Safe Harbor: invalidado el acuerdo que permitía transferir datos personales entre Europa y EE.UU

Por Alonso Hurtado Bueno y Daniel A. López Carballo

En el día de ayer se hizo pública la Sentencia del Tribunal de Justicia de la Unión Europea relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), mediante la cual se reconoce la habilitación a las Agencias Nacionales de Protección de Datos para bloquear las transferencias internacionales de datos de ciudadanos europeos a Estados Unidos en el marco del denominado “Safe Harbor”.

El artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece como requisito para realizar una Transferencia Internacional de Datos que el país destinatario de los datos garantice un nivel adecuado de protección. En este sentido, según recoge la Directiva, “el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

En relación con este nivel adecuado de protección de datos, debe recordarse que, Estados Unidos carece de una norma específica en materia de protección de datos que garantice los principios consagrados en la citada Directiva Europea, tal y como si ocurre en otros países no miembros del Espacio Económico Europeo como Suiza, Canadá, Suiza, Argentina, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros.

En este punto, hasta hoy se consideraba que las entidades norte americanas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.

Así las cosas, el Tribunal de Justicia de la Unión Europea entiende que el sistema “únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen”. Adicionalmente, se considera que las exigencias de seguridad nacional, interés público y de observancia de la normativa propia de Estados Unidos (entre otras la Patriot Act) prevalecen sobre el propio Safe Harbor, viéndose las empresas adheridas “obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este régimen cuando entren en conflicto con las citadas exigencias”.

En este sentido, el Tribunal de Justicia entiende que las autoridades públicas estadounidenses podrían acceder a los datos personales trasferidos desde los Estados miembros de la Unión Europea, pudiendo tratarlos para de manera incompatible con las finalidades del tratamiento originario, careciendo las personas afectadas de instrumentos jurídicos que les posibilitaran ejercitar sus derechos de acceso, rectificación y cancelación, entre otros aspectos.

Este hecho provoca una lesión evidente, a juicio del Tribunal, del contenido del derecho fundamental respecto de la vida privada de las personas, y por tanto de la protección de sus datos personales, vulnerándose, igualmente, el derecho fundamental a la tutela judicial efectiva, en tanto no se prevén acciones jurídicas específicas para garantizar este derecho erga omnes. En este aspecto, en el Anexo IV de la Decisión 2000/520 se establece que “si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro”.

A mayor abundamiento, el Tribunal de Justicia de la Unión Europea entiende que la citada Decisión 2000/520/CE privaba a las Autoridades Nacionales de Control de sus facultades, considerando que “la Comisión carecía de competencia para restringir de ese modo las facultades de las Autoridades Nacionales de Control”.

En este sentido, tanto nuestra Ley Orgánica 15/1999 (LOPD), como la Directiva 95/46 inciden en la prohibición de transferencias de datos que tengan como destino un país que no proporcione un nivel de protección adecuado a dichas leyes.

Tras la importante Sentencia del Tribunal de Justicia de la Unión Europea, las empresas adheridas al Safe Harbor deberán proceder a regularizar sus procesos de transferencia internacional de datos, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección para las personas, observando las exigencias establecidas en la normativa europea de protección de datos.

En este sentido, nuestra normativa nacional establece que para poder llevar a cabo transferencias internacionales de datos personales a Estados sin nivel adecuado de protección, es necesario, contar con:

  • La autorización del Director de la Agencia Española de Protección de Datos, siguiendo para ello el proceso de solicitud habilitado al efecto o;
  • Poder acogerse a las excepciones expresamente previstas en el artículo 34 LOPD, entre las que cabe destacar: que el afectado haya dado su consentimiento inequívoco a la transferencia prevista, que la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado, y que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

No obstante, debe tenerse en consideración que el consentimiento prestado por parte de los titulares de los datos debe ser debidamente informado, inequívoco, basado en el principio de plena transparencia y calidad de los datos y obtenido por un medio acreditable en Derecho, lo que bien podría introducir una complejidad adicional a la hora de lograr su adecuada acreditación ante las Autoridades competentes en materia de protección de datos.

De esta forma, es importante resaltar que la importancia de esta sentencia no radica única y exclusivamente en cómo afecta a las entidades establecidas en Estados Unidos que prestan servicios o realizan intercambios y tratamientos de datos provenientes de la Unión Europea, sino que también afecta tanto a aquellas entidades nacionales que mantienen en la actualidad contratos con proveedores cuyos servicios impliquen el acceso, tratamiento o almacenamiento de datos personales (ej.: servicios de Hosting, aplicaciones en Cloud, etc), como a los propios flujos internacionales de datos que se realicen entre empresas del mismo grupo (ej.: entidades cuya matriz, o alguno de sus servicios corporativos, se encuentren ubicados en Estados Unidos).

Este aspecto pone de manifiesto la necesidad de que las empresas deben seguir avanzando en la implantación de sistemas de cumplimiento innovadores que posibiliten conciliar su actividad empresarial de la forma más eficaz posible, con la adopción de mecanismos y procedimientos que aseguren la confidencialidad, integridad y seguridad de los datos, respetando el derecho de las personas sobre su información personal y garantizando el cumplimiento normativo.

El TJUE abre la puerta a que los sistemas de videovigilancia privados capten la vía pública

camaras_eu

Por Francisco R. González-Calero Manzanares

Esto es así a raíz de la reciente Sentencia de 11 de diciembre de 2014 recaída sobre el asunto C‑212/13 Sr. Ryneš vs Agencia Checa de protección de datos que había declarado que el Sr. Ryneš había cometido varias infracciones de la normativa de protección de datos.

El supuesto encausado trae base de la instalación y utilización de una cámara fija situada bajo los aleros del tejado de la vivienda familiar. Dicha cámara no se podía girar y captaba imágenes de “la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente”. Las imágenes se guardaban en un disco duro que al agotar su capacidad de almacenaje sobrescribía sobre las grabaciones más antiguas, no disponía de monitor por lo que no existían imágenes en tiempo real y solamente el Sr. Ryneš conocía las claves de acceso a sistema. Se constata por el órgano judicial que la única razón y justificación de la instalación era “para proteger los bienes, la salud y la vida de él mismo y de su familia. En efecto, tanto el demandante como su familia habían sufrido reiteradas agresiones durante varios años por parte de un desconocido que nunca había sido identificado. Además, las ventanas de la vivienda familiar habían sido destrozadas varias veces entre 2005 y 2007”. Tras sufrir una nueva agresión con el sistema ya instalado, se utilizan las imágenes para identificar a los agresores que habían lanzado contra la ventana un proyectil lanzado con un tirachinas, se entregan a la policía y se aportan al proceso penal, lo que llevó a uno de los sospechosos a reclamar el examen de la legalidad de ese sistema de videovigilancia entrando en juego la Agencia Checa de protección de datos que entendió que se habían cometido infracciones contra la normativa de protección de datos.

Con el asunto judicializado se plantea al TJUE cuestión prejudicial sobre la aplicación o no aplicación de la denominada “excepción doméstica” regulada en el artículo 3.2 de la Directiva 95/46, cuyo tenor literal reza: “«La utilización de un sistema de cámara de vídeo instalado en una vivienda familiar con el fin de proteger los bienes, la salud y la vida de los propietarios de la vivienda, ¿puede calificarse de tratamiento de datos personales “efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas” a efectos del artículo 3, apartado 2, de la Directiva 95/46 […], aunque tal sistema de videovigilancia cubra también el espacio público?»”.

El TJUE entiende que esta excepción debe ser interpretada en sentido estricto entendiendo que “no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas”. Al grabar en parte la vía pública, esta actividad no puede ser considerada una actividad personal o doméstica, lo que le lleva a declarar que: “El artículo 3, apartado 2, segundo guión, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que la utilización de un sistema de cámara de vídeo, que da lugar a la obtención de imágenes de personas que luego se almacenan en un dispositivo de grabación continuada, como un disco duro, sistema de videovigilancia instalado por una persona física en su vivienda familiar con el fin de proteger los bienes, la salud y la vida de los propietarios de la vivienda y cuya vigilancia cubre también el espacio público, no constituye un tratamiento de datos efectuado en el ejercicio de actividades exclusivamente personales o domésticas a efectos de la citada disposición de la Directiva”.

