Posible conflicto entre la LOPD y la ley del territorio donde se ubica el CLOUD

globalidad_cloudPor José Luis Colom Planas

1. UBICACIÓN GEOGRÁFICA DE NUESTROS DATOS EN EL CLOUD.

Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una cesión o bien una transferencia internacional de datos.

1.1. TID (Transferencias Internacionales de Datos)

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

El Acuerdo EEE, por lo tanto, se aplica ahora a la UE de los 27 y a los 3 Estados miembros de la Asociación Europea de Libre Cambio (AELC): Islandia, Liechtenstein y Noruega. Suiza, aunque no forma parte del EEE, sigue siendo miembro de la AELC.

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AGPD (Agencia Española de Protección de Datos), salvo:

  • Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
  • Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.

La relación de países cuyo nivel de protección se considera equiparable por la AGPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:

  • Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000.
  • Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), [A] de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.
  • Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001.
  • Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003.
  • Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010.
  • Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010.
  • Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
  • República Oriental del Uruguay, de acuerdo con la decisión 2012/484/UE de Ejecución de la Comisión, de 21 de Agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

[A] El “acuerdo de puerto seguro UE-EE.UU.”, surge para compatibilizar la directiva de la Comisión Europea sobre protección de datos que entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no comunitarios que no cumplan con la Unión Europea (UE) la necesaria “adecuación” para la protección de la privacidad. Si bien los Estados Unidos y la UE comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos tienen un enfoque diferente a la vida privada de la adoptada por la UE. A fin de salvar estas diferencias de enfoque y proporcionar un medio eficiente para las organizaciones de Estados Unidos para cumplir con la Directiva, el Departamento de Comercio de EE.UU., en consulta con la Comisión Europea desarrolló un marco de “puerto seguro” y el sitio web http://export.gov/safeharbor/ , para proporcionar la información que una organización necesitaría para evaluar y unirse al programa “US-EU Safe Harbor”.

Los supuestos que son excepciones a la necesidad de autorización del director de la AGPD, se regulan en el Art. 34 de la LOPD:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Resumiendo, Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español. Las comunicaciones de datos a países con “nivel de protección equiparable” según la AGPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AGPD, pero si la notificación a la Agencia. Para las comunicaciones de datos con el resto de países, necesitamos notificarlo, solicitar y esperar la autorización del Director de la AGPD.

1.2. Aplicación de las TID al CLOUD COMPUTING

De todo lo anteriormente expuesto se deduce que cuando contratamos servicios en el CLOUD, si tratamos datos de carácter personal, es muy importante conocer o elegir en qué país está ubicado el CPD que albergará nuestros servidores virtuales y su almacenamiento correspondiente. Es imprescindible a efectos de cumplimiento con la LOPD y el RLOPD. Algunos proveedores de servicios en el CLOUD como pueden ser “IBM Cloud Computing” o “Colt vCloud”, en el catálogo de aprovisionamiento lo primero que solicitan es en que CPD de los varios que disponen deseamos crear nuestro servidor virtual. Para cada CPD se indica claramente el país donde se encuentra ubicado.

Si elegimos un país del EEE, nuestra introducción de datos en el servidor no se considerará una transferencia internacional de datos. Se tratará de una cesión.

En el tratamiento por cuenta de terceros, para que se considere que no hay una cesión de datos, debe intervenir la figura del ENCARGADO DEL TRATAMIENTO. Por tanto debe existir una relación jurídica que vincule al Responsable y al Encargado del Tratamiento, y que delimite de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el Encargado por cuenta del Responsable del Tratamiento.

2. LEYES PROPIAS DE ESTADOS UNIDOS

Hemos visto que para las empresas estadounidenses que prestan sus servicios de CLOUD en USA, existe la posibilidad de adherirse a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. Dicha adhesión, solamente sirve para que pueda considerarse dicho prestador de servicios de CLOUD por la AGPD española, como ubicado en un país que ofrece un nivel adecuado de protección, lo que permite llevar datos de carácter personal al CLOUD desde España, sin necesidad de esperar la autorización pertinente de la AGPD. Con notificárselo basta.

Existe sin embargo un riesgo adicional cuando almacenamos datos de carácter personal desde España en un CPD en el CLOUD, ubicado principalmente en US, y propiedad de una empresa adscrita o no, a los principios de Puerto Seguro (Safe Harbor).

2.1. USA Patriot Act

Existe la USA Patriot Act (Ley Patriota de los Estados Unidos), que es acrónimo de “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” (Unir y Fortalecer América al Proporcionar las Herramientas necesarias para Interceptar y Obstruir el Terrorismo). Esta ley fue sancionada por los Estados Unidos el 24 de octubre de 2001, a raíz de los ataques terroristas del 11 de septiembre de 2001. Las estipulaciones más restrictivas de derechos del Acta fueron inicialmente sancionadas como normas provisionales de emergencia hasta el 31 de diciembre de 2005. Con apenas modificaciones, fue sancionada por el Congreso norteamericano el 2 de marzo de 2006 y promulgada como ley por el presidente Bush el 9 de marzo del mismo año.

Al leer la Ley Patriota de los Estados Unidos, resulta interesante observar que la orden emitida bajo esta Ley se puede entregar a cualquier ciudadano norteamericano, sin importar que resida en suelo norteamericano o en el extranjero. De hecho, no hay nada que impida que las autoridades norteamericanas obliguen a un ciudadano norteamericano, que reside temporalmente fuera de su país natal a los efectos de obtener determinada información.

Bajo el Art. 215 de la Ley Patriota de los Estados Unidos, está prohibido para un particular o una empresa que haya recibido esa orden Judicial, divulgar la existencia de esa orden bajo pena de sanción. Siguiendo esa lógica, el empleado ciudadano norteamericano que debe proporcionar determinados documentos a los que tiene acceso como parte de su relación laboral no puede ni siquiera informar a su empleador (o supervisor), ni al CEO o al C.D. (Comité de Dirección) de la empresa.

El particular o la empresa que comunica la información al FBI después de habérsele emitido una orden Judicial bajo la Ley Patriota de los Estados Unidos tiene inmunidad total y no puede ser objeto de demandas por daños y perjuicios por ninguna tercera persona con relación, por ejemplo, a la comunicación de información privada o privilegiada relativa a esa tercera persona.

Lo único que deben invocar las autoridades es el hecho de que la información a ser comunicada podría estar relacionada a una investigación en curso relativa a actividades terroristas o de inteligencia secreta; no es necesario demostrar la existencia de un nexo real, probatorio.

2.2. FISA Act 2012

El domingo 30 de diciembre, la Secretaría de Prensa de la Casa Blanca emitió un escueto comunicado en el que informó: “El Presidente promulgó la ley H.R. 5949 o ‘Ley de Reautorización de Enmiendas a la ley FISA 2012’, que amplía por cinco años el Título VII de la Ley de Vigilancia de Inteligencia Extranjera FISA (Foreign Intelligence Surveillance Act). Así, los polémicos poderes de vigilancia del gobierno fueron renovados hasta finales de 2017 permitiendo controlar las comunicaciones de los ciudadanos estadounidenses dentro y fuera del país.

La ley FISA es tan solo un ejemplo de cómo Estados Unidos ha adoptado un curso de acción que socava las expectativas no solo del derecho a la privacidad, sino también del derecho de no ser requisados o de que nuestros bienes no sean incautados, en pro de la seguridad Nacional.

Los que nos dedicamos a la privacidad y protección de datos, entendemos que las medidas para obtener información sobre las personas deberían estar sometidas a una orden judicial y no estar sujetas únicamente a la decisión de uno o varios agentes del FBI.

2.3. CISPA / HR-3523

CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523) es un proyecto de ley en los Estados Unidos que permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y empresas tecnológicas y de prestación de servicios como son las de telecomunicaciones y de Cloud Computing.

El objetivo declarado del proyecto es ayudar al Gobierno de los EE.UU. a investigar las amenazas y así poder garantizar la seguridad de las redes contra los ataques cibernéticos.

El 18 de Abril de 2013 la Cámara de Representantes USA da luz verde a CISPA, por 288 votos a favor, 127 en contra y 17 abstenciones. Ahora (*) va camino de Senado.

(*) Referido a Mayo de 2013.

3. LEYES EQUIVALENTES EN ESPAÑA

En España no hay una ley específica tipo las americanas que se han analizado previamente, pero sí que están regulados los objetivos del CNI (Centro Nacional de Inteligencia) activo desde el año 2002, fecha en la que sustituye al antiguo CESID (Centro Superior de Información de la Defensa).

La ley que regula el CNI y que supone su creación es la LO 11/2002, de 6 de mayo. (1)

Si observamos el Artículo 5 “Actividades del Centro Nacional de Inteligencia”, leemos:

“5. Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa”.

Por otra parte, toda la actividad del CNI estará regulada jurídicamente dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. (2)

Si se accede a dicha Ley, reguladora del control judicial previo del Centro Nacional de Inteligencia, en su artículo único se referencia que en los casos en los que se pueda afectar al secreto de las comunicaciones (art 18.2 de la Constitución Española) tenemos que, como se ha tratado con anterioridad, el CNI tiene la capacidad de actuar siempre y cuando exista una resolución judicial previa y favorable que así lo autorice.

Concretamente se cita en “EXPOSICIÓN DE MOTIVOS”:

“A estos efectos, esta Ley Orgánica, cuyo alcance resulta de una interpretación conjunta con la Ley reguladora del Centro Nacional de Inteligencia, determina tanto la forma de nombramiento de un Magistrado del Tribunal Supremo específicamente encargado del control judicial de las actividades del Centro Nacional de Inteligencia, como el procedimiento conforme al cual se acordará o no la autorización judicial necesaria para dichas actividades”.

Por tanto concluiré que las empresas de Cloud Computing que prestan servicios con localización de CPDs en el territorio Español, cooperan con las fuerzas de seguridad del Estado siempre que exista una orden judicial que así lo obligue.

Sin conocer a fondo la materialización de actuaciones, si consultamos la Ley Orgánica 2/2002, de 6 de mayo, vemos que la solicitud de autorización al Magistrado del TS por parte del CNI, deberá contener:

“a) Especificación de las medidas que se solicitan.

b) Hechos en que se apoya la solicitud, fines que la motivan y razones que aconsejan la adopción de las medidas solicitadas.

c) Identificación de la persona o personas (quiero entender físicas y/o Jurídicas) afectadas por las medidas, si fueren conocidas, y designación del lugar donde hayan de practicarse (en nuestro caso el CPD concreto de un CSP).

d) Duración de las medidas solicitadas, que no podrá exceder de veinticuatro horas en el caso de afección a la inviolabilidad del domicilio y tres meses para la intervención o interceptación de las comunicaciones postales, telegráficas, telefónicas o de cualquier otra índole, ambos plazos prorrogables por sucesivos períodos iguales en caso de necesidad. (En el caso de Cloud Computing se considera de otra índole, por lo que inicialmente la duración de las medidas será de hasta tres meses prorrogables)”.

El Magistrado dispondrá lo procedente para salvaguardar la reserva de sus actuaciones, que tendrán la clasificación de secreto.

Por tanto inicialmente el propietario de los datos ignorará que es motivo de actuaciones igual que ignoraría, obviamente, que le han intervenido el teléfono ya que su conocimiento podría incidir en la integridad de los datos y por tanto en la eficacia y confiabilidad del procedimiento abierto.

Si a raíz de las investigaciones se encuentran indicios razonables de la existencia de un delito, evidentemente se tendrá conocimiento de las actuaciones habidas para obtener pruebas catalogadas como evidencias digitales forenses dentro de la instrucción del sumario. Dichas evidencias se conservarán (cuidando la cadena de custodia para que no pierdan validez) al menos hasta la resolución judicial en última instancia (favorable o no), sin ya posibilidad de apelación.

El Secretario de Estado Director del Centro Nacional de Inteligencia ordenará la inmediata destrucción del material relativo a todas aquellas informaciones que, obtenidas mediante la autorización prevista en este artículo, no guarden relación con el objeto o fines de la misma.

NOTA DEL EDITOR: Como tema relacionado, en referencia a la Directiva de Retención de datos de la UE y su transposición al ordenamiento jurídico de los diferentes estados miembros, puede consultarse en este mismo Blog:

Directiva de Retención de datos

4. AFECTACIÓN AL CLOUD COMPUTING

Cuando hablamos de Llevar al CLOUD Datos de Carácter Personal recabados de ciudadanos españoles, según la LOPD y el RLOPD el Responsable del Tratamiento (La empresa que contrata los servicios) incluirá un acuerdo de subcontratación suscrito con el Encargado del Tratamiento (La empresa que presta servicios de CLOUD). No es otra cosa que una obligación contractual dirigida a ésta tercera persona proveedora, tendiente a respetar las normas de confidencialidad elaboradas por la ley española. Sin embargo, una vez que la información personal está en manos de la tercera persona proveedora establecida en un país extranjero, la información está sujeta a las leyes de ese país. Si surgiera un conflicto entre la obligación de confidencialidad bajo contrato y la obligación legal de divulgar (como por ejemplo una citación judicial emitida bajo la Ley Patriota de los Estados Unidos), no existe objeción en el sentido de que para el proveedor de servicios CLOUD, prevalecerá la ley del territorio.

