La hipocresía en la importancia de la Protección de Datos

Al hilo del asunto de #PRISM, cada vez más turbio y vergonzante para todos los estados implicados, leía un tweet de Jorge Campanillas que me recordaba una cosa a la que llevo tiempo dándole vueltas.

Es la hipocresía que se da alrededor de la protección de datos y el derecho a la intimidad de las personas.

No hace falta recordar que el Tribunal Constitucional señaló en su celebre sentencia 292/2000 la protección de Datos como un derecho fundamental y autónomo.

En cientos de ocasiones las resoluciones sancionadoras de la Agencia Española de Protección de Datos han destacado ese carácter de derecho fundamental como base para justificar la imposición de sanciones derivadas del incumplimiento del contenido de la Ley Orgánica 15/1999 de Protección de Datos.

Por supuesto que, no seré yo quien lo niegue, el derecho a gestionar nuestros datos de manera adecuada, sin intromisiones excesivas y sin que se perturbe nuestro derecho a disponer de ellos como queramos, es importante. 

Y estoy de acuerdo en que, dentro o de manera independiente al derecho a la intimidad, se exija su respeto.

Lo que me parece hipócrita es una regulación cuyo único fin no es tanto la preocupación por el respeto a un derecho fundamental como otros intereses.

Es hipócrita la regulación, en primer lugar, y como se ha dicho en ocasiones, por que establece el centro de la protección de datos en función del lugar de tratamiento y no de la nacionalidad de los interesados, de las personas cuyos derechos fundamentales se ven afectados.

Si tan importante es el derecho a la protección de datos personales lo lógico es que obliguen a las empresas que tratan mis datos a que cumplan la ley, traten los datos donde los traten.

Además esto no sólo es contradictorio con esa visión de derecho fundamental, sino que ha fomentado el desarrollo de empresas cuyo negocio es el tratamiento de datos lejos de países de la UE, generando un problema de competitividad evidente.

 

Y en segundo lugar porque el legislador, que no es tonto, establece sanciones por el incumplimiento de la norma, pero ojo, no para las administraciones públicas, no, sólo para los ficheros mantenidos por el sector privado (lo que insólitamente incluye a ciudadanos particulares en ciertos actos).

Es decir, que si usted tiene una clínica privada y pierde unos expedientes, pagará una cuantiosa multa. Ahora bien, si es usted un hospital público y pierde los mismos expediente... pues un apercibimiento y poco más.

Es lógico que pensemos que no tiene sentido que las administraciones públicas se paguen sanciones a sí mismas, al final el dinero es de todos. Y tiene cierto sentido el argumento.

Pero lo que no tiene sentido es que, si estamos ante un derecho tan importante, tan protegible y tan reconocido, la administración no actúe de alguna manera. Porque cuando una administración es apercibida tras un procedimiento de la Agencia Española de Protección de Datos tampoco hace nada.

Si se comunican los datos médicos de un hospital público, por ejemplo, parece claro que se vulnera el derecho a la intimidad de los pacientes. ¿Y qué puede hacer la administración?

Pues es tan sencillo como iniciar un procedimiento de responsabilidad patrimonial, así se establece en el artículo 139 de la Ley 30/1992:

"1. Los particulares tendrán derecho a ser indemnizados por las Administraciones Públicas correspondientes, de toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento normal o anormal de los servicios públicos."

Es decir, que la administración que pierde un número de expedientes está en condiciones de saber qué expedientes se han perdido y a qué ciudadanos se ha afectado. Y si se ha lesionado un derecho fundamental, pues lo lógico es que se reconozca.

Generalmente, cuando suceden este tipo de supuestos no se hace pública la identidad de los afectados, estos no se enteran, no reclaman y la administración sale indemne.

Si observamos la normativa, veremos que es posible el inicio de actuaciones de responsabilidad patrimonial de oficio. Así el artículo 5 del Real Decreto 494/1993 establece que:

"1. Cuando el órgano competente para iniciar el procedimiento de responsabilidad patrimonial entienda que se han producido lesiones en los bienes y derechos de los particulares en los términos previstos en el artículo 2 de este Reglamento iniciará el procedimiento regulado en este capítulo.

