El Tribunal de Justicia determina el alcance territorial del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 24 de septiembre de 2019 (*)

«Procedimiento prejudicial — Datos personales — Protección de las personas físicas en lo que respecta al tratamiento de estos datos — Directiva 95/46/CE — Reglamento (UE) 2016/679 — Motores de búsqueda en Internet — Tratamiento de los datos que figuran en páginas web — Alcance territorial del derecho a la retirada de enlaces»

En el asunto C-507/17, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia), mediante resolución de 19 de julio de 2017, recibida en el Tribunal de Justicia el 21 de agosto de 2017, en el procedimiento entre

Google LLC, que se ha subrogado en los derechos de Google Inc., y Commission nationale de l’informatique et des libertés (CNIL), con intervención de:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press y otros,

Article 19 y otros,

Internet Freedom Foundation y otros,

Défenseur des droits,

EL TRIBUNAL DE JUSTICIA (Gran Sala),

integrado por el Sr. K. Lenaerts, Presidente, los Sres. A. Arabadjiev, E. Regan y T. von Danwitz, la Sra. C. Toader y el Sr. F. Biltgen, Presidentes de Sala, y los Sres. M. Ilešič (Ponente), L. Bay Larsen, M. Safjan, D. Šváby, C.G. Fernlund, C. Vajda y S. Rodin, Jueces;

Abogado General: Sr. M. Szpunar;

Secretario: Sra. V. Giacobbo-Peyronnel, administradora;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 11 de septiembre de 2018;

consideradas las observaciones presentadas:

–        en nombre de Google LLC, por los Sres. P. Spinosi, Y. Pelosi y W. Maxwell, avocats;

–        en nombre de la Commission nationale de l’informatique et des libertés (CNIL), por la Sra. I. Falque-Pierrotin y los Sres. J. Lessi y G. Le Grand, en calidad de agentes;

–        en nombre de Wikimedia Foundation Inc., por la Sra. C. Rameix-Seguin, avocate;

–        en nombre de la Fondation pour la liberté de la presse, por el Sr. T. Haas, avocat;

–        en nombre de Microsoft Corp., por el Sr. E. Piwnica, avocat;

–        en nombre de Reporters Committee for Freedom of the Press y otros, por el Sr. F. Louis, avocat, y los Sres. H.-G. Kamann, C. Schwedler y M. Braun, Rechtsanwälte;

–        en nombre de Article 19 y otros, por el Sr. G. Tapie, avocat, el Sr. G. Facenna, QC, y el Sr. E. Metcalfe, Barrister;

–        en nombre de Internet Freedom Foundation y otros, por el Sr. T. Haas, avocat;

–        en nombre del Défenseur des droits, por el Sr. J. Toubon, en calidad de agente;

–        en nombre del Gobierno francés, por los Sres. D. Colas y R. Coesme y las Sras. E. de Moustier y S. Ghiandoni, en calidad de agentes;

–        en nombre de Irlanda, por las Sras. M. Browne, G. Hodge y J. Quaney y el Sr. A. Joyce, en calidad de agentes, asistidos por la Sra. M. Gray, BL;

–        en nombre del Gobierno helénico, por las Sras. E.-M. Mamouna, G. Papadaki, E. Zisi y S. Papaioannou, en calidad de agentes;

–        en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. R. Guizzi, avvocato dello Stato;

–        en nombre del Gobierno austriaco, por los Sres. G. Eberhard y G. Kunnert, en calidad de agentes;

–        en nombre del Gobierno polaco, por el Sr. B. Majczyna y las Sras. M. Pawlicka y J. Sawicka, en calidad de agentes;

–        en nombre de la Comisión Europea, por los Sres. A. Buchet, H. Kranenborg y D. Nardi, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 10 de enero de 2019;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

2        Esta petición se ha presentado en el contexto de un litigio entre Google LLC, que se ha subrogado en los derechos de Google Inc., y la Commission nationale de l’informatique et des libertés (CNIL) (Comisión Nacional de Informática y Libertades, Francia), en relación con una sanción de 100 000 euros impuesta por esta última a Google, debido a la negativa de esta sociedad, tras estimar una solicitud de retirada de enlaces de una lista de resultados, a proceder a tal retirada en todas las extensiones de nombre de dominio de su motor de búsqueda.

 Marco jurídico

 Derecho de la Unión

 Directiva 95/46

3        La Directiva 95/46 tiene por objeto, según su artículo 1, apartado 1, la protección de las libertades y de los derechos fundamentales de las personas físicas, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales, y la eliminación de los obstáculos a la libre circulación de estos datos.

4        Los considerandos 2, 7, 10, 18, 20 y 37 de la Directiva 95/46 tienen el siguiente enunciado:

«(2)      Considerando que los sistemas de tratamiento de datos están al servicio del hombre; que deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al […] bienestar de los individuos;

[…]

(7)      Considerando que las diferencias entre los niveles de protección de los derechos y libertades de las personas y, en particular, de la intimidad, garantizados en los Estados miembros por lo que respecta al tratamiento de datos personales, pueden impedir la transmisión de dichos datos del territorio de un Estado miembro al de otro; que, por lo tanto, estas diferencias pueden constituir un obstáculo para el ejercicio de una serie de actividades económicas a escala comunitaria […];

[…]

(10)      Considerando que las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, [hecho en Roma el 4 de noviembre de 1950,] así como en los principios generales del Derecho comunitario; que, por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

[…]

(18)      Considerando que, para evitar que una persona sea excluida de la protección garantizada por la presente Directiva, es necesario que todo tratamiento de datos personales efectuado en la Comunidad respete la legislación de uno de sus Estados miembros […];

[…]

(20)      Considerando que el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas contemplada en la presente Directiva; que en estos casos el tratamiento de datos debe regirse por la legislación del Estado miembro en el que se ubiquen los medios utilizados y deben adoptarse garantías para que se respeten en la práctica los derechos y obligaciones contempladas en la presente Directiva;

[…]

(37)      Considerando que para el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria, en particular en el sector audiovisual, deben preverse excepciones o restricciones de determinadas disposiciones de la presente Directiva siempre que resulten necesarias para conciliar los derechos fundamentales de la persona con la libertad de expresión y, en particular, la libertad de recibir o comunicar informaciones, tal y como se garantiza en el artículo 10 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales; que por lo tanto, para ponderar estos derechos fundamentales, corresponde a los Estados miembros prever las excepciones y las restricciones necesarias en lo relativo a las medidas generales sobre la legalidad del tratamiento de datos […]».