Por consiguiente, existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos, a la información personal de ciudadanos españoles, cuando esa información se subcontrata a un proveedor de servicios en Norteamérica.

En consecuencia, una empresa ubicada en España que subcontrata la gestión de sus datos a los Estados Unidos, como mínimo debería informar a sus clientes que su información confidencial podría estar a disposición del gobierno de los Estados Unidos en virtud de una orden judicial de ese país.

Un reciente estudio de la Unión Europea titulado: ‘Lucha contra la delincuencia cibernética y protección de la privacidad en la nube’, asegura que el peligro real reside en el control de EE.UU. de la información almacenada en nubes públicas, que son precisamente propiedad de empresas de ese país. Según el informe, la legislación tiene “fuertes implicaciones para los derechos fundamentales de la UE”, ya que permite a EE.UU. acceder legalmente a toda la información del CLOUD sin previo aviso ni consulta.

NOTA DEL EDITOR: El hecho de que las empresas españolas que han externalizado sus datos en el Cloud a un CPD ubicado en España puedan sufrir, para una posible investigación, acceso a sus datos almacenados por parte del CNI no es grave dado que dicho organismo está al servicio del Estado Español y bajo control judicial. Más preocupante sería que agencias federales norteamericanas o de cualquier otro país pudieran acceder a información de empresas españolas que se encuentren en conflicto de intereses en proyectos internacionales con otras empresas equivalentes de ese país.

En dichos casos se vislumbra imprescindible un estricto registro de actuaciones para ser auditadas a futuro por una autoridad de control, a ser posible supranacional.

5. EJEMPLO A PARTIR DE UNA DECLARACIÓN DE PRIVACIDAD

Concretando con un ejemplo, algún proveedor de Norteamérica, dentro de sus condiciones generales de contratación a las que implícitamente se adhiere o suscribe quien utiliza sus servicios, establece cláusulas que vislumbran el efecto de protección ante requerimientos judiciales, dejando sin embargo la puerta abierta a “USA Patriot Act” en la última línea, donde reconoce que podrían no notificarlo.

La DECLARACIÓN DE PRIVACIDAD DE MICROSOFT WINDOWS AZURE” que se trata de una plataforma de Servicios en el Cloud (PaaS), cita textualmente en el apartado “DIVULGACIÓN DE SU INFORMACIÓN”:
No revelaremos los Datos del cliente a terceros (ni siquiera a una autoridad judicial, otra entidad gubernamental o litigante civil, con la excepción de nuestros contratistas) salvo que usted lo indique o por imperativo legal. Si terceras partes se pusiesen en contacto con nosotros solicitando datos de clientes, les indicaríamos que se los solicitasen directamente a ellos. A tal fin, les podríamos proporcionar información de contacto básica. Si nos viésemos obligados a revelar los Datos del cliente a terceros, emplearíamos todos los esfuerzos comercialmente razonables para notificárselo por adelantado, a menos que nos lo impida la ley”.

Evidentemente la USA Patriot Act se aplica a cualquier proveedor de servicios en USA, aunque aquí cite a Microsoft como ejemplo.

NOTA DEL EDITOR: Para ampliar datos sobre legislación y CLOUD COMPUTING, puede consultarse en éste mismo Blog:

CLOUD COMPUTING Y PROTECCION DE DATOS PERSONALES

O una versión en vídeo:

CLOUD COMPUTING: REGULANDO EL DESORDEN

6. BIBLIOGRAGÍA CONSULTADA

(1) BOE núm. 109. “Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia”. 07/05/2002.

LO 11/2002

(2) BOE núm. 109. “Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia”. 07/05/2002.

LO 2/2002
Public Law 109–177 (109th Congress). Mar. 9, 2006. “USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005”.
USA PATRIOT IMPROVEMENT AND REAUTHORIZATION
CONGRESSIONAL RECORD — SENATE. December 27, 2012. “FISA AMENDMENTS ACT REAUTHORIZATION ACT OF 2012”. S8384.

FISA 2012 ACT

UNITED STATES DISTRICT COURT FOR THE NORTHERN DISTRICT OF CALIFORNIA OAKLAND DIVISION. January 4, 2013. CONSOLIDATED MEMORANDUM OF POINTS AND AUTHORITIES IN OPPOSITION TO PLAINTIFF’S CROSS-MOTION FOR SUMMARY JUDGMENT AND REPLY MEMORANDUM IN FURTHER SUPPORT OF DEFENDANT’S MOTION FOR SUMMARY JUDGMENT.

MEMORANDUM

MICROSOFT. DECLARACIÓN DE PRIVACIDAD DE WINDOWS AZURE.

MICROSOFT WINDOWS AZURE

U.S. Department of Justice — Civil Division. January 3, 2013. “Department of Justice’s response to Electronic Frontier Foundation’s Freedom of Information Act request to the Department’s National Security Division dated July 26, 2012”.

DEPARTMENT OF JUSTICES’S RESPONSE

ELECTRONIC FRONTIER FOUNDATION. January 10, 2013. “A New Year, a New FISA Amendments Act Reauthorization, But the Same Old Secret Law”. By Mark Rumold.

NEW FISA

112TH CONGRESS 1ST SESSION. 29 November, 2011. “To provide for the sharing of certain cyber thread intelligence. . .”. DISCUSSION DRAFT.

CISPA

El derecho frente a la sociedad de la información

soc_info_ven

Por Noris Vera
Facultad de Ciencias Jurídicas y Políticas de la Universidad Central de Venezuela

Preparemos a los niños para su futuro,
no para nuestro pasado o nuestro presente”

David Thornburg
Autor y Educador Canadiense

Internet ha sabido hacerse de un espacio en las vidas de las personas. Lo que en principio se presentaba como un simple sistema de comunicaciones  con intenciones militares, ha logrado convertirse hoy en el fenómeno socioeconómico por excelencia.

Ya en los años setenta comenzaron a unirse a la Red empresas e instituciones educativas, apartándose así del ámbito estrictamente militar. De este modo, diversas redes pudieron conectarse a una red única, la cual pasó a denominarse Internet.

Es indudable que nuestra cultura ha cambiado debido al desarrollo vertiginoso de la tecnología; la sociedad de la información viene a ser la conjunción entre la información, la comunicación, la educación, el avance tecnológico, el desarrollo económico y social que se evidencia en la actualidad.

Se habla de la experiencia en las redes sociales como una manera de globalización de la comunicación, donde se interactúa simultáneamente con otras personas y grupos que pueden servir de apoyo. Se elimina la barrera espacio-tiempo; se fomenta el aprendizaje colaborativo y además permite desarrollar competencias tecnológicas necesarias en diversos contextos.

Según los planteamientos del profesor Rodolfo Herrera Bravo, los cambios en la sociedad han modificado los patrones de conducta social, las creencias, actitudes psicológicas, el ámbito económico y político, la manera de interactuar.

Evidentemente estos cambios también se dan en el ordenamiento jurídico y en el ámbito de las tecnologías de la información; entonces, ¿cuál debe ser el comportamiento del ciudadano en las redes?, ¿cómo garantizar que las actuaciones individuales en las redes no afecten al colectivo?, ¿el Derecho debe ir a la par de todos estos cambios? estas y muchas otras incógnitas se generan. Es realmente un dilema, donde el Derecho como ciencia, puede hacer grandes aportes y emplear herramientas tecnológicas en la labor del profesional.

Indudablemente los cambios en el uso de la tecnología merecen un tratamiento diferente por parte del Derecho, las antiguas estructuras y patrones no son de utilidad  hoy en día. La materia jurídica está conformada  por disposiciones que pueden emplearse en las nuevas tecnologías, adaptando las regulaciones y normas existentes, creando nuevas regulaciones donde los fenómenos sociales y políticos lo ameriten, desarrollando una metodología que le permita analizar los fenómenos sociales que se presentan, es así como el contacto entre el Derecho y la informática.

La informática jurídica que actualmente se conoce como Derecho de las Tecnologías de la Información y de las Comunicaciones, viene a ser esa parte del Derecho que procura regular los efectos jurídicos derivados del hecho de la  comunicación humana. Con el surgimiento de la sociedad de la información, los procesos sociales cambian y el Derecho debe cambiar con ellos, viéndose afectadas todas sus áreas, así como  los procesos políticos y jurídicos.  Entonces no se debe hablar de nuevas ramas del Derecho, sino de cambios en las formas y procedimientos que se venían ejecutando.

El Derecho debe enfocarse en crear nuevos mecanismos para generar un debate interdisciplinario,  para entender el fenómeno de la Sociedad de la Información y poder incentivar  la creación de políticas de Estado. De esta manera contribuirá  al desarrollo de una Sociedad de la Información más justa y amparada en la Ley.

A manera de conclusión se puede decir que, los cambios tecnológicos han afectado todas las áreas donde se desenvuelve el ser humano; esto nos obliga  a estar constantemente investigando y analizando para entender la situación y poder establecer la relación entre el Derecho y las nuevas tecnologías, buscando soluciones la manera de crear estrategias para la acción, para interactuar con nuestra realidad.

Bibliografía:

Herrera Bravo Rodolfo: El Derecho en la Sociedad de la Información. Nociones Generales sobre el Derecho de las Tecnologías de la Información y las Comunicaciones.

¿Tengo derecho a ser olvidado en la red?

derecho_borrado

Por Diego Pérez Gutiérrez

La Agencia Española de Protección de Datos constataba ya, en 2010, un incremento de las consultas ciudadanas sobre el procedimiento para desaparecer nternet, así como sobre el ejercicio de los derechos de cancelación y oposición frente a la perpetuidad de los datos existente en la web.

La reacción de la AEPD fue inmediata, y elevó la protección del derecho al olvido,enmarcándola dentro del derecho fundamental a la protección de datos (art. 18.4 CE).

Debido a este creciente miedo, es necesario plantearse seriamente la utilidad que puede tener para la sociedad el rastreo de nuestro presente digital, sin obviar los muchos, infinitos, beneficios que obtienen las empresas.

Para éstas, trazar un perfil social y psicológico, con base en las preferencias de búsqueda, les resulta un procedimiento más fiable, y les reporta una información mucho más exacta, que buscar en los cajones o bolsas de basura.

¿Y para una sociedad sin restricciones sobre el uso libre de Internet?, es decir, ¿el ciudadano de a pie obtiene algún provecho de este seguimiento?

Imaginemos, con estas dos recientes noticias, (que nos servirán como termómetro para determinar hasta qué punto es beneficioso pasar desapercibido por Internet) que hubiera pasado si existiera un control total por parte del usuario de todo su historial de navegación por la web:

– El presunto asesino de Toulouse, Mohamed Merah, pudo ser identificado gracias al rastreo de una dirección IP, que su ordenador “dejó” en una web de compraventa de productos de segunda mano.

Las autoridades tienen la posibilidad de pedir (bajo mandato judicial) a una página web los datos de navegación de sus usuarios, pues cualquier compañía francesa está obligada a guardarlos durante un año por motivos legales y de seguridad.

Esto, en todo caso, no quiere decir que dicha información apuntase directamente a la casa donde se había refugiado el sujeto, ya que éste podría haber utilizado diversos métodos para camuflar su conexión (utilizar un proxy o haberse conectado desde un cibercafé, por ejemplo).

Pero, visto el resultado, fue un buen indicio para localizarle.

– Un joven en Mallorca es detenido cuando se disponía a colocar 140 kilos de explosivos en la Universidad de Illes Balears. La detención se produjo debido a que un periodista venezolano alertó desde Japón, tras leer en el blog del joven de 21 años, y gracias al seguimiento que la policía hizo de las compras realizadas por el joven en una web especializada en la venta de productos químicos.

No pretendo con estas noticias extrapolar la actividad de estas dos personas al resto, pero si hacer una defensa sobre la accesibilidad a datos personales por parte de las fuerzas de seguridad, en cuanto se atisbe la más mínima muestra de que se puede estar cometiendo un delito, entrando a valorar la gravedad del mismo, evidentemente.

Potenciando el ámbito preventivo, se podrán evitar muchos más delitos derivados del uso de Internet, como pueden ser:

Phishing, pharming, virus, fraudes en subastas, sustracción de datos, cracking, comercio electrónico fraudulento, piratería virtual, suplantación de identidad, falsas ofertas de trabajo… todos ellos investigados y perseguidos por La Brigada de Investigación Tecnológica de la Policía Nacional, unidad especializada en este tipo de delitos.

Para concluir, deberíamos reflexionar sobre si utilizar la privacidad como medio de pago que posibilite la financiación total de estas actividades nos compensa, o si por el contrario seguiremos teniendo ese omnipresente miedo, a menudo infundado, sobre qué o quién utiliza nuestros datos personales.

Derecho al olvido: un enfoque imparcial

olvido_imparcial

Por José Luis Colom Planas

1. INTRODUCCIÓN

He dudado mucho antes de decidirme a escribir este artículo sobre el derecho al olvido. Los que tenemos la privacidad  como nuestra especialidad en el ámbito del Derecho corremos el riesgo de ser parciales en los considerandos y en las posibles conclusiones. Pretendo que cada lector extraiga las suyas propias después de conocer opiniones encontradas sobre los mismos “derechos”.