Hasta aquí nada sorprendente, si no fuera por lo establecido en el punto 34 de la Sentencia, que sin ser objeto de la cuestión prejudicial y no ser necesario analizar, el TJUE sin profundizar en el tema, establece que: “Al mismo tiempo, la aplicación de las disposiciones de dicha Directiva permite, en su caso, tener en cuenta, con arreglo en particular a los artículos 7, letra f), 11, apartado 2, y 13, apartado 1, letras d) y g), los intereses legítimos del responsable del tratamiento de los datos, intereses que consisten concretamente, como en el litigio principal, en proteger los bienes, la salud y la vida de dicho responsable y los de su familia”. Es decir, el TJUE entiende que justificaría el tratamiento el interés legítimo regulado en el artículo 7 f) “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”, que no sería necesario facilitar información cuando los datos no han sido recabados del propio interesado de acuerdo con el artículo 11.2: “Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas” y que los EEMM pueden establecer limitaciones y excepciones los principios, deberes y derechos de calidad de los datos, información al interesado, ejercicio de derechos y publicidad de los tratamientos de acuerdo con el artículo 13, letras d) “la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas” y g) “la protección del interesado o de los derechos y libertades de otras personas”.

Realizar tales afirmaciones en un asunto en el que ha quedado constatado que la cámara graba imágenes de: “la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente” resulta cuanto menos, desconcertante. No obstante la prudencia obliga a ser cauto y entender que será necesario analizar caso por caso, ya que al no ser necesario y fundamental para resolver el fondo de la cuestión prejudicial, el TJUE ha realizado esta afirmaciones sin profundidad y estudio detallado puesto que sobre estos aspectos no se le plantea cuestión prejudicial. De haber tenido que conocer a fondo estas cuestiones, seguramente hubiera dado pautas para la ponderación de derechos, por lo que lo expresado en este punto de la sentencia no debería ser sacado de contexto.

Además en el derecho español ya tendríamos el asunto resuelto. Partiendo de lo establecido en la Ley Orgánica 4/1997 mediante la cual sólo pueden instalar cámaras fijas o móviles en lugares públicos las Fuerzas y Cuerpos de Seguridad, previa solicitud y autorización de la Comisión de Garantías de Videovigilancia dependiente de cada Delegación de Gobierno (tras la entrada en vigor de la Ley 5/2014 de seguridad privada también pueden solicitar autorización las empresas de seguridad privada), no debemos olvidar que la Agencia Española de Protección de Datos sobre la regla general de instalación de cámaras en lugares públicos sólo por Fuerzas y Cuerpos de Seguridad, viene admitiendo con criterio restrictivo la instalación por particulares y empresas de cámaras grabando la vía pública en supuestos debidamente justificados, mediante la aplicación del artículo 4.3 de la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras: “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

Ello nos obliga a realizar una labor previa de reflexión tendente a justificar su necesidad, idoneidad y proporcionalidad, tomando en consideración elementos como la especial vulnerabilidad del bien (bajo o local comercial planta calle), las agresiones previas o la limitación de la medida invasiva (grabación únicamente del momento de la entrada o salida y acera aledaña y no calzada y acera de enfrente, etc), o la necesidad de pixelar determinados ángulos o no adquirirla con zoom. Únicamente con esa labor previa podremos evitar la interposición de una sanción administrativa y la posible nulidad procesal de la prueba al aportar las grabaciones.

Sentencia completa:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=160561&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=49702

Fuente de la imagen: Antena 3.

Artículo publicado por el autor originariamente en el Blog de ENATIC.

El Delgado de Protección de Datos en el Proyecto de Reglamento Europeo: una visión de futuro

DPO_3

Por José Luis Colom Planas

1. INTRODUCCIÓN.

Leyendo el borrador del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), observo la aparición de una figura novedosa, en relación a la LOPD (Ley Orgánica de Protección de datos) vigente en el estado español.

1.1. NORMATIVA APLICABLE ACTUALMENTE EN ESPAÑA

Para situarnos, en el ordenamiento jurídico vigente actualmente en España, podríamos destacar la siguiente legislación básica en materia de protección de datos de carácter personal:

  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ambas en concordancia y como transposición de la Directiva europea 95/46/CE, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

NOTA DEL EDITOR: La Comisión Europea ha decidido basar su nueva propuesta en un reglamento y no en una directiva como la actual (Directiva 95/46/CE) ya que es un medio mucho más idóneo para armonizar su aplicación en todo el EEE (Espacio Económico Europeo). La razón es que entre ambos instrumentos jurídicos, un reglamento es una norma de aplicación directa a los Estados miembros sin posibilidad de que estos lleven a cabo ninguna modificación de la misma, mientras que una directiva requiere de un proceso de transposición al derecho nacional. Por consiguiente, el futuro reglamento evitará que los legisladores de cada país miembro se desvíen del texto que en su día aprueben el Parlamento Europeo y el Consejo de la Unión Europea.

1.2. ACTORES CONTEMPLADOS ACTUALMENTE EN ESPAÑA

1.2.1. Según la LOPD y el RLOPD

A partir de la legislación aplicable actualmente en España, se consideran tres figuras en relación al tratamiento de datos de carácter personal, enunciadas en la LOPD y su Reglamento de aplicación:
RESPONSABLE DEL FICHERO O TRATAMIENTO (DATA CONTROLLER): “La persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros, decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente”.

ENCARGADO DEL TRATAMIENTO (DATA PROCESSOR): “Es la persona física o jurídica, pública o privada u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio”.

RESPONSABLE DE SEGURIDAD (DSO): “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

NOTA DEL EDITOR. Según el Artículo 95 del RLOPD: “En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero o al Encargado del Tratamiento de acuerdo con este reglamento”.

1.2.2. Para proteger la información

CISO (CHIEF INFORMATION SECURITY OFFICER):   “Es el responsable en una organización de asegurar que los activos de información estén adecuadamente protegidos. Para ello diseñará, desarrollará, implementará y mantendrá diferentes procesos encaminados a reducir los riesgos de los activos de información y la tecnología que los soportan”.

Debe basarse en un SGSI (Sistema de Gestión de la Seguridad de la Información), tipo el que marca la ISO 27001, para gestionar la seguridad de la información de forma sistemática y en base a tres parámetros:

  • Análisis de Riesgos (amenaza, probabilidad, impacto)
  • Regulación y Cumplimiento Legal
  • Políticas generales de la empresa (Estrategia empresarial)

No es suficiente con que asegure la CONFIDENCIALIDAD, DISPONIBILIDAD e INTEGRIDAD de la Información, sino que debe asegurar el cumplimiento legal y normativo. No olvidemos que simplificando mucho, podemos considerar las medidas de seguridad que marca actualmente el Reglamento de Aplicación de la LOPD, como un mini SGSI con alcance reducido a los datos de naturaleza personal en la empresa.

NOTA DEL EDITOR. Si observamos los controles de seguridad del apéndice A de la ISO 27001:2013, vemos que está el objetivo 18.1 “Compliance with legal and contractual requirements”, que se implementa mediante los controles 18.1.1. al 18.1.5. El control 18.1.4. trata sobre privacidad y protección de información identificable personal.

Cuando se apruebe el borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la Protección de los Datos Personales, el CISO podrá relajarse en lo referente a regulación y cumplimiento legal, debiendo entonces coordinarse con el DPO.

1.3. NUEVO ACTOR QUE APARECE EN EL REGLAMENTO EU

El Parlamento Europeo y el Consejo de la Unión Europea, considera en el borrador del Reglamento, además de las dos primeras figuras anteriores, (Responsable y Encargado del Tratamiento), otra adicional en el supuesto que se den ciertos condicionantes:

DELEGADO DE PROTECCIÓN DE DATOS (DPO): “(75) Si el tratamiento se efectúa en el sector público o en el caso de que, en el sector privado, el tratamiento lo realice una gran empresa, o si sus actividades esenciales, con independencia del tamaño de la empresa, implican operaciones de tratamiento que exijan un seguimiento periódico y sistemático, una persona debe ayudar al responsable o encargado del tratamiento a supervisar la observancia interna del presente Reglamento. Tales delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y tareas con independencia”.

En las últimas revisiones se han revisado y modificado los condicionantes para requerirse la figura del DPO, como veremos a continuación.

NOTA DEL EDITOR: Si bien la traducción literal del inglés de la figura del DPO (Data Protection Officer) sería “Oficial de Protección de Datos”, en la versión española de la PRGPD se traduce como “Delegado de Protección de Datos”.

1.4. EMPRESAS QUE REQUERIRÁN DISPONER DE UN DPO

1.4.1. Según el borrador del Reglamento europeo

Vemos que para una organización es imprescindible disponer de dicha nueva figura del DPO (Delegado de Protección de Datos) si se da alguno de los siguientes condicionantes:

  • El tratamiento sea llevado a cabo por autoridades u organismos públicos.
  • El tratamiento sea llevado a cabo por una persona jurídica con respecto a más de 5.000 interesados durante un periodo consecutivo de 12 meses. (Tendrá una afectación directa a muchas empresas que gestiones BB.DD. de Marketing).
  • Las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.
  • Las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento de categorías especiales de datos con arreglo al artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala.

