Sentencia Administrativo Nº 41/2015, Audiencia Nacional, Sala de lo Contencioso, Sección 1, Rec 410/2012 de 30 de Diciembre de 2014

Encabezamiento

A U D I E N C I A N A C I O N A L

Sala de lo Contencioso-Administrativo

SECCIÓN PRIMERA

Núm. de Recurso:0000410 /2012

Tipo de Recurso:PROCEDIMIENTO ORDINARIO

Núm. Registro General:06523/2012

Demandante:GOOGLE SPAIN, S.L.

Procurador:Dª GRACIA LÓPEZ FERNÁNDEZ

Demandado:AGENCIA PROTECCIÓN DE DATOS

Codemandado:D. Conrado

Abogado Del Estado

Ponente IImo. Sr.:D. EDUARDO MENÉNDEZ REXACH

S E N T E N C I A Nº:

IImo. Sr. Presidente:

D. EDUARDO MENÉNDEZ REXACH

Ilmos. Sres. Magistrados:

Dª. LOURDES SANZ CALVO

D. FERNANDO DE MATEO MENÉNDEZ

D. JUAN PEDRO QUINTANA CARRETERO

D. JOSÉ GUERRERO ZAPLANA

Madrid, a treinta de diciembre de dos mil catorce.

Visto el recurso contencioso administrativo que ante esta Sala de lo contencioso administrativo de la Audiencia Nacional ha promovido Google Spain S.L., representada por la Procuradora Dª. Gracia López Fernández,contra la Administración General del Estado, representada por el Abogado del Estado, sobre protección de datos personales; ha intervenido como codemandado D. Conrado , representado por la Procuradora Dª Gema Fernández-Blanco San Miguel. Ha sido Ponente el Presidente de esta Sección Iltmo. Sr. D. EDUARDO MENÉNDEZ REXACH.

Antecedentes

PRIMERO.-El acto impugnado procede del Director de la Agencia de Protección de Datos (AEPD) y es la resolución de 24 de Julio de 2012.

SEGUNDO.-Interpuesto recurso contencioso administrativo ante la Sala de lo Contencioso Administrativo de esta Audiencia Nacional, después de admitido a trámite y reclamado el expediente administrativo, se dio traslado al recurrente para que formalizara la demanda, solicitando en el suplico la estimación del recurso.

TERCERO.-Presentada la demanda, se dio traslado de la misma al Abogado del Estado, con entrega del expediente administrativo para que la contestara y, formalizada dicha contestación, solicitó en el suplico que se desestimaran las pretensiones del recurrente y que se confirmara el acto impugnado por ser conforme a Derecho.

En el mismo trámite el codemandado formuló similar pretensión.

CUARTO.-Contestada la demanda se recibió el pleito a prueba, practicándose la propuesta y admitida a instancia del actor, con el resultado que obra en autos; tras la presentación de conclusiones por las partes, por Providencia de 24 de Octubre de 2013 se acordó suspender el procedimiento hasta que se resolviera la cuestión prejudicial planteada ante el Tribunal de Justicia de la Unión Europea (TJUE) en el recurso 725/10, seguido ante esta Sección 1ª; mediante Providencia de 5 de Junio de 2014 se alzó la suspensión al haber dictado sentencia dicho Tribunal con fecha 13 de Mayo de 2014, as. Convenio Colectivo de Empresa de AYUNTAMIENTO DE VILLA DE ARICO. PERSONAL LABORAL/12 , Google Spain S.L. y Google inc./AEPD, y se acordó unir testimonio de la misma y conceder a las partes un plazo de 20 días para alegaciones, lo que hicieron únicamente el Abogado del Estado y el codemandado, que reiteraron su solicitud de desestimación del recurso.

QUINTO.-Por Providencia de 12 de Diciembre de 2014 se señaló para votación y fallo el 18 de Diciembre de 2014, en el que, efectivamente, se votó y falló.

Fundamentos

PRIMERO. - El presente recurso tiene por objeto la Resolución del Director de la Agencia de Protección de Datos de 24 de Julio de 2012 que estima la reclamación formulada por D. Conrado contra Google Spain S.L., instándola para que adopte las medidas necesarias que eviten la indexación de los datos y no parezcan en su búsqueda respecto de las paginas web indicadas en el Hecho primero de la Resolución.

SEGUNDO.- La recurrente solicita que se dicte sentencia por la que se declare nula de pleno derecho o, en su caso, se anule la resolución impugnada.

En defensa de su pretensión alega que las informaciones a que se refieren los enlaces eran lícitas; que Google Spain no interviene en el servicio del buscador ni procesa información del solicitante; tampoco ostenta la representación de Google inc., por lo que no puede atender las peticiones de los interesados; en cuanto a esta actividad de buscador, el control de la información que publica cada sitio web corresponde a quien la edita, que es responsable del cumplimiento de las normas que puedan afectar al contenido de lo publicado.

Fundamenta sus alegaciones en:

- nulidad de pleno derecho de la resolución, en aplicación del art. 62.1. b ) y c) de la Ley 30/1992, de 26 de Noviembre , por falta de competencia territorial de la AEPD ( art.2.1.a ) y c) de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal (LOPD ) y por crear una obligación de contenido imposible para la demandante; así, utiliza la LOPD como cobertura para realizar un fraude de ley.

- Falta de legitimación pasiva, ya que Google Spain no interviene ni el funcionamiento del buscador ni en el tratamiento de los datos.

- Falta de competencia territorial y material de la Agencia e inaplicabilidad del art. 3.1.a) del Reglamento de la LOPD , aprobado por Real Decreto 1720/2007, de 21 de Diciembre, ya que la actividad del buscador no está sujeta a la legislación española.

- Inaplicabilidad de la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y del comercio electrónico (LSSI), en concreto de sus arts. 4 , 8 y 17 , que no legitima a la Agencia para ordenar que se retiren contenidos del buscador.

- Vulneración de las libertades de información, expresión y de la libertad de empresa, así como de los principios de proporcionalidad y de interdicción de la arbitrariedad de los poderes públicos.

- Inexistencia de un pretendido derecho al olvido, con el que se pretende amparar un abuso del derecho y un fraude de ley.

Termina citando diferentes resoluciones administrativas y judiciales de otros países de la Unión Europea que han reconocido la falta de competencia para conocer de reclamaciones frente a Google inc. y la imposibilidad de aplicar el derecho nacional al servicio de buscador.

TERCERO.- La representación de la Administración demandada, por su parte, solicita la desestimación del recurso y la confirmación del acto impugnado, oponiéndose a las alegaciones de la demandante y a las normas en que se fundamentan; en sus alegaciones tras la sentencia del Tribunal de Luxemburgo, considera que ésta confirma íntegramente los postulados sostenidos en sus escritos de contestación y conclusiones; así, se viene a reconocer en la sentencia que la demandante está legitimada pasivamente y que la legislación europea y, por tanto, española son de aplicación; también la competencia material es reconocida al calificarse la actividad realizada por el buscador como tratamiento de datos; sobre la necesidad de dirigirse contra el autor de la fuente, de la información recogida por el buscador, y la violación del derecho a la libertad de información y el principio de proporcionalidad, son claramente abordados en la sentencia que señala la posibilidad del particular afectado, de dirigirse contra la entidad que realiza el tratamiento de sus datos, sin necesidad de dirigirse a la fuente de la información, posibilitando que se adopte una decisión ponderada, como la que hace la resolución recurrida, sobre la posible eliminación de ciertos datos del buscador, aunque no se eliminen de la fuente; finalmente, en cuanto al llamado 'derecho al olvido' es reconocido por el TJUE, aunque se encuentra sometido a la necesidad de una cierta ponderación cada concreta situación: el interés del particular afectado y su derecho a la intimidad, por un lado y, por otro, el interés del buscador y de la colectividad en su derecho a la información, ofreciendo para realizar esta valoración, unas reglas muy precisas que, aplicadas al caso concreto, permiten deducir que no se ha apreciado ningún interés informativo del público en general y que el demandante no lo ha invocado ni lo ha acreditado.

El codemandado se opone igualmente a la demanda y afirma la competencia territorial y material de la AEPD, así como la legitimación pasiva de Google, rechazando la vulneración de derechos y libertades alegada; en sus alegaciones tras la sentencia del Tribunal de Luxemburgo, destaca la similitud entre el asunto objeto de la cuestión prejudicial y el suyo propio y señala que, en su caso, se trata de una información completamente obsoleta (hecho ocurrido en 1994) y no se trata de un personaje público ni de proyección pública y los hechos sobre los que recae la información carecen de relevancia en lo que a él le afecta.