Considero también que la privacidad solo tendrá futuro si más que impuesta es entendida como un valor social y, en consecuencia, exigida por la sociedad misma. Por eso es tan importante ponderar correctamente la privacidad y la transparencia en Internet. En esta labor de concienciación han colaborado, aunque de forma disruptiva, los diferentes escándalos como el provocado por las revelaciones del Sr. Edward Snowden.

He esperado varios meses desde que se publicó la sentencia del TJUE sobre el asunto C‑131/12 de Google Spain, S.L., Google Inc. Contra la Agencia Española de Protección de Datos (AEPD), en relación al caso del Sr. Mario Costeja González (Petición de decisión prejudicial planteada por la Audiencia Nacional) ya que así eliminaba toda la carga pasional de los primeros días.

La gran paradoja de todo este revuelo ha sido que debido al efecto llamada, también conocido como efecto Streidsan, los asuntos del Sr. Costeja ahora tienen mucha más repercusión mediática que antes del pretendido “olvido”.

2. EL NUEVO CONCEPTO DE PRIVACIDAD

Antes de empezar, fijaré un convenio personal sobre la utilización de los conceptos intimidad, protección de datos y privacidad. El derecho a la protección de datos es el que garantiza a los individuos el control y la libre disposición de sus datos personales, mientras que el derecho a la intimidad es el que protege todos aquellos aspectos concernientes a la vida privada de un individuo, de los cuales tiene derecho a que no trasciendan a terceros.

Vivimos en la era de la información y del conocimiento por lo que la esfera íntima de las personas, en el mundo actual, comprende cada vez un mayor número de datos personales. No es de extrañar, en este contexto, que se diluyan los límites entre elderecho a la intimidad y el derecho a la protección de los datos de carácter personal, al estar nuestra intimidad  cada vez más digitalizada. En consecuencia utilizaré en este artículo de forma generalizada el término “privacidad” para referirme a la conjunción de ambos derechos fundamentales.

3. IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE

El “ser” es el individuo aislado con una serie de cualidades que pueden variar a lo largo de su desarrollo evolutivo.

Al mismo tiempo ese ser convive con otros individuos interactuando y mostrándose ante ellos. Esa interacción es la que genera su identidad que muestra una serie de características propias que lo describen.

Como mas interactúa y se muestra socialmente, más rica, amplia y conocida será su identidad. Si esto es así en el plano real, lo mismo sucede en el plano digital.

La identidad no solo se construye por lo que el individuo dice o hace, sino también por lo que otros conocen y difunden de él. La diferencia entre ambos planos radica en el hecho de que al ser el digital, en toda su amplitud, un medio sujeto a propagación viral por Internet, entraña de forma inherente un mayor riesgo motivado por esa desproporción en cuánto a la difusión. Además en el mundo digital, mediante técnicas analíticas y predictivas, puede inferirse conocimiento adicional de un individuo en base a sus interacciones en la red.

La sociedad se encuentra en esta era digital ante la tesitura de permitir la transparencia en cuánto a la información digital de las personas, que sin duda aporta beneficios, y protegerse del riesgo inherente relacionado con la privacidad. Debe buscarse un equilibrio que concilie los intereses de todos ya que en una relación duradera todos deben ganar, aunque sea en diferente medida.

Construir una reputación positiva es una tarea que puede llevar mucho tiempo y que requiere de coherencia. Por tanto resulta más difícil alcanzar una buena reputación que destruirla por una interacción desacertada. Desgraciadamente, y las noticias en la prensa son un ejemplo, lo negativo habitualmente toma más fuerza que lo positivo. En el plano digital, la reputación online está más amenazada por el efecto multiplicador de las diferentes interacciones a partir de contenido publicado por el propio individuo o por terceros.

Una medida protectora, al menos en lo que depende del propio sujeto, es evitar eloversharing [1] que consiste en la divulgación de una cantidad excesiva de información personal, información que convencionalmente sólo sería manifestada a, o conocida por, los más cercanos al individuo.

La tecnología actual, especialmente las redes sociales tipo Facebook© y los sistemas de mensajería instantánea tipo WhatsApp©, llevan el concepto de oversharing a un nivel completamente nuevo que podemos llegar a calificar de síndrome o trastorno conductual.

Un caso particular es el de los padres que publican indiscriminadamente información sobre sus propios hijos menores sin ser conscientes de que están escribiendo páginas enteras de su reputación digital. Deberían moderar esa conducta y esforzarse en ayudar a sus hijos a construir una correcta reputación digital.

En relación a la reputación online, igual que sucede en medicina, más vale prevenir que curar. Es mejor que la sociedad sea cauta al generar contenidos que tener que ejercer luego el derecho al olvido.

4. ¿QUE SE ENTIENDE POR DERECHO AL OLVIDO?

En esencia entenderemos  por derecho al olvido a la posibilidad otorgada a todo sujeto para “volver a empezar” sin que el conocimiento digitalizado de circunstancias negativas de su pasado, carentes de relevancia social, le persigan toda su vida de forma ineludible. Dicho de otra manera, es otra forma de libertad personal.

El derecho al olvido no debe considerarse como un nuevo derecho que deba añadirse a los ya conocidos por sus iniciales como ARCO: Acceso, Rectificación, Cancelación y Oposición.

El derecho al olvido debe entenderse como la traslación a Internet de dos de los actuales derechos: El de cancelación y el de oposición. En consecuencia, debería resultar plenamente aplicable todo lo regulado sobre esos derechos.

Según la sentencia de 13 de mayo del TJUE sobre el caso Google, el derecho al olvidose legitima cuando se produce una indexación de contenido digital en los resultados de búsqueda, referido a datos personales, que sea incompatible con la legislación aplicable sobre protección de datos. Esa “incompatibilidad” debe ser considerada en la más amplia interpretación de la palabra.

Dicho de otro modo,  ningún ciudadano que no sea objeto de un hecho noticiable verídico y de relevancia pública tiene que resignarse a que sus datos se difundan por Internet sin poder oponerse ni cancelar su inclusión. Se entiende que los afectados pueden:

Ejercer el derecho de cancelación de los datos que se conservan accesibles en la red cuando estos no estén contenidos en una fuente accesible al público ni exista una finalidad legítima que proteja la publicación. (Libertades informativas, finalidad cultural e histórica…).

Ejercer el derecho de oposición frente al tratamiento que los buscadores realizan de los datos personales, es decir, la desindexación por parte de los motores de búsqueda de la información (habitualmente del pasado pretérito amparándose en los principios de calidad de los datos y de finalidad) poniendo los medios para que esa información no vuelva a aparecer en el futuro. Este derecho sería ejercitable incluso considerando que la información divulgada fuera legítima y reciente, pero aun así existieran razones fundadas para evitar el tratamiento de la misma sin el consentimiento de su titular [2].

Como norma general consideraremos que el derecho al olvido únicamente comprende casos de informaciones personales que carecen de relevancia o interés público y cuya difusión universal causa una lesión al afectado.

Como ejemplo de formulario para permitir ejercer el derecho al olvido que determinado motor de búsqueda (Google) pone a disposición de los afectados, está la“Solicitud de retirada de resultados de búsqueda en virtud de la normativa de protección de datos europea” .

En él puede leerse: “(…) c) Explique los motivos por los que la inclusión de cada URL como resultado de búsqueda resulta irrelevante, obsoleto o inaceptable de cualquier otro modo. (…)”.

5. CONFLICTO DE DERECHOS

5.1 Introducción

Un derecho fundamental no es absoluto y tiene límites. Éstos se determinan  en  los demás derechos fundamentales y, en consecuencia,  pueden llegar a colisionar.

Caso de conflicto deberá discernirse cuál de ellos debe prevalecer eludiendo reglas generales. Deberá estudiarse cada caso concreto.

5.2. Derechos reclamados

Dos son los derechos fundamentales reclamados cuando se invoca la tutela sobre elderecho al olvido: El de protección de la intimidad, el honor y la propia imagen, por un lado, y el de protección de datos, por otro. Incidiremos más en uno u otro, según las circunstancias de cada caso concreto [3].

El derecho a la intimidad, el honor y la propia imagen son adecuados para protegerse de la existencia de información obsoleta del pasado que lesiona el bien jurídico protegido por este derecho fundamental. La divulgación de hechos pretéritos que afecten a la reputación online o imagen social de un individuo, le permiten apelar al derecho al honor para oponerse a esa información. Para considerarse  lesionado el derecho al honor no es estrictamente necesario que  los hechos difundidos carezcan de veracidad en el momento de su publicación. La difusión actual de información pasada, aunque veraz en su momento, puede implicar una distorsión de la imagen actual de un individuo, al vincularla con hechos pretéritos que no se corresponden con la realidad actual, con las consecuencias derivadas de falsas valoraciones por parte de terceros ocasionándole un perjuicio. La tutela para este derecho es dispensada por los órganos judiciales.

El derecho a la protección de datos tiene por objeto el tratamiento de todo dato que identifique o permita identificar a una persona. Aquí entraría la autodeterminación informativa basada en el principio de consentimiento, el principio de finalidad, el principio de calidad de los datos… La tutela administrativa la realiza en primera instancia una agencia independiente (en España la AEPD), constituida como autoridad de control, aunque sus resoluciones pueden ser recurridas mediante procedimiento contencioso-administrativo en la sala correspondiente de la AN y tribunales superiores.

5.3. El derecho a la información

Empezaré recordando el artículo 20 CE (Constitución Española):

Artículo 20. Libertad de expresión 1. Se reconocen y protegen los derechos: a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.

b) A la producción y creación literaria, artística, científica y técnica.

c) A la libertad de cátedra.

d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.

  1.  El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura previa.

Como hemos visto en la introducción cuando se produce una colisión entre límites de diferentes derechos fundamentales debe discernirse cuál de ellos debe prevalecer, ponderándolos atendiendo a cada circunstancia concreta. En este caso están en juego el derecho a la información (libertad de expresión) y la privacidad (derechos a la intimidad y a la protección de datos), entre otros [4].

En la SENTENCIA del TC 172/1990, de 12 de noviembre de 1990, se argumenta:“según reiterada doctrina constitucional, las libertades del art. 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es un valor fundamental y requisito de funcionamiento del Estado democrático.Esta excepcional trascendencia otorga a las expresadas libertades un valor de derecho prevalente sobre los derechos de la personalidad garantizados por el art. 18.1 de la Constitución, en los que no concurre esa dimensión de garantía de la opinión pública libre y del principio de legitimidad democrática”.

Sigue argumentando la sentencia: “Tal valor preferente, sin embargo, no puede configurarse como absoluto, puesto que, si viene reconocido como fundamento de la opinión pública, solamente puede legitimar las informaciones que impliquen una intromisión en otros derechos fundamentales cuando tales informaciones guarden congruencia con esa finalidad, es decir, cuando resulten relevantes para la formación de la opinión pública sobre asuntos de interés general y no lleven la intromisión en la intimidad o el honor de otros más allá de lo necesario para alcanzar esa finalidad.

De ello se deriva que la legitimidad de las intromisiones en el honor e intimidad personal requiere, no sólo que la información cumpla la condición de la veracidad, sino también que su contenido se desenvuelva en el marco del interés general del asunto al que se refiere, puesto que, de otra forma, el derecho de información se convertiría en una cobertura formal para, excediendo del discurso público en el que debe desenvolverse, atentar sin límite alguno y con abuso de derecho al honor y a la intimidad de las personas, con afirmaciones, expresiones o valoraciones que resulten injustificadas por carecer de valor alguno en relación con el interés general del asunto”.

En consecuencia, hemos de discernir entre:

  • La libertad de expresión, basada en la veracidad y en el interés general, y legitimada por el derecho fundamental a la información.
  • Los derechos ARCO en Internet basados, entre otros,  en la autodeterminación de la propia información y el principio de calidad de los datos, y legitimados por el derecho a la protección de datos y al honor, la intimidad y la propia imagen.

Ante tal tesitura, y en caso de discrepancia, deberá estudiarse caso por caso sin que puedan aplicarse reglas generales. Pero existe también un enfoque distinto que quizá pueda decantar la balanza hacia el valor de la información, en su conjunto,  para la humanidad: Empezar a considerar Internet como un nuevo derecho humano.

5.4. Internet como derecho humano

Romina Florencia, abogada y profesora invitada de la Maestría de Derechos Humanos de la Facultad de Ciencias Jurídicas y  Sociales de la Universidad Nacional de La Plata, presenta una tesis muy interesante desde el punto de vista constitucionalista. [5] Al ser un criterio pertinente a este artículo me propongo desarrollarla y comentarla aquí.

Con el nacimiento y la aceptación mundial de Internet nace una nueva sociedad a la que denominamos Sociedad de la Información y el Conocimiento en la cual se facilita enormemente el acceso y la trasmisión de la información y el conocimiento que se extrae de ella. Internet ha revolucionado el mundo apoyada firmemente sobre el principio de la libertad de expresión, que en Internet se traduce en una frase: libertad de los contenidos publicados.

Podemos considerar que hemos iniciado la tercera revolución de la humanidad. La primera fue industrial, la segunda de las TIC (tecnologías de la información) y la tercera del conocimiento (que se extrae de la información).