1.4.2. Según CEDPO

Con respecto a la posible obligación de nombrar a un DPO, CEDPO (Confederation of European Data Protection Organizations) en su día sugirió tener en cuenta los siguientes criterios basados en los riesgos que presenta la actividad. Observamos que prácticamente la totalidad de sus sugerencias se han incorporado al nuevo texto.

Finalidad de las operaciones de tratamiento. Puede atribuirse un potencial riesgo más alto a las empresas que comercialmente llevan a cabo un tratamiento automatizado de datos personales con el fin de comunicarlos a terceros y requieren el consentimiento de los titulares de los datos por un motivo legítimo (por ejemplo, listas para mailings). Lo mismo se aplica a las organizaciones que traten datos personales con fines de investigación de mercado o de opinión o para cualquier proceso que requiere evaluación de impacto en la protección de datos. Lo mismo podría aplicarse los tratamientos en los que se obtengan perfiles de los individuos que pudieran implicar riesgos específicos para los derechos y libertades de los interesados.

Sensibilidad de los datos o el tratamiento. Naturalmente, la sensibilidad de los datos que están siendo procesados tiene que ser tomada en cuenta. Por ejemplo de acuerdo con la Ley Federal Alemana de Protección de Datos (BDSG), la obligación de nombrar a un DPO se aplica en todos los casos donde se requiere control previo (en el Reglamento, el Comité se remite a la “consulta”). Esto puede incluir el tratamiento de los datos sensibles de acuerdo con el artículo 8 (1) de la Directiva de la UE (95/46/CE) a menos que este tratamiento está obligado a cumplir con la legislación nacional o simplemente incidental. En cualquier caso, CEDPO cree que la evaluación de la utilidad de nombrar a un DPO debería ser parte de la evaluación del impacto en la protección de datos individual llevado a cabo por el responsable.

Cantidad de datos objeto de tratamiento. Las organizaciones que procesan grandes cantidades de datos personales son más propensas a padecer situaciones de riesgo para los derechos y libertades de los interesados que las que  sólo tratan un mínimo de datos personales. En general, las organizaciones en las que el tratamiento de datos personales es una parte importante de su finalidad principal (por ejemplo, los proveedores de servicios de Internet o de telecomunicaciones) tienen un potencial de mayor riesgo, debido a las grandes cantidades de datos personales tratados. Lo mismo se aplica a las empresas que traten datos personales en nombre de sus clientes. CEDPO está de acuerdo con la Comisión de que los mecanismos de control interno son especialmente importantes “en los casos cada vez más comunes en donde los responsables delegan el tratamiento en otras entidades (por ejemplo, encargados).” Incluso si el responsable sigue siendo responsable en estos casos, es esencial tener una persona de contacto con conocimientos dentro del encargado.

1.5. FIGURAS IMPLANTADAS EN LOS ESTADOS DE LA UE

1.5.1. Justificación

La Directiva 95/46/CE dio a los estados miembros de la Unión Europea la posibilidad de introducir en su legislación nacional la designación de un DPO (Delegado de Protección de Datos). Algunos países han aprovechado esta oportunidad y han actuado en base a ella.

Sin embargo, los derechos y facultades de DPO pueden variar en función de las legislaciones de los estados miembros de la UE, como puede apreciarse en un estudio del CNIL. (2)

1.5.2. Oficial de Protección de Datos (DPO)

De donde proviene:

El rol de DPO proviene del artículo 18 de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos.

Atribuciones:

El DPO es responsable, en particular para asegurar de forma independiente la aplicación interna de la legislación nacional de protección de datos, de llevar un registro de tratamiento de datos personales aplicado en la organización, y para garantizar que los derechos y libertades de los interesados ​​sean poco probable que se vean perjudicados por las operaciones de tratamiento. En Francia, este papel es asumido por el CIL (Corresponsal de Informática y Libertades).

1.5.3. Oficial de seguridad de datos (DSO)

De donde proviene:

El rol de DSO proviene del artículo 2.4 de la Directiva 2009/136/CE se modifica la Directiva 2002/58/CE relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y su Reglamento.

Atribuciones:

El DSO es responsable, en particular para proteger los datos contra su cesión no autorizada, acceso a los mismos por parte de una persona no autorizada, o cualquier cambio, pérdida, daño o destrucción. El DSO también supervisa la aplicación de las medidas técnicas y organizativas para proteger los datos personales sean procesados, adecuados a los riesgos y la categoría de los datos protegidos.

1.5.4. Mapa de adopción de DPO y DSO en la UE

A continuación se muestra un mapa donde se representa la figura adoptada por los diversos países de la UE en relación a la protección de datos de naturaleza personal.

DPO2

 2. ATRIBUCIONES PROFESIONALES

NOTA DEL EDITOR. La figura del DPO o equivalente ya existe actualmente  en otros países de la UE. Puede verse un estudio elaborado por CEDPO (1) en el apartado de bibliografía.

2.1. SEGÚN EL ÚLTIMO BORRADOR DEL REGLAMENTO

Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del presente Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros (…).

Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.

Velar por la conservación de la documentación contemplada en el artículo 28.

Supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32.

Ofrecer el asesoramiento que se le pida acerca de la evaluación de impactorelativa a la protección de datos y supervisar su realización de conformidad con el artículo 33.

Actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales, incluida la consulta previa a que hace referencia el artículo 34, y consultar, en su caso, sobre cualquier otro asunto.

Art. 37.2 bis: “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.

3. DESEMPEÑO PROFESIONAL

3.1. EXTERNALIZACIÓN Y COMPARTICIÓN DEL DPO

Otro aspecto interesante en relación al Delegado de Protección de Datos, es que puede ser compartido por un grupo de empresas, o lo que es lo mismo, desempeñar sus funciones a tiempo parcial en cada una de ellas. Cita textualmente:
“Art. 35.2: Un grupo de empresas podrá nombrar un delegado de protección de datos único”.

“Art. 35.3: Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un solo delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y su tamaño”.

No solo eso, sino que además existe la posibilidad que dicha labor se desempeñe en la modalidad de “Outsourcing” o externalizada como “contrato de servicios”-

 “Art. 35.8: El delegado de protección de datos podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios”.

 “Art. 35.9: El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control (…)”.

Así, aunque esté externalizado deberá hacerse público el nombramiento y especialmente notificado a la Autoridad de Control.

Normalmente será un consultor especializado, independiente o adscrito a undespacho profesional o a una empresa de consultoría, el que actúe y reciba el nombramiento como DPO externo.

No obstante, un posible caso de compartición de dicha figura entre varias empresas podría ser asociándola a los actuales “Códigos Tipo”. Se  trata de códigos de auto-conducta sujetos a regulación que nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos a empresas de sectores específicos que tratan datos de naturaleza personal. Se parte de la base que las empresas que los suscriben tienen parecidas obligaciones y necesidades respecto a la protección de datos de naturaleza personal.

3.2. INDEPENDENCIA

Para proteger su independencia y evitar una excesiva movilidad en el puesto, se blinda la duración de su desempeño, asegurándola durante el período establecido, salvo incumplimiento de su labor.

“Art. 35.5: El (…) delegado de protección de datos será designado atendiendo a suscualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos contempladas en el artículo 37, y en particular a la ausencia de conflictos de intereses. (…)”

“Art. 35.7: (…). Durante su mandato, el delegado de protección de datos solo podrá ser destituido, aparte de por motivos graves que, con arreglo al Derecho del Estado miembro afectado, justifiquen la destitución de un empleado o funcionario, si deja de cumplir las condiciones requeridas para el ejercicio de las funciones que se le atribuyen en el artículo 37.

3.3. APOYO DE LA DIRECCIÓN

Para alcanzar el éxito en la implementación de los sistemas de gestión, los programas efectivos de Compliance, la aplicación de medidas de prevención y control interno, etc., el apoyo de la Alta Dirección (Órganos de gobierno corporativo) es imprescindible.

“Art. 36.1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestionesrelativas a la protección de datos personales”.

“Art. 36.2. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las tareas contempladas en el artículo 37 facilitando tanto (…) los recursos necesarios para el desempeño de dichas tareas como el acceso a los datos personales y a las operaciones de tratamiento”..

“Art. 36.3. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos pueda actuar con independencia en el desempeño de sus tareas y no reciba ninguna instrucción relativa al ejercicio de dichas tareas. No será sancionado por el responsable o el encargado del tratamiento por desempeñar sus tareas. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento”.

“Art. 36.4. El delegado de protección de datos podrá desempeñar otras tareas y funciones. El responsable o encargado del tratamiento garantizará que dichas tareas y funciones no den lugar a conflicto de intereses”.