CUARTO.- Actividad del motor de búsqueda

En primer lugar, debemos partir de que diversas cuestiones suscitadas en la demanda después de la Sentencia del TJUE de 13 de mayo de 2014 ya carecen de relevancia al haber sido resueltas por dicha Sentencia, entre ellas si la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales».

En efecto, en la contestación a dicha cuestión prejudicial suscitada por esta Sala, la citada Sentencia dice: ' El artículo 2, letras b ) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 , relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d)'.

Por otro lado, en el apartado 28 de la indicada Sentencia se afirma que 'debe declararse que, al explorar Internet de manera automatizada, constante y sistemática en busca de la información que allí se publica, el gestor de un motor de búsqueda «recoge» tales datos que «extrae», «registra» y «organiza» posteriormente en el marco de sus programas de indexación, «conserva» en sus servidores y, en su caso, «comunica» y «facilita el acceso» a sus usuarios en forma de listas de resultados de sus búsquedas. Ya que estas operaciones están recogidas de forma explícita e incondicional en el artículo 2, letra b), de la Directiva 95/46 , deben calificarse de «tratamiento» en el sentido de dicha disposición'.

Se añade en el apartado 30 que 'el Tribunal de Justicia ya ha declarado que las operaciones a las que se refiere el artículo 2, letra b), de la Directiva 95/46 deben calificarse de tal tratamiento también en el supuesto de que se refieran únicamente a información ya publicada tal cual en los medios de comunicación'y se refiere para justificar esta conclusión a la Sentencia dictada en el asunto C-73/07.

Por lo que se refiere a la pretensión de que se excluya de responsabilidad a quien afirma ser, solamente, un motor de búsqueda se señala en el apartado 38 que 'en la medida en que la actividad de un motor de búsqueda puede afectar, significativamente y de modo adicional a la de los editores de sitios de Internet, a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto y pueda llevarse a cabo una protección eficaz y completa de los interesados, en particular, de su derecho al respeto de la vida privada'.

En consecuencia, ninguna duda cabe de que la actividad de un motor de búsqueda como proveedor de contenido debe calificarse de «tratamiento de datos personales».

Ligado con lo expuesto, nos encontramos con la cuestión referente a la aplicación en la resolución recurrida de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

La resolución recurrida considera que los buscadores en el ejercicio de su actividad efectúan un tratamiento de datos de carácter personal, por lo que están obligados a hacer efectivo el derecho de cancelación y oposición del interesado que se opone a que se indexe y sea puesta a disposición de los internautas determinada información a él referente, que se encuentra en páginas de tercero y permiten relacionarle con la misma, y a cumplir con los requerimientos que les dirija la Agencia Española de Protección de Datos (AEPD) en la tutela de esos derechos.

Al mismo tiempo señala también que, como los datos personales obtenidos por el buscador, que es un intermediario de la sociedad de información según la Ley 34/2002, de 11 de julio, pueden afectar a la dignidad de las personas y lesionar derechos de un tercero, el Director de la AEPD como órgano competente para velar por el cumplimiento de la legislación de datos y controlar su aplicación, puede requerir del responsable del tratamiento de los datos la adopción de medidas necesarias para la adecuación de ese tratamiento de los datos a las disposiciones de la Ley Orgánica 15/1999, ejerciendo las facultades que le atribuye su artículo 37, así como a los efectos establecidos en los artículos 8 y 17 LSSI .

En la demanda se cuestiona la aplicación de la Ley 34/2002, de 11 de julio, al considerar, en esencia, que el buscador es un mero intermediario de la sociedad de la información y no es responsable del tratamiento.

La Directiva 95/46/CE que regula la protección de datos de las personas físicas, dictada con anterioridad a la aparición, o al menos a la utilización generalizada de los motores de búsqueda, no contiene referencia expresa a los servicios de la sociedad de la información, ni previsión específica respecto a los buscadores.

Posteriormente, se dicta la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos de los servicios de la sociedad de la información y correo electrónico (Directiva del correo electrónico), que regula la actividad de los servicios de la sociedad de la información y se remite en materia de protección de datos a la Directiva 95/46.

La Ley 34/2002, de 11 de julio, incorpora al ordenamiento jurídico español la citada Directiva 2000/31/CE, e incluye (Anexo b) como 'servicio de intermediación', entre otros, a los buscadores. Dicha norma en sus artículos 8 y 17 limita la responsabilidad de los buscadores respecto de la información que dirijan a los destinatarios de los servicios, pero permite que se les pueda requerir para que retiren los datos que atenten a determinados principios (entre ellos la dignidad de la persona).

Es decir, un motor de búsqueda es un intermediario de la sociedad de la información que, conforme a la Sentencia del TJUE de 13 de mayo de 2014 , cuando realiza una actividad consistente en localizar información publicada o incluida en Internet por terceros relativa a personas físicas, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia, efectúa un tratamiento de datos personales sometido a la normativa de protección de datos (Directiva 95/46/CE), siendo el gestor del motor de búsqueda el responsable de dicho tratamiento.

La normativa comunitaria en materia de protección de datos reconoce a los interesados el derecho de obtener del responsable del tratamiento la supresión, bloqueo y oposición, establecidos en los artículos 12.b ) y 14.1.a) de la citada Directiva 95/46/CE y en el mismo sentido se pronuncian los artículos 6.4 y 16 de la LOPD . Por tanto, de acuerdo con la legislación específica de protección de datos, el responsable del tratamiento (que en la definición del artículo 3.d) de la LOPD se equipara con el responsable del fichero) debe atender dicho derecho, y como tal responsable en supuestos como los que fueron objeto de planteamiento de la cuestión prejudicial ante el TJUE es el gestor del motor de búsqueda, a él le corresponde, en su caso, adoptar las correspondientes medidas en aplicación de la LOPD para hacer efectivo el derecho de oposición del afectado.

En definitiva, la aplicación de la normativa específica de protección de datos permite sin necesidad de acudir a la Ley 34/2002, de 11 de julio, dar respuesta a estos supuestos de tratamiento de datos personales efectuado por un motor de búsqueda del que es responsable el gestor del citado motor de búsqueda.

QUINTO.-Aplicación territorial de la norma

Otra de las cuestiones que han quedado resueltas en la Sentencia del TJUE de 13 de mayo de 2014 es la referente a la determinación de la aplicación territorial de la norma, es decir, si la normativa europea y, por tanto, la española en materia de protección de datos, es aplicable al presente supuesto, y declara al respecto: ' El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro'.

El artículo 4.1.letra a) de la Directiva 95/46/CE y, en el mismo sentido, los artículos 2.1.a) de la LOPD y 3.1.a) del Reglamento de Protección de Datos , establece que los Estados miembros aplican sus disposiciones nacionales « a todo tratamiento de datos personales cuando [...] sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro». Dicha disposición continúa así: « cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable». En la misma línea se pronuncia el proyecto de reforma del Reglamento Europeo de Protección de Datos, aprobado el 12 de marzo de 2014 por el Parlamento Europeo, pendiente de aprobación definitiva del Consejo, que en su artículo 3.1 dispone: 'El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la UE o no'.

Ya hemos dicho que la Sentencia TJUE de 13 de mayo de 2014 declara la aplicación al caso que nos ocupa de la Directiva 45/96/CE al considerar ' que el tratamiento de datos personales realizado en orden al funcionamiento de un motor de búsqueda como Google Search, gestionado por una empresa que tiene su domicilio social en un Estado tercero pero que dispone de un establecimiento en un Estado miembro, se efectúa «en el marco de las actividades» de dicho establecimiento si éste está destinado a la promoción y venta en dicho Estado miembro de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor'(apartado 55) .

Para llegar a dicha conclusión parte la Sentencia de 'que Google Spain se dedica al ejercicio efectivo y real de una actividad mediante una instalación estable en España. Además, al estar dotada de personalidad jurídica propia, es de este modo una filial de Google Inc. en territorio español, y, por lo tanto, un «establecimiento», en el sentido del artículo 4, apartado 1, letra a), de la Directiva 95/46 '(apartado 49).

Se añade más adelante, que 'e n efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades(apartado 56). Y que 's obre este particular, es necesario recordar que, como se ha precisado en los apartados 26 a 28 de la presente sentencia, la propia presentación de datos personales en una página de resultados de una búsqueda constituye un tratamiento de tales datos. Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español(apartado 57).