5        El artículo 2 de esta Directiva dispone que:

«A efectos de la presente Directiva, se entenderá por:

a)      “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”) […];

b)      “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

d)      “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que solo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales […]

[…]».

6        El artículo 4 de dicha Directiva, titulado «Derecho nacional aplicable», establece:

«1.      Los Estados miembros aplicarán las disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando:

a)      el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable;

b)      el responsable del tratamiento no esté establecido en el territorio del Estado miembro, sino en un lugar en que se aplica su legislación nacional en virtud del Derecho internacional público;

c)      el responsable del tratamiento no esté establecido en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la [Comunidad].

2.      En el caso mencionado en la letra c) del apartado 1, el responsable del tratamiento deberá designar un representante establecido en el territorio de dicho Estado miembro, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento.»

7        El artículo 9 de la Directiva 95/46, titulado «Tratamiento de datos personales y libertad de expresión», preceptúa:

«En lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria, los Estados miembros establecerán, respecto de las disposiciones del presente capítulo, del capítulo IV y del capítulo VI, exenciones y excepciones solo en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión.»

8        El artículo 12 de esta Directiva, titulado «Derecho de acceso», establece:

«Los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento:

[…]

b)      en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos;

[…]».

9        El artículo 14 de dicha Directiva, titulado «Derecho de oposición del interesado», dispone:

«Los Estados miembros reconocerán al interesado el derecho a:

a)      oponerse, al menos en los casos contemplados en las letras e) y f) del artículo 7, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable no podrá referirse ya a esos datos;

[…]».

10      El artículo 24 de la Directiva 95/46, titulado «Sanciones», establece:

«Los Estados miembros adoptarán las medidas adecuadas para garantizar la plena aplicación de las disposiciones de la presente Directiva y determinarán, en particular, las sanciones que deben aplicarse en caso de incumplimiento de las disposiciones adoptadas en ejecución de la presente Directiva.»

11      El artículo 28 de esta Directiva, titulado «Autoridad de control», está redactado en los siguientes términos:

«1.      Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

[…]

3.      La autoridad de control dispondrá, en particular, de:

–      poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control;

–      poderes efectivos de intervención, como, por ejemplo, el de […] ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento […];

[…]

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4.      Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

[…]

6.      Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

Las autoridades de control cooperarán entre sí en la medida necesaria para el cumplimiento de sus funciones, en particular mediante el intercambio de información que estimen útil.

[…]»

 Reglamento (UE) 2016/679

12      El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos) (DO 2016, L 119, p. 1; corrección de errores en el DO 2018, L 127, p. 3), que se basa en el artículo 16 TFUE, es aplicable, de conformidad con su artículo 99, apartado 2, a partir del 25 de mayo de 2018. El artículo 94, apartado 1, de este Reglamento deroga la Directiva 95/46 con efecto a partir de esa misma fecha.

13      Los considerandos 1, 4, 9 a 11, 13, 22 a 25 y 65 de dicho Reglamento tienen el siguiente enunciado:

«(1)      La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental. El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (“la Carta”) y el artículo 16 [TFUE], apartado 1, establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

[…]

(4)      El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, […] la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa […].

[…]

(9)      […] la Directiva 95/46 […] no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada […]. Las diferencias en el nivel de protección […] en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión […].

(10)      Para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, el nivel de protección de los derechos y libertades de las personas físicas por lo que se refiere al tratamiento de dichos datos debe ser equivalente en todos los Estados miembros. […]

(11)      La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.

[…]

(13)      Para garantizar un nivel coherente de protección de las personas físicas en toda la Unión y evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior, es necesario un reglamento que proporcione seguridad jurídica y transparencia a los operadores económicos […] y ofrezca a las personas físicas de todos los Estados miembros el mismo nivel de derechos y obligaciones exigibles y de responsabilidades para los responsables y encargados del tratamiento, con el fin de garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, así como la cooperación efectiva entre las autoridades de control de los diferentes Estados miembros. El buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. […]

[…]

(22)      Todo tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de que el tratamiento tenga lugar en la Unión. […]

(23)      Con el fin de garantizar que las personas físicas no se vean privadas de la protección a la que tienen derecho en virtud del presente Reglamento, el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago. Para determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. […]

(24)      El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en [Internet], inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre [ella] o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

(25)      Cuando sea de aplicación el Derecho de los Estados miembros en virtud del Derecho internacional público, el presente Reglamento debe aplicarse también a todo responsable del tratamiento no establecido en la Unión, como en una misión diplomática u oficina consular de un Estado miembro.

[…]

(65)      Los interesados deben tener […] un “derecho al olvido” si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. […] Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información […]».

14      El artículo 3 del Reglamento 2016/679, titulado «Ámbito territorial», está redactado en los siguientes términos:

«1.      El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.      El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:

a)      la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o

b)      el control de su comportamiento, en la medida en que este tenga lugar en la Unión.

3.      El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.»

15      El artículo 4, punto 23, de este Reglamento define el concepto de «tratamiento transfronterizo» del siguiente modo:

«a)      el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b)      el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro».

