22/12/2016

Tribunales

El derecho al olvido digital

Escrito por Teodoro González Ballesteros

Hace diez años, esta sección trataba sobre “El derecho al olvido”: “La dogmática metodista discute hasta cuándo una información que fue noticia en su día, referida a hechos que el sujeto protagonista ha desterrado de su vida, modificando su trayectoria humana y comportamiento ante la sociedad, puede ser recordada mediante su difusión a través de un medio de comunicación, sin que exista causa o motivo de reincidencia en el sujeto y sus acciones”.

A pesar de que ya entonces se encontraban vigentes la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación (derogada por el reciente Reglamento 2016/679), incorporada al ordenamiento español mediante la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal; y la Directiva 2000/31/CE, del Parlamento y del Consejo, de 8 de junio de 2000, igualmente incorporada por la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico, no hemos tenido ocasión de constatar la aplicación de tal normativa hasta la Sentencia del Tribunal de Justicia de la Unión de 13 de mayo de 2014. Sí cabría citar la Sentencia de la Sala de lo Civil del Tribunal Supremo, de 26 de febrero de 2013, la cual determinó que los prestadores de servicios de alojamiento o almacenamiento de datos que faciliten enlaces a contenidos o instrumentos de búsqueda no serán responsables por la información almacenada a petición del destinatario y la información a la que dirijan a los destinatarios de sus servicios, siempre que no tengan conocimiento efectivo de que la actividad o la información es ilícita o lesiona bienes o derechos de un tercero susceptible de indemnización; o, si es que lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.

Pasada una década, vistos los innumerables avances producidos en el desarrollo de las tecnologías de la información y que nos encontramos en los albores de la era digital, la cuestión primaria que se plantea es cómo “borrar” una información de los buscadores que operan en la red (por ejemplo, Google) la cual un sujeto concreto considera lesiva por sus nuevas circunstancias personales y el tiempo transcurrido desde que aquella tuvo lugar. Al efecto, debe tenerse en cuenta la casuística del caso concreto centrada en el interés público –hechos y persona, pública o privada–, veracidad y afectación al sujeto. Asimismo, puede resultar absurdo que una información cuya fuente sea, por ejemplo, un documento oficial (BOE, resolución de los tribunales, etc.) deba desaparecer de un buscador y permanecer en la fuente original digitalizada.

Tanto la diáspora normativa, primaria y secundaria, como la confusión interpretativa de los tribunales nacionales en la aplicación de la Directiva comunitaria de 24 de octubre de 1995 han tenido una respuesta indirecta, 19 años después, mediante la Sentencia del Tribunal de Justicia de la UE (Gran Sala) de 13 de mayo de 2014, que trae causa de la petición de decisión prejudicial planteada por la Audiencia Nacional en 2012 (Asunto C-131/12), en el marco de un litigio entre Google Spain, S.L. y Google Inc., de un lado, y la Agencia Española de Protección de Datos (AEPD) y Don M.C.G., de otro, en relación con una resolución de la Agencia por la que se estimó la reclamación de Don M. contra ambas sociedades. En ella se ordenaba a Google Inc. que adoptara las medidas necesarias para retirar los datos personales de Don M. de su índice e imposibilitara el acceso futuro a los mismos. Don M. presentó en 2010 una reclamación ante la AEPD contra el diario “La V.” y contra Google, basada en que, cuando un usuario de internet introducía su nombre en el motor de búsqueda de Google, obtenía como resultado enlaces de hasta dos páginas del periódico, de 19 de enero y 9 de marzo de 1998, en las que figuraba un anuncio de una subasta de inmuebles relacionada con un embargo por deudas a la Seguridad Social que mencionaba el nombre de Don M.

La AEPD, mediante resolución de 30 de julio de 2010, desestimó la reclamación contra “La V.” al considerar que la publicación estaba legalmente justificada, dado que tuvo lugar por orden del Ministerio de Trabajo y Asuntos Sociales, con objeto de dar la máxima publicidad a la subasta. Y la estimó en el caso de Google, argumentando que quienes gestionan motores de búsqueda están sometidos a la normativa en materia de protección de datos, puesto que llevan a cabo un tratamiento de datos del que son responsables y actúan como intermediarios de la sociedad de la información. La Agencia dictaminó que estaba facultada para ordenar la retirada e imposibilitar el acceso a determinados datos por parte de los gestores de los motores de búsqueda cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos y a la dignidad de la persona entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros.

Ante la negativa de Google de retirar los datos, se recurre a la Audiencia Nacional, la cual plantea, al tratarse de una directiva comunitaria, una cuestión prejudicial al TUE acerca de cuáles son las obligaciones que tienen los gestores de motores de búsqueda en la protección de datos personales de aquellos interesados que no desean que determinada información, publicada en páginas webs de terceros y que contiene sus datos personales y permite relacionarles con la misma, sea localizada, indexada y puesta a disposición de los usuarios de internet de forma indefinida.