Es decir, la normativa europea en materia de protección de datos y, por ende, la legislación del país de la Unión Europea donde se encuentre el establecimiento, en este caso España, es de aplicación cuando 'el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro'(apartado 60).

Por tanto, la tan repetida Sentencia del TJUE declara que Google Spain,S.L. constituye un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE , por constituir una instalación estable en España dotada de personalidad jurídica propia y tratarse de una filial de Google Inc. en territorio español, y realizarse el tratamiento de datos en el marco de las actividades de Google Spain, S.L., que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor.

SEXTO.-Falta de motivación

Establecido lo anterior y por lo que respecta a la falta de motivación atribuida por la parte demandante a la resolución recurrida, ha de señalarse que esta resolución se sustenta en la aplicación del artículo 6.4 de la LOPD , que prevé el derecho del afectado a oponerse al tratamiento de sus datos por el buscador siempre que una Ley no establezca lo contrario y en virtud de motivos fundados y legítimos relativos a su situación concreta. De modo que no existiendo una Ley que disponga que los datos personales del reclamante figuren en los índices que utiliza Google para facilitar al usuario el acceso a determinadas páginas, ni en las páginas que Google conserva temporalmente en su memoria 'caché', y afectando los datos publicados a la situación personal del reclamante de manera fundada y legítima, concluye la AEPD que procede la exclusión de los datos personales del interesado de los índices elaborados por Google y, en consecuencia, la estimación de la tutela de derechos solicitada.

Ciertamente, la resolución recurrida no contiene una ponderación de derechos e intereses en conflicto con el alcance predicado por la STJUE de 13 de mayo de 2014 , pero ello no significa que la resolución adolezca del defecto de falta de motivación. La resolución expone con suficiente claridad y precisión las razones en que sustenta su pronunciamiento, tal y como se ha expuesto anteriormente, otorgando una suerte de prevalencia absoluta al derecho del reclamante a la protección de sus datos personales sobre el derecho o interés legítimo del gestor del motor de búsqueda en el tratamiento de tales datos, con las matizaciones que más adelante se expondrán (ver Fundamento Jurídico Décimo).

En fin, la discrepancia que manifiesta la demandante con los razonamientos que sustentan la resolución recurrida y el hecho de que la AEPD no llevara a cabo la ponderación de intereses en los términos que se propugna por el TJUE que, dicho sea de paso, tampoco postulaba la parte demandante ni en el procedimiento de tutela de derechos ni en su escrito de demanda, no supone que tal resolución carezca de motivación o represente un ejercicio arbitrario de potestades administrativas.

SÉPTIMO.- Falta de legitimación pasiva

El representante legal de Google Spain, S.L. alega en la demanda la falta de legitimación pasiva, pues dicha sociedad es un simple agente de Google Inc, dedicado a la promoción de la actividad publicitaria de Google, no teniendo intervención alguna en el funcionamiento del buscador ni en el tratamiento de datos y ni siquiera dispone de los medios técnicos que harían falta para ello. Los servidores que alojan las páginas web no pertenecen a Google, ni están bajo su control. Se trata de equipos de terceros ajenos a Google que pertenecen al responsable de la web de que se trate, o a la empresa a la que hayan contratado para el alojamiento de sus contenidos. Es Google Inc., con domicilio en California (U.S.A.), la titular del servicio de buscador Google en Internet, tanto desde el sitio web www.google.es como desde www.google.com y también explota el espacio publicitario que se genera en esas páginas web.

El artículo 19.1 de la Ley de la Jurisdicción señala que se encuentran 'legitimados ante el orden jurisdiccional contencioso-administrativo: a) Las personas físicas o jurídicas que ostenten un derecho o interés legítimo'.

El Tribunal Supremo reiteradamente ha declarado que el concepto de legitimación encierra un doble significado, tal y como se declara en la Sentencia del Pleno de la Sala Tercera del Tribunal Supremo de 3 de marzo de 2014 -recurso nº.4.453/2012 -: 'El estudio de la legitimación ha distinguido entre la llamada legitimación «ad processum» y la legitimación «ad causam». La primera se identifica con la facultad de promover la actividad del órgano decisorio, es decir, con la aptitud genérica de ser parte en cualquier proceso, identificándose con la capacidad jurídica o personalidad, porque toda persona, por el hecho de serlo, es titular de derechos y obligaciones y puede verse en necesidad de defenderlos. Distinta de la anterior resulta la legitimación «ad causam», como manifestación concreta de la aptitud para ser parte en un proceso determinado, por ello depende de la pretensión procesal que ejercite el actor. Constituye la manifestación propiamente dicha de la legitimación y se centra en la relación especial entre una persona y una situación jurídica en litigio, por virtud de la cual esa persona puede intervenir como actor o demandado en un determinado litigio. Esta idoneidad deriva del problema de fondo a discutir en el proceso; es, por tanto, aquel problema procesal más ligado con el derecho material, por lo que se reputa más como cuestión de fondo y no meramente procesal, como hemos señalado en las SsTS de 20 de enero de 2007 (casación 6991/03 , FJ 5) 6 de junio de 2011 (casación 1380/07, FJ 3 ) o 1 de octubre de 2011 (casación 3512/09 , FJ 6)'.

Pues bien, lo que plantea el representante legal de Google Spain, S.L. en el caso que nos ocupa es la falta de legitimación 'ad causam', al señalar que la resolución recurrida es nula al amparo de artículo 62.1.e) de la Ley 30/1992, de 26 de noviembre , por haber sido dictada prescindiendo total y absolutamente del procedimiento legalmente establecido, y en base al artículo 62.1.c) de la citada norma , ya que el acto recurrido ordena algo imposible de cumplir.

Conviene precisar que Google Spain, S.L. ostenta la legitimación prevista en el artículo 19.1.a) de la Ley de la Jurisdicción por el mero hecho de ser la entidad a la que la resolución de la Agencia Española de Protección de Datos impone la obligación de satisfacer el derecho de oposición al tratamiento de datos personales ejercitado por el reclamante.

De manera que tras la alegación de la demandante realmente subyace la negación de su condición de sujeto obligado o responsable frente al derecho de oposición ejercitado, dada la concreta actividad que desarrolla y su relación con Google Inc.

Para resolver la cuestión que estamos analizando resulta conveniente tener en cuenta los siguientes hechos probados recogidos en la Sentencia del TJUE de 13 de mayo de 2014 , que se basan en el Auto de esta Sala de 27 de febrero de 2012 , de planteamiento de la cuestión prejudicial:

' -Google Search se presta a nivel mundial a través del sitio de Internet «www.google.com». En muchos países existen versiones locales adaptadas al idioma nacional. La versión española de Google Search se presta a través del sitio www.google.es, dominio que tiene registrado desde el 16 de septiembre de 2003. Google Search es uno de los motores de búsqueda más utilizados en España.

- Google Inc. (empresa matriz del grupo Google), con domicilio en los Estados Unidos, gestiona Google Search.

- Google Search indexa páginas web de todo el mundo, incluyendo páginas web ubicadas en España. La información indexada por sus «arañas» o robots de indexación, es decir, programas informáticos utilizados para rastrear y realizar un barrido del contenido de páginas web de manera metódica y automatizada, se almacena temporalmente en servidores cuyo Estado de ubicación se desconoce, ya que este dato es secreto por razones competitivas..

- Google Search no sólo facilita el acceso a los contenidos alojados en las páginas web indexadas, sino que también aprovecha esta actividad para incluir publicidad asociada a los patrones de búsqueda introducidos por los internautas, contratada, a cambio de un precio, por las empresas que desean utilizar esta herramienta para ofrecer sus bienes o servicios a éstos.

- El grupo Google utiliza una empresa filial, Google Spain, como agente promotor de venta de los espacios publicitarios que se generan en el sitio de Internet «www.google.com». Google Spain tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3 de septiembre de 2003. Dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España, actuando como agente comercial del grupo en dicho Estado miembro. Tiene como objeto social promocionar, facilitar y procurar la venta de productos y servicios de publicidad «on line» a través de Internet para terceros, así como la comercialización de esta publicidad.

- Google Inc. designó a Google Spain como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD; el objeto de tales ficheros era almacenar los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.'.

La letra d) del artículo 2 de la Directiva 95/46/CE establece que se entenderá por 'responsable del tratamiento': "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario".En el mismo sentido, se pronuncia el artículo 5.1.q) del Reglamento de Protección de Datos . Por su parte, el artículo 3.d) de la LOPD define como responsable del tratamiento a la 'persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento'.