16      El artículo 17 de dicho Reglamento, titulado «Derecho de supresión (“el derecho al olvido”)», está redactado en los siguientes términos:

«1.      El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a)      los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b)      el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c)      el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d)      los datos personales hayan sido tratados ilícitamente;

e)      los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f)      los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

[…]

3.      Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a)      para ejercer el derecho a la libertad de expresión e información;

[…]».

17      El artículo 21 del mismo Reglamento, titulado «Derecho de oposición», establece en su apartado 1:

«El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.»

18      El artículo 55 del Reglamento 2016/679, titulado «Competencia», que forma parte del capítulo VI de este Reglamento, titulado a su vez «Autoridades de control independientes», dispone en su apartado 1:

«Cada autoridad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento en el territorio de su Estado miembro.»

19      El artículo 56 de dicho Reglamento, titulado «Competencia de la autoridad de control principal», preceptúa:

«1.      Sin perjuicio de lo dispuesto en el artículo 55, la autoridad de control del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento será competente para actuar como autoridad de control principal para el tratamiento transfronterizo realizado por parte de dicho responsable o encargado con arreglo al procedimiento establecido en el artículo 60.

2.      No obstante lo dispuesto en el apartado 1, cada autoridad de control será competente para tratar una reclamación que le sea presentada o una posible infracción del presente Reglamento, en caso de que se refiera únicamente a un establecimiento situado en su Estado miembro o únicamente afecte de manera sustancial a interesados en su Estado miembro.

3.      En los casos a que se refiere el apartado 2 del presente artículo, la autoridad de control informará sin dilación al respecto a la autoridad de control principal. En el plazo de tres semanas después de haber sido informada, la autoridad de control principal decidirá si tratará o no el caso de conformidad con el procedimiento establecido en el artículo 60, teniendo presente si existe un establecimiento del responsable o encargado del tratamiento en el Estado miembro de la autoridad de control que le haya informado.

4.      En caso de que la autoridad de control principal decida tratar el caso, se aplicará el procedimiento establecido en el artículo 60. La autoridad de control que haya informado a la autoridad de control principal podrá presentarle un proyecto de decisión. La autoridad de control principal tendrá en cuenta en la mayor medida posible dicho proyecto al preparar el proyecto de decisión a que se refiere el artículo 60, apartado 3.

5.      En caso de que la autoridad de control principal decida no tratar el caso, la autoridad de control que le haya informado lo tratará con arreglo a los artículos 61 y 62.

6.      La autoridad de control principal será el único interlocutor del responsable o del encargado en relación con el tratamiento transfronterizo realizado por dicho responsable o encargado.»

20      El artículo 58 del mismo Reglamento, titulado «Poderes», establece en su apartado 2:

«Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:

[…]

g)      ordenar la […] supresión de datos personales con arreglo a los artículos […] 17 […];

[…]

i)      imponer una multa administrativa […] además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

[…]».

21      En el capítulo VII del Reglamento 2016/679, titulado «Cooperación y coherencia», la sección 1, titulada «[Cooperación]», incluye los artículos 60 a 62 de este Reglamento. El artículo 60, titulado «Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas», dispone:

«1.      La autoridad de control principal cooperará con las demás autoridades de control interesadas de acuerdo con el presente artículo, esforzándose por llegar a un consenso. La autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente.

2.      La autoridad de control principal podrá solicitar en cualquier momento a otras autoridades de control interesadas que presten asistencia mutua con arreglo al artículo 61, y podrá llevar a cabo operaciones conjuntas con arreglo al artículo 62, en particular para realizar investigaciones o supervisar la aplicación de una medida relativa a un responsable o un encargado del tratamiento establecido en otro Estado miembro.

3.      La autoridad de control principal comunicará sin dilación a las demás autoridades de control interesadas la información pertinente a este respecto. Transmitirá sin dilación un proyecto de decisión a las demás autoridades de control interesadas para obtener su dictamen al respecto y tendrá debidamente en cuenta sus puntos de vista.

4.      En caso de que cualquiera de las autoridades de control interesadas formule una objeción pertinente y motivada acerca del proyecto de decisión en un plazo de cuatro semanas a partir de la consulta con arreglo al apartado 3 del presente artículo, la autoridad de control principal someterá el asunto, en caso de que no siga lo indicado en la objeción pertinente y motivada o estime que dicha objeción no es pertinente o no está motivada, al mecanismo de coherencia contemplado en el artículo 63.

5.      En caso de que la autoridad de control principal prevea seguir lo indicado en la objeción pertinente y motivada recibida, presentará a dictamen de las demás autoridades de control interesadas un proyecto de decisión revisado. Dicho proyecto de decisión revisado se someterá al procedimiento indicado en el apartado 4 en un plazo de dos semanas.

6.      En caso de que ninguna otra autoridad de control interesada haya presentado objeciones al proyecto de decisión transmitido por la autoridad de control principal en el plazo indicado en los apartados 4 y 5, se considerará que la autoridad de control principal y las autoridades de control interesadas están de acuerdo con dicho proyecto de decisión y estarán vinculadas por este.

7.      La autoridad de control principal adoptará y notificará la decisión al establecimiento principal o al establecimiento único del responsable o el encargado del tratamiento, según proceda, e informará de la decisión a las autoridades de control interesadas y al Comité, incluyendo un resumen de los hechos pertinentes y la motivación. La autoridad de control ante la que se haya presentado una reclamación informará de la decisión al reclamante.

8.      No obstante lo dispuesto en el apartado 7, cuando se desestime o rechace una reclamación, la autoridad de control ante la que se haya presentado adoptará la decisión, la notificará al reclamante e informará de ello al responsable del tratamiento.