2. La iniciación de oficio del procedimiento se efectuará siempre por acuerdo del órgano competente, adoptado bien por propia iniciativa, bien como consecuencia de orden superior, petición razonada de otros órganos o por denuncia.
La petición razonada de otros órganos para la iniciación de oficio del procedimiento deberá individualizar la lesión producida en una persona o grupo de personas, su relación de causalidad con el funcionamiento del servicio público, su evaluación económica si fuera posible, y el momento en que la lesión efectivamente se produjo.
3. El acuerdo de iniciación del procedimiento se notificará a los particulares presuntamente lesionados, concediéndoles un plazo de siete días para que aporten cuantas alegaciones, documentos o información estimen conveniente a su derecho y propongan cuantas pruebas sean pertinentes para el reconocimiento del mismo.
El procedimiento iniciado se instruirá aunque los particulares presuntamente lesionados no se personen en el plazo establecido."

Observen lo destacado del artículo 5, no sólo la administración afectada (y apercibida por la Agencia de Protección de Datos) puede hacer algo para resarcir la lesión del interesado, la propia Agencia puede instar la iniciación del procedimiento de forma que el daño que hayan sufrido los ciudadanos sea compensado. Y eso también es hipócrita.

Pero claro, administraciones denunciando a administraciones para que indemnicen a ciudadanos sería "poco serio". De hecho si buscan en la web de la Agencia de Protección de Datos no hay ningún resultado que lleve a una mención al Real Decreto 429/1993 (usando google tampoco).

Por ejemplo, si buscamos resoluciones destacadas de Administraciones Públicas en la web de la Agencia, veremos ejemplos de todo tipo en los que se declara que la administración X ha incumplido los artículos A y B de la LOPD, constituyendo una infracción grave, pero sin más.

 

¿No sería más coherente con esa visión de derecho fundamental que, aunque sea de vez en cuando, se instase por parte de la Administración afectada o de la propia Agencia un expediente de responsabilidad patrimonial?

Al menos algunos, ante ciertas sanciones al sector privado pensaríamos que hay un verdadero interés por lo que se hace con nuestros datos y no algo de afán recaudatorio.

Troyanos e Investigación remota de equipos informáticos, cuestiones constitucionales

La posibilidad de instalar en los ordenadores y equipos informáticos de los investigados prevista en el Anteproyecto de Código Procesal Penal (CPP) ha generado mucho revuelo.

A pesar de que creo que el aspecto más importante, en lo que a los delitos por internet se refiere, es el de la "derogación" de la Ley de Conservación de Datos, como comenté, es cierto que esta medida que tanta atención mediática ha despertado tiene algunos aspectos que merecen ser comentados, en particular por el encaje constitucional que la misma puede tener.

Lo que es indiscutible es que la medida, el poder acceder al contenido íntegro de un ordenador (o equipo informático o de un instrumento de almacenamiento de datos, etc.) de un sospechoso, supone una intromisión en la intimidad de la persona, y por lo tanto los derechos reconocidos en el artículo 18 de la Constitución, básicamente, se ven afectados.

Ahora bien, los derechos, aunque sean fundamentales, no son absolutos y pueden ceder cuando colisionen con otros que deban prevalecer en atención a razones de interés público.

Así, no se discute la intervención en un domicilio en el marco de la investigación de un delito, por ejemplo. De hecho es en la propia constitución donde se consagra este derecho y las condiciones para su limitación:

"2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito."

Se trata de realizar un juicio de proporcionalidad en el que se valore si la medida lesiva de los derechos de la persona presenta un conflicto y en qué medida, proporcional al fin perseguido, se puede admitir.

Así en este caso, el artículo 350 del CPP indica que esta medida se podrá autorizar tras petición razonada del Ministerio Fiscal para investigar un delito de especial gravedad y sea idónea y necesaria para esclarecer el hecho investigado, al autor o el paradero de este.

Como se ve esta medida no se debe admitir para cualquier delito (y no como se está diciendo para delitos a partir de 3 años), sino que se prevé sólo para los delitos "especialmente graves". El problema es que este concepto no está perfectamente definido en nuestra legislación penal.

Los tipos de delitos, según el Código Penal, artículo 13 son:

"1. Son delitos graves las infracciones que la Ley castiga con pena grave.