El concepto de derechos humanos incluye derechos de diversa naturaleza, entre los cuales se ubican los civiles, políticos, económicos, sociales y culturales. La Declaración Universal de los Derechos Humanos no establece niveles de valor entre derechos y todos ellos gozan de la misma jerarquía e importancia

Allí donde se detecta que existe una íntima relación entre la persona y sus distintas esferas de actividad se suele estar en presencia de un derecho fundamental. Luego se entiende que los derechos fundamentales se han ido contemplando y evolucionando igual que progresa la humanidad. Recordemos el tránsito del status subiectionis alstatus libertatis, al status civitatis, al status activae civitatis y al status positivus sociales. Pero una vez aceptados, como ya he dicho, todos gozan de igual jerarquía.

El Consejo Económico y Social de Naciones Unidas (ECOSOC) ha votado últimamente, por fallo casi unánime, que Internet sea considerada un derecho humano. El Consejo de Europa en un documento titulado Internet Governance (Developing the future toguether), de 14 de abril de 2011, cita: “10. Para muchas personas, el derecho y la libertad de recibir y difundir información e ideas a través de Internet se están convirtiendo en una necesidad, más que una opción, por razones económicas, financieras y sociales. Como la confianza y dependencia de Internet crece, este derecho y libertad se vuelve aún más importante”.

Sabemos que cuando los Derechos Humanos se fueron recogiendo en las diferentes constituciones de los Estados de Derecho, fue cuando pasaron a denominarse Derechos Fundamentales y dejaron su faceta filosófica para recibir una protección jurídica adecuada.

De todo lo aquí planteado puede concluirse la importancia de no desvirtuar Internet, la posibilidad de considerarla un Derecho Humano y, con el tiempo,  la posibilidad de que pase a recibir una protección jurídica adecuada como Derecho Fundamental en las diferentes constituciones de los Estados de Derecho.

6. OPINIONES QUE MATIZAN EL DERECHO AL OLVIDO

Mucha tinta se ha vertido estos días a raíz de que el Tribunal de Justicia de la Unión Europea (TJUE) dictara sentencia en el asunto C-131/12, Google Spain, S.L., Google Inc. contra la Agencia Española de Protección de Datos (AEPD), en razón de la demanda de tutela de derechos de Mario Costeja González en el conocido asunto del “derecho al olvido” en Internet.

Si bien se trata de una sentencia compleja, empezaré diciendo que algunos se cuestionan la viabilidad, e incluso la razón de ser, del manido derecho al olvido.

Para mí el derecho al olvido en la era digital es una voluntad jurídica y una quimera tecnológica. En otras palabras, encierra dificultades materiales y jurídicas. Si entendemos Internet como una red global ubicua, que no está sujeta a fronteras ni a horarios, nos daremos cuenta que intentar regularla significaría eliminarle su principal razón de ser convirtiéndola en algo distinto. Además, y como ya he dicho, al poder llegar a propagarse la información de forma viral, los potenciales consumidores de esa información pueden duplicarla en sus equipos locales y hacerla aflorar pasado un tiempo indeterminado en esa o en cualquier otra plataforma distinta de la original. Y eso sometido a un efecto multiplicador.

Para disponer de opiniones provenientes de un entorno distinto, que no se base en la protección jurídica del derecho fundamental a la protección de datos como en el que me desenvuelvo, he creído oportuno parafrasear a Enrique Dans (profesor del IE Business School) [6] que hablando sobre el derecho al olvido dice:

<< Lo que Mario Costeja ha conseguido es matar al mensajero, a la propuesta de valor de una de las herramientas más importantes que ha creado la civilización humana: La que permitía acceder a toda la información. Su empecinamiento en censurar a los buscadores y en eliminar de ellos alguna referencia ha generado un precedente que nos lleva a que, a partir de ahora, ya no podamos confiar en que un buscador, Google o el que sea, nos devuelva información veraz y no sesgada. Se empieza por eliminar “esto porque ya no es cierto”, se sigue por “esto no quiero que salga porque me desacredita” y se termina por “elimina los enlaces a esa foto porque me han sacado por mi lado malo”. Es sencillamente una barbaridad, una estupidez, un intento de defender un supuesto derecho de los individuos, exagerado hasta la hipérbole, perjudicando el derecho de todos de acceder a la información. Lo que se supone que va a ocurrir a partir de ahora no es que la información que molesta a sus protagonistas desaparezca, sino que tendremos que utilizar herramientas que nos pongan una especie de “venda en los ojos”, que solo podremos ver lo que determinadas personas quieran que veamos. Eso no es un derecho, es una aberración.

El olvido no es un derecho. El olvido es un proceso fisiológico que tiene lugar en el cerebro del que olvida, no algo que tenga lugar en función de los deseos del olvidado…>>

De esas palabras se interpreta que la ciudadanía es consciente, aunque no sepa expresar con precisión jurídica los términos, de la colisión entre diferentes derechos fundamentales que no están exentos de límites.

Cuando se produce esa colisión debe discernirse cuál de ellos debe prevalecer ponderándolos atendiendo a cada circunstancia concreta.  En esos casos yo suelo ayudarme, a la luz de amplia jurisprudencia constitucional y de variada doctrina sobre el carácter no ilimitado del derecho a la intimidad y el derecho a la protección de datos en su colisión con otros derechos fundamentales, mediante un criterio, que ha aplicado varias veces el TS para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, que es constatar que cumpla los tres siguientes requisitos o condiciones:

  • Juicio de idoneidad: Si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: Y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En el caso de los buscadores, se trata de un conflicto entre los derechos fundamentales a la protección de datos y el derecho a la intimidad por un lado y, por otro, el derecho a la información y el principio de transparencia.

Si bien se ha escrito mucho sobre el caso, me permitiré hacer una ponderación de la reclamación planteada por Mario Costeja basándome en el juicio de proporcionalidad:

  • Juicio de idoneidad: La medida de obligar a un buscador determinado a que elimine cierto enlace a una información cuestionada, que la mayoría de las veces no genera y no almacena, no parece pueda garantizar una total efectividad ya que al no incidirse sobre la fuente de la información, otros buscadores, redes sociales públicas, blogs de terceros… pueden resucitar esa información en cualquier momento.
  • Juicio de necesidad: Parece que una medida más moderada sería incidir en origen en vez de hacerlo en el intermediario.
  • Juicio de proporcionalidad en sentido estricto: Mediante este proceder puede desvanecerse el derecho fundamental a la información, por un lado, y el principio de transparencia, por otro. Podría plantearse, siguiendo la línea argumental del profesor Enrique Dans, el riesgo de que se acabara desvirtuando, debido a motivaciones banales, el medio de propagación por excelencia de la información mundial, pudiendo la sociedad universal en su conjunto  perder mucho más que el beneficio concreto que se pretende alcanzar.

En consecuencia y desde un punto de vista constitucionalista, si se me permite enfocarlo así,  al existir una colisión entre diferentes derechos fundamentales no es nada evidente el fallo de la sentencia, que algunos califican de insuficiente e inadecuadamente motivado, especialmente si alguien se ha leído las conclusiones previas del Abogado General de la UE en relación a este caso.

Podría pensarse en la prevalencia de las libertades informativas frente a la “censura colateral” [13]  que representaría, por parte del intermediario prestador de servicios de la sociedad de la información (PSSI), suprimir o des-indexar  contenidos de terceros para evitar su responsabilidad sin esperar a tener un “conocimiento efectivo” ejercido por el propio interesado o afectado.

Los que abogan por un derecho de cancelación absoluto amparándose en el principio de calidad de los datos, según dispone el artículo 4.3-5 LOPD y el artículo 6 de la Directiva europea, han de tener en cuenta que el legislador estaba pensando en esas fechas en el responsable del fichero y no en un hipotético buscador creado en septiembre de 1998 y apenas conocido entonces.  Recordemos que la LORTAD entró en vigor en 1992 y la Directiva europea 95/46/CE en 1995. [Sobre la consideración de responsable del tratamiento al buscador, como se recoge en la sentencia ya hablaré mas adelante].

Un aspecto inédito de la sentencia es la no necesidad de que el interesado sufra un “perjuicio” para que pueda ejercer el derecho al olvido. Según Pablo García Mexía [7]el razonamiento parece contradictorio: “si la base de la argumentación es que los datos habrían perdido su calidad, entonces el perjuicio sería inevitable, pues el propio Tribunal afirma que un dato devenido innecesario respecto de los fines iniciales de su tratamiento resulta incompatible con la Directiva 95/46. (…) . Por eso acertaba en este aspecto el Abogado general de la UE, al hacer constar que una “razón legítima” [propia de la situación particular del interesado] para ejercer el derecho de oposición, tal y como la Directiva exige respecto de tal derecho, no podía hacerse coincidir con una “preferencia subjetivaAl ignorar esta idea, el Tribunal ha abierto la puerta a un océano potencial de peticiones abusivas que, a la vez, puede resultar muy difícil de tramitar, con el consiguiente riesgo de que, las que de veras resulten fundadas, no reciban la atención que merecerían.

7. OPINIONES FAVORABLES AL DERERCHO AL OLVIDO

La mayoría de las solicitudes de tutela de derechos, como es el caso resuelto por el TJUE,  responden a solucionar desajustes entre la información publicada y la realidad actual del individuo. Se amparan en la idea de que Internet puede ser un ente de memoria infinita y las personas deberían tener derecho a “volver a empezar” sin que situaciones puntuales de su pasado les persigan toda su vida incardinadas en su reputación online.

En esta línea se expresa Javier Sempere en un artículo publicado en el blog “privacidad lógica”  [8]: “Si uno acude a algunas de las resoluciones publicadas en la web de la Agencia Española de Protección de Datos (AEPD), se encontrará que, en la mayoría de ocasiones, el derecho al olvido lo ejerce “el ciudadano de a pie” para cuestiones de los más variopinto. Por ejemplo, eliminación de un anuncio de agradecimiento en un periódico de 1978 que ha sido digitalizado; derecho de oposición frente a una publicación en el BOE de un proceso selectivo de 2008; derecho de oposición también frente al BOE sobre la publicación de dos notificaciones de sendos procedimientos sancionadores; borrado de los datos personales que aparecen en la agrupación municipal de un partido político o incluso, el mismo “Caso Costeja” (oposición a un anuncio de embargo de hace bastantes años que había sido publicado en un periódico).

Son supuestos sencillos, en los que no existe ninguna colisión con el derecho de información, tratándose de información obsoleta en la mayoría de los casos y que no tienen ningún valor añadido. En resumen, no existe un interés legítimo ni general que sustente que este tipo de informaciones pueda ser consultado por la colectividad”.

Samuel Parra confirma estas apreciaciones en su blog “protección de datos personales” [9]: “En el año 2013 la AEPD dictó un total de 2100 resoluciones de Tutela de Derechos; de estas 2100, tan solo 89 han tenido incidencia en esto del “derecho al olvido” frente al buscador Google.

A poco que se preste atención a las solicitudes denegadas se aprecian varios denominadores comunes:

  • Los personajes públicos no van a gozar de este “derecho al olvido”; muchos son los casos de políticos inmersos en asuntos de corrupción que han acudido invocando este derecho y se les ha denegado sistemáticamente.
  • Si la información tiene relevancia pública y es actual se va a quedar en el buscador; y habrá casos, como los que hemos visto, que incluso cuando la información no sea actual, tampoco será eliminada.

8. ANÁLISIS DAFO

El análisis DAFO, también conocido como análisis FODA, es una metodología de estudio de la situación de un proyecto, analizando sus características internas (Debilidades y Fortalezas) y su situación externa (Amenazas y Oportunidades) en una matriz cuadrada. En este caso la utilizaremos para estudiar y ordenar de una forma más objetiva los efectos de la sentencia del TJUE.

DEBILIDADES FORTALEZAS
– SIN LEGISLACIÓN: No existe de forma explícita, en el momento de conocerse la sentencia del asunto C‑131/12 contra Google, legislación europea sobre el derecho al olvido. No consta en la vigente Directiva 95/46/CE aunque si aparece en el artículo 17 del borrador del futuro RGPDUE aún pendiente de aprobar y, en consecuencia, se trata de un instrumento jurídico todavía no aplicable. A partir de ahora la doctrina del TJUE tiene fuerza vinculante general sobre el alcance de la interpretación que deba darse a la Directiva 95/46/CE sobre el derecho al olvido.- TRANSFERENCIA DE RESPONSABILIDAD: La sentencia cede la responsabilidad de decisión, en primera instancia, sobre la legitimidad de las peticiones de ejercicio del derecho al olvido a la empresa privada, como lo es la que gestiona un buscador, ponderando ésta unilateralmente los posibles derechos fundamentales en juego.

– VOLUNTAD JURÍDICA Y QUIMERA TECNOLÓGICA: La decisión de obligar al buscador a olvidar, y no necesariamente a la fuente de la información, puede provocar en el transcurso del tiempo la indexación por otros buscadores que vayan apareciendo en el futuro. También un tercero podría haberla copiado y hacerla aflorar en cualquier otro medio transcurridos unos años. Recordemos que la propagación en Internet puede ser viral.

