el derecho al olvido digital en la unión europea

el derecho al olvido digital en la unión europea

EL DERECHO AL OLVIDO DIGITAL EN LA UNIÓN EUROPEA
Marc GALLARDO
1. Introducción
A principios de 2012, la Comisión Europea propuso un nuevo marco jurídico para la
protección de los datos de carácter personal en la Unión Europea (UE) bajo la forma de
un Reglamento1 que vendrá a sustituir la Directiva 95/46/CE2. El objetivo del Reglamento
es garantizar un nivel uniforme y elevado de protección de los datos personales en todos
los Estados miembros que permita afianzar este derecho fundamental en una era digital de
rápida evolución tecnológica y dimensiones globales en la que se ha incrementado de
manera espectacular y prácticamente ilimitada la capacidad de generar, almacenar,
difundir y acceder a la información.
La Web 2.0., cuyo máximo exponente son las redes sociales, comunidades virtuales,
blogs, wikis, etc. está convulsionando los cimientos de la creación y el intercambio de
información a la par que forjando un paradigma de sociedad típicamente interconectada
en la que se ha difuminado la clásica barrera espacio-tiempo entre la voluntad de
comunicar algo y el acto de publicarlo. Hoy en día, cualquier persona, sin necesidad de
tener una especial pericia tecnológica, puede publicar, copiar y replicar información en
Internet, la relativa a su persona y de terceros, con o sin conocimiento de éstos, de forma
inmediata y extremadamente rápida y con un potencial de difusión enorme. Esta marcada
tendencia a la digitalización de la información incluye también a las empresas privadas y
autoridades públicas, lo cual no hace más que incrementar la magnitud de la recogida de
la información y su posterior publicación en la red de redes, sin que la localización de los
datos resulte problemática en todo este entramado virtual mediante el uso de motores de
búsqueda como Google y Yahoo, por citar los más importantes, que se encargan de
indexar esta ingente información y ponerla a disposición de los internautas de manera
permanente.
En este contexto de avances tecnológicos, uno de los pilares claves de la reforma
impulsada por la Comisión Europea es la introducción del llamado derecho al olvido que
engarza con el desiderátum de esta institución de conferir un mayor control a los
ciudadanos sobre los datos personales que les conciernen y especialmente de aquellos
publicados en Internet.
2. Aspectos legales básicos del derecho al olvido
El artículo 17 de la Propuesta de Reglamento está íntegramente dedicado a regular el
derecho al olvido y, en su primer apartado, se expresa el contenido esencial de este
derecho, en los siguientes términos: El interesado tendrá derecho a que el responsable
del tratamiento suprima los datos personales que le conciernen y se abstenga de darles
más difusión. Se deduce así que el derecho al olvido está estrechamente vinculado con las
facultades de supresión de los datos personales aunque también integra la capacidad de
exigir al responsable del tratamiento que se abstenga de darles mayor difusión.
Descrito de este modo el derecho al olvido, surgen inmediatamente algunas preguntas:
¿Se trata de un nuevo derecho a suprimir los datos personales en Internet?, ¿Quién puede ejercitarlo y en qué circunstancias?, ¿Es un derecho absoluto o existen límites al mismo?. 1 2.1. Presupuestos para su válido ejercicio
En primer lugar, será imprescindible que este derecho se proyecte sobre un tratamiento de
datos de carácter personal realizado por un responsable (quien determina los fines,
condiciones y medios del tratamiento de los datos) y distinto del individuo que ejerce el
derecho. Y, en este sentido, conviene recordar que la Directiva 95/46/CE contempla una
noción amplia de “dato personal” (toda información relativa a una persona física
identificada o identificable) y de “tratamiento” (cualquier operación realizada sobre los
datos personales) que la propuesta de Reglamento trata de afianzar en el entorno digital,
incluyendo números de identificación, datos de localización e identificadores en línea
(cookies, direcciones IP, etc.) como información relevante a efectos de la aplicación de la
norma. Por este motivo, las personas jurídicas no tienen derecho al olvido, sin perjuicio
de que puedan defender su reputación ante los tribunales de justicia y en España al
amparo de la sentencia del Tribunal Constitucional nº 139/1995 en la que se reconoce por
primera vez el derecho al honor de las personas jurídicas de derecho privado.