Por su parte el Proyecto de Reglamento Europeo de Protección de Datos considera responsable del tratamiento a 'la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y medios del tratamiento de datos personales; en caso de que los fines y medios del tratamiento estén determinados por la legislación de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por la legislación de la Unión o de los Estados miembros'.

El Dictamen 1/2010 adoptado el 16 de febrero de 2010 por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE (GT29), sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» dice en relación con el primero lo siguiente: " El concepto de responsable del tratamiento es autónomo, en el sentido de que debe interpretarse fundamentalmente con arreglo a la legislación comunitaria de protección de datos, y funcional, en el sentido de que su objetivo es asignar responsabilidades en función de la capacidad de influencia de hecho, y, por consiguiente, se basa en un análisis de los hechos más que en un análisis formal...

La definición de la Directiva consta de tres componentes fundamentales: el aspecto personal («la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo»); la posibilidad de un control plural («que solo o conjuntamente con otros»); los elementos esenciales para distinguir al responsable del tratamiento de otros agentes («determine los fines y los medios del tratamiento de datos personales»)...

En relación con la determinación de los fines y los medios se señala que 'el hecho de determinar los «fines» del tratamiento trae consigo la consideración de responsable del tratamiento (de facto). En cambio, la determinación de los «medios» del procesamiento puede ser delegada por el responsable del tratamiento en la medida en que se trate de cuestiones técnicas u organizativas. Sin embargo, las cuestiones de fondo que sean esenciales a efectos de la legitimidad del tratamiento -como los datos que deban tratarse, la duración de su conservación, el acceso, etc.- deben ser determinadas por el responsable del tratamiento'.

No cabe duda alguna de que Google Inc., que gestiona el motor de búsqueda Google Search, es responsable del tratamiento de datos, al determinar los fines, las condiciones y los medios del tratamiento de datos personales. No obstante, ello no implica que Google Inc. sea responsable del tratamiento en solitario, ya que no podemos olvidar que el citado artículo 2.d) de la Directiva 95/46/CE , alude a que la determinación de los fines y los medios del tratamiento de datos personales se puede hacer 'sólo o conjuntamente con otros', máxime si tenemos en cuenta, que 'las actividades del gestor del motor de búsqueda y las de su establecimiento situado en el Estado miembro de que se trate están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades'(apartado 56 de la Sentencia TJUE de 13 de mayo de 2014 ).

A este respecto, en el Dictamen 1/2010 del GT29 se dice: 'En el dictamen de la Comisión sobre la enmienda del PE, la Comisión menciona la posibilidad de que «varias partes determinen conjuntamente, para una única operación de tratamiento, los fines y los medios del tratamiento que se vaya a llevar a cabo» y, por lo tanto, en tal caso, «cada uno de estos corresponsables del tratamiento debe considerarse vinculado por las obligaciones impuestas por la Directiva de proteger a las personas físicas cuyos datos se estén tratando»'. Se añade que 'la definición de tratamiento contenida en el artículo 2.b) de la Directiva no excluye la posibilidad de que distintos agentes estén implicados en diferentes operaciones o conjuntos de operaciones en materia de datos personales. Estas operaciones pueden producirse simultáneamente o en distintas fases'. Y se concluye que 'la participación de las partes en la determinación de los fines y los medios del tratamiento en el contexto del control conjunto puede revestir distintas formas y el reparto no tiene que ser necesariamente a partes iguales... Los distintos grados de control pueden dar lugar a distintos grados de responsabilidad, y desde luego no cabe presumir que haya una responsabilidad solidaria en todos los casos. Por lo demás, es muy posible que en sistemas complejos con varios agentes el acceso a datos personales y el ejercicio de otros derechos de los interesados también los puedan garantizar distintos agentes a diferentes niveles'.

Así las cosas, en la Sentencia del TJUE de 13 de mayo de 2014 se declara que '... el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste' (apartado 52).Además, se añade que 'visto el objetivo de la Directiva 95/46 de garantizar una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, ésta expresión no puede ser objeto de una interpretación restrictiva (véase, por analogía, la sentencia L'Oréal y otros, CEU:C:2011:474, apartados 62 y 63)(apartado 53)'.

Por otro lado, y así se deduce de los apartados 55, 56 y 57 de la Sentencia de 13 de mayo de 2014 del TJUE , Google Spain, S.L. es un establecimiento del responsable del tratamiento de datos que se encuentra implicado en actividades relativas al tratamiento de datos personales, en cuanto que está destinado a la promoción y venta en España de los espacios publicitarios del motor de búsqueda, que sirven para rentabilizar el servicio propuesto por el motor, ya que constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades.

Además, afirma la Sentencia de 13 de mayo de 2014 del TJUE que la presentación de datos personales en una página de resultados de una búsqueda, constituye un tratamiento de dichos datos y concluye que, al encontrarse acompañada en la misma página de la presentación de publicidad vinculada a los términos de búsqueda, 'es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español' (apartado 57).

En definitiva, la responsabilidad de Google Spain, S.L. en el tratamiento de datos personales llevado a cabo en el marco del servicio de búsqueda en Internet ofrecido por Google Inc -gestor del motor de búsqueda- deriva de la unidad de negocio que conforman ambas sociedades, en la que la actividad desempeñada por Google Spain, S.L. resulta indispensable para el funcionamiento del motor de búsqueda, pues de aquella depende su rentabilidad. El concierto de ambas sociedades en la prestación de tal servicio a los internautas lo hace viable económicamente y posibilita su subsistencia.

Carecería de lógica alguna excluir a Google Spain, S.L. de cualquier responsabilidad en el tratamiento de los datos personales que lleva a cabo Google Inc, tras afirmar que este tratamiento se sujeta al Derecho Comunitario precisamente por haberse llevado a cabo en el marco de las actividades de su establecimiento en España, del que es titular Google Spain, S.L., y más aún tras aceptar la relevancia de su participación en la actividad conjuntamente desempeñada por ambas, en relación con el funcionamiento del motor de búsqueda y el servicio que mediante el mismo se presta a los internautas, que conlleva el tratamiento de datos personales que nos ocupa.

De no entenderse así se vería menoscabado el efecto útil de la Directiva 95/46/ CE y la protección directa y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho a la intimidad, en lo que respecta al tratamiento de datos personales que tiene por objeto garantizar, tal y como se desprende de su artículo 1 y de su considerando 10 (véanse apartados 53 , 58 y 66 st. TJUE).

Resulta interesante poner de manifiesto en este momento lo que se recoge en las observaciones escritas de la Comisión Europea presentadas al Tribunal de Justicia de la Unión Europea en relación con la cuestión prejudicial planteada por esta Sala, en las que se lee que 'de acuerdo con las afirmaciones de la propia Google en su página web 'Google data centers' la mayor parte de los ingresos de Google proceden de la publicidad de gran interés para los consumidores de internet que buscan sobre productos y servicios relacionados'.

A lo expuesto, tenemos que añadir que Google Spain, S.L. ha venido actuando como si fuese responsable del tratamiento de datos, tanto en procedimientos de tutela de derechos seguidos ante la Agencia Española de Protección de Datos como en diversas intervenciones ante Tribunales Españoles.

En este sentido, resulta conveniente hacer referencia a los siguientes procedimientos de tutela de derechos sobre cancelación de datos personales seguidos en la Agencia Española de Protección de Datos, en los que la reclamación se dirigió contra Google Spain, S.L. y ésta actuó como si fuera responsable del tratamiento de datos:

TD/00299/2007 (resolución de 9 de julio de 2007), TD/00463/2007 (resolución de 9 de julio de 2007), TD/00814/2007 (resolución de 7 de abril de 2008), TD/00387/2008 (resolución de 3 de septiembre de 2008),TD/00420/2008 (resolución de 29 de diciembre de 2008), TD/0444/2008 (resolución de 4 de noviembre de 2008), TD/00569/2008 (resolución de 24 de septiembre de 2008) y TD/00580/2008 (resolución de 29 de diciembre de 2008).

En dichos procedimientos se viene a manifestar por Google Spain, S.L que las informaciones obtenidas a través de sus resultados de búsqueda se encontraban en páginas de terceros cuyo acceso es público y, en consecuencia, para eliminar dicho contenido de los resultados deberían desaparecer del webmaster de la página de terceros.