– LEGISLAR REGULACIÓN: Las actuales circunstancias deberían aprovecharse para regular o establecer protocolos de actuación en la aplicación del derecho al olvido por parte de buscadores y otras entidades. Podría disponerse inicialmente como una opinión o dictamen del Grupo de Trabajo del Artículo 29.- DEBERIA AGILIZARSE EL NUEVO RGPDUE: Se aprecia cada vez más la necesidad de disponer lo antes posible de un Reglamento General Europeo sobre protección de datos.En el debería regularse, una vez vistas las consecuencias de la sentencia del TJUE, el derecho al olvido (o al borrado como se le llama después de alguna enmienda) con mayor detalle que en el borrador actual sin apoyarse tanto en los “actos delegados” vid 17.9 RGPDUE.
AMENAZAS OPORTUNIDADES
– COLISIÓN DE DERECHOS: La evolución tecnológica, que lleva aparejada la evolución social, ha convertido en “imprescindible” el acceso libre a Internet para equiparar el desarrollo del conocimiento de cualquier persona con independencia de dónde se encuentre. Incluso hay quienes reclaman se considere éste acceso libre a Internet y sus contenidos como un nuevo derecho humano emergente.  Si permitimos a los buscadores auto-limitarse en ausencia de criterios objetivos y claramente regulados y aceptados por todos, podríamos estar minando este nuevo derecho junto al derecho a la información. – MAYOR RECEPTIVIDAD SOCIAL: Después del escándalo social que ha propiciado el casoSnowden, la sociedad está mucho más concienciada de los peligros que amenazan a la privacidad y predispuesta a que se impulsen medidas protectoras de estos derechos fundamentales.

9. CONCLUSIONES DEL ABOGADO GENERAL DE LA UE

9.1. Introducción

Veamos algunas de las conclusiones previas a la sentencia del Abogado General [10] Sr. NIILO JÄÄSKINEN presentadas el 25 de junio de 2013 en el asunto C‑131/12 de Google Spain, S.L., Google Inc. Contra la Agencia Española de Protección de Datos (AEPD), en relación al caso del Sr. Mario Costeja González (Petición de decisión prejudicial planteada por la Audiencia Nacional), relacionadas con la libertad de expresión y que, según el criterio de muchos, algunas de sus opiniones son más acertadas que la propia sentencia del TJUE.

9.2.  Derechos de libertad de expresión e información y libertad de empresa

120. El presente asunto afecta, desde múltiples puntos de vista, a la libertad de expresión e información consagrada en el artículo 11 de la Carta, concordante con el artículo 10 CEDH. El artículo 11, apartado 1, de la Carta establece que «toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.»

  1.  El derecho de los usuarios de Internet a buscar o recibir información disponible en Internet está protegido por el artículo 11 de la Carta.  Afecta tanto a la información contenida en las páginas web fuente cuanto a la información proporcionada por los motores de búsqueda. Como ya he mencionado, Internet ha revolucionado el acceso a todo tipo de información y su difusión, y ha puesto en marcha nuevos medios de comunicación y de interacción social entre particulares. A mi juicio, el derecho fundamental a la información merece protección particular en Derecho de la Unión Europea, particularmente a la luz de la tendencia cada vez mayor de los regímenes autoritarios en todo el mundo a limitar el acceso a Internet o a censurar el contenido disponible en él.

122. Los editores de páginas web disfrutan igualmente de protección con arreglo al artículo 11 de la Carta. Poner contenidos a disposición del público en Internet equivale, como tal, a la libertad de expresión, (86) máxime cuando el editor ha enlazado su página a otras y no ha limitado su indexación o archivo por parte de los motores de búsqueda, indicando de este modo su deseo de que su contenido se difunda ampliamente. La publicación en la web es un medio para que los particulares participen en debates o difundan sus propios contenidos, o contenidos cargados por otros, en Internet”.

9.3. El “derecho al olvido” y los derechos ARCO

 “B. ¿Equivalen los derechos de rectificación, supresión, bloqueo y oposición establecidos en la Directiva a un «derecho al olvido» del interesado?

  1.  Los derechos de rectificación, supresión y bloqueo de datos establecidos en el artículo 12, letra b), de la Directiva se refieren a datos cuyo tratamiento no cumple lo dispuesto en la Directiva, en particular debido al carácter incompleto o inexacto de los datos.
  2.  El auto de remisión reconoce que la información que aparece en las páginas web de que se trata no puede considerarse incompleta o inexacta. Menos aún se afirma que el índice de Google o los contenidos de su memoria oculta que incluyen estos datos puedan describirse de este modo. Por tanto, el derecho a rectificación, supresión o bloqueo, al que se refiere el artículo 12, letra b), de la Directiva, sólo surgirá si el tratamiento por parte de Google de datos personales procedentes de terceros es incompatible con la Directiva por otros motivos.

106. El artículo 14, letra a), de la Directiva obliga a los Estados miembros a reconocer al interesado el derecho a oponerse, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. Ello es de aplicación en particular a los casos contemplados en las letras e) y f) del artículo 7, esto es, cuando el tratamiento es necesario en relación con un interés público o para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por terceros. Además, en virtud del artículo 14, letra a), en caso de oposición justificada, «el tratamiento que efectúe el responsable» no podrá referirse ya a esos datos.

107.  En las situaciones en las que se considera que los proveedores de servicios de motor de búsqueda en Internet son responsables del tratamiento de datos personales, el artículo 6, apartado 2, de la Directiva les obliga a ponderar los intereses del responsable del tratamiento de los datos, o de los terceros en cuyo interés se tratan los datos, con los del interesado. Como observó el Tribunal de Justicia en la sentencia ASNEF y FECEMD, a la hora de realizar la ponderación es relevante que los datos controvertidos hayan aparecido ya o no en fuentes públicas.

108. No obstante, como han afirmado casi todas las partes que han presentado observaciones escritas en el presente asunto, considero que la Directiva no establece un derecho general al olvido, en el sentido de que un interesado esté facultado para restringir o poner fin a la difusión de datos personales que considera lesivos o contrarios a sus intereses. La finalidad del tratamiento y los intereses a los que sirve, al compararse con los del interesado, son los criterios que han de aplicarse cuando se procesan datos sin el consentimiento del interesado, y no las preferencias subjetivas de éste. Una preferencia subjetiva por sí sola no equivale a una razón legítima, en el sentido del artículo 14, letra a), de la Directiva.

109. Aunque el Tribunal de Justicia declarase que los proveedores de servicios de motor de búsqueda en Internet se responsabilizan, como responsables del tratamiento, quod non, de los datos personales contenidos en las páginas web fuente de terceros, un interesado tampoco tendría un «derecho al olvido» absoluto que pudiera invocar frente a los proveedores de servicios. Sin embargo, el proveedor de servicios necesitaría ponerse en la posición del editor de la página web fuente y comprobar si la difusión de los datos personales en la página web podría considerarse legal y legítima a los efectos de la Directiva. Dicho de otro modo, el proveedor de servicios necesitaría abandonar su función de intermediario entre usuario y editor y asumir la responsabilidad por el contenido de la página web fuente y, cuando resultase necesario, censurar el contenido evitando o limitando el acceso a éste.

110. En aras de la exhaustividad, resulta útil recordar que la propuesta de la Comisión de Reglamento general de protección de datos establece en su artículo 17 un derecho al olvido. No obstante, la propuesta parece haberse enfrentado a una oposición considerable, y no pretende representar la codificación del Derecho actual, sino una innovación legal importante. Por tanto, no parece afectar a la respuesta que ha de darse a la cuestión prejudicial. Dicho esto, es interesante que, con arreglo al artículo 17, apartado 2, de la propuesta «cuando el responsable del tratamiento […] haya hecho públicos los datos personales, adoptará todas las medidas razonables […] en lo que respecta a los datos de cuya publicación sea responsable, con miras a informar a los terceros que estén tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos». Este texto parece considerar a los proveedores de servicios de motor de búsqueda en Internet terceros, más que responsables del tratamiento por derecho propio.

  1.  Por consiguiente, llegó a la conclusión de que los artículos 12, letra b), y 14, letra a), de la Directiva no establecen un derecho al olvido”.

De las conclusiones del Abogado General de la UE debería desprenderse, sentencia del TJUE aparte:

  • El derecho de cancelación debería ejercerse por el afectado frente al responsable del tratamiento, esto es, frente a la página web de origen que es la fuente de la información.
  • Los proveedores de servicios de motor de búsqueda en Internet deberían considerarse terceros, más que responsables del tratamiento.
  • El derecho al olvido, distinto del de cancelación, consta únicamente en la propuesta del RGPDUE y, en consecuencia, no puede considerarse normativa del Derecho actual.

10. DUDAS SOBRE LA SENTENCIA CONCRETA DEL TJUE

Debo hacer notar el hecho de que, como apunta Ricard Martínez en su blog “LOPD y seguridad” [11] “El TJUE responde únicamente a lo que se le pregunta. Por tanto mientras todos vamos a realizar una lectura general a la búsqueda de criterios, el TJUE está respondiendo a preguntas concretas de un órgano jurisdiccional específico para un caso determinado. Y esto de algún modo supone que se aplique un enfoque concentrado que renuncia a una visión periférica o de conjunto. Porque lo que sin duda constituye un hecho es que los criterios de interpretación normativa son generalizables, y este es el segundo elemento central”.

Desde la más absoluta imparcialidad, paso a reseñar una serie de dudas que se plantean sobre esta sentencia concreta del TJUE [12].

  • Se limita a ponderar un interés económico con los derechos fundamentales a la protección de datos y al honor, la intimidad y la propia imagen. Es evidente que el interés económico siempre será legítimo pero insuficiente frente derechos fundamentales. En lugar del interés económico quizá debería ponderarse el derecho fundamental a la información (proporcionarla y recibirla) como defendía el Abogado General de la UE.
  • Parece que se esté empleando la técnica jurídica de la subsunción, forzando la realidad de los hechos para obtener conclusiones preestablecidas, a partir de una aplicación determinada de la norma. Considerar razonable el dirigirse a Google para que des-indexe contenido sin necesidad de dirigirse, o haberse dirigido, a la página web como fuente de origen, con el único argumento de que Google consigue un efecto multiplicador de la visibilidad, parece al menos cuestionable. Podríamos añadir una nota de humor responsabilizando de ocasionar una enfermedad al microscopio que lo magnifica en vez de al virus que es el auténtico causante biológico. También podría ser cuestionable considerar a Google responsable del tratamiento.
  • Sitúa en la percepción y el criterio de un sujeto privado, como es un motor de búsqueda, la decisión de des-indexar con resultados a futuro impredecibles en este momento. [12]  Si bien en el caso de Google se ha constituido una comisión internacional de expertos, algunos de reconocido prestigio, para que establezcan las directrices de actuación ante el más que probable aluvión de peticiones de tutela de derechos, sería deseable establecer una “guía de criterios de ponderación” con las pautas necesarias para balancear la subjetividad, a la que nos aboca esta sentencia, hacia la objetividad necesaria que tienda a dar mayor seguridad jurídica asegurando las indudables ventajas, frente a los riesgos, que aportan los buscadores a la sociedad.
  • El Tribunal no efectúa distinción alguna, a diferencia del Abogado General, y se limita a tratar en bloque toda la actividad del buscador. De este modo lo cataloga como responsable sin matices. La argumentación del Abogado general acerca de si Google puede ser considerado responsable (con su triple distinción entre contenidos de los webs de terceros, los de la memoria oculta del buscador y los del índice propiamente dicho del buscador) es desde luego mucho más rica y clarificadora en este aspecto – muy importante a fin de calibrar el alcance que la responsabilidad deba tener- que la del TJUE. [7] La responsabilidad solo debería surgir si Google actúa en contra de lo que le exija o solicite la fuente, como editora de la información originaria, que es quien puede realmente calibrar si los fines perseguidos con el tratamiento inicial siguen siendo necesarios o no.

11. BIBLIOGRAFÍA CONSULTADA

– Declaración de Ciudad de Panamá. “Hacia la unificación de criterios y garantías para la protección de la identidad digital y el derecho al olvido”. Presentada el 23 de julio de 2014. Observatorio Iberoamericano de Protección de Datos.

Declaración de Ciudad de Panamá

– [1] José Luis Colom. “El oversharing es una actitud con secuelas para el futuro”. 21 de enero de 2014. BlogAspectos profesionales.

El oversharing

– [2] Lorenzo Cotino Hueso. “Datos personales y libertades informativas. Medios de comunicación social como fuentes accesibles al público (art. 3 de la LOPD)”. En: Troncoso Reigada, Antonio (dir.). Comentario a la Ley orgánica de protección de datos personales. 2010. Navarra: Civitas, p. 289–315 (esp. 298).

– [3] Luis Javier Mieres Mieres. “El derecho al olvido digital”. Documento de trabajo 186/2014. 2014. Fundación Alternativas.

–  [4] José Luis Colom. “Conflicto jurídico entre el derecho a la intimidad y el derecho a la información”. 6 de Mayo de 2014. Observatorio Iberoamericano de Protección de Datos.

Conflicto jurídico

– [5] Romina Florencia Cabrera. “LA INTERNET COMO DERECHO HUMANO”. 24 de febrero de 2013. Observatorio Iberoamericano de Protección de Datos.

Internet como derecho humano

– [6] Enrique Dans. “El absurdo derecho a que internet te saque por tu lado bueno”. 13 de mayo de 2014. El blog de Enrique Dans.

El absurdo derecho

 [13] Lorenzo Cotino Hueso. “Libertades informativas y responsabilidad de los prestadores de servicios en Internet”.  21 de febrero de 2013. XI CONGRESO DE LA ASOCIACIÓN CONSTITUCIONALISTAS DE ESPAÑA (ACE).