3.4. COMPETENCIAS PROFESIONALES

Los criterios aplicables a las competencias profesionales de DPO podrán desarrollarse por medio de los “Actos Delegados”. Se delega en la Comisión la facultad de adoptar actos “no legislativos” de alcance general que completen o modifiquen determinados elementos no esenciales del reglamento.
“Art. 35.5: El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento.”

“3.4.10. CAPÍTULO X – ACTOS DELEGADOS Y ACTOS DE EJECUCIÓN. El artículo 86 contiene las disposiciones tipo para el ejercicio de las delegaciones en consonancia con el artículo 290 del TFUE. Ello permite al legislador delegar en la Comisión el poder de adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales de un acto legislativo (actos cuasi legislativos)”.

3.4.1. Áreas de conocimiento

En base a las directrices de la Norma internacional ISO 27001 de Gestión de la Seguridad de la Información, coincidiremos que las áreas de conocimiento de un DPO para poder asegurar la protección de la información, con alcance limitado a datos de naturaleza personal, debería basarse en medidas:

  • Jurídicas
  • Técnicas
  • Organizativas

Da la impresión que, mientras el actual RLOPD en España asigna al Responsable de Seguridad principalmente medidas técnicas, el Reglamento europeo aboga por el conocimiento de la legislación en materia de protección de datos.

3.4.2. Perfil formativo

Para mí, la ratio legis de la sección IV (artículos 35, 36 y 37) de la propuesta de RGPDUE no es otra que impulsar el rigor en la protección de datos en el marco de la Unión Europea,  dotando de la debida profesionalización a la figura del DPO. También elevándola al nivel que se merece, por la responsabilidad de su desempeño, en las organizaciones.

En cuanto al perfil formativo del Delegado de Protección de Datos, surge la duda de si se refiere a un perfil de Licenciado en Derecho con buenos conocimientos de tecnologías TIC o bien un Ingeniero de Sistemas o equivalente con sólidos conocimientos sobre la legislación vigente en materia de protección de datos personales. O quizá ambos son válidos, pues cada perfil puede buscar formación complementaria en el ámbito en el que presente mayores carencias [Postgrados de Derecho o de seguridad de la información, por ejemplo].

El borrador no concreta una determinada formación académica o profesional, sino que alude a unos conocimientos especializados tanto de tipo jurídico, como de gestión de la protección de datos, junto con la capacidad de atender a las tareas específicas previstas en el art. 37, y todo ello teniendo en cuenta que deberá disponer de conocimiento especializado respecto de los tratamientos, es decir, poseer de un cierto nivel de conocimiento en relación al sector de actividad en el que se desenvuelve la organización.  Luego a los conocimientos generales en materia de protección de datos (jurídicos y de gestión), deberán unirse conocimientos especializados en relación al tratamiento concreto (banca, salud, administraciones públicas, marketing, etc.), según el caso.

NOTA DEL EDITOR: Para un análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.

Para un análisis comparativo del borrador del Reglamento publicado el 25 de enero de 2012 por la Comisión Europea, de modo que permita conocer en detalle todos los aspectos regulados, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.

BIBLIOGRAFIA CONSULTADA.

Comisión Europea. 25 Enero 2012. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”.

PROPUESTA DE REGLAMENTO

Consejo de la Unión Europea. 3 de octubre 2014. “Propuesta de Reglamento del Parlamento Europeo y del Consejo… (Reglamento General de Protección de Datos). Primera lectura”. Capítulo IV.

Debate en el DAPIX

iiR España. “Documentación OnLine completa de la última edición del Seminario:DATA PROTECTION OFFICER”.

http://www.iirspain.com/Documentacion/

Francisco José Santamaría Ramos. 2011. “EL ENCARGADO INDEPENDIENTE, figura clave para un nuevo Derecho de protección de datos”. Editorial LA LEY (grupo Wolters Kluwer).

(1) CEDPO contribution. 6 Febrero 2012. “COMPARATIVE ANALYSIS OF DATA PROTECTION OFFICIALS ROLE AND STATUS IN THE EU AND MORE”.

COMPARATIVE ANALYSIS DPO IN THE EU

Peter Hustings (The European Data Protection Supervisor). 12 Octubre 2010. “DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR”.

DECISION OF EU DPO SUPERVISOR

The European Data Protection Supervisor. 28 Noviembre 2005. ”POSITION PAPER ON THE ROLE OF DATA PROTECTION OFFICERS IN ENSURING EFFECTIVE COMPLIANCE WITH REGULATION (EC) 45/2001”.

ROLE OF DPO EC

Network of Data Protection Officers of the EU institutions and bodies. 14 Octubre 2010. “PROFESSIONAL STANDARDS FOR DATA PROTECTION OFFICERS OF THE EU INSTITUTIONS AND BODIES WORKING UNDER REGULATION (EC) 45/2001”.

PROFESSIONAL STD FOR EU DPO

CNIL. “DPO in Europe – Which countries in Europe have adopted a Data Protection Officer?”. Página web.

DPO in Europe CNIL

La internacionalización del derecho al olvido y el ‘efecto Streisand’

delete_cuesta

Por Alberto Cuesta Ureña

Tan solo han transcurrido algo más de dos meses desde que irrumpió en el mundo de la privacidad la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre el famoso caso Google y el derecho al olvido. Esta sentencia posibilita a los ciudadanos borrar sus datos y la huella que han dejado en la red si este hecho les causa algún perjuicio. Al mismo tiempo, aclara que Google debe acatar la regulación sobre protección de datos que emana de los legisladores e instituciones de la Unión Europea (U.E).

Dos son los principales efectos que observo con el paso de las semanas ante esta resolución judicial que entran en conflicto: la reclamación de la internacionalización del derecho al olvido y el “efecto Streisand”.

Por una parte, respecto a la demanda de globalización del derecho al olvido,  hay que recordar que esta decisión del TJUE en base al principio de territorialidad ampara únicamente a los ciudadanos que forman parte de la U.E, individuos que por tanto disfrutan de mayores derechos frente a Google en relación a personas del resto del mundo. Los mismos disponen de un formulario facilitado por el buscador, mediante el cual pueden solicitar el borrado de enlaces y que ha recibido innumerables peticiones desde que fue puesto a disposición de los ciudadanos. Otros buscadores siguen el ejemplo como Bing, el buscador de Microsoft, que ha creado un formulario muy parecido al de Google. Los afectados tienen que identificarse y concretar qué páginas quieren que salgan de los resultados. Microsoft acepta peticiones para no mostrar resultados en el buscador de informaciones que sean “falsas o poco precisas; incompletas o inadecuadas; desfasadas o excesivas”. 

Como se puede comprobar, esta situación es injusta para los ciudadanos que no pertenecen a la U.E puesto que no disponen de un mecanismo análogo. Por ello, ya se escuchan voces en distintos Estados que reclaman la extensión del derecho al olvido más allá de las fronteras europeas. En las últimas semanas un grupo de parlamentarios chilenos presentó un proyecto destinado a reconocer el “derecho al olvido”. Un tribunal de Canadá se ha mostrado a favor de la retirada de enlaces no solo del buscador Google en el país www.google.ca, sino también en www.google.com, lo que supone, la aplicación del derecho al olvido a nivel mundial. En numerosas legislaciones el derecho al olvido ya está regulado, puesto que como sabemos el mismo se basa en el derecho de cancelación. A modo de ejemplo, en Uruguay se contempla legalmente desde 2008, aunque son muy pocos los ciudadanos que lo conocen. Desde la aparición de la resolución europea y en base a su gran difusión, se han generado intensos debates en todo tipo de foros jurídicos, legislativos y ciudadanos de muchos Estados. Ello está propiciando que se inste a Google a eliminar enlaces por parte de ciudadanos residentes fuera de la U.E que consideran que les perjudica una determinada información indexada en el buscador.