El TUE declara en su sentencia, por un lado y en lo que hace a las características del medio transmisor, que la actividad de un motor de búsqueda –consistente en hallar información publicada o puesta en internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los usuarios según un orden de preferencia determinado– debe calificarse de “tratamiento de datos personales”, cuando esa información contiene datos personales; y, por otro, que el gestor de un motor de búsqueda debe considerarse “responsable” de dicho tratamiento.

En lo concerniente a las obligaciones del emisor, y a los efectos de respetar los legítimos derechos de los interesados, ya sean de rectificación, supresión o bloqueo de datos, y siempre que se cumplan los requisitos establecidos en la normativa, el TUE declara que el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona enlaces a webs publicadas por terceros y con información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de dichas webs y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.

Y por último, en lo referente al fondo de la cuestión objeto de debate, la supresión de datos, determina que “se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que este puede, habida cuenta de los derechos que le reconocen los arts. 7 (Respeto a la vida privada y familiar) y 8 (Protección de datos de carácter personal) de la Carta de los Derechos Fundamentales de la UE, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no solo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”.

El efecto secundario más importante de la anterior sentencia ha sido la publicación del Reglamento 2016/679, del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (DOUE de 4 de mayo), en vigor desde el 25 de mayo. Los Estados miembros tendrán hasta la misma fecha de 2018 para adaptarlo a sus legislaciones nacionales. Su texto, compuesto por 173 considerandos y 99 artículos (en total, 88 páginas), es lo suficientemente complejo como para ser asumido por los 28 Estados de la Unión Europea que han de transponerlo a sus correspondientes ordenamientos internos.

En lo que hace a la cuestión aquí tratada, el Reglamento, en la Sección 3 del Cap. III, sobre “Rectificación y supresión” de datos por parte de los interesados, recoge, entre otros, el “Derecho de rectificación” (art. 16), el “Derecho de supresión o derecho al olvido” (art. 17) y el “Derecho a la limitación del tratamiento” (art. 18). El referido art. 17, que por su importancia y trascendencia reseñamos en su integridad, se estructura en tres apartados: el ejercicio del derecho de los interesados a la supresión de los datos, la obligación de supresión del responsable del tratamiento y los supuestos en que por interés general no procede la supresión.

Así pues, dispone:
1.- El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes: a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; b) el interesado retire el consentimiento en que se basa el tratamiento cuando haya sido dado para uno o varios fines específicos, o revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y este no se base en otro fundamento jurídico; c) el interesado se oponga al tratamiento por motivos relacionados con su situación particular, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando tenga por objeto la mercadotecnia directa; d) los datos personales hayan sido tratados ilícitamente; e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; f) los datos personales se hayan obtenido en relación con la oferta directa a niños de servicios de la sociedad de la información.

2.- Cuando haya hecho públicos los datos personales y esté obligado a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.

3.- Los apartados anteriores no se aplicarán cuando el tratamiento sea necesario: a) para ejercer el derecho a la libertad de expresión e información; b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; c) por razones de interés público en el ámbito de la salud pública; d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o e) para la formulación, el ejercicio o la defensa de reclamaciones”.

En el apartado de responsabilidades y sanciones (Cap. VIII) se indica que “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos” (art. 82.1), que en el caso de infracción de los derechos de los interesados a tenor del art. 17 –derecho de supresión o derecho al olvido– “se sancionará con multas administrativas de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía”
(art. 83.5).

Por último, en lo que se refiere al tratamiento y libertad de expresión y de información, dispone que “los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria” (art. 85.1). Obsérvese la facultad/delegación que en este último precepto se hace para que sean los Gobiernos nacionales los que concilien la protección de datos con los derechos a las libertades de expresión e información, en relación con lo preceptuado en el art. 17.3.a) acerca de la no supresión de datos cuando se trate de “ejercer el derecho a la libertad de expresión e información”.

El nuevo Reglamento, que deroga la Directiva de hace 21 años, en el tema que nos ocupa del derecho al olvido digital, es ya de por sí un texto de difícil
interpretación jurídica, que corresponderá hacerla a los tribunales de la Unión; de complicada aplicación, porque cada país deberá aprobar su correspondiente ley de transposición, aunque, en ausencia de esta, podrá recurrirse a los mencionados tribunales europeos directamente, y de compleja utilidad, en razón del tiempo –años– que puede durar un procedimiento antes de obtener un veredicto irrecurrible.

Y lo cierto es que la cuestión tal vez no sea tan difícil de resolver y bascule entre el principio de “consentimiento” que el sujeto pueda hacer a que sus datos circulen por la red –aportados por él, publicados por terceras personas o provenientes de fuentes de carácter público, en cuyo caso es irrelevante el consentimiento– y el principio de “finalidad”, cuando han dejado de ser útiles para la finalidad que se publicaron. Sin olvidar que, en el caso de Google, el Reglamento se deberá aplicar basándose en la geolocalización y no afectará a los países extracomunitarios.

En resumen, y sin excesivo pesimismo, en el caso del derecho al olvido digital, como ocurre con el derecho a saber de los ciudadanos, la norma jurídica y la realidad social difícilmente convergen.