Libertades informativas

– [7] Pablo García Mexía. “Gana el derecho al olvido, pierden Internet y la libre expresión”. 15 de mayo de 2014. La Ley en la Red. Blogs ABC.

Gana el derecho al olvido

– [8] Francisco Javier Sempere. “Derecho al olvido: ni censura ni límite al derecho de información”. 27 de mayo de 2014. Blog Privacidad lógica.

Derecho al olvido

– [9] Samuel Parra. “Esto es lo que obligan a borrar a Google en virtud del Derecho al Olvido”. 2 de junio de 2014. Blog Protección de datos personales.

Esto es lo que obligan a borrar

– [10] Niilo Jääskinen. “conclusiones del Abogado General de la UE  en el asunto C‑131/12 del Sr. Mario Costeja”. 25 de junio de 2013. Comisión Europea. Justicia.

Conclusiones del Abogado General

– [11] Ricard Martínez. “Olvidar es un fenómeno muy complejo”. 14 de mayo de 2014. Blog LOPD y Seguridad.

Olvidar

– Francisco Ramón González-Calero Manzanares. “Sentencia sobre derecho al olvido ¿Algo ha cambiado?”. 27 de mayo de 2014. El Derecho (Grupo Francis Lefebvre).

¿Algo ha cambiado?

– [12] Lorenzo Cotino Hueso. “(Audio) sobre el olvido de la libertad de recibir información en la sentencia TJUE que reconoce el derecho al olvido…”. 14 de mayo de 2014. Universitat de València.

El olvido de la libertad

Identidad Digital: concepto, componentes y riesgos

imagen_digital

Por Dulcemaría Martínez Ruíz

Para entender el concepto de Identidad Digital, me remito en primer término al concepto que establece la Real Academia de la Legua Española respecto de Identidad, la cual es definida como el “Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás”,[1] es así que si llevamos este concepto al ámbito digital o a la exposición y desarrollo de tal identidad en este contexto, tendremos conceptos como el que establece el Instituto Nacional de Tecnologías de la Comunicación (INTECO), que a continuación se describe:

La identidad digital “…puede ser definida como el conjunto de la información sobre un individuo o una organización expuesta en Internet (datos personales, imágenes, registros, noticias, comentarios, etc.) que conforma una descripción de dicha persona en el plano digital.”[2]

Además, es importante considerar otros aspectos como el que “No hay identidad digital sin interacción, sin visualización en el espacio virtual”[3], ello conforme al dicho de Fernández Vicente.

También, hay que diferenciar entre identidad digital e identidades parciales, cada identidad parcial corresponde a cada servicio o aplicación en internet, como las redes sociales, usuarios de correo electrónico, entre otros, pero al final la suma de estas identidades parciales es lo que constituye la identidad digital.

Componentes de la identidad digital

En sus orígenes, los componentes base de la identidad estaban disponibles por medios físicos o periodísticos tales como nombres, certificados de nacimiento, títulos universitarios o profesionales, cartas de no antecedentes penales o información de notas periodísticas, sin embargo, con la aparición de los instrumentos de digitalización, del impulso en el uso de computadoras personales y con el incremento en el uso de internet, los datos e información que componen la identidad de una persona no solamente se dispersaron con mayor facilidad, sino que se incrementaron, al grado que ahora no solo tenemos dispersada en internet información que corresponde a la identidad de las personas en lo individual, sino también de las empresas, autoridades, grupos de trabajo u organizaciones varias.

Además, con los nuevos sistemas informáticos y de comunicación, sobre todo los móviles, día a día estamos arrojando información que incrementa datos a nuestra identidad digital, tal es el caso de los datos que arrojan la geolocalización, aplicaciones que predicen nuestros gustos y deseos, las que involucran reconocimiento biométrico.

Actualmente el que cualquier persona pueda investigar y conocer nuestra identidad digital desde cualquier parte del mundo y con ello hacer un buen o mal uso de la información, es tan importante y al mismo tiempo conlleva un gran nivel de riesgo, lo cual nos lleva a la reflexión de que deberíamos cuidarla como uno de los aspectos más preciados de nuestra vida.

Sin embargo, es preocupante cuando nuestra identidad digital sale de nuestro control, ya que la misma se va construyendo además con la información y datos que otras personas vayan generando respecto de nosotros, incluso, nuestra identidad digital llega a ser alimentada con la percepción o comportamiento que se tienen las personas con las cuales nos relacionamos, de manera que incluso existen aplicaciones tales como “Lenddo”, que no solo se realiza la información que las personas le proporcionan para realizar un análisis de si son susceptibles de recibir un préstamo o crédito, sino que además se toma en cuenta la información de nuestros familiares y amigos en Facebook aportan sobre nosotros, o incluso, la información que arroja el mero hecho de tener a ciertas personas como nuestros contactos o la forma en la que interactuamos con ellos.

Es así que la identidad digital se compone por lo menos de información proveniente de tres grandes grupos; la generada por el propio individuo, la generada por terceros y la que se genera en el contexto de las relaciones del individuo.

Problemas o riesgos a considerar respecto de la identidad digital

Uno de los problemas de la identidad digital es la posibilidad que tiene un solo individuo de generar una pluralidad de identidades, ya si bien es cierto que hay a quienes les conviene trabajar en la correcta construcción de su identidad digital para adquirir más impulso o reconocimiento social o político, también lo es que pueden existir motivos por los cuales una persona desee permanecer en el anonimato que brinda internet, ello por distintos motivos, tales como temas de seguridad, libertad de expresión, para ocultar o disfrazar los actos o consultas de información, o cuando simplemente se tenga el interés de que tales actos no afecten la identidad principal.

Es así que lo anterior puede representar un problema para las empresas, las autoridades o para quienes prestan servicios vía web, o cuando la contratación de los productos o servicios se realiza mediante estos medios, ya que es muy complicado saber quién es la persona que en realidad está realizando la transacción, quedando expuestos por ejemplo a fraudes cometidos por el uso de identidades digitales falsas, los cuales en combinación con el uso de tarjetas de crédito clonadas o robadas, puede ser una herramienta muy peligrosa.

Es así que a diferencia de la identidad en el medio físico en la cual es más fácil identificar la persona que está realizando la operación, en el medio digital tenemos el problema de la falta de conexión entre una persona determinada y una identidad digital, tan incierto puede ser que al momento de offline la identidad digital puede dejar de existir.

La suplantación de identidad es otro de los problemas que afecta a una de las identidades parciales del individuo, es decir, se da una afectación a una de las cuentas o aplicaciones a las cuales tiene acceso el individuo, lo cual a su vez y dependiendo del grado de intromisión y del daño causado, puede llegar a cambiar en grado considerable la identidad digital del individuo.

Lo anterior puede ser realizado mediante distintas formas, entre ellas, el uso del nombre o usuario de la persona, se genere una identidad que ridiculice a la identidad original o se haga un uso no autorizado de la cuenta, pero al final tendremos como consecuencia la afectación a la privacidad, bienes, honor o reputación de una persona.

Otros de los problemas más comunes asociados a la identidad digital son las violaciones a los derechos la privacidad, los derechos autorales, daño reputacional,  sexting, bullying, entre otras actividades que van deteriorando o violentando la identidad digital de una persona, llegando a grados en los que incluso se lleguen a afectar las relaciones personales y la vida íntima de la persona.

Bibliografía

Comunicación, I. N. (junio de 2012). Guía para Usuarios: identidad digital y reputación online. Recuperado el 05 de julio de 2014, de INTECO:

file:///C:/Users/dmartinezr/Downloads/guia_identidad_reputacion_usuarios.pdf

Española, R. A. (s.f.). RAE. Recuperado el 15 de junio de 2014, de RAE:

http://lema.rae.es/drae/?val=identidad

OECD. (2011). Digital identity management. Recuperado el 15 de julio de 2014, de OECD:

http://www.oecd.org/sti/ieconomy/49338380.pdf

Subias, Miguel Pérez; Caro Castaño, Lucia; Fernández Vicente, Antonio; Winocur, Rosalía; García Cantero, Jaime; Roca, Genís; Sánchez , Sergio; Vilches , Lorenzo; Subires, María Purificación;. (abril-julio de 2012). TELOS. Recuperado el 15 de julio de 2014, de Dossier, Identidad Digital:

http://telos.fundaciontelefonica.com/docs/2012/07/26/10390001_4_4_0.pdf#page=56

[1] Española, R. A. (s.f.). RAE. Recuperado el 15 de junio de 2014, de RAE:

http://lema.rae.es/drae/?val=identidad

[2]Comunicación, I. N. (junio de 2012). Guía para Usuarios: identidad digital y reputación online. Recuperado el 05 de julio de 2014, de INTECO:

file:///C:/Users/dmartinezr/Downloads/guia_identidad_reputacion_usuarios.pdf,  p.p. 5.

[3] Subias, Miguel Pérez; Caro Castaño, Lucia; Fernández Vicente, Antonio; Winocur, Rosalía; García Cantero, Jaime; Roca, Genís; Sánchez , Sergio; Vilches , Lorenzo; Subires, María Purificación;. (abril-julio de 2012). TELOS. Recuperado el 15 de julio de 2014, de Dossier, Identidad Digital:

http://telos.fundaciontelefonica.com/docs/2012/07/26/10390001_4_4_0.pdf#page=56, p.p. 71

¿Sabe qué información suya se encuentra en Internet?

googlearse

Por Heidy Balanta

Googlearse es hoy en día una de las prácticas más comunes que tenemos muchas personas, es decir, buscar información de nosotros en internet. Pero qué sucede, cuando encontramos información negativa nuestra? Bueno, dependiendo de qué tipo de información negativa encuentra.

Ha emergido un supuesto y nuevo derecho llamado “derecho al olvido”, que es la facultad que tiene una persona de solicitar la eliminación de enlaces de motores de búsqueda como google, los cuales al dar clic pueden llevarlo a páginas de internet como periódicos donde encuentre información negativa de una persona.

De manera personal no me convence mucho este derecho. Sin embargo, otra situación diferente es, cuando una página se encarga de recolectar información de nuestra situación jurídica o procesal respecto a un asunto en litigio en cuestión y esta no se encuentra actualizada.

Precisamente, la Superintendencia de Inductria y Comercio ordenó el bloqueo de la página web www.datajuridica.com en palabras de la SIC por haber publicado información incompleta, desactualizada y fuera de contexto sobre procesos judiciales en los que los reclamantes han sido parte, cobra por el acceso a dicho contenido y no provee mecanismos que le permitan a los ciudadanos corregir, actualizar o eliminar la información errada.

Aunque usted también podía buscar libremente el nombre de la persona que quería investigar, y le aparecía la leyenda que sí tiene un proceso en trámite, sin decirle qué proceso era.

Esto afectó a muchas personas, para búsqueda de empleos, oportunidades laborales, o en general en sus relaciones interpersonales.

Cabe advertir que las multas que establece la Ley 1581 de 2012, son de carácter personal e institucional y van hasta $1.200 millones, así mismo, establece el cierre temporal o definitivo de las operaciones relacionadas con el tratamiento de datos personales.

Artículo publicado originariamente por la autora en Diario Occidente.

Consideraciones entorno al derecho al olvido

forgetPor Ruth Benito Martín

“Yo no hablo de venganzas ni perdones, el olvido es la única venganza y el único perdón” Jorge Luis Borges.

Resulta indudable que hay una serie de derechos que en el entorno digital quedan más expuestos a posibles vulneraciones, y por lo tanto su desarrollo y aplicación pasan a adquirir, en dicho entorno, mayor relevancia.  Hablamos, cuanto menos, del derecho a la intimidad personal y familiar, del derecho al honor, del derecho a la propia imagen (no olvidemos que de estos tres, aunque estrechamente interrelacionados, cada uno protege aspectos distintos de la persona y a cada uno se aplican criterios jurisprudenciales diferentes), de la libertad de expresión, el derecho de información, los de propiedad intelectual y por supuesto, también, el derecho a la protección de los datos personales. Todos ellos se encuentran íntimamente ligados a la identidad digital de la persona, en la medida en que inciden directamente en la construcción de aquellos de los rasgos que caracterizan a un individuo que quedan puestos de manifiesto en la denominada web 3.0.

La Internet que disfrutamos hoy en día ha sufrido gran cambio respecto a la que conocimos en los años noventa, que era mucho más estática y unidireccional, y en la que el usuario ejercía un papel casi del todo pasivo, sin que su conducta conllevara normalmente una reacción en la red. Actualmente, en cambio, el usuario interactúa constantemente en Internet, se ha convertido en parte activa en la construcción del tejido de esta red de redes y su comportamiento puede llegar a provocar grandes reacciones. Este escenario, regido bajo el principio de neutralidad de la red y teniendo en cuenta que el acceso a Internet llega cada vez a una mayor población (como es deseable) y además por medio de más dispositivos (no digamos ya cuando vivamos el gran apogeo del Internet de las cosas), arroja unas características propias de la denominada web 3.0 que resultan de gran impacto para todos estos derechos. Tales características son: la amplificación (repercusión, alcance, rapidez y facilidad en la transmisión de la información), la accesibilidad a la información, más fácil, cómoda y barata, y la permanencia de la misma.