Por otro lado, otra de las consecuencias de la sentencia y que entra en confrontación con lo comentado, es el ‘efecto Streisand’ que está afectando plenamente al caso Google y al derecho al olvido. Se denomina con este término al intento de ocultar una información que finalmente adquiere una repercusión insospechada. Lo mismo que le sucedió a la afamada actriz y cantante Barbara Streisand y la fotografía de su casa de la costa Californiana cuando intentó que se retirara de un website. Pues bien, en el supuesto en el que nos encontramos, ya han surgido las primeras páginas webs que enumeran y facilitan los enlaces que desde Google están eliminando. Desde http://hiddenfromgoogle.com/ podemos comprobar cuáles son los últimos contenidos que desde el buscador han desindexado. A día de hoy este tipo de websites no son muy conocidos por el internauta medio, pero esta u otras páginas similares, puede que en el futuro sean una referencia y minimicen los efectos del ejercicio del derecho al olvido. Otro ejemplo del ‘efecto Streisand’ ocurre en el propio caso Google, a día de hoy todos sabemos quién es el señor Mario Costeja y el tipo de embargo que sufrió, cuando su intención era todo lo contrario…

Del ‘efecto Streisand’ desconocemos hasta qué punto puede desarrollarse y afectar a la efectividad del ejercicio del derecho al olvido por parte de los ciudadanos, pero lo que es seguro que en la esfera de Internet, deben existir voces críticas ante derechos que si son ejercidos sin control pueden perjudicar a la naturaleza libre y neutral de la red de redes. Se han eliminado enlaces incluso de Wikipedia y ello ha provocado que se considere censura al ejercicio de este derecho.

Por lo tanto, ante un escenario en Internet tan complejo como en el que nos encontramos: por un lado, con una normativa estricta de privacidad en la U.E.; por otro lado, con un movimiento que lucha por un Internet en el que toda información pueda permanecer accesible e indexada en los buscadores; y finalmente, con legisladores de países no pertenecientes a la U.E., que intentan incrementar la protección de la privacidad de sus ciudadanos para que también les ampare el derecho al olvido, es necesario establecer las normas del juego claramente en textos legales, no solo regionales, y sí internacionales, que vinculen a todos los actores implicados a nivel mundial. De esta forma se evitarían costes en tiempo y dinero acudiendo a terceros para que resuelvan las controversias (buscadores o tribunales de justicia). Por último, debo decir que la sentencia del TJUE es un importante paso en aras de alcanzar la protección de la privacidad de los ciudadanos, pero al mismo tiempo provoca que existan ‘navegantes’de primera y de segunda en la red a nivel internacional. En una realidad como es la de Internet, esencialmente globalizado, uno de los aspectos que se deben asegurar es la igualdad de derechos a todos los ciudadanos del planeta en la protección de su vida privada y personal al navegar.

Artículo publicado orginariamente por el autor en El Derecho.

Derecho al olvido: un enfoque imparcial

olvido_imparcial

Por José Luis Colom Planas

1. INTRODUCCIÓN

He dudado mucho antes de decidirme a escribir este artículo sobre el derecho al olvido. Los que tenemos la privacidad  como nuestra especialidad en el ámbito del Derecho corremos el riesgo de ser parciales en los considerandos y en las posibles conclusiones. Pretendo que cada lector extraiga las suyas propias después de conocer opiniones encontradas sobre los mismos “derechos”.

Considero también que la privacidad solo tendrá futuro si más que impuesta es entendida como un valor social y, en consecuencia, exigida por la sociedad misma. Por eso es tan importante ponderar correctamente la privacidad y la transparencia en Internet. En esta labor de concienciación han colaborado, aunque de forma disruptiva, los diferentes escándalos como el provocado por las revelaciones del Sr. Edward Snowden.

He esperado varios meses desde que se publicó la sentencia del TJUE sobre el asunto C‑131/12 de Google Spain, S.L., Google Inc. Contra la Agencia Española de Protección de Datos (AEPD), en relación al caso del Sr. Mario Costeja González (Petición de decisión prejudicial planteada por la Audiencia Nacional) ya que así eliminaba toda la carga pasional de los primeros días.

La gran paradoja de todo este revuelo ha sido que debido al efecto llamada, también conocido como efecto Streidsan, los asuntos del Sr. Costeja ahora tienen mucha más repercusión mediática que antes del pretendido “olvido”.

2. EL NUEVO CONCEPTO DE PRIVACIDAD

Antes de empezar, fijaré un convenio personal sobre la utilización de los conceptos intimidad, protección de datos y privacidad. El derecho a la protección de datos es el que garantiza a los individuos el control y la libre disposición de sus datos personales, mientras que el derecho a la intimidad es el que protege todos aquellos aspectos concernientes a la vida privada de un individuo, de los cuales tiene derecho a que no trasciendan a terceros.

Vivimos en la era de la información y del conocimiento por lo que la esfera íntima de las personas, en el mundo actual, comprende cada vez un mayor número de datos personales. No es de extrañar, en este contexto, que se diluyan los límites entre elderecho a la intimidad y el derecho a la protección de los datos de carácter personal, al estar nuestra intimidad  cada vez más digitalizada. En consecuencia utilizaré en este artículo de forma generalizada el término “privacidad” para referirme a la conjunción de ambos derechos fundamentales.

3. IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE

El “ser” es el individuo aislado con una serie de cualidades que pueden variar a lo largo de su desarrollo evolutivo.

Al mismo tiempo ese ser convive con otros individuos interactuando y mostrándose ante ellos. Esa interacción es la que genera su identidad que muestra una serie de características propias que lo describen.

Como mas interactúa y se muestra socialmente, más rica, amplia y conocida será su identidad. Si esto es así en el plano real, lo mismo sucede en el plano digital.

La identidad no solo se construye por lo que el individuo dice o hace, sino también por lo que otros conocen y difunden de él. La diferencia entre ambos planos radica en el hecho de que al ser el digital, en toda su amplitud, un medio sujeto a propagación viral por Internet, entraña de forma inherente un mayor riesgo motivado por esa desproporción en cuánto a la difusión. Además en el mundo digital, mediante técnicas analíticas y predictivas, puede inferirse conocimiento adicional de un individuo en base a sus interacciones en la red.

La sociedad se encuentra en esta era digital ante la tesitura de permitir la transparencia en cuánto a la información digital de las personas, que sin duda aporta beneficios, y protegerse del riesgo inherente relacionado con la privacidad. Debe buscarse un equilibrio que concilie los intereses de todos ya que en una relación duradera todos deben ganar, aunque sea en diferente medida.

Construir una reputación positiva es una tarea que puede llevar mucho tiempo y que requiere de coherencia. Por tanto resulta más difícil alcanzar una buena reputación que destruirla por una interacción desacertada. Desgraciadamente, y las noticias en la prensa son un ejemplo, lo negativo habitualmente toma más fuerza que lo positivo. En el plano digital, la reputación online está más amenazada por el efecto multiplicador de las diferentes interacciones a partir de contenido publicado por el propio individuo o por terceros.

Una medida protectora, al menos en lo que depende del propio sujeto, es evitar eloversharing [1] que consiste en la divulgación de una cantidad excesiva de información personal, información que convencionalmente sólo sería manifestada a, o conocida por, los más cercanos al individuo.

La tecnología actual, especialmente las redes sociales tipo Facebook© y los sistemas de mensajería instantánea tipo WhatsApp©, llevan el concepto de oversharing a un nivel completamente nuevo que podemos llegar a calificar de síndrome o trastorno conductual.

Un caso particular es el de los padres que publican indiscriminadamente información sobre sus propios hijos menores sin ser conscientes de que están escribiendo páginas enteras de su reputación digital. Deberían moderar esa conducta y esforzarse en ayudar a sus hijos a construir una correcta reputación digital.

En relación a la reputación online, igual que sucede en medicina, más vale prevenir que curar. Es mejor que la sociedad sea cauta al generar contenidos que tener que ejercer luego el derecho al olvido.

4. ¿QUE SE ENTIENDE POR DERECHO AL OLVIDO?

En esencia entenderemos  por derecho al olvido a la posibilidad otorgada a todo sujeto para “volver a empezar” sin que el conocimiento digitalizado de circunstancias negativas de su pasado, carentes de relevancia social, le persigan toda su vida de forma ineludible. Dicho de otra manera, es otra forma de libertad personal.

El derecho al olvido no debe considerarse como un nuevo derecho que deba añadirse a los ya conocidos por sus iniciales como ARCO: Acceso, Rectificación, Cancelación y Oposición.

El derecho al olvido debe entenderse como la traslación a Internet de dos de los actuales derechos: El de cancelación y el de oposición. En consecuencia, debería resultar plenamente aplicable todo lo regulado sobre esos derechos.

Según la sentencia de 13 de mayo del TJUE sobre el caso Google, el derecho al olvidose legitima cuando se produce una indexación de contenido digital en los resultados de búsqueda, referido a datos personales, que sea incompatible con la legislación aplicable sobre protección de datos. Esa “incompatibilidad” debe ser considerada en la más amplia interpretación de la palabra.

Dicho de otro modo,  ningún ciudadano que no sea objeto de un hecho noticiable verídico y de relevancia pública tiene que resignarse a que sus datos se difundan por Internet sin poder oponerse ni cancelar su inclusión. Se entiende que los afectados pueden:

Ejercer el derecho de cancelación de los datos que se conservan accesibles en la red cuando estos no estén contenidos en una fuente accesible al público ni exista una finalidad legítima que proteja la publicación. (Libertades informativas, finalidad cultural e histórica…).

