persona. La funcionalidad de almacenamiento temporal La funcionalidad de la memoria caché es otra forma mediante la que un proveedor de un buscador puede ir más allá de su exclusiva función de intermediario. El periodo de conservación del contenido en una memoria caché debe limitarse al periodo de tiempo necesario para tratar el problema de la inaccesibilidad temporal a la propia página web. Cualquier periodo de almacenamiento temporal de datos personales contenidos en páginas web indexadas más allá de esta necesidad de disponibilidad técnica debe considerarse como una nueva publicación independiente. El Grupo de Trabajo hace al proveedor de dichas funcionalidades de almacenamiento temporal responsable de cumplir la legislación en materia de protección de datos, de acuerdo con su función de responsable de tratamiento de los datos personales contenidos en las publicaciones almacenadas. En situaciones en las que se modifica la publicación original, por ejemplo, para eliminar datos personales incorrectos, el responsable de tratamiento de la memoria caché debe cumplir inmediatamente cualquier solicitud para actualizar la copia en la memoria caché o para bloquearla temporalmente hasta que el buscador vuelva a visitar la página web. 5. LA LEGALIDAD DEL TRATAMIENTO De acuerdo con el artículo 6 de la Directiva de protección de datos, los datos personales deben ser tratados de manera leal y lícita; deben ser recogidos con fines determinados, explícitos y legítimos y no serán tratados posteriormente de manera incompatible con dichos fines. Asimismo, los datos procesados deben ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente. Para que un tratamiento de datos personales sea lícito, debe cumplir uno o más de los seis motivos para un tratamiento legítimo establecidos en el artículo 7 de dicha Directiva Fines/ motivos mencionados por los proveedores de servicios de búsqueda Los proveedores de servicios de búsqueda han mencionado, en general, los siguientes fines y motivos para utilizar y almacenar datos personales en su función como responsables de tratamiento de datos de los usuarios. Mejorar el servicio Muchos responsables de tratamiento utilizan los registros (logs) de sus servidores para mejorar sus servicios y la calidad de sus servicios de búsqueda. En su opinión, el análisis de los registros de los servidores constituye una herramienta importante para perfeccionar la calidad de las búsquedas, de los resultados y de la publicidad y también para diseñar servicios nuevos, aunque todavía no se hayan previsto. Proteger el sistema Se dice que los logs contribuyen a mantener la seguridad de los buscadores. Algunos proveedores servicios de búsqueda han indicado que la conservación de registros puede -16-

17 ayudar a proteger el sistema ante ataques a su seguridad, y que requieren una muestra de historial suficiente de los datos del log para detectar patrones y analizar amenazas para la seguridad. Prevención de fraudes Se dice que los logs de los servidores contribuyen a proteger los sistemas y a los usuarios de los buscadores de fraudes y abusos. Muchos proveedores de servicios de búsqueda utilizan un mecanismo de pago por clic para los anuncios mostrados. Como inconveniente, esto puede conllevar que se cobre incorrectamente a una empresa si un atacante utiliza un software automático para pinchar sistemáticamente en los anuncios. Los proveedores de servicios de búsqueda prestan atención a garantizar que se detecten y erradiquen este tipo de comportamientos. Se defienden requisitos de contabilidad como finalidad para servicios como los clics en enlaces patrocinados, en los que existe una obligación contractual y contable de conservar los datos, como mínimo, hasta que se abonen las facturas y haya expirado el periodo para conflictos jurídicos. Publicidad personalizada Los proveedores de servicios de búsqueda quieren mostrar publicidad personalizada con el objetivo de aumentar sus ingresos. Las prácticas actuales tienen en cuenta el historial de las búsquedas pasadas, las categorías de usuarios y criterios geográficos. Por lo tanto, basándose en el comportamiento del usuario y en su dirección IP, se puede mostrar un anuncio personalizado. Algunos buscadores recaban estadísticas para determinar qué categorías de usuarios acceden a qué información online y en qué momento del año. Estos datos pueden utilizarse para mejorar el servicio, dirigir anuncios y también con fines comerciales, para determinar el coste para una empresa que desea hacer publicidad de sus productos. Fuerzas y cuerpos de seguridad Algunos proveedores indican que los registros son una herramienta importante para las fuerzas y cuerpos de seguridad para investigar y perseguir delitos graves como la explotación infantil Análisis por parte del Grupo de Trabajo de los fines y motivos En general, los proveedores de servicios de búsqueda no proporcionan una visión general exhaustiva de las distintas finalidades determinadas, explícitas y legítimas para los que tratan datos personales. En primer lugar, algunas finalidades como mejorar el servicio u ofrecer publicidad personalizada se definen con demasiada amplitud para ofrecer un marco apropiado para juzgar la legitimidad de la finalidad. En segundo lugar, dado que muchos proveedores de servicios de búsqueda mencionan muchas finalidades distintas para el tratamiento, no queda claro hasta qué punto se vuelven a tratar los datos para otra finalidad incompatible con la finalidad para la que se recogieron originariamente. La recopilación y el tratamiento de datos personales puede basarse en uno o más motivos legítimos. A continuación se indican tres motivos que pueden esgrimir los proveedores de servicios de búsqueda para distintas finalidades. -17-