Por tanto, asumiendo que nos encontramos ante un supuesto de tratamiento de datos
personales que afecta a un ciudadano de la UE, la propuesta de Reglamento contempla
cuatro motivos que permitirían el ejercicio del derecho al olvido:
(1) cuando los datos ya no son necesarios en relación con los fines para los que
fueron recogidos o tratados;
(2) cuando el titular de los datos retira el consentimiento en el que se basa el
tratamiento de los mismos o ha expirado el plazo de conservación autorizado y no
existe otro fundamento para el tratamiento de los datos;
(3) cuando el interesado se opone al tratamiento de sus datos personales salvo que el
responsable del tratamiento acredite motivos imperiosos y legítimos que prevalezcan
sobre los intereses o los derechos y libertades fundamentales del interesado;
(4) cuando el tratamiento de los datos no es legítimo.
Estos motivos vinculan estrechamente las causas del ejercicio del derecho al olvido con
los principios tradicionales del derecho a la protección de datos (principio de licitud del
tratamiento, consentimiento y finalidad) así como los derechos de cancelación,
revocación del consentimiento y oposición, por lo que desde esta óptica puede afirmarse
que el derecho al olvido no es un concepto realmente nuevo, sino que agrupa
distintos derechos consagrados en el actual régimen jurídico europeo de protección
de datos.
Tampoco es un derecho al olvido exclusivamente “digital” aunque se regula con clara
vocación de aplicarse en este entorno y, especialmente en Internet, debido, como se ha
dicho, a la facilidad de publicar, almacenar, difundir y acceder a la información por este
medio.
2.2. Deberes del responsable del tratamiento
Frente al ejercicio lícito del derecho al olvido por parte de un individuo, la obligación
correlativa del responsable del tratamiento consistirá, por regla general, en suprimir sin
demora los datos personales relativos al individuo y en abstenerse de darles más difusión
o someterlos a ninguna otra forma de tratamiento.
En el apartado segundo del artículo 17 de la propuesta de Reglamento se regula la
actuación del responsable que haya transferido o hecho públicos los datos personales
sobre los que recae la solicitud de supresión de datos de un individuo, distinguiendo dos
2 supuestos en función de la licitud o no de la publicación de la información que motiva el
ejercicio del derecho al olvido.
(i) Cuando el responsable del tratamiento haya hecho públicos los datos personales sin
justificación legal deberá tomar todas las medidas razonables para suprimir los datos, sin
perjuicio del derecho del titular a reclamar una indemnización por el daño ocasionado.
(ii) Cuando el responsable del tratamiento haya hecho públicos los datos personales con
justificación legal no le será exigible la adopción de ninguna medida ya que no sería
realista ni legítimo atender el ejercicio del derecho al olvido en circunstancias donde
prevalecen otros derechos como la libertad de expresión y de información.
2.3. Excepciones a la regla general de suprimir los datos
En lugar de proceder a la supresión de los datos personales, el apartado cuarto del artículo
17 de la propuesta de Reglamento prevé la posibilidad de que el responsable limite su
tratamiento en cualquiera de los siguientes supuestos:
(1) el interesado impugne su exactitud, durante un plazo que permita al responsable
del tratamiento verificar la exactitud de los datos;
(2) el responsable del tratamiento ya no necesite los datos personales para la
realización de su misión pero estos deban conservarse a efectos probatorios;
(3) el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su
lugar la limitación de su uso;
(4) el interesado solicite la transmisión de los datos personales a otro sistema de
tratamiento automatizado.
Mientras dure esta limitación del tratamiento, el responsable deberá adoptar las medidas
necesarias para restringir el acceso normal a los datos personales e impedir su
modificación. Igualmente, se establece que los datos personales solo podrán ser objeto de
tratamiento: i) a efectos probatorios, ii) con el consentimiento del interesado, iii) con
miras a la protección de los derechos de otra persona física o jurídica o iv) para el
cumplimiento de una obligación legal a la que esté sujeto el responsable. Por último, se
prevé que el responsable del tratamiento informe al interesado antes de levantar la
limitación al tratamiento.
2.4. Los límites del derecho al olvido
El derecho a la protección de datos como cualquier otro derecho fundamental no es
absoluto y encuentra límites en la esfera de protección de otros derechos. El derecho al
olvido no constituye, naturalmente, una excepción.
La propuesta de Reglamento, en el apartado tercero del artículo 17, contempla límites al
ejercicio del derecho al olvido, reconociendo explícitamente el derecho a la conservación
de los datos que asiste a los responsables del tratamiento en cualquiera de los siguientes
supuestos:
(1) cuando sea necesario para el ejercicio del derecho a la libertad de expresión;
(2) cuando sea necesario para fines de investigación histórica, estadística y científica;
(3) cuando concurran razones de interés público en el ámbito de la salud pública;
3 (4) cuando sea necesario para cumplir una obligación legal de conservar los datos
personales impuesta por el derecho de la UE o por la legislación de un Estado
miembro a la que esté sujeto el responsable del tratamiento;
(5) cuando existan motivos para restringir el tratamiento de los datos en vez de
proceder a su supresión.