Ejercer el derecho de oposición frente al tratamiento que los buscadores realizan de los datos personales, es decir, la desindexación por parte de los motores de búsqueda de la información (habitualmente del pasado pretérito amparándose en los principios de calidad de los datos y de finalidad) poniendo los medios para que esa información no vuelva a aparecer en el futuro. Este derecho sería ejercitable incluso considerando que la información divulgada fuera legítima y reciente, pero aun así existieran razones fundadas para evitar el tratamiento de la misma sin el consentimiento de su titular [2].

Como norma general consideraremos que el derecho al olvido únicamente comprende casos de informaciones personales que carecen de relevancia o interés público y cuya difusión universal causa una lesión al afectado.

Como ejemplo de formulario para permitir ejercer el derecho al olvido que determinado motor de búsqueda (Google) pone a disposición de los afectados, está la“Solicitud de retirada de resultados de búsqueda en virtud de la normativa de protección de datos europea” .

En él puede leerse: “(…) c) Explique los motivos por los que la inclusión de cada URL como resultado de búsqueda resulta irrelevante, obsoleto o inaceptable de cualquier otro modo. (…)”.

5. CONFLICTO DE DERECHOS

5.1 Introducción

Un derecho fundamental no es absoluto y tiene límites. Éstos se determinan  en  los demás derechos fundamentales y, en consecuencia,  pueden llegar a colisionar.

Caso de conflicto deberá discernirse cuál de ellos debe prevalecer eludiendo reglas generales. Deberá estudiarse cada caso concreto.

5.2. Derechos reclamados

Dos son los derechos fundamentales reclamados cuando se invoca la tutela sobre elderecho al olvido: El de protección de la intimidad, el honor y la propia imagen, por un lado, y el de protección de datos, por otro. Incidiremos más en uno u otro, según las circunstancias de cada caso concreto [3].

El derecho a la intimidad, el honor y la propia imagen son adecuados para protegerse de la existencia de información obsoleta del pasado que lesiona el bien jurídico protegido por este derecho fundamental. La divulgación de hechos pretéritos que afecten a la reputación online o imagen social de un individuo, le permiten apelar al derecho al honor para oponerse a esa información. Para considerarse  lesionado el derecho al honor no es estrictamente necesario que  los hechos difundidos carezcan de veracidad en el momento de su publicación. La difusión actual de información pasada, aunque veraz en su momento, puede implicar una distorsión de la imagen actual de un individuo, al vincularla con hechos pretéritos que no se corresponden con la realidad actual, con las consecuencias derivadas de falsas valoraciones por parte de terceros ocasionándole un perjuicio. La tutela para este derecho es dispensada por los órganos judiciales.

El derecho a la protección de datos tiene por objeto el tratamiento de todo dato que identifique o permita identificar a una persona. Aquí entraría la autodeterminación informativa basada en el principio de consentimiento, el principio de finalidad, el principio de calidad de los datos… La tutela administrativa la realiza en primera instancia una agencia independiente (en España la AEPD), constituida como autoridad de control, aunque sus resoluciones pueden ser recurridas mediante procedimiento contencioso-administrativo en la sala correspondiente de la AN y tribunales superiores.

5.3. El derecho a la información

Empezaré recordando el artículo 20 CE (Constitución Española):

Artículo 20. Libertad de expresión 1. Se reconocen y protegen los derechos: a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.

b) A la producción y creación literaria, artística, científica y técnica.

c) A la libertad de cátedra.

d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.

  1.  El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura previa.

Como hemos visto en la introducción cuando se produce una colisión entre límites de diferentes derechos fundamentales debe discernirse cuál de ellos debe prevalecer, ponderándolos atendiendo a cada circunstancia concreta. En este caso están en juego el derecho a la información (libertad de expresión) y la privacidad (derechos a la intimidad y a la protección de datos), entre otros [4].

En la SENTENCIA del TC 172/1990, de 12 de noviembre de 1990, se argumenta:“según reiterada doctrina constitucional, las libertades del art. 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es un valor fundamental y requisito de funcionamiento del Estado democrático.Esta excepcional trascendencia otorga a las expresadas libertades un valor de derecho prevalente sobre los derechos de la personalidad garantizados por el art. 18.1 de la Constitución, en los que no concurre esa dimensión de garantía de la opinión pública libre y del principio de legitimidad democrática”.

Sigue argumentando la sentencia: “Tal valor preferente, sin embargo, no puede configurarse como absoluto, puesto que, si viene reconocido como fundamento de la opinión pública, solamente puede legitimar las informaciones que impliquen una intromisión en otros derechos fundamentales cuando tales informaciones guarden congruencia con esa finalidad, es decir, cuando resulten relevantes para la formación de la opinión pública sobre asuntos de interés general y no lleven la intromisión en la intimidad o el honor de otros más allá de lo necesario para alcanzar esa finalidad.

De ello se deriva que la legitimidad de las intromisiones en el honor e intimidad personal requiere, no sólo que la información cumpla la condición de la veracidad, sino también que su contenido se desenvuelva en el marco del interés general del asunto al que se refiere, puesto que, de otra forma, el derecho de información se convertiría en una cobertura formal para, excediendo del discurso público en el que debe desenvolverse, atentar sin límite alguno y con abuso de derecho al honor y a la intimidad de las personas, con afirmaciones, expresiones o valoraciones que resulten injustificadas por carecer de valor alguno en relación con el interés general del asunto”.

En consecuencia, hemos de discernir entre:

  • La libertad de expresión, basada en la veracidad y en el interés general, y legitimada por el derecho fundamental a la información.
  • Los derechos ARCO en Internet basados, entre otros,  en la autodeterminación de la propia información y el principio de calidad de los datos, y legitimados por el derecho a la protección de datos y al honor, la intimidad y la propia imagen.

Ante tal tesitura, y en caso de discrepancia, deberá estudiarse caso por caso sin que puedan aplicarse reglas generales. Pero existe también un enfoque distinto que quizá pueda decantar la balanza hacia el valor de la información, en su conjunto,  para la humanidad: Empezar a considerar Internet como un nuevo derecho humano.

5.4. Internet como derecho humano

Romina Florencia, abogada y profesora invitada de la Maestría de Derechos Humanos de la Facultad de Ciencias Jurídicas y  Sociales de la Universidad Nacional de La Plata, presenta una tesis muy interesante desde el punto de vista constitucionalista. [5] Al ser un criterio pertinente a este artículo me propongo desarrollarla y comentarla aquí.

Con el nacimiento y la aceptación mundial de Internet nace una nueva sociedad a la que denominamos Sociedad de la Información y el Conocimiento en la cual se facilita enormemente el acceso y la trasmisión de la información y el conocimiento que se extrae de ella. Internet ha revolucionado el mundo apoyada firmemente sobre el principio de la libertad de expresión, que en Internet se traduce en una frase: libertad de los contenidos publicados.

Podemos considerar que hemos iniciado la tercera revolución de la humanidad. La primera fue industrial, la segunda de las TIC (tecnologías de la información) y la tercera del conocimiento (que se extrae de la información).

El concepto de derechos humanos incluye derechos de diversa naturaleza, entre los cuales se ubican los civiles, políticos, económicos, sociales y culturales. La Declaración Universal de los Derechos Humanos no establece niveles de valor entre derechos y todos ellos gozan de la misma jerarquía e importancia

Allí donde se detecta que existe una íntima relación entre la persona y sus distintas esferas de actividad se suele estar en presencia de un derecho fundamental. Luego se entiende que los derechos fundamentales se han ido contemplando y evolucionando igual que progresa la humanidad. Recordemos el tránsito del status subiectionis alstatus libertatis, al status civitatis, al status activae civitatis y al status positivus sociales. Pero una vez aceptados, como ya he dicho, todos gozan de igual jerarquía.

El Consejo Económico y Social de Naciones Unidas (ECOSOC) ha votado últimamente, por fallo casi unánime, que Internet sea considerada un derecho humano. El Consejo de Europa en un documento titulado Internet Governance (Developing the future toguether), de 14 de abril de 2011, cita: “10. Para muchas personas, el derecho y la libertad de recibir y difundir información e ideas a través de Internet se están convirtiendo en una necesidad, más que una opción, por razones económicas, financieras y sociales. Como la confianza y dependencia de Internet crece, este derecho y libertad se vuelve aún más importante”.

Sabemos que cuando los Derechos Humanos se fueron recogiendo en las diferentes constituciones de los Estados de Derecho, fue cuando pasaron a denominarse Derechos Fundamentales y dejaron su faceta filosófica para recibir una protección jurídica adecuada.