En cuanto a la actuación de Google Spain, S.L. ante los Tribunales Españoles, hay supuestos en que asumió la condición del responsable del tratamiento, siendo un ejemplo de ello la Sentencia de la Sala de lo Civil del Tribunal Supremo de 3 de abril de 2012 -recurso nº. 2.037/2008 -, sobre los derechos del allí recurrente como autor de una página web de apuestas frente a Google Spain, S.L., en la que ésta no opuso la falta de legitimación pasiva. Por otro lado, en un procedimiento en que era parte demandada que tenía por objeto una demanda por intromisión ilegítima en su derecho al honor y a la propia imagen por la difusión de unos videos, que concluyó con la Sentencia de la Sala de lo Civil del Tribunal Supremo de 15 de enero de 2014 -recurso nº. 897/2010 -, consta que Google Spain, S.L. llegó a un acuerdo transaccional con la parte demandante, lo que no hubiera sido posible si no hubiera estado legitimada.

La Sala es consciente de que la postura adoptada por Google Spain, S.L. en dichos procedimientos, tanto administrativos como judiciales, puede que no sea determinante para la resolución de la cuestión que estamos analizando, pero constituye un indicio muy importante a los efectos de considerar a Google Spain, S.L. también como responsable del tratamiento de datos, y, especialmente, si añadimos el desistimiento efectuado por Google Spain, S.L. en unos 130 recursos contencioso-administrativos que se tramitan en esta Sala, que tienen por objeto resoluciones recaídas en procedimientos de tutela de derechos sobre cancelación/oposición de datos.

Las citadas actuaciones inciden en la doctrina de los actos propios que, como se dice en la Sentencia de la Sala Primera de lo Civil del Tribunal Supremo de 9 de marzo de 2012 -recurso nº. 576/2009 -, 'tiene su fundamento en la protección de la confianza y en el principio de la buena fe, que impone un deber de coherencia y limita la libertad de actuación cuando se han creado expectativas razonables.

Los presupuestos esenciales fijados por esta teoría aluden a que los actos propios sean inequívocos, en el sentido de crear, definir, fijar, modificar, extinguir o esclarecer, sin ninguna duda, una determinada situación jurídica afectante a su autor, y, además, exista una incompatibilidad entre la conducta anterior y la pretensión actual, según la manera que, de buena fe, hubiera de atribuirse a aquélla ( SSTS 1 de julio y 28 de diciembre 2011 , 31 de enero 2012 )...'.

Finalmente, la parte demandante Google Spain, S.L., en las alegaciones formuladas a la Sentencia del TJUE de 13 de mayo de 2014 en otros recursos similares, invoca la resolución de 18 de diciembre de 2013 -PS/320/2013- de la Agencia Española de Protección de Datos, que es objeto del recurso contencioso- administrativo nº. 51/2014 que se sigue en esta Sala.

El citado procedimiento sancionador, que se incoó con fecha 1 de marzo de 2012, con el fin de determinar el grado de adecuación de las políticas de privacidad y los términos de servicio adoptados por Google a la LOPD y demás normativa de protección de datos, se dirigió en principio contra Google Spain, S.L., y Google Inc., pero luego, en la resolución sancionadora se razona que la única imputable es Google Inc., imponiéndose a ésta tres sanciones de 300.000 euros cada una por las infracciones de los arts. 6.1 , 4.5, en relación con el art. 16 y 15 , y 16, todas ellas de la LOPD . En sus alegaciones al acuerdo de inicio del procedimiento sancionador Google Spain, S.L., afirmó que 'Google Spain es un activo de Google Inc. toda vez que Google Spain es totalmente (aunque sea de modo indirecto) propiedad de Google Inc. y, por lo tanto, los efectos económicos de cualquier pérdida de Google Spain (Ej. una multa) se trasladan de forma automática a Google Inc.'. Por su parte, en el citado procedimiento sancionador Google Inc. invocó sobre la propuesta de resolución sancionadora, la vulneración del principio 'non bis in idem', partiendo de que Google Spain, S.L. fue constituida y está controlada al 100% por Google Inc.

Se añade más adelante que 'en el presente caso, la AEPD pretende imponer a Google Inc. y a Google Spain idénticas sanciones, sobre la base de unos mismos hechos (la implantación de la nueva política de Privacidad), existiendo entre Google Inc. y Google Spain una identidad subjetiva (no formal, pero sí material como ha quedado acreditado, y a la vista de la normativa de protección de datos)'.

Por tanto, a tenor de lo relatado, consideramos que Google Spain, S.L. también es responsable del tratamiento de datos, constituyendo ésta y Google Inc. una unidad material, además de reunir la características de un establecimiento de los referidos en el artículo 4.1.a) de la Directiva 95/46/CE , en el que participa en el tratamiento de datos.

La Sala no ignora que resoluciones de otros tribunales, españoles y extranjeros, antes y después de la Sentencia del TJUE de 13 de mayo de 2014 , han acogido la excepción de falta de legitimación pasiva de Google Spain, S.L., o de la filial de Google Inc. en otros países europeos, en reclamaciones relacionadas con el buscador Google, por considerar a Google Inc. único responsable del motor de búsqueda. Pero también hay Sentencias que, aplicando la citada Sentencia del TJUE, consideran que Google Spain, S.L, tiene legitimación pasiva, siendo ejemplo de ello la Sentencia de la Sección 16ª de la Audiencia Provincial de Barcelona de 17 de julio de 2014 -recurso nº 411/2011 -, recaída en materia de intromisión en el derecho a la intimidad personal y familiar, a la imagen y al honor, por la que se condena a Google Spain, S.L. por vulnerar el derecho del allí demandante a la protección de datos personales.

Por último, en cuanto a la alegación de Google Spain, S.L. de carecer de los medios necesarios para cumplir por sí misma la obligación impuesta por la AEPD - eliminación del índice de resultados proporcionado por el buscador de determinados enlaces-, hay que tener en cuenta que la unidad material y funcional que conforma con Google Inc. conlleva su responsabilidad en el cumplimiento de la obligación, trasladándola al gestor del motor de búsqueda y contribuyendo a su realización, dada la relevancia de su participación en el funcionamiento del servicio de búsqueda en Internet que se ofrece a los internautas, lo que determina el rechazo de la infracción del art. 10 CEDH , así como del art. 1 de su Protocolo I, que la demandante basa en la consideración de que la resolución utiliza a Google Spain para forzar a Google inc. a modificar su sistema de funcionamiento.

En consecuencia, procede desestimar este motivo de impugnación, así como la alegación consistente en que la resolución recurrida tiene un contenido de imposible cumplimiento.

OCTAVO.- Libertad de empresa

Por lo que se refiere a la alegación de la parte recurrente en el sentido de que la resolución recurrida vulnera la libertad de empresa del prestador del servicio de motor de búsqueda, recogida en el artículo 38 de la Constitución , lo primero que se debe señalar es que se trata de un argumento que no fue planteado por la parte recurrente en el escrito de demanda ni en el de conclusiones y que ha sido planteado, ex novo, a la hora de contestar al traslado que para alegaciones se le ha concedido tras dictarse la sentencia del TJUE; resulta, pues, un argumento nuevo en el que no era necesario mayor detenimiento por haberse formulado de modo extemporáneo como resulta de la aplicación de dos preceptos de la LRJCA, como son los artículos 56.1 (que establece que es en los escritos de demanda y contestación donde se deben consignar las pretensiones de las partes) y en el articulo 65.1 de la misma ley (cuando señala que ni en la vista ni en conclusiones se pueden plantear cuestiones que no hayan sido suscitadas en los escritos de demanda y contestación).

Esta Sala y Sección en la sentencia de fecha 5 de Junio de 2014 (Rec. 475/2012 recogió el criterio de la Sentencia del Tribunal Supremo de 27 de mayo de 2013 (recurso nº 4.968/2010 ) donde se afirma exactamente esta misma cuestión

No obstante lo anterior, se realizarán determinadas consideraciones para justificar la razón por la que la resolución frente a la que se recurre no infringe en modo alguno el derecho a la libertad de empresa de la recurrente.

El articulo 38 de nuestra Constitución habla de que ' Se reconoce la libertad de empresa en el marco de la economía de mercado.

Los poderes públicos garantizan y protegen su ejercicio y la defensa de la productividad, de acuerdo con las exigencias de la economía general y, en su caso, de la planificación'.