Cada una de estas excepciones y especialmente la primera (que representa las libertades
informativas), están llamadas a jugar un contrapeso clave en el ejercicio del derecho
europeo al olvido, sin que la propuesta de Reglamento concrete los criterios de
ponderación que deberán seguirse para determinar qué derecho prevalece en caso de
conflicto, cuestión que queda inevitablemente relegada a la competencia de los Estados
miembros.
2.5. Sanciones por incumplimiento.
Las autoridades de control de cada Estado miembro estarán facultadas para imponer
sanciones administrativas a los responsables o encargados del tratamiento que, de forma
deliberada o por negligencia, incumplan lo dispuesto en el Reglamento.
En particular, el incumplimiento de las obligaciones referidas al derecho al olvido podrán
sancionarse con multa económica de hasta 500.000 € o, si el responsable es una
empresa, hasta el 1% de su volumen de negocios anual a nivel mundial, de acuerdo
con el artículo 79 de la propuesta de Reglamento.
3. Apuntes sobre el derecho al olvido digital en España
3.1. Antecedentes
Por el momento y más allá de los derechos de acceso y oposición reconocidos en la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, no
existe un derecho ‘positivizado’ al olvido en España.
No ha sido hasta fechas recientes que una administración independiente, la Agencia
Española de Protección de Datos (AEPD), ha reconocido y aplicado un derecho al
olvido digital con especial intensidad y resultados dispares.
En la última Memoria de Actividades3 publicada por la AEPD se dedica un capítulo
específico al “derecho al olvido” en Internet, calificándolo como una necesidad de nuestro
tiempo por tratarse de una de las cuestiones que más impacta sobre la vida de las personas
y a la que, por consiguiente, la AEPD debe de dar respuesta a través de los derechos de
cancelación y oposición.
3.2. La tutela del derecho al olvido
Las resoluciones de la AEPD tutelando estos derechos son en general atendidas por los
responsables de los sitios Web pero no por el prestador dominante del servicio de
búsqueda en España que las ha impugnado sistemáticamente ante la jurisdicción
contencioso-administrativa.
3.3. El derecho al olvido sobre los datos indexados por Google
Al poco tiempo de publicarse la propuesta de Reglamento de la Comisión Europea, la
Sala de lo Contencioso-administrativo de la Audiencia Nacional planteó una cuestión
prejudicial de interpretación de la Directiva 95/46/CE al Tribunal de Justicia de la UE4
(TJUE), sobre el derecho al olvido que asiste a un particular.
4 En concreto, los hechos que están al origen de este caso son los siguientes: un particular,
al teclear su nombre en Google encontró el enlace con un anuncio en un periódico de
tirada nacional en el que se mencionaba el embargo y próxima subasta de un inmueble
por mantener deudas con la Seguridad Social. El afectado afirmaba que dicho embargo
estaba totalmente solucionado desde hace años y carecía de relevancia actualmente. En
primera instancia, el afectado ejercitó su derecho de cancelación de datos frente al medio
de comunicación que había publicado la información del embargo en su edición digital
pero su petición fue denegada. El motivo aducido era que la publicación de la
información tenía justificación legal. En segunda instancia, recurrió a Google Spain pero
su petición fue nuevamente denegada. Finalmente, el afectado acudió a la AEPD, la cual
estimó la petición de tutela de derechos del afectado frente al buscador Google, instándole
a que adoptase las medidas necesarias para retirar los datos de su índice e imposibilitar el
acceso futuro a los mismos. En cambio, la AEPD consideró que la información del
embargo aparecido en el periódico digital debía mantenerse por tener una justificación
legal.
Google Inc. (la sociedad matriz con sede en Mountain View, California) y Google Spain
recurrieron la decisión ante la Sala de lo Contencioso-administrativo. El auto de la
Sección Primera de la Audiencia Nacional plantea de fondo si un particular tiene
derecho a reclamar la supresión y bloqueo de informaciones que le conciernen en los
buscadores de Internet teniendo en cuenta el carácter perenne de la información que se
publica en este entorno y la facilidad con que los buscadores consiguen identificar y
localizar la información solicitada. En síntesis, son tres las dudas jurídicas planteadas al
TJUE:
(1) Si Google Inc. está sometido a las normas de la UE y nacionales (en este caso,
españolas) de protección de datos. Y en caso de que la respuesta a esta pregunta sea
afirmativa;
(2) Si la actividad desarrollada por Google Inc. consistente en indexar datos personales
puede considerarse un “tratamiento de datos personales”. Y en caso afirmativo, si Google
Inc. tiene la condición de “responsable del tratamiento” y debe responder directamente a
las peticiones de olvido que reciba de los interesados o bien puede denegar su ejercicio
cuando la información se haya publicado lícitamente por terceros y se mantenga en la
página web de origen;
(3) Si el derecho al olvido comprende el deseo o voluntad de una persona a que una
determinada noticia o información que parece vinculada a ella y que permite identificarla,
no pueda ser indexada, mantenida indefinidamente y difundida por los buscadores de
Internet, aún cuando su publicación sea lícita.