18 - Consentimiento artículo 7 (a) de la Directiva de protección de datos La mayoría de los proveedores de servicios de búsqueda ofrecen acceso tanto registrado como no registrado al servicio. En este último caso, por ejemplo, cuando un usuario ha creado una cuenta de usuario específica, se puede utilizar el consentimiento 20 como motivo legítimo para el tratamiento de algunas categorías de datos personales bien determinadas para finalidades legítimas concretas, incluyendo la conservación de datos durante un periodo de tiempo limitado. No se puede interpretar como otorgado el consentimiento por un usuario anónimo del servicio, ni en relación con los datos personales recabados de usuarios que no hayan decidido identificarse voluntariamente. Estos datos no podrán ser objeto de tratamiento ni de almacenamiento para cualquier fin distinto a actuar ante una solicitud específica con una lista de resultados de búsqueda. - Necesario para la ejecución de un contrato artículo 7 (b) de la Directiva de protección de datos El tratamiento también puede ser necesario para la ejecución de un contrato del que el interesado es parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado. Los buscadores pueden utilizar esta base jurídica para recabar los datos personales que proporcione voluntariamente un usuario para registrarse para un servicio determinado, como una cuenta de usuario. También puede utilizarse esta motivación, similar a la del consentimiento, para tratar categorías bien determinadas de datos personales de usuarios registrados con fines legítimos bien determinados. Muchas empresas de Internet también argumentan que un usuario establece una relación contractual de facto al utilizar servicios ofrecidos en su página web, como un formulario de búsqueda. Sin embargo, esta suposición general no cumple la limitación estricta de necesidad que requiere la Directiva Necesario para la satisfacción del interés legítimo perseguido por el responsable de tratamiento artículo 7 (f) de la Directiva de protección de datos De acuerdo con el artículo 7 (f) de la Directiva, el tratamiento podría ser necesario para la satisfacción del interés legítimo perseguido por el responsable de tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva. Mejora del servicio Algunos proveedores de servicios de búsqueda almacenan el contenido de las búsquedas de los usuarios en logs. Dicha información es una herramienta importante para los proveedores de servicios de búsqueda, pues les permite mejorar sus servicios analizando el tipo de búsquedas que realizan las personas, la forma de la que eligen mejorar dichas búsquedas y los resultados de las búsquedas que decidieron seguir. Sin embargo, el 20 El artículo 2 (h) de la Directiva de protección de datos dispone que el consentimiento del interesado será toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan. 21 Artículo 7 apartado (b) de la Directiva: necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado. -18-

19 Grupo de Trabajo del Artículo 29 opina que las búsquedas no necesitan ser atribuibles a personas identificadas para poder utilizarse para mejorar los servicios de búsqueda. Con el fin de establecer una correlación con las acciones de un usuario individual (y, de este modo, descubrir, por ejemplo, si las sugerencias efectuadas por el buscador resultan útiles), sólo es necesario distinguir las acciones de un usuario durante una única búsqueda de las de otro; no es necesario poder identificar a dichos usuarios. Por ejemplo, un buscador puede querer saber que el Usuario X buscó Woodhouse y posteriormente decidió pinchar también en los resultados para la variación de ortografía sugerida Wodehouse, pero no necesita saber quién es el Usuario X. Por lo tanto, la mejora del servicio no puede considerarse un motivo legítimo para almacenar datos que no se han hecho anónimos. Seguridad del sistema Los buscadores pueden considerar la necesidad de mantener la seguridad de su sistema como un interés legítimo y unos motivos adecuados para efectuar un tratamiento de datos personales. Sin embargo, cualquier dato personal almacenado con fines de seguridad debe estar sujeto a una limitación estricta de la finalidad. Por lo tanto, los datos almacenados con fines de seguridad no pueden utilizarse para optimizar un servicio, por ejemplo. Los proveedores de servicios de búsqueda argumentan que los registros de los servidores deben almacenarse durante un periodo razonable (el número de meses difiere de un buscador