9.      En caso de que la autoridad de control principal y las autoridades de control interesadas acuerden desestimar o rechazar determinadas partes de una reclamación y atender otras partes de ella, se adoptará una decisión separada para cada una de esas partes del asunto. […]

10.      Tras recibir la notificación de la decisión de la autoridad de control principal con arreglo a los apartados 7 y 9, el responsable o el encargado del tratamiento adoptará las medidas necesarias para garantizar el cumplimiento de la decisión en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión. El responsable o el encargado notificarán las medidas adoptadas para dar cumplimiento a dicha decisión a la autoridad de control principal, que a su vez informará a las autoridades de control interesadas.

11.      En circunstancias excepcionales, cuando una autoridad de control interesada tenga motivos para considerar que es urgente intervenir para proteger los intereses de los interesados, se aplicará el procedimiento de urgencia a que se refiere el artículo 66.

[…]»

22      El artículo 61 de dicho Reglamento, titulado «Asistencia mutua», preceptúa en su apartado 1:

«Las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el presente Reglamento de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.»

23      El artículo 62 del mismo Reglamento, titulado «Operaciones conjuntas de las autoridades de control», establece lo siguiente:

«1.      Las autoridades de control realizarán, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

2.      Si el responsable o el encargado del tratamiento tiene establecimientos en varios Estados miembros o si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento, una autoridad de control de cada uno de esos Estados miembros tendrá derecho a participar en operaciones conjuntas. […]

[…]»

24      La sección 2, titulada «Coherencia», del capítulo VII del Reglamento 2016/679 incluye los artículos 63 a 67 de este Reglamento. El artículo 63, titulado «Mecanismo de coherencia», está redactado en los siguientes términos:

«A fin de contribuir a la aplicación coherente del presente Reglamento en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia establecido en la presente sección.»

25      El artículo 65 de dicho Reglamento, titulado «Resolución de conflictos por el Comité», establece en su apartado 1:

«Con el fin de garantizar una aplicación correcta y coherente del presente Reglamento en casos concretos, el Comité adoptará una decisión vinculante en los siguientes casos:

a)      cuando, en un caso mencionado en el artículo 60, apartado 4, una autoridad de control interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad de control principal y esta no haya seguido la objeción o haya rechazado dicha objeción por no ser pertinente o no estar motivada. La decisión vinculante afectará a todos los asuntos a que se refiera la objeción pertinente y motivada, en particular si hay infracción del presente Reglamento;

b)      cuando haya puntos de vista enfrentados sobre cuál de las autoridades de control interesadas es competente para el establecimiento principal;

[…]».

26      El artículo 66 del mismo Reglamento, titulado «Procedimiento de urgencia», dispone en su apartado 1:

«En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá, como excepción al mecanismo de coherencia contemplado en los artículos 63, 64 y 65, o al procedimiento mencionado en el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un período de validez determinado que no podrá ser superior a tres meses. La autoridad de control comunicará sin dilación dichas medidas, junto con los motivos de su adopción, a las demás autoridades de control interesadas, al Comité y a la Comisión.»

27      El artículo 85 del Reglamento 2016/679, titulado «Tratamiento y libertad de expresión y de información», preceptúa:

«1.      Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria.

2.      Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información.

[…]»

 Derecho francés

28      La aplicación en el Derecho francés de la Directiva 95/46 queda garantizada mediante la loi n.º 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (Ley n.º 78-17, de 6 de enero de 1978, sobre informática, ficheros y libertades), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, «Ley de 6 de enero de 1978»).

29      El artículo 45 de esta Ley dispone que, cuando el responsable del tratamiento incumpla las obligaciones derivadas de dicha Ley, el presidente de la CNIL podrá requerirle para que ponga fin al incumplimiento constatado en el plazo que establezca. Si el responsable del tratamiento no se atiene al requerimiento que le ha sido dirigido, la formación restringida de la CNIL podrá imponer, tras tramitar un procedimiento contradictorio, entre otras cosas, una sanción pecuniaria.

 Litigio principal y cuestiones prejudiciales

30      Mediante resolución de 21 de mayo de 2015, la presidenta de la CNIL requirió a Google para que esta sociedad, que había estimado una solicitud presentada por una persona física para que se suprimieran de la lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre los enlaces que dirigían a una serie de páginas web, aplicase esta supresión respecto de todas las extensiones de nombre de dominio de su motor de búsqueda.

31      Google se negó a atenerse a este requerimiento y se limitó a suprimir los enlaces en cuestión exclusivamente de los resultados obtenidos como respuesta a las búsquedas efectuadas desde los nombres de dominio correspondientes a las extensiones de su buscador en los Estados miembros.

32      Por otra parte, la CNIL consideró insuficiente la propuesta complementaria denominada «bloqueo geográfico» presentada por Google tras la expiración del plazo de requerimiento, que consistía en eliminar la posibilidad de acceder desde una dirección IP (Internet Protocol) supuestamente localizada en el Estado de residencia del interesado a los resultados controvertidos obtenidos a raíz de una búsqueda efectuada a partir de su nombre, independientemente de la extensión del motor de búsqueda solicitada por el internauta.

33      Tras constatar que Google no se había atenido al requerimiento en el plazo establecido, la CNIL, mediante resolución de 10 de marzo de 2016, impuso a esta sociedad una sanción, que se hizo pública, de 100 000 euros.

34      Mediante demanda presentada ante el Conseil d’État (Consejo de Estado actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia), Google solicitó la anulación de esta resolución.

35      El Conseil d’État (Consejo de Estado) señala que el tratamiento de datos personales que realiza el motor de búsqueda gestionado por Google está comprendido en el ámbito de aplicación de la Ley de 6 de enero de 1978, habida cuenta de las actividades de promoción y de venta de espacios publicitarios llevadas a cabo en Francia por la filial de esta sociedad, Google France.