Ninguno de los derechos mencionados es absoluto y todos ellos, en su aplicación, encuentran su límite en otros derechos e intereses legítimos. Y en la ponderación que sea haga en el conflicto entre unos y otros, adquieren especial importancia estas características de la Internet de hoy en día.

En este panorama, y desde hace unos años, se habla mucho sobre elderecho al olvido. Sin embargo, dudo que sepamos muy bien lo que es, empezando por si realmente existe o no, en el sentido de que efectivamente estemos hablando de un derecho nuevo y no, como muchos parecen definirlo, de un modo u otro, de lo que hace ya años es el derecho de cancelación de la protección de datos personales.

Tampoco tenemos, por lo tanto, una única definición aceptada del derecho al olvido. Son varias las definiciones que se han dado, sin embargo la mayoría de las que conozco lo ponen en relación exclusivamente con el derecho a la protección de los datos de carácter personal, así, por ejemplo la Comisión Europea lo definió en un principio, en su comunicación “A comprehensive approach on personal data protection in the European Union”, como the right of individuals to have their data no longer processed and deleted when they are no longer needed for legitimate purposes, que viene a ser algo así como el derecho de las personas a que sus datos dejen de ser tratados ​​y sean eliminados cuando ya no sean necesarios para los fines legítimos para los que fueron recabados.

En mi opinión esta definición resulta verdaderamente pobre y triste, pues no creo que deba referirse a los datos personales. Además puede inducir a error, pues ¿acaso en Europa no gozamos ya de esa protección desde la Directiva 95/46/EC? ¿Y no hace años que vienen introduciéndose en las distintas legislaciones nacionales los concretos derechos de oposición y cancelación de nuestros datos personales?

También hay quien lo describe como el derecho a que los buscadores no localicen tus datos personales en la red. A la vista de la Sentencia del TJUE de 13 de mayo de 2014, dictada en el caso C-131/12 (Google contra la AEPD), y siguiendo bajo el prisma de la protección de datos personales, en todo caso, tendría que definirse como el derecho que tiene un individuo a que los gestores de motores de búsqueda en Internet cesen en el tratamiento que de sus datos personales realicen en el territorio de la Unión Europea al enlazar a y al mostrar determinado contenido relativo a su persona, debido a que, habida cuenta de las circunstancias del caso en particular, dicho tratamiento ha dejado de ser legítimo, con independencia de que el tratamiento en origen continúe siendo lícito, porque, en relación con la finalidad que justificaba el tratamiento y con el tiempo transcurrido, los datos ya no son adecuados y/o pertinentes, y ahora son excesivos.

Ahora bien, como digo, ¿qué diferencia esto del ya conocido derecho de cancelación? En la cuestión planteada al TJUE, bien analizada la sentencia, no nos encontramos, pues, ante ningún nuevo derecho, sino ante el ejercicio del derecho de cancelación aplicado a los motores de búsqueda en Internet y respecto al cual habrá que analizar su procedencia caso por caso. De hecho, en ningún momento el TJUE menciona en su sentencia un “derecho al olvido” si no es porque así lo refiere alguna de las partes implicadas.

Pero entonces, ¿existe un “derecho al olvido” nuevo e independiente de cualquier otro? Del mismo modo que se viene haciendo con el derecho de cancelación de los datos personales, podríamos hablar de un derecho al olvido desde el prisma del derecho al honor, la intimidad personal y familiar y la propia imagen, o en relación con la propiedad intelectual (concretamente el derecho del autor a retirar su obra del comercio por cambio de sus convicciones morales o intelectuales). En tal caso, eso que se ha dado en llamar derecho al olvido podría llegar a predicarse también de las personas jurídicas.

Uno de los primeros casos en donde podría verse reflejado un “derecho al olvido” puede ser el de Melvin v. Reid. Nos situamos en Estados Unidos en el año 1919 y nuestra protagonista es una prostituta acusada de asesinato. Es finalmente absuelta, rehace su vida, abandona la prostitución, contrae matrimonio, tiene hijos y en esta su “nueva vida” nadie, siquiera de sus círculos cercanos, conoce su pasado. En 1925 se emite la película “El quimono rojo” que relata con detalles su vida de prostituta y el juicio en el que se vio envuelta, identificándola con su verdadero nombre. Pues bien, la Corte de Apelación de California, en sentencia dictada el 28 de febrero de 1931, estimó la demanda interpuesta por esta mujer contra la productora de la película, basándose en el derecho a su privacidad pero, más allá de éste y en una explicación final, en el derecho a buscar y obtener la felicidad que la Constitución de California garantiza y en función del cual, entiende el Tribunal, toda persona que vive una vida de rectitud, con independencia de su pasado, tiene ese derecho a una protección frente a ataques innecesarios o agresiones injustificadas contra su libertad, su propiedad su posición social y su reputación.

En este sentido un “derecho al olvido” se asimilaría más a un derecho a la intimidad en relación con hechos pasados, aun cuando éstos pudieron haber adquirido cierta publicidad o ser noticiables en su momento, con el objetivo de proteger una buena reputación actual contra posibles ataques que ahora ya carecen de necesidad y/o justificación. Se pone, de este modo, en directa conexión el derecho a la intimidad con el derecho al honor, actuando aquél como escudo defensor de éste, y enfrentando ambos, como no puede ser de otro modo, con otros derechos o intereses colocados en el otro plato de la balanza, concretamente la libertad de expresión y el derecho de información.

¿Ante qué casos actuaría el derecho al olvido?:

Un primer tipo de supuestos serían aquellos en los que, siendo, en el origen, cierta la información que se revela respecto a un individuo, éste debe soportar esa intromisión en su intimidad por estar legitimada en virtud del derecho de información  (ya sea éste ejercido a través de los medios de comunicación, ya de boletines oficiales o tablones edictales), pero en los que, debido al transcurso del tiempo, puede decirse que tal legitimación debe caducar a fin de que el individuo no tenga que soportar dicha carga durante el resto de su vida impidiéndole su propio pasado, en mayor o menor medida, vivir en paz un presente enmendado.

A este primer tipo habría que añadir una segunda clase de supuestos: Aquellos en los que, aun siendo incierto lo manifestado respecto a una persona y viendo ésta, así, mancillado su honor, el perjudicado prefiere no actuar contra dicho ataque porque en ese momento éste no ha transcendido lo suficiente como para no poder soportar sus efectos y, sin embargo, un tiempo después, pasados ya los plazos para ejercitar cualquier acción, es recuperada esa falsa información alcanzando, en esta ocasión, mucha mayor repercusión gracias al estado de la tecnología. Hablamos, por ejemplo, de imputaciones o juicios de valor que en su momento fueron publicados en formato papel con escasa difusión y que ahora son digitalizados, pasan a estar disponibles para cualquiera en Internet y comienzan a ser muy difundidos.

A la hora de tomar decisiones, las personas lo hacemos en función de las circunstancias que entonces nos rodean y sopesando las consecuencias que nos cabe esperar con lo que conocemos en ese momento. Hace 30 años a nadie se le podía exigir adivinar, o siquiera imaginar, que una falsa acusación vertida en la revista de un Instituto de un municipio de tres mil habitantes, podría ser recuperada, digitalizada y difundida a los cuatro vientos a través de las redes sociales en la actualidad.

Como vemos, y como queda patente en Melvin v. Reid, no es imprescindible que intervenga Internet para dar lugar a un derecho al olvido. No obstante, es cierto que este tipo de situaciones se han empezado a revelar muchísimo más desde la aparición de la Red y, sobre todo, desde la llegada de los fenómenos conocidos como web 2.0 y web 3.0.

Veamos, pues, si en estas situaciones el afectado puede protegerse del perjuicio que se le ocasiona con base en algún derecho ya existente, o por el contrario es necesario que nazca un verdadero y autónomo “derecho al olvido”.

En el primer tipo de supuestos, no podría operar ahora el derecho a la intimidad ni a la propia imagen, pues, partiendo de que los hechos o información íntimos del pasado de la persona fueron ciertos, en su momento fueron lícitamente sacados a la luz por ser noticiables o publicables en virtud del derecho a la información. Tampoco cabría la defensa por la vía del derecho al honor, puesto que, siendo cierta la información, no hay honor que salvaguardar.

Como decimos, se trata de casos en cuyo inicio u origen, en el conflicto entre, de una parte, el derecho a la intimidad y, de otra, el derecho a la información o la libertad de expresión o algún otro interés legítimo, prevaleció uno cualesquiera de estos últimos, rompiéndose la intimidad del individuo y no pudiendo decirse ya que la información que ha visto la luz sea merecedora de catalogarse como íntima a los efectos de gozar de la protección del derecho a la intimidad.

En el segundo tipo de supuestos, cuando la información contra la que actúa el afectado es falsa y atenta contra su reputación, el derecho que entra en juego es el derecho al honor. Pero, si vulnerado el honor de una persona, ésta no ejercita ninguna acción en su defensa y, como hemos mencionado anteriormente, deja pasar los plazos previstos para ello, se habrá aquietado y deberá asumir las consecuencias de sus propios actos. Tampoco aquí cabría accionar el derecho a la intimidad, puesto que, en primer lugar, es posible que no haya nada en lo dicho sobre esa persona que pudiera catalogarse como de su esfera privada, y, en todo caso puede haber transcurrido también el plazo para ejercitar esta acción (como sucede, por ejemplo, en la legislación española, ya que el plazo es el mismo para uno y otro derecho). Podría considerarse que, ante estas situaciones, debería reabrirse el plazo para ejercitar la acción, pero lo cierto es que las imputaciones o juicios de valores no son nuevos, ni tampoco estamos hablando de casos en los que el afectado no se había enterado, o no pudo enterarse, con anterioridad (en cuyo caso el plazo no habría empezado a correr, pues el afectado no pudo ejercitar la acción anteriormente).

Desde la óptica de la protección de los datos personales, una defensa en cualquiera de estas situaciones, puede resultar deficitaria y no resulta tan apropiada como la que se obtendría con este derecho al olvido que estamos apenas bocetando en este trabajo. Así se ha puesto de manifiesto, por ejemplo, con la propia sentencia del TJUE, ya que entiende que, si bien es posible ejercitarlo frente al gestor de un motor de búsqueda, en muchos casos no será posible hacerlo frente al editor donde se publicó en origen la información, o más correctamente, donde se llevó a cabo el tratamiento de los datos (ya que lo estamos contemplando aquí bajo el prisma de los datos personales). Ello es así por la interpretación que realiza el Tribunal del art. 9 de la Directiva 95/46/CE en relación con los fines periodísticos que legitiman dicho tratamiento. Como casi todas en Derecho, esta argumentación para diferenciar la efectividad de un derecho de cancelación frente a un buscador respecto a la que cabe obtener frente a un medio de información, es cuestionable. Ahora bien, en la medida en que dicho precepto remite, como límite al tratamiento, al derecho a la intimidad, y ya hemos visto que éste, en el inicio del caso en cuestión, puede decaer frente al derecho a la información, la actual normativa europea de protección de datos personales no da solución a los supuestos que venimos planteando cuando la publicación original se produjo en un medio de comunicación, más allá de poder ejercitar el derecho de cancelación frente a los motores de búsqueda en Internet conforme se explica en la antes dicha sentencia del TJUE.

En consecuencia, hay determinadas circunstancias en que, ni acudiendo al derecho a la intimidad, o al derecho al honor, o al de protección de datos personales, podemos dar una solución a quien ahora se ve perjudicado por hechos sucedidos en su vida pasada, que ya habían sido olvidados por la colectividad que en su momento supo de ellos, que ahora son traídos al presente, incluso puede que con mayor virulencia que en su origen, sin que exista una necesidad que así lo justifique, provocando que dicha persona no pueda disfrutar en paz de la vida digna que ahora lleva.

Llamémosle como queramos llamarle, y ya sea “viejo” o “nuevo” derecho, lo importante es que se garantice el desarrollo de la persona acorde a lo que cabe esperar dentro del modo en que ésta dirige su vida en la actualidad, evitando que cualquier pasado, más o menos oscuro, pueda frustrar dicho desarrollo cuando no existe ya necesidad ni justificación alguna para que tenga que continuar soportando tal carga. En el entorno digital, por tanto, el derecho al olvido adquiriría una gran relevancia como medio de protección de la identidad digital o del libre desarrollo de la persona en dicho entorno, pero, sin duda, también transcendiendo de éste.

Fuente de la imagen: Kiran Foster.

Reputación personal online, privacidad y protección de datos

reptacion_personal

Por Marta Sánchez Valdeón

La reputación es “la opinión o consideración en que se tiene a alguien o algo o el prestigio o estima en que son tenidos alguien o algo.”

Según la comisión de IAB Spain, “la reputación online es el reflejo del prestigio o estima de una persona o marca en Internet. A diferencia de la marca, que se puede generar a través de medios publicitarios, la reputación no está bajo el control absoluto del sujeto o la organización, sino que la ‘fabrican’ también el resto de personas cuando conversan y aportan sus opiniones.”

La identificación virtual es el conjunto de datos que nos permiten diferenciarnos suficientemente del resto de personas en un ámbito concreto. Estos datos suelen ser el nombre, apellidos…

Resulta prácticamente imprescindible identificarse en redes sociales tales como Facebook o Linkedin, cuyo principal objetivo es relacionarte y permitir que los demás usuarios te identifiquen y compartir con ellos cierta información, en el caso de la primera red, por motivos de ocio, en la segunda por motivos profesionales.