a otro) para permitirles detectar patrones de comportamientos de usuarios y, de este modo, identificar e impedir ataques de denegación de servicio y otras amenazas para la seguridad. Todos los proveedores deben poder justificar exhaustivamente el periodo de retención que adopten con este fin, el cual dependerá de la necesidad de tratar estos datos. Prevención de fraudes Los buscadores también pueden tener un interés legítimo en detectar e impedir fraudes como el fraude del clic, pero al igual que ocurre con los fines de seguridad, la cantidad de datos personales almacenados y objeto de tratamiento, así como la longitud del periodo durante el que éstos se conservan con este fin dependerán de si los datos son realmente necesarios para detectar e impedir fraudes. Contabilidad Los requisitos de contabilidad no pueden justificar el registro sistemático de datos de búsqueda normales, en los que el usuario no hizo clic en un enlace patrocinado. El Grupo de Trabajo también tiene serias dudas (basándose en la información recibida de los proveedores de servicios de búsqueda al responder al cuestionario) de que los datos personales de los usuarios de los buscadores sean realmente esenciales para fines contables. Para una evaluación concluyente se necesitará una investigación ulterior. En cualquier caso, el Grupo de Trabajo pide a los proveedores de servicios de búsqueda que desarrollen mecanismos de contabilidad más respetuosos con la privacidad, por ejemplo, utilizando datos anónimos. Publicidad personalizada Los proveedores de servicios de búsqueda que deseen ofrecer publicidad personalizada para aumentar sus ingresos pueden encontrar un motivo para el tratamiento legítimo de algunos datos personales en el artículo 7 (a) de la Directiva (consentimiento) o en el artículo 7 (b) de la misma (ejecución de un contrato), pero es difícil encontrar un motivo legítimo para esta práctica para usuarios que no se hayan registrado específicamente -19-

20 basándose en información específica sobre la finalidad del tratamiento. El Grupo de Trabajo prefiere claramente los datos anónimos. Solicitudes judiciales y de los cuerpos y fuerzas de seguridad Las autoridades competentes pueden solicitar algunas veces datos de usuarios a los buscadores con el fin de detectar o impedir delitos. Los particulares también pueden intentar obtener una orden judicial que obligue a un proveedor de un buscador a comunicar datos de usuarios. Cuando dichas solicitudes vengan precedidas por procedimientos jurídicos válidos y tengan como resultado órdenes judiciales válidas, por supuesto, los proveedores de servicios de búsqueda deberán cumplirlas y proporcionar la información que sea necesaria. Sin embargo, no debe confundirse este cumplimiento con una obligación o justificación jurídica para almacenar dichos datos exclusivamente con estos fines. Asimismo, una gran cantidad de datos personales en manos de los proveedores de servicios de búsqueda puede animar a las autoridades competentes y a otros a ejercer estos derechos con mayor frecuencia e intensidad, lo cual, a su vez, podría traducirse en una pérdida de confianza del consumidor Algunas cuestiones que debe resolver el sector Periodos de conservación Si el tratamiento efectuado por el proveedor de servicios de búsqueda se encuentra sujeto a la legislación nacional, debe cumplir tanto las normas de privacidad como los periodos de conservación previstos en la legislación del Estado miembro correspondiente. Si los datos personales se almacenan, el periodo de conservación no debe ser superior al necesario para los fines determinados del tratamiento. Por lo tanto, después de la finalización de una sesión de búsqueda, deben borrarse los datos personales y, por lo tanto, un almacenamiento continuado necesita una justificación adecuada. Sin embargo, algunas empresas de buscadores parecen conservar los datos de forma indefinida, lo cual está prohibido. Para cada fin debe definirse un tiempo de conservación límite. Además, el conjunto de datos personales que debe conservarse no debe ser excesivo en relación con cada fin. En la práctica, los principales buscadores conservan datos sobre sus usuarios de forma identificable personalmente durante más de un año (los plazos exactos difieren). El Grupo de Trabajo da la bienvenida a las recientes reducciones de los periodos de conservación de datos personales por parte de los principales buscadores. Sin embargo, el hecho de que las principales empresas del sector hayan podido reducir sus periodos de conservación sugiere que los plazos anteriores eran superiores a lo necesario. En vista de las explicaciones iniciales proporcionadas por los proveedores de servicios de búsqueda sobre los posibles fines para recabar datos personales, el Grupo de Trabajo no ve base para un periodo de conservación superior a los seis meses 22. Sin embargo, la conservación de datos personales y el periodo de conservación correspondiente debe siempre justificarse (con argumentos concretos y pertinentes) y 22 La legislación nacional puede requerir un periodo más breve para la eliminación de datos personales -20-