36      El Conseil d’État (Consejo de Estado) observa, por otra parte, que el motor de búsqueda gestionado por Google se presenta con diferentes nombres de dominio empleando extensiones geográficas, a fin de adaptar los resultados que se muestran a las particularidades, concretamente lingüísticas, de los diferentes Estados en los que esta sociedad ejerce su actividad. Cuando la búsqueda se efectúa desde «google.com», Google redirige en principio dicha búsqueda de forma automática hacia el nombre de dominio que corresponde al Estado desde el que se considera, gracias a la identificación de la dirección IP del internauta, que se ha operado tal búsqueda. Sin embargo, independientemente de su localización, el internauta puede realizar sus búsquedas en los demás nombres de dominio del motor. Además, aunque los resultados pueden variar en función del nombre de dominio desde el que se efectúe la búsqueda en el motor, consta que los enlaces que se obtienen como respuesta a una búsqueda proceden de bases de datos y de un trabajo de indexación comunes.

37      El Conseil d’État (Consejo de Estado) estima que, teniendo en cuenta, por un lado, que desde el territorio francés puede accederse a todos los nombres de dominio del motor de búsqueda de Google y, por otro lado, que existen pasarelas entre esos distintos nombres de dominio —puestas de manifiesto, en particular, por el redireccionamiento automático y la presencia de identificadores de sesión, en concreto «cookies», en otras extensiones del motor de búsqueda distintas de aquella en la que se colocaron inicialmente—, debe considerarse que ese motor, que, por lo demás, solo ha sido declarado una vez ante la CNIL, realiza un tratamiento de datos personales único a efectos de la aplicación de la Ley de 6 de enero de 1978. En su opinión, de ello se deriva que el tratamiento de datos personales que realiza el motor de búsqueda gestionado por Google tiene lugar en una de las instalaciones de esta sociedad, Google France, establecida en el territorio francés, y que, por ende, está sujeto a la Ley de 6 de enero de 1978.

38      Ante el Conseil d’État (Consejo de Estado), Google sostiene que la sanción controvertida parte de una interpretación errónea de las disposiciones de la Ley de 6 de enero de 1978, que transponen los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46, sobre la base de los cuales el Tribunal de Justicia reconoció, en su sentencia de 13 de mayo de 2014, Google Spain y Google (C-131/12, EU:C:2014:317), un «derecho a la retirada de enlaces» de una lista de resultados. Google aduce que ese derecho no implica necesariamente que los enlaces controvertidos deban suprimirse, sin limitación geográfica, de todos los nombres de dominio de su motor. Además, considera que, al adoptar esa interpretación, la CNIL vulneró los principios de cortesía y de no injerencia que reconoce el Derecho internacional público y menoscabó de forma desproporcionada las libertades de expresión, de información, de comunicación y de prensa, garantizadas, en particular, por el artículo 11 de la Carta.

39      Al entender que esa argumentación plantea varias dificultades serias de interpretación de la Directiva 95/46, el Conseil d’État (Consejo de Estado) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Debe interpretarse el “derecho a la retirada de enlaces”, según ha sido consagrado por el [Tribunal de Justicia] en su sentencia de 13 de mayo de 2014, [Google Spain y Google (C-131/12, EU:C:2014:317),] sobre la base de las disposiciones de los artículos 12, letra b), y 14, [párrafo primero], letra a), de la Directiva [95/46], en el sentido de que el gestor de un motor de búsqueda que estima una solicitud de retirada de enlaces está obligado a proceder a dicha retirada respecto de la totalidad de los nombres de dominio de su motor, de tal manera que los [enlaces] controvertidos dejen de mostrarse independientemente del lugar desde el que se efectúe la búsqueda a partir del nombre del solicitante, incluso fuera del ámbito de aplicación territorial de la Directiva [95/46]?

2)      En caso de respuesta negativa a esta primera cuestión, ¿debe interpretarse el “derecho a la retirada de enlaces”, según ha sido consagrado por el [Tribunal de Justicia] en su sentencia antes citada, en el sentido de que el gestor de un motor de búsqueda que estima una solicitud de retirada de enlaces solamente está obligado a suprimir los enlaces controvertidos de los resultados obtenidos tras una búsqueda realizada a partir del nombre del solicitante en el nombre de dominio correspondiente al Estado en el que se considera que se ha presentado la solicitud o, de manera más general, en los nombres de dominio del motor de búsqueda que corresponden a las extensiones nacionales de dicho motor para el conjunto de los Estados miembros […]?

3)      Además, como complemento de la obligación mencionada en la segunda cuestión, ¿debe interpretarse el “derecho a la retirada de enlaces”, según ha sido consagrado por el [Tribunal de Justicia] en su sentencia antes citada, en el sentido de que el gestor de un motor de búsqueda que estima una solicitud de retirada de enlaces está obligado a suprimir, mediante la técnica denominada “bloqueo geográfico”, desde una dirección IP supuestamente localizada en el Estado de residencia del beneficiario del “derecho a la retirada de enlaces”, los resultados controvertidos obtenidos tras una búsqueda realizada a partir de su nombre, o incluso, de manera más general, desde una dirección IP supuestamente localizada en uno de los Estados miembros sujetos a la Directiva [95/46], y ello independientemente del nombre de dominio utilizado por el internauta que efectúa la búsqueda?»

 Sobre las cuestiones prejudiciales

40      El litigio principal tiene su origen en una controversia entre Google y la CNIL sobre la forma en que el gestor de un motor de búsqueda debe aplicar el derecho a la retirada de enlaces cuando comprueba que el interesado tiene derecho a que se supriman uno o varios enlaces a páginas web, en las que se incluyen datos personales que le conciernan, de la lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre. Si bien en la fecha de presentación de la petición de decisión prejudicial era aplicable la Directiva 95/46, esta fue derogada con efecto a partir del 25 de mayo de 2018, fecha a partir de la cual resulta de aplicación el Reglamento 2016/679.