2. Son delitos menos graves las infracciones que la Ley castiga con pena menos grave.

3. Son faltas las infracciones que la Ley castiga con pena leve."

Y son penas graves las que tienen como castigo, entre otras cosas, la pena de prisión superior a 5 años (art. 33 CP).

Por lo tanto, el hecho de que se definan como especialmente graves nos debe situar, siempre y en todo caso por encima de esos 5 años como pena del delito aplicable.

A mi juicio, esta gravedad especial que exige el texto del proyecto debería concretarse con el fin de no tener un espacio de indeterminación, ya sea indicando los delitos concretos en los que la medida es admisible o bien fijando la pena en abstracto del tipo a partir de la cual se podría adoptar.

Si bien la medida considerada como "inspeccionar remotamente un equipo informático" puede ser constitucional (también se admiten las grabaciones, instalación de micrófonos, etc.) siempre que haya autorización y control judicial no puede llevarse a cabo de cualquier manera ni usando cualesquiera medios.

Así, según la redacción, a mi juicio no sería aceptable la instalación de cualquier spyware, como un keylogger o un programa que esté continuamente instalado puesto que el objeto de la medida es:

"[...] el examen a distancia y sin conocimiento de su titular o usuario del contenido de un ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento masivo de datos informáticos o base de datos [...]"

Es decir que la misma estaría limitada temporalmente a obtener una copia de los archivos, de hecho el 350.2 al regular los requisitos que debe especificar la resolución de autorización de la medida señala:

"El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los datos o archivos informáticos relevantes para la causa y el software mediante el que se ejecutará el control de la información"

Una instalación permanente de un software que recopile datos y archivos durante un periodo de tiempo no sería legítimo. Entiendo que la medida debería ser "similar/equiparable" a la entrada y registro domiciliario con el fin de obtener documentos, no someter a un escaneo constante la actividad del investigado.

Mucho menos instalar un keylogger que remita a la policía las pulsaciones del teclado o movimientos del ratón del usuario.

De no hacerse así difícilmente se salvaría el que la medida pudiera llegar a ser considerada como una limitación individual del derecho al secreto de las comunicaciones del artículo 18.2 CE, limitación que está prohibida por la Constitución en el artículo 55.2.

Este artículo 55 obliga a que si se limita este derecho, al igual que la inviolabilidad domiciliaria, se haga mediante Ley Orgánica con intervención judicial y control parlamentario, pero además sólo "en relación con investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas."

Esta mención a ciertos delitos también debería dar una idea de cuando procede la adopción de la medida.

Además mantener el software más tiempo del necesario para hacer una mera copia podría afectar a los derechos de terceros usuarios de ese equipo que no sean objeto de investigación o no tengan ninguna relación con los hechos, por lo que se produciría una extralimitación de la autorización.

Por lo tanto, a mi juicio, la medida puede ser constitucional, pero siempre que se aplique con las limitaciones expuestas, y que para que no haya dudas deberían recogerse en el texto con todo detalle.

Otro de los problemas que se plantea es con el almacenamiento sincronizado en servidores remotos, ya que el CPP señala que cuando los datos estén en servidores en el extranjero se debe hacer "instando medidas de cooperación internacional". ¿Como afectaría esto a servicios "en la nube"?

Vistas las noticias, se ve que al menos con los servicios radicados en Estados Unidos, no hay ningún problema, tienen acceso total...

El Código Procesal Penal: Todo lo que haces en internet se registra y puede ser usado en tu contra

Se ha dado a conocer una nueva versión del Código Procesal Penal (CPP) (pdf), que sustituirá a la Ley de Enjuiciamiento Criminal, y entre otras medidas establece un régimen para la entrega de los datos que identifican a una dirección IP.

Como ya he comentado en varias ocasiones, hasta este momento este aspecto se regula por el contenido de la Ley 25/2007 de Conservación de Datos, que establece que se deben recoger los datos generados por las comunicaciones electrónicas (entre ellos la identificación de la IP) y sólo se pueden ceder, previa autorización judicial, en los casos de delitos graves, es decir aquellos en los que la pena es superior a 5 años.

Pero ello dejaba fuera delitos como las injurias, amenazas, etc. cuya pena en abstracto, lo máximo que señala el tipo, es menor a esos 5 años.