La respuesta del TJUE a estas preguntas, no explícitamente resueltas en el artículo 17 de
la propuesta de Reglamento por lo que respecta al estatus legal de los buscadores,
vinculará a todos los tribunales europeos que tengan que resolver cuestiones relacionadas
con el derecho al olvido. Hasta entonces, el recurso de Google Inc. y Google Spain ante la
Audiencia Nacional queda suspendido así como los más de un centenar de casos similares
que en este momento están pendientes de resolver en la Sala de lo Contencioso.
4. Consideraciones finales
El proceso de aprobación del Reglamento, incluyendo la regulación específica del
derecho al olvido, sigue su camino y aunque está recibiendo el impacto de no pocas
críticas, algunas cristalizadas en forma de recientes enmiendas, es probable que el
Parlamento Europeo lo apruebe este año, con lo que su aplicación directa en cada uno de
los Estados miembros tendría lugar, previsiblemente, en el 2015.
5 Con todo, el derecho al olvido digital no será fácil de implementar en la práctica y ello
por la dificultad de controlar la información y datos personales que se difunden en
Internet.
A los obstáculos legales propios de una formulación abstracta del contenido y alcance del
derecho al olvido en la UE, que podrá ser o no deliberada, seguramente lo segundo, y de
sus potenciales conflictos con otros derechos, libertades e intereses legítimos, no siempre
fáciles de resolver, máxime en un escenario global como Internet, hay que sumar los
problemas técnicos evidentes para garantizar este derecho. Como ha observado ENISA5,
los retos a los que se enfrenta el derecho al olvido en un sistema abierto como Internet son
mayúsculos porque no existe una solución técnica global para identificar y suprimir los
datos personales de un individuo incluidos en redes sociales, sitios web, blogs, etc.
En fin, el debate sobre la existencia y los contornos jurídicos del derecho al olvido digital
sigue abierto y requiere desde ya la participación constructiva de todos los actores
involucrados: usuarios, responsables de sitios web y motores de búsqueda. La prevención
y uso responsable del lado de los usuarios a la hora de divulgar la información, así como
la aplicación de principios como la minimización de datos y la privacidad desde el diseño,
del lado de los prestadores de servicios, serán algunos de los ingredientes necesarios para
conseguir el objetivo pretendido por la UE de mantener al usuario en el control de sus
datos. La utilización de la propia tecnología para convertir en temporales las
informaciones publicadas y compartidas en Internet (ya existen en el mercado programas
que permiten la auto-destrucción de la información que se comparte en Internet a los
pocos segundos de ser difundida) o impedir la indexación de datos por parte de los
motores de búsqueda (mediante el uso del protocolos ‘No Robots’) son otras medidas que,
en caso de generalizarse, contribuirán sin duda a una mejor protección del derecho al
olvido digital.
Marc GALLARDO
Presidente del grupo de trabajo derechos de la
persona digital de la UIA
Lexing Spain
Barcelona, España
6 1
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,
(COM/2012) 11 final, de 25 de enero de 2012 (puede consultarse en: http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF). En el presente artículo se
han tenido en cuenta las enmiendas a la citada Propuesta introducidas por la Comisión de Libertades Civiles,
Justicia y Asuntos de Interior (LIBE) del Parlamento Europeo, mediante informe de 17 de diciembre de
2012: http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf
2 Directiva
95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la
protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre
circulación de estos datos (DO L 281 de 23.11.1995, p. 31/50).
http://europa.eu/legislation_summaries/information_society/data_protection/l14012_es.htm 3
Puede consultarse en:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/memorias/memoria_2011/common/Memoria_20
11.pdf
4 Asunto pendiente C-131/12: Google Spain y Google. Puede consultarse la ficha detallada del
procedimiento en: http://curia.europa.eu/juris/liste.jsf?num=C-131/12 5
European Network and Information Security Agency (ENISA): The right to be forgotten – between
expectations and privacy, publicado el 20 de noviembre de 2012 y disponible en
http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/the-right-to-be-forgotten
7