41      El Tribunal de Justicia examinará las cuestiones prejudiciales planteadas a la luz tanto de la Directiva como del Reglamento, con el fin de garantizar que sus respuestas sean, en todo caso, útiles para el órgano jurisdiccional remitente.

42      Durante el procedimiento ante el Tribunal de Justicia, Google ha explicado que, tras la presentación de la petición de decisión prejudicial, elaboró una nueva configuración de las versiones nacionales de su motor de búsqueda, en la que el nombre de dominio introducido por un internauta ya no determina la versión nacional del motor de búsqueda a la que este accede. De este modo, el internauta es dirigido automáticamente a la versión nacional del motor de búsqueda de Google que corresponde al lugar desde el que se considera que efectúa la búsqueda y los resultados de esta se obtienen de acuerdo con ese lugar, que es determinado por Google mediante un proceso de localización geográfica.

43      En estas circunstancias, cabe entender que, con las cuestiones prejudiciales planteadas, que procede examinar conjuntamente, se pretende dilucidar, en esencia, si los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 y el artículo 17, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que, cuando el gestor de un motor de búsqueda estima una solicitud de retirada de enlaces en virtud de estas disposiciones, está obligado a proceder a dicha retirada en todas las versiones de su motor de búsqueda o, por el contrario, solo está obligado a proceder a ella en las versiones de este que corresponden al conjunto de los Estados miembros o incluso únicamente en la correspondiente al Estado miembro en el que se haya presentado la solicitud de retirada de enlaces, combinándola, en su caso, con el uso de la técnica denominada «bloqueo geográfico», a fin de garantizar que un internauta no pueda acceder, sea cual sea la versión nacional del motor de búsqueda utilizada, a los enlaces objeto del derecho de retirada durante una búsqueda efectuada desde una dirección IP supuestamente localizada en el Estado miembro de residencia del beneficiario del derecho a la retirada de enlaces o, de manera más general, en un Estado miembro.

44      Con carácter preliminar, es preciso recordar que el Tribunal de Justicia ha declarado que los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellas, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona enlaces a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita (sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartado 88).

45      Además, el Tribunal de Justicia ha puntualizado que, al analizar los requisitos de aplicación de dichas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados, obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que este puede, habida cuenta de los derechos fundamentales que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no solo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate (sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartado 99).

46      En el contexto del Reglamento 2016/679, este derecho del interesado a la retirada de enlaces se basa ahora en el artículo 17 de este Reglamento, que regula específicamente el «derecho de supresión», también denominado en el título de este artículo «derecho al olvido».

47      Con arreglo al artículo 17, apartado 1, del Reglamento 2016/679, el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan y el responsable del tratamiento estará obligado a suprimir lo antes posible esos datos cuando concurra alguna de las circunstancias enumeradas en esta disposición. El artículo 17, apartado 3, de este Reglamento especifica que el artículo 17, apartado 1, no se aplicará cuando el tratamiento sea necesario por alguna de las razones enunciadas en el propio apartado 3 de este artículo. Estas razones incluyen, entre otras, de conformidad con el artículo 17, apartado 3, letra a), de dicho Reglamento, el ejercicio, en particular, del derecho a la libertad de información de los internautas.

48      Del artículo 4, apartado 1, letra a), de la Directiva 95/46 y del artículo 3, apartado 1, del Reglamento 2016/679 se desprende que tanto la Directiva como el Reglamento permiten a los interesados hacer valer su derecho a la retirada de enlaces frente al gestor de un motor de búsqueda que posea uno o varios establecimientos en el territorio de la Unión, en el marco de cuyas actividades realice el tratamiento de datos personales relativos a esos interesados, independientemente de que el tratamiento tenga lugar en la Unión o no.

49      A este respecto, el Tribunal de Justicia ha declarado que se realiza un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en el territorio de un Estado miembro cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de ese Estado miembro (sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartado 60).

50      En efecto, en tales circunstancias, las actividades del gestor del motor de búsqueda y las de su establecimiento situado en la Unión están indisociablemente ligadas, dado que las actividades relativas a los espacios publicitarios constituyen el medio para que el motor de búsqueda en cuestión sea económicamente rentable y dado que este motor es, al mismo tiempo, el medio que permite realizar las mencionadas actividades, toda vez que la presentación de la lista de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda (véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartados 56 y 57).

51      Así las cosas, el hecho de que ese motor de búsqueda sea gestionado por una empresa de un tercer Estado no puede tener como consecuencia que el tratamiento de datos personales realizado para el funcionamiento de dicho motor de búsqueda en el marco de la actividad publicitaria y comercial de un establecimiento del responsable de ese tratamiento en el territorio de un Estado miembro se sustraiga a las obligaciones y a las garantías establecidas en la Directiva 95/46 y en el Reglamento 2016/679 (véase, en este sentido, la sentencia de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartado 58).

52      En el presente asunto, de la información facilitada en la resolución de remisión se desprende, por un lado, que el establecimiento que Google posee en el territorio francés lleva a cabo actividades, en particular comerciales y publicitarias, que están indisociablemente ligadas al tratamiento de datos personales necesario para el funcionamiento del motor de búsqueda de que se trata y, por otro lado, que debe considerarse que este motor de búsqueda realiza un tratamiento de datos personales único, habida cuenta, en particular, de la existencia de pasarelas entre sus distintas versiones nacionales. El órgano jurisdiccional remitente estima que, en estas circunstancias, dicho tratamiento tiene lugar en el establecimiento de Google situado en el territorio francés. Por lo tanto, tal situación queda comprendida en el ámbito de aplicación territorial de la Directiva 95/46 y del Reglamento 2016/679.