Ahora, la propuesta de CPP señala que:

Artículo 311 Identificación mediante número IP
1. - Cuando en el ejercicio de las funciones de prevención y descubrimiento de los delitos cometidos en internet, los agentes de Policía tuvieran acceso a una dirección IP correspondiente a un terminal que estuviera siendo utilizado para la comisión de alguno de los delitos a que se refiere el artículo 295 y no constara la localización del equipo ni los datos de identificación personal del usuario, lo pondrán en conocimiento del Fiscal.
2.- A la vista de la naturaleza de los hechos y siempre que resultare procedente, el Fiscal solicitará del Tribunal de Garantías que requiera de la operadora la cesión de los datos que permitan la localización del terminal y la identificación del sospechoso.

Los supuestos a los que se refiere en el artículo 295 son todos los que se pueden cometer mediante un servicio de la sociedad de la información, pues no sólo se incluyen alquellos con pena de 3 años, sino que expresamente se indica:

"3- delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la telecomunicación."

Es decir, todos los delitos informáticos y cometidos en internet, tengan la pena que tengan asociada.

Hay que recordar que se están recabando los datos por el mero hecho de la comunicación, sin necesidad de indicio de ningún tipo, razón por la que las leyes de conservación de datos y la propia Directiva están siendo objeto de impugnaciones por toda Europa, salvo en España, donde con esta norma vamos mucho más allá de lo que se hace en nuestro entorno.

Tiene gracia que en la exposición de motivos, a este respecto, se diga que:

"La jurisprudencia del Tribunal Supremo ya consolidada sobre esta materia inspira las soluciones que ofrece el texto legal."

Veremos si la propia Directiva no se declara contraria al Convenio Europeo de Derechos Humanos y entonces tenemos un problema aún mayor.

Por lo tanto, de seguir así con esta redacción estaremos ante la derogación de la Ley de Conservación de Datos y el fin del ámbito de impunidad que existía para los delitos en internet, pero eso sí, a costa de sacrificar otros derechos fundamentales.

A esto hay que añadir que la Ley Lassalle incluye para procesos civiles en el caso de propiedad intelectual (pero que se ampliará con el tiempo) las mismas previsiones sobre entregar la IP.

Por lo tanto, ya sabes que todo lo que haces en internet se registra y puede ser usado en tu contra.

Primero defendieron la retención y conservación de todos los datos generados, pero para que eso fuese aceptable aseguraron que sólo se haría para supuestos específicos y muy graves (terrorismo, crimen organizado, etc.). Pasado ese momento, cuando ya nadie presta atención se hace para cualquier supuesto y así llegamos a 1984, pero no el año, sino la novela de Orwell.

El Código Gallardón para terminar con los chips para consolas (y otros efectos secundarios)

La modificación del Código Penal que propone Gallardón estrecha el cerco contra los chips para consolas, incluso la mera tenencia sería delito, pero puede tener efectos muy negativos incluso en el software libre.

Siguiendo con el anterior post sobre las novedades que plantea el anteproyecto de reforma del Código Penal en materia de delitos contra la propiedad intelectual, como comenté, no sólo las páginas de enlaces son las grandes perjudicadas (si atendemos a que su actividad pasa de estar despenalizada a constituir un delito) también los importadores y distribuidores de chips para consolas verán su actividad perseguida con nuevas armas.

Ahora, el Código Penal estable en su artículo 270.3 que:

"Será castigado también con la misma pena quien fabrique, importe, ponga en circulación o tenga cualquier medio específicamente destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo."

Los jueces de lo penal, que cuando el tipo penal es claro no se apartan mucho de su literal, han venido estableciendo en reiteradas resoluciones que, en la medida en que los chips admiten otras muchas funcionalidades, no puede constituir un delito por no cumplirse ese requisito de estar "específicamente" destinado.

Por ejemplo, el Auto del Juzgado de Instrucción nº 2 de Lugo de 28 de diciembre de 2012:

"Habida cuenta de que no obran en autos elementos que acrediten la especifidad técnica de los dispositivos como elemento del tipo del art. 270.3 del Código Penal, procede el sobreseimiento."