El Tribunal Constitucional en la reciente sentencia 53/2014 (de fecha 10 de Abril de 2014 ) afirma que el derecho a la libertad de empresa no es absoluto: 'En relación con el derecho a la libertad de empresa reconocido en el Art. 38 CE , este Tribunal ha declarado que el mismo 'viene a establecer los límites dentro de los que necesariamente han de moverse los poderes constituidos al adoptar medidas que incidan sobre el sistema económico de nuestra sociedad' ( STC 109/2003, de 5 de junio , FJ 15). Lo anterior es plenamente compatible con la afirmación de que 'el derecho a la libertad de empresa no es absoluto e incondicionado sino limitado por la regulación que, de las distintas actividades empresariales en concreto, puedan establecer los poderes públicos, limitaciones que han de venir establecidas por la ley, respetando, en todo caso, el contenido esencial del derecho' ( SSTC 18/2011 , 135/2012 ) y 'derivadas de las reglas que disciplinen, proporcionada y razonablemente, el mercado' (entre otras SSTC 127/1994 ; 109/2003 o 112/2006 )'

La STC 125/2007 (de fecha 21 de Mayo de 2007 ), remitiéndose a la STC 41/2006, de 13 de febrero , FJ 4), sostiene que el ejercicio de las facultades organizativas del empleador no puede traducirse en la producción de resultados inconstitucionales, lesivos de los derechos fundamentales del trabajador, ni en la sanción del ejercicio legítimo de tales derechos por parte de aquél, de manera que no neutraliza el panorama indiciario la genérica invocación de facultades legales o convencionales.

Por lo tanto, la interpretación del Tribunal Constitucional sobre la libertad de empresa parte de que ésta nunca puede lesionar derechos fundamentales, bien sea de los trabajadores (como es el caso de la última sentencia citada) como de cualquier otra persona y que la posibilidad de auto-organización del empresario no es absoluta sino que se encuentra sujeta a límites. Aplicando esta doctrina al caso de autos, resulta que el derecho a la libertad de empresa no puede justificar una violación del derecho a la protección de datos (regulado en la Sección Primera del Capitulo 2º de la Constitución) cuando resulta que el derecho a la libertad de empresa se contempla en la Sección Segunda y no goza de la misma protección reforzada que menciona el articulo 53.2 de la Constitución .

La libertad de empresa la configura la parte recurrente en su escrito de alegaciones como su derecho a ofrecer el mayor numero de resultados relevantes en las consultas y ello por configurar así su modelo de negocio; no obstante, la Sala debe seguir el criterio marcado por la sentencia del TJUE, que obliga a efectuar una ponderación entre los derechos afectados, en la que la libertad de empresa cederá tanto ante el derecho a la intimidad como ante la protección de datos del denunciante y solicitante de la cancelación de los datos.

NOVENO.- Derecho a la protección de datos y libertad de expresión e información

Sentado lo anterior, resulta necesario delimitar el objeto y contenido de los derechos fundamentales en conflicto, no solo para examinar si el tratamiento de datos personales realizado por la demandante es necesario para satisfacer el interés legitimo perseguido por el responsable del tratamiento o por el de tercero o terceros a los que se comuniquen los datos, en este caso, el ejercicio de las libertades de expresión y de información y el interés del público en encontrar la mencionada información en una búsqueda que verse sobre el nombre del afectado, sino también para determinar si sobre tales derechos debe prevalecer el derecho a la protección de datos de este último, atendida su concreta situación personal mediante el oportuno juicio de ponderación.

Siguiendo la STC 292/2000, de 30 de noviembre , debe afirmarse que el derecho fundamental a la protección de datos, consagrado en el artículo 18.4 de la Constitución Española , a diferencia del derecho a la intimidad del art. 18.1 CE , con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derechos del afectado.

El derecho a la protección de datos tiene, por tanto, un objeto más amplio que el del derecho a la intimidad, ya que el derecho fundamental a la protección de datos extiende su garantía no sólo a la intimidad en su dimensión constitucionalmente protegida por el art. 18.1 CE , sino a la esfera de los bienes de la personalidad que pertenecen al ámbito de la vida privada, inseparablemente unidos al respeto de la dignidad personal, como el derecho al honor, y al pleno ejercicio de los derechos de la persona. El derecho fundamental a la protección de datos amplía la garantía constitucional a aquellos de esos datos que sean relevantes o tengan incidencia en el ejercicio de cualesquiera derechos de la persona, sean o no derechos constitucionales y sean o no relativos al honor, la ideología, la intimidad personal y familiar a cualquier otro bien constitucionalmente amparado.

De este modo, el objeto del derecho fundamental a la protección de datos no se reduce sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales - como aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo-, porque su objeto no es sólo la intimidad individual, protegida ya por el art. 18.1 CE , sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos que, por el hecho de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así lo garantiza su derecho a la protección de datos.

En relación con su contenido, el derecho fundamental a la protección de datos atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, que no se contienen en el derecho a la intimidad, con el objeto de garantizar a la persona un poder de control sobre sus datos personales. Entre ellos, destacan el derecho a que se requiera el previo consentimiento para la recogida y uso de los datos personales, el derecho a saber y ser informado sobre el destino y uso de esos datos y el derecho a acceder, rectificar y cancelar dichos datos. De este modo se garantiza el poder de disposición sobre los datos personales.

Por lo que atañe al derecho a la libertad de expresión, a la luz de la doctrina del Tribunal Constitucional, de la que son exponente sus sentencias 23/2010 ,de 27 de abril , y 9/2007, de 15 de enero , ha de señalarse que, consagrado en el artículo 20 de la Constitución , comprende, junto a la mera expresión de pensamientos, creencias, ideas, opiniones y juicios de valor, la crítica de la conducta de otro, aun cuando la misma sea desabrida y pueda molestar, inquietar o disgustar a quien se dirige, pues así lo requieren el pluralismo, la tolerancia y el espíritu de apertura, sin los cuales no existe sociedad democrática.

La libertad de expresión es más amplia que la libertad de información al no operar en el ejercicio de aquélla el límite interno de veracidad que es aplicable a ésta, lo que se justifica en que tiene por objeto presentar ideas, opiniones o juicios de valor subjetivos que no se prestan a una demostración de su exactitud, ni por su naturaleza abstracta son susceptibles de prueba, y no a sentar hechos o afirmar datos objetivos. No obstante, tal diferencia no impide aseverar que ambos constituyen derechos individuales que ostentan todas las personas físicas y que pueden ser ejercidos a través de la palabra, el escrito o cualquier otro medio de reproducción, sin perjuicio de que cuando tales libertades son ejercidas por profesionales de la información a través de un vehículo institucionalizado de formación de la opinión pública, su grado de protección alcance su máximo nivel ( STC 165/1987, de 27 de octubre ).

En definitiva, el reconocimiento de la libertad de expresión garantiza el desarrollo de una comunicación pública libre que permita la libre circulación de ideas y juicios de valor inherente al principio de legitimidad democrática. En este sentido, merece especial protección constitucional la difusión de ideas que colaboren a la formación de la opinión pública y faciliten que el ciudadano pueda formar libremente sus opiniones y participar de modo responsable en los asuntos públicos.

No obstante, al igual que sucede con los restantes derechos fundamentales, el ejercicio del derecho a la libertad de expresión está sometido a límites que el Tribunal Constitucional ha ido perfilando progresivamente. Así, no ampara la presencia de frases y expresiones injuriosas, ultrajantes y ofensivas sin relación con las ideas u opiniones que se expongan y, por tanto, innecesarias a este propósito, ni protege la divulgación de hechos que no son sino simples rumores, invenciones o insinuaciones carentes de fundamento, ni tampoco reconoce un pretendido derecho al insulto.

Junto a ello, la tendencia expansiva de la libertad de expresión encuentra también su límite en el respeto al contenido normativo garantizado por otros derechos fundamentales, cuya afectación no resulte necesaria para la realización constitucional del derecho. Delimitación que solo es posible hacer mediante la adecuada ponderación de los valores constitucionales enfrentados, entre los que destaca la garantía de la existencia de la opinión pública, indisolublemente unida al pluralismo político, debiendo recordarse que, tal y como reconoce el propio apartado 4 del art. 20 CE , todas las libertades reconocidas en el precepto tienen su límite en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia, que cumplen una «función limitadora» en relación con dichas libertades.