53      Mediante sus cuestiones prejudiciales, el órgano jurisdiccional remitente desea que se dilucide el alcance territorial que cabe conferir a la retirada de enlaces en una situación de esta índole.

54      A este respecto, del considerando 10 de la Directiva 95/46 y de los considerandos 10, 11 y 13 del Reglamento 2016/679, que se adoptó sobre la base del artículo 16 TFUE, se desprende que el objetivo tanto de la Directiva como del Reglamento consiste en garantizar un elevado nivel de protección de los datos personales en toda la Unión.

55      Obviamente, retirar los enlaces de todas las versiones de un motor de búsqueda responde plenamente a este objetivo.

56      En efecto, Internet es una red mundial sin fronteras y los motores de búsqueda confieren carácter ubicuo a la información y a los enlaces contenidos en una lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona física (véanse, en este sentido, las sentencias de 13 de mayo de 2014, Google Spain y Google, C-131/12, EU:C:2014:317, apartado 80, y de 17 de octubre de 2017, Bolagsupplysningen e Ilsjan, C-194/16, EU:C:2017:766, apartado 48).

57      En un mundo globalizado, el acceso de los internautas, en particular de aquellos que se hallan fuera de la Unión, a un enlace que remite a información sobre una persona cuyo centro de interés está situado en la Unión puede tener, por lo tanto, efectos inmediatos y sustanciales en la propia Unión.

58      Tales consideraciones podrían justificar que el legislador de la Unión fuera competente para establecer la obligación de que el gestor de un motor de búsqueda, cuando estime una solicitud de retirada de enlaces formulada por tal persona, retire dichos enlaces de todas las versiones de su motor.

59      Sin embargo, debe subrayarse que muchos terceros Estados no contemplan el derecho a la retirada de enlaces o lo abordan desde una perspectiva diferente.

60      Por otra parte, el derecho a la protección de los datos personales no constituye un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad [véanse, en este sentido, la sentencia de 9 de noviembre de 2010, Volker und Markus Schecke y Eifert, C-92/09 y C-93/09, EU:C:2010:662, apartado 48, y el dictamen 1/15 (Acuerdo PNR UE-Canadá), de 26 de julio de 2017, EU:C:2017:592, apartado 136]. A esto cabe añadir que el equilibrio entre los derechos al respeto de la vida privada y a la protección de los datos personales, por un lado, y la libertad de información de los internautas, por otro lado, puede variar significativamente en las distintas partes del mundo.

61      Pues bien, aunque el legislador de la Unión ha instaurado, con el artículo 17, apartado 3, letra a), del Reglamento 2016/679, un equilibrio entre ese derecho y esa libertad en lo que respecta a la Unión [véase, en este sentido, la sentencia de fecha de hoy, GC y otros (Retirada de enlaces a datos sensibles), C-136/17, apartado 59], es preciso observar que, en cambio, en la situación actual, no ha establecido tal equilibrio en lo que respecta al alcance de la retirada de enlaces fuera de la Unión.

62      En particular, del tenor de los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 y del artículo 17 del Reglamento 2016/679 no se desprende en modo alguno que el legislador de la Unión haya optado, a fin de garantizar el cumplimiento del objetivo mencionado en el apartado 54 de la presente sentencia, por atribuir a los derechos consagrados en estas disposiciones un alcance que vaya más allá del territorio de los Estados miembros y que haya pretendido imponer a un gestor que, como Google, queda comprendido en el ámbito de aplicación de la Directiva o del Reglamento la obligación de retirar enlaces también de las versiones nacionales de su motor de búsqueda que no correspondan a los Estados miembros.

63      De hecho, aun cuando los artículos 56 y 60 a 66 del Reglamento 2016/679 proporcionan a las autoridades de control de los Estados miembros los instrumentos y mecanismos que les permiten, en su caso, cooperar para llegar a una decisión común basada en un equilibrio entre los derechos del interesado al respeto de su vida privada y a la protección de los datos personales que le conciernan y el interés del público de los distintos Estados miembros en tener acceso a la información, es preciso señalar que el Derecho de la Unión no prevé actualmente tales instrumentos y mecanismos de cooperación en lo que se refiere al alcance de la retirada de enlaces fuera de la Unión.

64      De ello resulta que, en la situación actual, el gestor de un motor de búsqueda que estime una solicitud de retirada de enlaces presentada por el interesado, en su caso a raíz de un requerimiento de una autoridad de control o judicial de un Estado miembro, no está obligado, con arreglo al Derecho de la Unión, a proceder a dicha retirada en todas las versiones de su motor.

65      A la luz del conjunto de consideraciones anteriores, no puede exigirse al gestor de un motor de búsqueda, en virtud de los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 y del artículo 17, apartado 1, del Reglamento 2016/679, que proceda a la retirada de enlaces en todas las versiones de su motor.

66      Por lo que se refiere a la cuestión de si debe procederse a tal retirada en las versiones del motor de búsqueda correspondientes a los Estados miembros o únicamente en la versión de dicho motor correspondiente al Estado miembro de residencia del beneficiario de la retirada de enlaces, en principio, la retirada de enlaces de que se trate debe verificarse en todos los Estados miembros, como se desprende en particular del hecho de que el legislador de la Unión haya decidido ahora establecer las normas relativas a la protección de datos mediante un reglamento, de aplicación directa en todos los Estados miembros, con el fin, como se subraya en el considerando 10 del Reglamento 2016/679, de garantizar un nivel uniforme y elevado de protección en toda la Unión y eliminar los obstáculos a la circulación de datos personales dentro de esta.