De todo lo aquí planteado puede concluirse la importancia de no desvirtuar Internet, la posibilidad de considerarla un Derecho Humano y, con el tiempo,  la posibilidad de que pase a recibir una protección jurídica adecuada como Derecho Fundamental en las diferentes constituciones de los Estados de Derecho.

6. OPINIONES QUE MATIZAN EL DERECHO AL OLVIDO

Mucha tinta se ha vertido estos días a raíz de que el Tribunal de Justicia de la Unión Europea (TJUE) dictara sentencia en el asunto C-131/12, Google Spain, S.L., Google Inc. contra la Agencia Española de Protección de Datos (AEPD), en razón de la demanda de tutela de derechos de Mario Costeja González en el conocido asunto del “derecho al olvido” en Internet.

Si bien se trata de una sentencia compleja, empezaré diciendo que algunos se cuestionan la viabilidad, e incluso la razón de ser, del manido derecho al olvido.

Para mí el derecho al olvido en la era digital es una voluntad jurídica y una quimera tecnológica. En otras palabras, encierra dificultades materiales y jurídicas. Si entendemos Internet como una red global ubicua, que no está sujeta a fronteras ni a horarios, nos daremos cuenta que intentar regularla significaría eliminarle su principal razón de ser convirtiéndola en algo distinto. Además, y como ya he dicho, al poder llegar a propagarse la información de forma viral, los potenciales consumidores de esa información pueden duplicarla en sus equipos locales y hacerla aflorar pasado un tiempo indeterminado en esa o en cualquier otra plataforma distinta de la original. Y eso sometido a un efecto multiplicador.

Para disponer de opiniones provenientes de un entorno distinto, que no se base en la protección jurídica del derecho fundamental a la protección de datos como en el que me desenvuelvo, he creído oportuno parafrasear a Enrique Dans (profesor del IE Business School) [6] que hablando sobre el derecho al olvido dice:

<< Lo que Mario Costeja ha conseguido es matar al mensajero, a la propuesta de valor de una de las herramientas más importantes que ha creado la civilización humana: La que permitía acceder a toda la información. Su empecinamiento en censurar a los buscadores y en eliminar de ellos alguna referencia ha generado un precedente que nos lleva a que, a partir de ahora, ya no podamos confiar en que un buscador, Google o el que sea, nos devuelva información veraz y no sesgada. Se empieza por eliminar “esto porque ya no es cierto”, se sigue por “esto no quiero que salga porque me desacredita” y se termina por “elimina los enlaces a esa foto porque me han sacado por mi lado malo”. Es sencillamente una barbaridad, una estupidez, un intento de defender un supuesto derecho de los individuos, exagerado hasta la hipérbole, perjudicando el derecho de todos de acceder a la información. Lo que se supone que va a ocurrir a partir de ahora no es que la información que molesta a sus protagonistas desaparezca, sino que tendremos que utilizar herramientas que nos pongan una especie de “venda en los ojos”, que solo podremos ver lo que determinadas personas quieran que veamos. Eso no es un derecho, es una aberración.

El olvido no es un derecho. El olvido es un proceso fisiológico que tiene lugar en el cerebro del que olvida, no algo que tenga lugar en función de los deseos del olvidado…>>

De esas palabras se interpreta que la ciudadanía es consciente, aunque no sepa expresar con precisión jurídica los términos, de la colisión entre diferentes derechos fundamentales que no están exentos de límites.

Cuando se produce esa colisión debe discernirse cuál de ellos debe prevalecer ponderándolos atendiendo a cada circunstancia concreta.  En esos casos yo suelo ayudarme, a la luz de amplia jurisprudencia constitucional y de variada doctrina sobre el carácter no ilimitado del derecho a la intimidad y el derecho a la protección de datos en su colisión con otros derechos fundamentales, mediante un criterio, que ha aplicado varias veces el TS para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, que es constatar que cumpla los tres siguientes requisitos o condiciones:

  • Juicio de idoneidad: Si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: Y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

En el caso de los buscadores, se trata de un conflicto entre los derechos fundamentales a la protección de datos y el derecho a la intimidad por un lado y, por otro, el derecho a la información y el principio de transparencia.

Si bien se ha escrito mucho sobre el caso, me permitiré hacer una ponderación de la reclamación planteada por Mario Costeja basándome en el juicio de proporcionalidad:

  • Juicio de idoneidad: La medida de obligar a un buscador determinado a que elimine cierto enlace a una información cuestionada, que la mayoría de las veces no genera y no almacena, no parece pueda garantizar una total efectividad ya que al no incidirse sobre la fuente de la información, otros buscadores, redes sociales públicas, blogs de terceros… pueden resucitar esa información en cualquier momento.
  • Juicio de necesidad: Parece que una medida más moderada sería incidir en origen en vez de hacerlo en el intermediario.
  • Juicio de proporcionalidad en sentido estricto: Mediante este proceder puede desvanecerse el derecho fundamental a la información, por un lado, y el principio de transparencia, por otro. Podría plantearse, siguiendo la línea argumental del profesor Enrique Dans, el riesgo de que se acabara desvirtuando, debido a motivaciones banales, el medio de propagación por excelencia de la información mundial, pudiendo la sociedad universal en su conjunto  perder mucho más que el beneficio concreto que se pretende alcanzar.

En consecuencia y desde un punto de vista constitucionalista, si se me permite enfocarlo así,  al existir una colisión entre diferentes derechos fundamentales no es nada evidente el fallo de la sentencia, que algunos califican de insuficiente e inadecuadamente motivado, especialmente si alguien se ha leído las conclusiones previas del Abogado General de la UE en relación a este caso.

Podría pensarse en la prevalencia de las libertades informativas frente a la “censura colateral” [13]  que representaría, por parte del intermediario prestador de servicios de la sociedad de la información (PSSI), suprimir o des-indexar  contenidos de terceros para evitar su responsabilidad sin esperar a tener un “conocimiento efectivo” ejercido por el propio interesado o afectado.

Los que abogan por un derecho de cancelación absoluto amparándose en el principio de calidad de los datos, según dispone el artículo 4.3-5 LOPD y el artículo 6 de la Directiva europea, han de tener en cuenta que el legislador estaba pensando en esas fechas en el responsable del fichero y no en un hipotético buscador creado en septiembre de 1998 y apenas conocido entonces.  Recordemos que la LORTAD entró en vigor en 1992 y la Directiva europea 95/46/CE en 1995. [Sobre la consideración de responsable del tratamiento al buscador, como se recoge en la sentencia ya hablaré mas adelante].

Un aspecto inédito de la sentencia es la no necesidad de que el interesado sufra un “perjuicio” para que pueda ejercer el derecho al olvido. Según Pablo García Mexía [7]el razonamiento parece contradictorio: “si la base de la argumentación es que los datos habrían perdido su calidad, entonces el perjuicio sería inevitable, pues el propio Tribunal afirma que un dato devenido innecesario respecto de los fines iniciales de su tratamiento resulta incompatible con la Directiva 95/46. (…) . Por eso acertaba en este aspecto el Abogado general de la UE, al hacer constar que una “razón legítima” [propia de la situación particular del interesado] para ejercer el derecho de oposición, tal y como la Directiva exige respecto de tal derecho, no podía hacerse coincidir con una “preferencia subjetivaAl ignorar esta idea, el Tribunal ha abierto la puerta a un océano potencial de peticiones abusivas que, a la vez, puede resultar muy difícil de tramitar, con el consiguiente riesgo de que, las que de veras resulten fundadas, no reciban la atención que merecerían.

7. OPINIONES FAVORABLES AL DERERCHO AL OLVIDO

La mayoría de las solicitudes de tutela de derechos, como es el caso resuelto por el TJUE,  responden a solucionar desajustes entre la información publicada y la realidad actual del individuo. Se amparan en la idea de que Internet puede ser un ente de memoria infinita y las personas deberían tener derecho a “volver a empezar” sin que situaciones puntuales de su pasado les persigan toda su vida incardinadas en su reputación online.

En esta línea se expresa Javier Sempere en un artículo publicado en el blog “privacidad lógica”  [8]: “Si uno acude a algunas de las resoluciones publicadas en la web de la Agencia Española de Protección de Datos (AEPD), se encontrará que, en la mayoría de ocasiones, el derecho al olvido lo ejerce “el ciudadano de a pie” para cuestiones de los más variopinto. Por ejemplo, eliminación de un anuncio de agradecimiento en un periódico de 1978 que ha sido digitalizado; derecho de oposición frente a una publicación en el BOE de un proceso selectivo de 2008; derecho de oposición también frente al BOE sobre la publicación de dos notificaciones de sendos procedimientos sancionadores; borrado de los datos personales que aparecen en la agrupación municipal de un partido político o incluso, el mismo “Caso Costeja” (oposición a un anuncio de embargo de hace bastantes años que había sido publicado en un periódico).