Esto ha hecho que existan múltiples tiendas y negocios de este tipo de dispositivos que extienden las funcionalidades de las consolas como por ejemplo servir para navegar por internet, usar emuladores de otros dispositivos, y también, por supuesto jugar a juegos de la propia consola saltándose las medidas de restricción de los juegos de la compañía.

Con el fin de evitar estas resoluciones la solución era clara, cambiar el tipo penal de tal forma que el requisito de la especificidad se sustituyese por otro.

Así, en la propuesta que ha elaborado el gobierno (pdf) podemos ver que se le da al artículo, que ocuparía el apartado 4, una redacción diferente, en concreto:

"Será castigado también con una pena de prisión de seis meses a tres años quien fabrique, importe, ponga en circulación o tenga cualquier medio principalmente concebido, producido, adaptado o realizado para facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador o cualquiera de las otras obras, interpretaciones o ejecuciones en los términos previstos en el apartado 1 de este artículo"

Como se ve, ya no es necesario el destino específico si no que la clave es que facilite la supresión, sin permiso, o la neutralización de cualquier tipo de dispositivo. Ello implica incluso el software, es decir, cualquier DRM está protegido penalmente.

Esto no casaría bien con el principio de ultima ratio del derecho penal, puesto que estos sistemas ya están protegidos suficentemente por la Ley de Propiedad Intelectual en su artículo 160.

Vemos, al igual que en el caso de las webs de enlaces, como se opta por la represión por la vía más fuerte, la penal, a pesar de existir soluciones jurídicas suficientes en el resto del ordenamiento, en particular en la vía civil.

El problema no afecta sólo a los chips para consolas, el problema será también para los desarrolladores de software que buscan la interoperabilidad entre sistemas para lo que en ocasiones es necesario saltarse ciertas medidas de protección.

¿Y qué pasaría con sistemas como UEFI y la carga de sistemas operativos que no cuenten con los permisos para instalarse? En este momento el problema parece resuelto, pero y si los fabricantes no quieren permitir que se instale cierto software, ¿es legítimo que decidan qué se puede y que no instalar en algo que he comprado yo?

¿Puede un fabricante de hardware impedirme instalar un sistema operativo, vía firmware, en mi equipo? ¿Tiene sentido que eso sea delito?

Aquí está en juego la libertad para usar un hardware que se ha comprado y pagado para cualquier propósito o sólo para lo que la empresa vendedora quiere.

Esta redacción propuesta genera toda una serie de problemas para los desarrolladores de software que deberían plantearse antes de su aprobación, en la que parece que sólo se ha escuchado a una parte de la industria de los videojuegos, pero cuyos efectos pueden sentirse en especial en el mundo del software libre.

Recordemos el caso de DeCSS para poder ver DVD en Linux...

Notas curiosas de la Sentencia del Supremo en el caso contra Google por enlazar noticias

El Tribunal Supremo ha dado a conocer la Sentencia 144/2013 (pdf) por la que se absuelve al buscador de una demanda contra el derecho al honor de un periodista. Era el caso Graciano-Palomo contra Google.

El Supremo analiza algunas de la cuestiones para la aplicación de la exención de responsabilidad a intermediarios del artículo 17, es decir de los prestadores de servicios de enlaces frente a la denunciada intromisión ilegítima en el honor del demandante por la difusión que se hacía por el buscador al indexar noticias que relacionaban al periodista con la operación "Malaya".

El compañero Jorge Campanillas ha hecho un interesante comentario de la sentencia, al que poco más puedo añadir.

Sí que hay algunas peculiaridades que lo hacen interesante, empezando porque el demandante dirige su acción contra el buscador y también contra el que era presidente de la compañía Eric Schmidt en el momento de interponerse la demanda.

El dirigirse contra el presidente de la compañía se justificaba por la aplicación del artículo 65 de la Ley de Prensa. Esta norma establece la responsabilidad solidaria, entre otros, del editor del medio:

"La responsabilidad civil por actos u omisiones ilícitos, no punibles, será exigible a los autores, directores, editores, impresores e importadores o distribuidores de impresos extranjeros, con carácter solidario."

Frente a esto Google alegó que había falta de legitimación pasiva respecto del presidente y de la propia Google Inc. puesto que no pueden equipararse a un editor de publicaciones la actividad que desarrolla.