67      Sin embargo, es importante señalar que el interés del público en acceder a una información puede variar, incluso dentro de la Unión, de un Estado miembro a otro, de modo que el resultado de la ponderación que debe llevarse a cabo entre este interés, por un lado, y los derechos al respeto de la vida privada y a la protección de los datos personales del interesado, por otro lado, no será necesariamente el mismo en todos los Estados miembros, máxime cuando, en virtud del artículo 9 de la Directiva 95/46 y del artículo 85 del Reglamento 2016/679, corresponde a los Estados miembros establecer, en particular para los tratamientos realizados exclusivamente con fines periodísticos o con fines de expresión artística o literaria, las exenciones y excepciones necesarias para conciliar esos derechos con, entre otras cosas, la libertad de información.

68      En concreto, de los artículos 56 y 60 del Reglamento 2016/679 se desprende que, para los tratamientos transfronterizos, en el sentido del artículo 4, punto 23, de este Reglamento, y con reserva de lo dispuesto en el artículo 56, apartado 2, las distintas autoridades nacionales de control interesadas deben cooperar, de acuerdo con el procedimiento establecido en dichas disposiciones, para llegar a un consenso y a una decisión única, que vincula a todas esas autoridades y cuyo cumplimiento debe garantizar el responsable del tratamiento en lo tocante a las actividades de tratamiento en el contexto de todos sus establecimientos en la Unión. Por otra parte, el artículo 61, apartado 1, del Reglamento 2016/679 exige, en particular, que las autoridades de control se faciliten información útil y se presten asistencia mutua a fin de aplicar el Reglamento de manera coherente en toda la Unión, y el artículo 63 de dicho Reglamento precisa que, a tal efecto, se ha establecido el mecanismo de coherencia contemplado en los artículos 64 y 65 del mismo Reglamento. Por último, el procedimiento de urgencia del artículo 66 del Reglamento 2016/679 permite, en circunstancias excepcionales, cuando una autoridad de control considere que es urgente intervenir para proteger los derechos y las libertades de los interesados, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un período de validez determinado que no podrá ser superior a tres meses.

69      Así pues, este marco reglamentario proporciona a las autoridades nacionales de control los instrumentos y mecanismos necesarios para conciliar los derechos al respeto de la vida privada y a la protección de los datos personales del interesado con el interés del conjunto del público de los Estados miembros en acceder a la información de que se trate y, de este modo, para poder adoptar, en su caso, una decisión sobre la retirada de enlaces que abarque la totalidad de las búsquedas efectuadas a partir del nombre del interesado desde el territorio de la Unión.

70      Además, corresponde al gestor del motor de búsqueda adoptar, en caso necesario, medidas suficientemente eficaces para garantizar la protección efectiva de los derechos fundamentales del interesado. Esas medidas deben respetar en sí todas las exigencias legales y deben tener como efecto impedir o, al menos, dificultar seriamente a los internautas de los Estados miembros el acceso a los enlaces de que se trate mediante una búsqueda efectuada a partir del nombre del interesado (véanse, por analogía, las sentencias de 27 de marzo de 2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192, apartado 62, y de 15 de septiembre de 2016, Mc Fadden, C-484/14, EU:C:2016:689, apartado 96).

71      Corresponde al órgano jurisdiccional remitente comprobar si las medidas adoptadas o propuestas por Google, habida cuenta asimismo de las recientes modificaciones de su motor de búsqueda, expuestas en el apartado 42 de la presente sentencia, cumplen estos requisitos.

72      Para terminar, es preciso subrayar que, aunque el Derecho de la Unión no exige, en la situación actual, que, cuando se estime una retirada de enlaces, esta se realice en todas las versiones del motor de búsqueda de que se trate —como se ha indicado en el apartado 64 de la presente sentencia—, tampoco lo prohíbe. Por lo tanto, una autoridad de control o judicial de un Estado miembro sigue siendo competente para realizar, de conformidad con los estándares nacionales de protección de los derechos fundamentales (véanse, en este sentido, las sentencias de 26 de febrero de 2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, apartado 29, y de 26 de febrero de 2013, Melloni, C-399/11, EU:C:2013:107, apartado 60), una ponderación entre, por un lado, los derechos del interesado al respeto de su vida privada y a la protección de los datos personales que le conciernan y, por otro lado, el derecho a la libertad de información y, al término de esta ponderación, exigir, en su caso, al gestor del motor de búsqueda que proceda a retirar los enlaces de todas las versiones de dicho motor.

73      Habida cuenta de todas las anteriores consideraciones, procede responder a las cuestiones prejudiciales planteadas que los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 y el artículo 17, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que, cuando el gestor de un motor de búsqueda estime una solicitud de retirada de enlaces en virtud de estas disposiciones, estará obligado a proceder a dicha retirada no en todas las versiones de su motor, sino en las versiones de este que correspondan al conjunto de los Estados miembros, combinándola, en caso necesario, con medidas que, con pleno respeto de las exigencias legales, impidan de manera efectiva o, al menos, dificulten seriamente a los internautas que efectúen una búsqueda a partir del nombre del interesado desde uno de los Estados miembros el acceso, a través de la lista de resultados que se obtenga tras esa búsqueda, a los enlaces objeto de la solicitud de retirada.

 Costas

74      Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y el artículo 17, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos), deben interpretarse en el sentido de que, cuando el gestor de un motor de búsqueda estime una solicitud de retirada de enlaces en virtud de estas disposiciones, estará obligado a proceder a dicha retirada no en todas las versiones de su motor, sino en las versiones de este que correspondan al conjunto de los Estados miembros, combinándola, en caso necesario, con medidas que, con pleno respeto de las exigencias legales, impidan de manera efectiva o, al menos, dificulten seriamente a los internautas que efectúen una búsqueda a partir del nombre del interesado desde uno de los Estados miembros el acceso, a través de la lista de resultados que se obtenga tras esa búsqueda, a los enlaces objeto de la solicitud de retirada.

Related Posts