Por ello, se ve debilitada la protección de estos otros derechos constitucionales que reconoce el artículo 20.4 CE frente a las libertades de expresión e información, cuando se ejerciten en conexión con asuntos que son de interés general, por las materias a que se refieren y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública, como ocurre cuando afectan a personas públicas, que ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública, obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la personalidad resulten afectados por opiniones o informaciones de interés general ( SSTC 107/1988, de 8 de junio , 20/2002, de 28 de enero , 160/2003, de 15 de septiembre , 151/2004, de 20 de septiembre , y 9/2007, de 15 de enero ).

Con carácter general y como reflexión previa al concreto juicio de ponderación de los derechos e intereses en conflicto que haremos más adelante, debe ponerse de manifiesto que la libertad de información de los editores, en principio, se encuentra satisfecha por su subsistencia en la fuente, es decir, en el sitio web donde se publica la información por el editor.

Cuestión distinta es si cabe apreciar la existencia de un interés del público en encontrar la información, en relación con la cual se ejercita el derecho de oposición, en una búsqueda que verse sobre el nombre del afectado y si ese interés del público debe prevalecer sobre el derecho a la protección de datos personales de este. Cuestión que solo encontrará respuesta tras la oportuna ponderación de intereses en juego ante las concretas circunstancias del caso de que se trate.

DÉCIMO.- Criterios de ponderación

Delimitado el marco general de los derechos y libertades fundamentales alegados por el demandante, conforme a la Constitución y a la jurisprudencia, cabe añadir que para decidir adecuadamente cuál de ellos ha de prevalecer en cada caso, hay que atender a los criterios y principios aportados por el TJUE en interpretación de la Directiva 95/46 y de la Carta Europea de Derechos Fundamentales.

El Tribunal de Justicia de la Unión Europea, en la sentencia de 13 de Mayo de 2014 , que responde a las preguntas formuladas por esta Sala en otro procedimiento similar al presente, ha establecido los criterios de interpretación de los arts. 12 b ) y 14 a) de la Directiva 95/46 , que regulan el derecho de acceso y el de oposición, respectivamente.

En el Auto de 27 de Febrero de 2012 (FJ 6.4), de planteamiento de la consulta prejudicial, se expresaba la duda sobre '... el alcance de las obligaciones de los buscadores para tutelar de forma directa los derechos de supresión y oposición de los afectados, en virtud de un requerimiento acordado por la AEPD, cuando esta información no ha sido previamente suprimida de la página de origen o, incluso, en aquellos supuestos en los que la publicación de dicha información en la webmaster se considere lícita al amparo de una norma legal o de la aplicación concurrente de otros derechos (derechos de información entre otros)'.Por último, el Auto (FJ 7) planteaba al Tribunal de Luxemburgo el alcance que deben tener los derechos de supresión y bloqueo (art. 12 b) de la Directiva), incluyendo el llamado 'derecho al olvido' o poder de disposición del particular sobre las informaciones que se publican en la red sobre su persona.

En su parte dispositiva la sentencia TJUE responde a las preguntas formuladas del modo siguiente:

'3)Los artículos 12, letra b ) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.

4)Los artículos 12, letra b ), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate'.

Se exponen a continuación los principios y criterios con referencia a los párrafos de la sentencia directamente relacionados con este particular que, posteriormente, se aplicarán a los hechos del presente recurso.

1) El objeto de la Directiva 95/46 es garantizar un nivel elevado de protección de los derechos fundamentales y de las libertades de las personas físicas, sobre todo en su vida privada, en relación con el tratamiento de datos personales; por ello las disposiciones de la Directiva deben ser interpretadas a la luz de los derechos fundamentales que forman parte de los principios generales del derecho, cuyo respeto garantiza el TJUE, actualmente recogidos en la Carta de Derechos Fundamentales de la Unión Europea (arts. 7 y 8); esta interpretación se aplica en particular a los arts. 6,7, 12, 14 y 28 de la Directiva. En concreto, en lo que respecta al art. 7 f) de la Directiva, su aplicación precisa de una ponderación de los derechos e intereses en liza de que se trate, en cuyo marco debe tenerse en cuenta la importancia de los derechos del interesado que resulta de los arts. 7 y 8 de la Carta (párrafos 66, 68, 69 y 74 de la sentencia TJUE). En este sentido, se considera que una búsqueda realizada a partir del nombre de una persona física puede afectar significativamente a tales derechos (apartados 80 y 87 de la St. TJUE).

2) Todo tratamiento debe ser conforme con los principios relativos a la calidad de los datos enumerados en el art. 6 de la Directiva y con alguno de los principios relativos a la legitimación del tratamiento enumerados en el art. 7 de la Directiva; de ahí que los principios de protección tengan su expresión, por una parte, en las obligaciones que incumben a las personas que efectúen el tratamiento de los datos -calidad de los datos, seguridad técnica, notificación a las autoridades de control, circunstancias en las que se puede efectuar el tratamiento-, (apartados 67, 71 y 95 de la sentencia TJUE); por otra parte, tienen también su expresión en los derechos otorgados a las personas cuyos datos sean objeto de tratamiento de ser informadas acerca de dicho tratamiento, de poder acceder a los datos, de poder solicitar su rectificación o incluso de oponerse a su tratamiento en determinadas circunstancias.

3) El responsable del tratamiento debe garantizar que los datos sean tratados de manera leal y lícita, que sean recogidos con fines determinados, explícitos y legítimos y que no sean tratados posteriormente de manera incompatible con estos principios. Por ello, el responsable del tratamiento debe adoptar todas las medidas razonables para que los datos que no respondan a los requisitos del art. 6 de la Directiva sean suprimidos o rectificados; la incompatibilidad puede resultar no sólo de que los datos sean inexactos, sino en particular, de que sean inadecuados, no pertinentes y excesivos en relación con los fines del tratamiento, de que no estén actualizados o de que se conserven durante un período superior al necesario, a menos que se imponga su conservación por fines históricos, estadísticos o científicos (apartados 72, 83 y 92 St. TJUE).

4) El interesado puede presentar una solicitud con base en el art. 12.1. b) de la Directiva o ejercer el derecho de oposición que le ofrece el art. 14 de la misma; en este último caso se debe realizar una ponderación para tener en cuenta de modo más específico todas las circunstancias que rodean su situación concreta; en caso de que la oposición se considere justificada, el tratamiento que efectúe el responsable no podrá ya referirse a esos datos (apartado 76 st. TJUE).

5) Tales solicitudes se pueden dirigir directamente por el interesado al responsable del tratamiento, que debe examinar debidamente su fundamento y, en su caso, poner fin al tratamiento controvertido y, si no accede a ello, el interesado puede acudir a la autoridad de control o a los tribunales para que éstos lleven a cabo las comprobaciones necesarias y ordenen las medidas que correspondan. Para ello no se requiere que el nombre o la información hayan sido previa o simultáneamente eliminados de la página web en la que hayan sido publicados (apartados 77, 82, 84 y 85 St. TJUE).

6) Un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con la Directiva, cuando estos datos no sean necesarios en relación con los fines para los que se recogieron o trataron, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido (apartado 93 St. TJUE).

7) Los derechos de la persona protegidos por los arts. 7 y 8 de la Carta prevalecen con carácter general y el mero interés económico del gestor no justifica la injerencia en la vida privada. Sin embargo, hay que buscar un justo equilibrio entre el interés legítimo de los internautas en tener acceso a la información en una búsqueda que verse sobre el nombre de una persona y los derechos fundamentales de la misma y puede resultar que, por razones concretas, como el papel desempeñado por el mencionado interesado en la vida pública, la injerencia en sus derechos fundamentales esté justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate (apartados 81, 93 y 97 St. TJUE).

8) El equilibrio puede depender, en supuestos concretos, de la naturaleza de la información, del carácter sensible para la vida privada de la persona afectada y del interés del público en disponer de la información, que puede variar en función del papel que esa persona desempeñe en la vida pública; en este caso, el interés preponderante del público debe basarse en razones concretas que ha de comprobar, en su caso, el órgano judicial (apartados 81 y 98 St. TJUE).

9) El resultado de la ponderación puede ser diferente según estemos ante un tratamiento realizado por un gestor de un motor de búsqueda o por el editor de la página web, ya que los intereses legítimos que justifican ese tratamiento pueden ser distintos y las consecuencias sobre el interesado pueden no ser las mismas: la inclusión, en la lista de resultados, puede constituir una injerencia mayor en el derecho fundamental al respeto de la vida privada del interesado que la publicación por el editor de esta página web (apartados 86 y 87 St. TJUE)

10) El derecho del interesado a que la información relativa a su persona ya no esté vinculado a su nombre por una lista de resultados obtenida tras una búsqueda a partir de su nombre, no presupone que la inclusión de esa información le cause un perjuicio (apartado 96 St. TJUE).