Sin embargo, cuando los usuarios no persiguen el fin de comunicarse con los demás, sino que pretenden simplemente hacer comentarios (en muchas ocasiones dañinos), prefieren esconderse tras el anonimato.

Esto genera una problemática inmensa, sobretodo cuando los comentarios dañan la reputación de personas, que no pueden defenderse frente a estas personas anónimas.

Por ello, la reputación online no es un tema que preocupe sólo a las empresas. También los particulares pueden verse afectados por suplantaciones, difamaciones o por el contenido que ellos mismos han subido a la red. El derecho al olvido pretende solucionar este problema.

Además de los métodos más comunes para dañar la imagen de una persona, como pueden ser las críticas en foros de opinión, últimamente se está poniendo “muy de moda” suplantar identidades virtuales; de hecho,  este fue el principal motivo de denuncias relacionadas con Internet ante la Agencia Española de Protección en los últimos años.

Lo que antes se limitaba a aparecer en alguna página de contactos, porque alguien facilitaba tus datos a desconocidos, hoy se ha reemplazado por la creación de perfiles falsos en redes sociales, comunicándose el suplantador con tus amigos y conocidos, con el único fin de dañar tu imagen.

En el mundo 2.0, este tipo de suplantación es fácil, accesible y gratuita, ya que no se puede requerir y comprobar la identidad de la persona que se da de alta en una red social. Sin embargo, los suplantadores no son conscientes de que están cometiendo un delito de suplantación de identidad, tipificado en el artículo 401 del Código Penal, por el cual se prevén penas de seis meses a tres años de cárcel.

A pesar de ello, las reacciones más comunes ante este tipo de delito no son las denuncias, sino las solicitudes de baja a través de las propias redes sociales y las denuncias ante la Agencia de Protección de Datos.

Las redes sociales ya están preparadas para este tipo de controversias y disponen de formularios para denunciar los hechos. No sólo se pueden denunciar suplantaciones, también puedes denunciar si consideras que existen contenidos inapropiados en un determinado perfil.

Al mismo tiempo se están preparando para otra circunstancia más controvertida, ¿Qué pasa con nuestra identidad virtual, nuestra reputación online, cuando fallecemos?

Cuando una persona fallece, ya no sólo hay que preocuparse de las repercusiones directas en la vida real, también hay que decidir sobre las repercusiones en la red.

Internet se ha convertido en una herramienta de comunicación casi imprescindible para millones de personas, muy atractiva e interesante, entre otras ventajas, porque los servicios que ofrecen son gratuitos. Pero esa fácil accesibilidad es precisamente la que provoca que el problema surja cuando no se trata de introducir datos, sino de borrarlos, como por ejemplo, en el caso de fallecimiento de una persona.

Las redes sociales, han buscado soluciones a un problema que las afecta directamente, pues según la consultoría americana Entrusted, “Facebook” perderá en 2011 alrededor de 1,7 millones de usuarios por fallecimiento.

La muerte de estas personas abre a sus familiares dos posibilidades: eliminar el perfil en la red social o permitir que se realice un homenaje en el mismo. Pero ¿están preparados los familiares para superar, no solo la muerte de una persona querida, sino también para borrar su huella?

No cabe duda que es difícil tomar cualquiera de las dos decisiones, pues en la primera te enfrentas a la repercusión que todos más tememos respecto a la muerte, el olvido, y en la segunda te enfrentas al recuerdo permanente de quien se ha ido.

Las redes sociales han previsto “el homenaje” permitiendo a los familiares directos, conservar el perfil del fallecido, con el fin de que no se produzca esa disminución masiva de usuarios de la que hablábamos al principio.

Y el mismo derecho a conservarlo, tenemos de eliminarlo: basta con que comprobemos la política de privacidad de la red y la familia solicite la cancelación de datos de la referida persona.

Y en el caso de personas sin familia, ¿qué ocurre con ellos? En este caso, el Ministerio Fiscal esta legitimado para pedir la supresión del perfil.

Por supuesto, si no efectúan el borrado, contamos con una de las legislaciones más restrictivas del mundo en cuanto a protección de datos (España es uno de los países en que “más o mejor” se protege la intimidad de las personas), y con un organismo (la Agencia Española de Protección de Datos) que vela para que nuestros derechos se hagan efectivos.

El problema no se produce cuando un usuario le pide al titular de una red social que cancele toda su información, sino cuando esa información ha pasado de una red a otra, y ha traspasado muchas fronteras tecnológicas y geográficas. Es entonces cuando nuestro derecho de cancelación de datos se convierte en una ingente tarea de búsqueda desesperada, dando lugar en la mayoría de los casos a la imposibilidad práctica de eliminar de manera permanente nuestra huella en Internet.

El derecho a borrar el pasado

Pero no todo el perjuicio a la reputación pasa por la creación de un perfil falso. Comentarios, noticias reales pero desafortunadas, circunstancias ligadas a nuestra vida que no queremos descubrir… Son múltiples las informaciones que se pueden encontrar en la Red sobre una persona, sobre todo si en su pasado hay algún incidente.

El derecho al olvido es una nueva forma de poder eliminar todas esas informaciones, que incluso puedes haber vertido tú mismo. Se trata de ejercer el derecho a la cancelación de datos personales que la legislación vigente ya reconoce.

Es cierto que como usuarios nosotros somos los primeros responsables del contenido que subimos a las redes sociales. Sin embargo, bien hayas sido tú, bien hayan publicado datos lícitos y verdaderos sobre ti, esto no implica que tengan que permanecer eternamente en la red.

El derecho al olvido nos abre nuevas posibilidades para borrar nuestra presencia digital, descontrolada a veces debido a las múltiples fronteras que traspasa, tanto territoriales como –sobre todo- temporales.

La gestión de la identidad en la era digital

identidad_robada_digital

Por Daniel Monastersky

Con la difusión de imágenes filtradas a principios de año por el denominado ¨Camus Hacker¨ se evidenció una preocupación en gran parte de la sociedad producto de la facilidad con la que supuestamente se había vulnerado la intimidad de las victimas.

Debemos aprovechar este incidente para generar espacios donde los ciudadanos puedan aprender respecto de las medidas existentes para minimizar los riesgos que existen en internet.

Algunos de los damnificados, ante la incertidumbre de llegar a un resultado concreto, decidieron no radicar la denuncia en la justicia penal. Esa falsa percepción de vacío legal, de desprotección en material de delitos informáticos no es tal, si bien existen algunas figuras que todavía no han sido tipificadas. Desde el año 2008 esta vigente la Ley 26.388 de Delitos Informáticos y recientemente ha tomado estado publico el anteproyecto de ley del Código Penal que contempla el robo de identidad.

En la actualidad es fundamental ir construyendo una identidad digital. Internet es nuestro CV y queramos o no, para muchos, somos en un punto lo que se refleja allí sobre cada uno de nosotros. La reputación que uno tenga esta basada, en muchos casos, en la percepción e información que haya sobre cada uno de nosotros en la red.

Lo que uno no diga sobre su persona, lo dirá otro. La construcción de la identidad, la generación de contenido y la responsabilidad en cuanto a lo que se comparta, será de suma importancia en los años venideros. Es necesario pensar antes de subir una foto, un video o un comentario. Puede causar un daño y deberemos responder por él. También podría generar inconvenientes en nuestra vida personal y profesional. Lo que se sube a internet, no se baja mas, con suerte se podrá borrar en parte y dificultar el acceso al mismo a través de medidas cautelares ante los buscadores, dificultando su acceso.

Si no tenés presencia en las redes sociales, alguien lo hará por vos.

El necesario ocupar los espacios sociales en la red. Aunque uno no quiera tener actividad o interactuar con otras personas, sugiero contar con un perfil, al menos en Twitter, Facebook y Linkedin. En caso que no tengamos presencia en esas plataformas, un tercero podría ocupar ese espacio y, para muchos, ese será tu perfil verdadero.

Se viene el Defensor del Internauta.

El proyecto del Defensor nació hace varios años, en el 2010. El objetivo principal fue crear la figura de ¨El Defensor¨. El objetivo es contar con un sitio en internet donde los ciudadanos puedan acceder a información sobre los delitos que se cometen a través de medios informáticos, como denunciarlos, donde, consejos y sugerencias para la presentación de la evidencia digital.

De manera complementaria se crearía la Oficina de Atención a las víctimas de delitos informáticos, allí se podrá denunciar este tipo de modalidades delictivas y orientar a las personas respecto de los pasos a seguir.

Es fundamental llegar a todos los ciudadanos, por lo que seria ideal contar con un Defensor Nacional y Defensores en cada una de las provincias, con su equipo de colaboradores.

Publicado originalmente por el autor en Tiempo Judicial.

Identidad digital, concepto y protección

identidad_digital

Por Edgar David Oliva Terán

La identidad no es un concepto contemporáneo, puesto que este siempre existió para poder diferenciar a los individuos, pero en una revolución como lo es la informática y de la información, el concepto de identidad ha cobrado mayor importancia al concebirse dentro de internet, es por ello que hablamos de identidad digital, la misma que sirve para identificar a los sujetos que interactúan por la web, mismos sujetos quienes reciben el nombre de “usuarios”.

Es el internet un espacio masivo de usuarios, donde muchas veces surge el temor, de no saber con quién se está conversando, de si es o no es quien dice ser, es por ello que la identidad digital podría llegar a ser útil cuando cumple su labor de identificar a los usuarios, por ello se entiende que el internet a acercado a sujetos que se encuentran tan distantes, cuya única forma de conocerse es mediante los datos que se plasman en internet.

Hay que entender a la identidad digital como el rastro que los usuarios de internet dejan registrado y disponible para todos los demás usuarios, estos rastros se generan a causa de la interacción en redes sociales o contenido publicado en plataformas web. Para posteriores efectos jurídicos, se podría comprender que la identidad digital otorga el derecho subjetivo a terceros para opinar o no sobre nuestra persona (reputación digital), en una sociedad interconectada y cuyo lenguaje se ha cifrado en la información, se puede establecer que nosotros somos lo que publicamos.

La identidad digital nace en la trayectoria que realizan los usuarios de internet dentro de las redes sociales, cada imagen, cada comentario y publicación no es más que la manifestación del usuario, y todos aquellos contactos que visualizan dicha información, generan a su propio saber y entender un criterio sobre el usuario que facilito toda aquel contenido.

La formación de la identidad es algo casi inconsciente, pues se forma a medida que nos desplazamos por el ciberespacio, es así como cada contacto cuenta, al igual que cada pensamiento que registramos en nuestras diversas redes sociales. Nosotros decidimos ser sujetos activos del internet, fue nuestra decisión perpetuar mediante el registro de nuestras ideas y diario vivir, el quiénes somos y como nos comportamos.

Y la identidad digital no es más que eso, el cómo nos mostramos ante el mundo a través de internet, en otros aspectos, quizás en otras épocas, hablar del “mundo” podría ser algo exagerado, sin embargo, el internet es tecnología que nos permite preocuparnos de la mirada del mundo, pues es el mundo quien comparte de forma rápida y cercana, contenido para nosotros y nosotros publicamos para el mundo. Tal como afirma Roberto Ruz “En redes sociales todos somos figuras públicas…”[1] nos encontramos constantemente alimentando con información a nuestros contactos, y por ello somos visibles ante todo aquel que decida buscar nuestro nombre en internet.

Si bien la identidad digital, en primera instancia es generada por nosotros, se debe recordar que son otras personas también las que pueden ayudar a generar esta información, con solo subir fotografías, comentarios y diversas actuaciones que puedan ser digitalizadas e indexadas a nuestro nombre, se estaría contribuyendo a nuestra imagen digital.

Las redes sociales si bien son círculos medianamente privados entre el usuario y sus contactos, la información vertida dentro de estas plataformas sociales, son públicas para la web en general, claro si es que uno no ha configurado lo establecido por defecto en cuanto a la indexación con motores de búsqueda como ser google, esto solo es una muestra de que la imagen que se muestra sobre cada persona, no es algo de permanencia propia de una red social en específico, y no son contados los contactos que pueden acceder a esta información, sino que se debe hablar de usuarios de internet y ya no de contactos de redes sociales.

Es obligación de cada uno cuidar que imagen se genera en internet, en el entendido de que es por nuestra identidad digital que se gana presencia en la esfera laboral, somos libros abiertos para las empresas, para los clientes, la seriedad de la persona ahora se puede visualizar tal como se visualiza una hoja de vida, pues ahora existen redes sociales para concretar relaciones laborales,  y para los más jóvenes, es por la identidad digital que uno sienta bases para su honra y respeto en el trato humano. Son los más jóvenes los mismos que por no haber recibido una educación moral en el uso de las redes sociales, pueden llegar a hacer público lo íntimo, y divulgar así aquellos aspectos de la esfera privada que eran concernientes solo a amigos de confianza, mismos aspectos que ahora se encuentran en disposición de contactos no conocidos y más aun de usuarios de todo el globo.

Es esto la identidad digital, una imagen que se forma sin que uno se dé cuenta, simples huellas de la actividad humana en un espacio donde todo se registra, no es más que un recordatorio de lo que hicimos, y es así como nos recordara o conocerá la gente.

[1] Roberto Ruz, Eres lo que publicas, Ebook gratuito