Para el juzgado de 1ª Instancia de Madrid que vio el asunto estaba claro que no era una cuestión contra

"los autores de los artículos que el demandante considera ilícitos sino contra Google puesto que al entrar en la página de la que es titular y buscar con términos "graciano palomo" aparecen directamente los artículos de contenido lesivo, permitiendo y facilitando la difusión de los mismos. Pues bien, debe examinarse la responsabilidad de Google Inc. como facilitadora o intermediaria de una información que la parte actora considera que atenta contra su honor".

El juzgado de instancia recuperó la sentencia de la AP de Madrid de 10 de diciembre de 2005 para entender que 

"[...] el prestador de servicios no es equiparable al editor porque es un mero distribuidor de la información. En este caso, y como se ha puesto de manifiesto Google se limita a proporcionar enlaces a páginas web, por lo que no participa en ningún caso en la elaboración de la información incluida en las páginas web cuyos enlaces incluye en los resultados de la búsqueda ni el director ejecutivo interviene en la redacción de las noticias incluidas en los resultados de las búsquedas ni en la selección de los contenidos a los que se remiten los enlaces."

Por lo tanto no hay margen de responsabilidad solidaria que explorar por esa vía, confirmando la

Otra cuestión interesante es que el demandante dice que a Google no le es de aplicación la LSSICE porque no tiene su domicilio en España. Esta alegación se rechaza porque:

"[...] el artículo 2.2 de la LSSI declara que resulta de aplicación la citada Ley cuando la sociedad, aunque no tenga su domicilio en España, opera mediante establecimiento permanente en España entendiendo que existe establecimiento permanente cuando disponga en España, de forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad. En este caso, según resulta incluso de la documentación aportada por la actora para facilitar el emplazamiento de la demandada, se deduce que si bien Google Inc. no tiene el domicilio social en España, sino en California (Estados Unidos) opera en España mediante una oficina permanente de ventas sita en la Torre Picasso, Plaza Pablo Ruiz Picasso planta 26, de Madrid (lugar en el que se hizo el emplazamiento) y además actúa en España mediante una entidad filial, Google Spain S.L. cuyo único socio fundador es Google Inc. teniendo su domicilio social en Barcelona."

La Audiencia Provincial de Madrid confirmó la existencia que Google Inc opera en España mediante establecimiento permanente.

Google combatió el emplazamiento realizado mediante varios escritos afirmando en todo momento que no tenía un establecimiento permanente en España. Esto es muy importante, pues como se ha señalado en varias ocasiones es uno de los caballos de batalla del buscador para que no le sean de aplicación las normas españolas y europeas a su actividad, en concreto la Ley Orgánica de Protección de Datos.

Esto no es lo mismo que en el Caso Alfaques, y que haya un pronunciamiento contradictorio, es que allí se demandó a Google Spain y no a Google Inc.

El Tribunal Supremo mantiene que Google Inc. tiene una oficina de ventas en España y por lo tanto le es de aplicación la LSSICE, para las exclusiones de responsabilidad;

"[...] la aplicación de la LSSICE al caso es correcta al constar acreditado en el procedimiento que la demandada Google Inc. dispone conforme al artículo 2 de la LSSICE de una oficina de ventas en España, según su propia información corporativa disponible, concepto que ha de encuadrarse en el supuesto de domicilio fuera de España, pero con disponibilidad de «forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad."

Sin embargo, que esto sea así no debe afectar a la aplicabilidad de la LOPD a Google ya que el ámbito de aplicación de esta norma se define por el artículo 2.1.c):

"Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito."

Que Google tenga una oficina de ventas en España no significa que trate datos con medios situados aquí, si bien si debería servir para la aplicación del resto del ordenamiento.

Para las cuestiones sobre el fondo del fallo y el conocimiento efectivo recomiendo, nuevamente, leer el post de Jorge Campanillas.

Decir únicamente que el administrador de un sitio web se convierte, como ya era evidente con el resto de sentencias del Tribunal Supremo que se han ido conociendo, en una especie de juzgador cuando se produzca una solicitud de retirada por parte del interesado.

Y no siempre el administrador de la web está en disposición de valorar si procede retirar o no el contenido.