En resumen, de la sentencia se deduce la prevalencia del derecho a la protección de datos consagrado en el art. 8 de la Carta Europea de Derechos Fundamentales; este criterio ha sido confirmado recientemente en la St. TJUE de 11 de Diciembre de 2014, As. C- 212/13 , Franti?ek Ryne?/Úrad pro ochranu osobních údaju que, en sus apartados 28 y 29, afirma lo siguiente:

'28 A este respecto, procede hacer constar que, con arreglo a reiterada jurisprudencia, la protección del derecho fundamental a la vida privada, que garantiza el artículo 7 de la Carta de los Derechos Fundamentales de la Unión Europea, exige que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario (véanse las sentencias IPI, C_473/12, EU:C:2013:715, apartado 39, así como Digital Rights Ireland y otros, C_293/12 y C_594/12 , EU:C:2014:238, apartado 52).

29Teniendo en cuenta que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que puede vulnerar las libertades fundamentales y, en particular, el derecho a la intimidad o la protección de la vida privada, deben ser interpretadas a la luz de los derechos fundamentales recogidos en la citada Carta (véase la sentencia Google Spain y Google, EU:C:2014:317, apartado 68), la excepción prevista en el artículo 3, apartado 2, segundo guión, de dicha Directiva debe ser interpretada en sentido estricto'.

Ahora bien, esa prevalencia del derecho de oposición al tratamiento de los datos personales por su titular, sobre el interés legítimo del gestor del motor de búsqueda en la actividad que desarrolla, no es absoluta ni ajena a la situación personal concreta del reclamante, con la única salvedad de que la ley establezca otra cosa. Al igual que la protección del derecho fundamental al respeto de la vida privada, del que la protección de datos personales constituye una manifestación autónoma, las injerencias, o límites, en este derecho pueden venir justificadas cuando, previstas por la ley, constituyan una medida que en una sociedad democrática, sea necesaria para la salvaguarda de otros intereses, entre otros, la protección de los derechos y libertades de los demás, como reza el art. 8 del Convenio Europeo de Derechos Humanos de 4 de Noviembre de 1950 y como viene a reconocer, también, el art. 52.1 y 3 de la Carta.

El interesado puede, al amparo del artículo 12, letra b), de la Directiva 95/46/CE , obtener del responsable del tratamiento la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la Directiva, lo que conduce a comprobar si el tratamiento resulta o no legitimo con arreglo a los artículos 6 y 7, en relación con el artículo 13 de la Directiva 95/46/CE .

También puede invocar en determinados supuestos el derecho de oposición, previsto en el artículo 14, párrafo primero, letra a), al menos en los casos contemplados en las letras e) y f) del artículo 7 de la Directiva 95/46/CE , en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa.

Disposiciones ambas - artículos 12, letra b ), y 14, párrafo primero, letra a), de la Directiva- que tienen su reflejo en los derechos de oposición, rectificación y cancelación, regulados en los artículos 6.4 , 16 y 17 de la LOPD y en los artículos 31 a 36 de su Reglamento.

En esos casos, la tutela del derecho de oposición del reclamante exigirá la adecuada ponderación de los derechos e intereses en conflicto con el fin de establecer si el derecho a la protección de datos debe prevalecer sobre otros derechos e intereses legítimos, en atención a la concreta situación personal y particular de su titular o, lo que es lo mismo, 'por razones legítimas propias de su situación particular', conforme al artículo 14.1.a) de la Directiva y al artículo 6.4. LOPD . De modo que la oposición se encontrará justificada cuando las circunstancias que configuran 'la situación personal concreta' del interesado así lo determinen, ya sea por la naturaleza de la información y su carácter sensible para la vida privada del afectado, por la innecesariedad de los datos en relación con los fines para los que se recogieron o por el tiempo transcurrido, entre otras razones.

Ahora bien, con carácter previo a la concreta ponderación de intereses en juego merece ser destacado el papel que representa en la difusión de la información la actividad de los buscadores en internet y su distinción con el propio de los editores de los sitios web donde se publica la información.

En general, el tratamiento de datos personales efectuado por el gestor de un motor de búsqueda, ofreciendo una lista de resultados a partir de la búsqueda realizada con el nombre de una persona física, puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales, toda vez que dicho tratamiento permite a cualquier internauta obtener mediante la lista de resultados una visión estructurada de la información relativa a esta persona que puede hallarse en Internet, que afecta potencialmente a una multitud de aspectos de su vida privada, y puede establecer un perfil más o menos detallado de la persona de que se trate.

Además, el efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan Internet y los motores de búsqueda en la sociedad moderna, que confieren a la información contenida en tal lista de resultados carácter ubicuo (V. St. TJUE, apartado 45).

Sin embargo, ese tratamiento de datos personales consistente en la actividad de un motor de búsqueda, que se dirige a hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado o a partir del nombre de una persona, ha de reputarse lícito, cuando la información concernida y publicada en las páginas web, cuyos vínculos muestra el índice de resultados que ofrece a los internautas, ha sido objeto de publicación en tales sitios web lícitamente. En tal caso se advierte la presencia del interés legítimo del gestor del motor de búsqueda en prestar el servicio a los internautas que representa su actividad junto con otros intereses legítimos, cuya satisfacción persigue tal actividad, representados principalmente por el ejercicio de las libertades de expresión e información.

Por tanto, el gestor del motor de búsqueda facilita sensiblemente la accesibilidad a dicha información a cualquier internauta que lleve a cabo una búsqueda sobre el interesado y puede desempeñar un papel decisivo para su difusión, pero a su vez conlleva una injerencia mayor en el derecho fundamental al respeto de la vida privada del interesado que la mera publicación por el editor de esta información en su página web (V. st. TJUE apartado 87).

La consecuencia lógica es que quien ejercita el derecho de oposición ha de indicar ante el responsable del tratamiento, o ante la Agencia Española de Protección de Datos, que la búsqueda se ha realizado a partir de su nombre como persona física, indicar los resultados o enlaces obtenidos a través del buscador así como el contenido de la información que le afecta y que constituye un tratamiento de sus datos personales a la que se accede a través de dichos enlaces para que, de ese modo, tanto el responsable del tratamiento como la propia Agencia cuente con los elementos necesarios para llevar a cabo el juicio de ponderación a que se refiere la Sentencia del Tribunal de Luxemburgo; así se deduce también del art. 35 del Reglamento de la LOPD .

En el caso presente resulta que la denunciante, persona física, ejercitó ante Google Spain, S.L. sus derechos de oposición y cancelación, respecto de sus datos personales que aparecen en las páginas web que concreta en la denuncia, con referencia a la publicación del resultado de su participación en las pruebas convocadas en 2008 para acceder a la profesión de gestor administrativo y otra sobre solicitud de admisión a ciclos formativos de grado superior, que son recogidos en los hechos de la resolución recurrida; frente a este preciso contenido y el carácter sensible de la información para la denunciante, no se aprecia, ni se ha puesto de relieve por la demandante, la existencia de un interés que fundamente el rechazo de la solicitud del titular de los datos sino que, además, cabe apreciar que dicha información no resulta ya necesaria para los fines que inicialmente la justificaron, dada su naturaleza y el tiempo transcurrido.

UNDÉCIMO.-Costas

Por todas las razones anteriores procede desestimar el recurso y, en aplicación del art. 139.1. de la Ley de esta Jurisdicción , en su redacción aplicable a este recurso 'ratione temporis', no es de apreciar temeridad o mala en ninguna de las partes a efectos de imposición de costas.

Fallo

PRIMERO.-Desestimar el presente recurso nº 410/12, interpuesto por la Procuradora Dª. Gracia López Fernández, en la representación que ostenta, contra la Resolución del Director de la Agencia Española de Protección de Datos descrita en el primer Fundamento de Derecho que se confirma por ser conforme a derecho.

SEGUNDO.-No hacer expresa imposición de costas a ninguna de las partes.

La presente sentencia es susceptible de recurso de casación ante el Tribunal Supremo, que deberá prepararse ante esta Sala en el plazo de diez días, contados desde el siguiente a su notificación.

Así, por esta nuestra sentencia, testimonio de la cual se remitirá junto con el expediente administrativo a su oficina de origen para su ejecución, lo pronunciamos, mandamos y firmamos.

PUBLICACIÓN.-Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe. Madrid, a

LA SECRETARIA JUDICIAL