Son supuestos sencillos, en los que no existe ninguna colisión con el derecho de información, tratándose de información obsoleta en la mayoría de los casos y que no tienen ningún valor añadido. En resumen, no existe un interés legítimo ni general que sustente que este tipo de informaciones pueda ser consultado por la colectividad”.

Samuel Parra confirma estas apreciaciones en su blog “protección de datos personales” [9]: “En el año 2013 la AEPD dictó un total de 2100 resoluciones de Tutela de Derechos; de estas 2100, tan solo 89 han tenido incidencia en esto del “derecho al olvido” frente al buscador Google.

A poco que se preste atención a las solicitudes denegadas se aprecian varios denominadores comunes:

  • Los personajes públicos no van a gozar de este “derecho al olvido”; muchos son los casos de políticos inmersos en asuntos de corrupción que han acudido invocando este derecho y se les ha denegado sistemáticamente.
  • Si la información tiene relevancia pública y es actual se va a quedar en el buscador; y habrá casos, como los que hemos visto, que incluso cuando la información no sea actual, tampoco será eliminada.

8. ANÁLISIS DAFO

El análisis DAFO, también conocido como análisis FODA, es una metodología de estudio de la situación de un proyecto, analizando sus características internas (Debilidades y Fortalezas) y su situación externa (Amenazas y Oportunidades) en una matriz cuadrada. En este caso la utilizaremos para estudiar y ordenar de una forma más objetiva los efectos de la sentencia del TJUE.

DEBILIDADES FORTALEZAS
– SIN LEGISLACIÓN: No existe de forma explícita, en el momento de conocerse la sentencia del asunto C‑131/12 contra Google, legislación europea sobre el derecho al olvido. No consta en la vigente Directiva 95/46/CE aunque si aparece en el artículo 17 del borrador del futuro RGPDUE aún pendiente de aprobar y, en consecuencia, se trata de un instrumento jurídico todavía no aplicable. A partir de ahora la doctrina del TJUE tiene fuerza vinculante general sobre el alcance de la interpretación que deba darse a la Directiva 95/46/CE sobre el derecho al olvido.- TRANSFERENCIA DE RESPONSABILIDAD: La sentencia cede la responsabilidad de decisión, en primera instancia, sobre la legitimidad de las peticiones de ejercicio del derecho al olvido a la empresa privada, como lo es la que gestiona un buscador, ponderando ésta unilateralmente los posibles derechos fundamentales en juego.

– VOLUNTAD JURÍDICA Y QUIMERA TECNOLÓGICA: La decisión de obligar al buscador a olvidar, y no necesariamente a la fuente de la información, puede provocar en el transcurso del tiempo la indexación por otros buscadores que vayan apareciendo en el futuro. También un tercero podría haberla copiado y hacerla aflorar en cualquier otro medio transcurridos unos años. Recordemos que la propagación en Internet puede ser viral.

– LEGISLAR REGULACIÓN: Las actuales circunstancias deberían aprovecharse para regular o establecer protocolos de actuación en la aplicación del derecho al olvido por parte de buscadores y otras entidades. Podría disponerse inicialmente como una opinión o dictamen del Grupo de Trabajo del Artículo 29.- DEBERIA AGILIZARSE EL NUEVO RGPDUE: Se aprecia cada vez más la necesidad de disponer lo antes posible de un Reglamento General Europeo sobre protección de datos.En el debería regularse, una vez vistas las consecuencias de la sentencia del TJUE, el derecho al olvido (o al borrado como se le llama después de alguna enmienda) con mayor detalle que en el borrador actual sin apoyarse tanto en los “actos delegados” vid 17.9 RGPDUE.
AMENAZAS OPORTUNIDADES
– COLISIÓN DE DERECHOS: La evolución tecnológica, que lleva aparejada la evolución social, ha convertido en “imprescindible” el acceso libre a Internet para equiparar el desarrollo del conocimiento de cualquier persona con independencia de dónde se encuentre. Incluso hay quienes reclaman se considere éste acceso libre a Internet y sus contenidos como un nuevo derecho humano emergente.  Si permitimos a los buscadores auto-limitarse en ausencia de criterios objetivos y claramente regulados y aceptados por todos, podríamos estar minando este nuevo derecho junto al derecho a la información. – MAYOR RECEPTIVIDAD SOCIAL: Después del escándalo social que ha propiciado el casoSnowden, la sociedad está mucho más concienciada de los peligros que amenazan a la privacidad y predispuesta a que se impulsen medidas protectoras de estos derechos fundamentales.

9. CONCLUSIONES DEL ABOGADO GENERAL DE LA UE

9.1. Introducción

Veamos algunas de las conclusiones previas a la sentencia del Abogado General [10] Sr. NIILO JÄÄSKINEN presentadas el 25 de junio de 2013 en el asunto C‑131/12 de Google Spain, S.L., Google Inc. Contra la Agencia Española de Protección de Datos (AEPD), en relación al caso del Sr. Mario Costeja González (Petición de decisión prejudicial planteada por la Audiencia Nacional), relacionadas con la libertad de expresión y que, según el criterio de muchos, algunas de sus opiniones son más acertadas que la propia sentencia del TJUE.

9.2.  Derechos de libertad de expresión e información y libertad de empresa

120. El presente asunto afecta, desde múltiples puntos de vista, a la libertad de expresión e información consagrada en el artículo 11 de la Carta, concordante con el artículo 10 CEDH. El artículo 11, apartado 1, de la Carta establece que «toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.»

  1.  El derecho de los usuarios de Internet a buscar o recibir información disponible en Internet está protegido por el artículo 11 de la Carta.  Afecta tanto a la información contenida en las páginas web fuente cuanto a la información proporcionada por los motores de búsqueda. Como ya he mencionado, Internet ha revolucionado el acceso a todo tipo de información y su difusión, y ha puesto en marcha nuevos medios de comunicación y de interacción social entre particulares. A mi juicio, el derecho fundamental a la información merece protección particular en Derecho de la Unión Europea, particularmente a la luz de la tendencia cada vez mayor de los regímenes autoritarios en todo el mundo a limitar el acceso a Internet o a censurar el contenido disponible en él.

122. Los editores de páginas web disfrutan igualmente de protección con arreglo al artículo 11 de la Carta. Poner contenidos a disposición del público en Internet equivale, como tal, a la libertad de expresión, (86) máxime cuando el editor ha enlazado su página a otras y no ha limitado su indexación o archivo por parte de los motores de búsqueda, indicando de este modo su deseo de que su contenido se difunda ampliamente. La publicación en la web es un medio para que los particulares participen en debates o difundan sus propios contenidos, o contenidos cargados por otros, en Internet”.

9.3. El “derecho al olvido” y los derechos ARCO

 “B. ¿Equivalen los derechos de rectificación, supresión, bloqueo y oposición establecidos en la Directiva a un «derecho al olvido» del interesado?

  1.  Los derechos de rectificación, supresión y bloqueo de datos establecidos en el artículo 12, letra b), de la Directiva se refieren a datos cuyo tratamiento no cumple lo dispuesto en la Directiva, en particular debido al carácter incompleto o inexacto de los datos.
  2.  El auto de remisión reconoce que la información que aparece en las páginas web de que se trata no puede considerarse incompleta o inexacta. Menos aún se afirma que el índice de Google o los contenidos de su memoria oculta que incluyen estos datos puedan describirse de este modo. Por tanto, el derecho a rectificación, supresión o bloqueo, al que se refiere el artículo 12, letra b), de la Directiva, sólo surgirá si el tratamiento por parte de Google de datos personales procedentes de terceros es incompatible con la Directiva por otros motivos.

106. El artículo 14, letra a), de la Directiva obliga a los Estados miembros a reconocer al interesado el derecho a oponerse, en cualquier momento y por razones legítimas propias de su situación particular, a que los datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra cosa. Ello es de aplicación en particular a los casos contemplados en las letras e) y f) del artículo 7, esto es, cuando el tratamiento es necesario en relación con un interés público o para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por terceros. Además, en virtud del artículo 14, letra a), en caso de oposición justificada, «el tratamiento que efectúe el responsable» no podrá referirse ya a esos datos.

107.  En las situaciones en las que se considera que los proveedores de servicios de motor de búsqueda en Internet son responsables del tratamiento de datos personales, el artículo 6, apartado 2, de la Directiva les obliga a ponderar los intereses del responsable del tratamiento de los datos, o de los terceros en cuyo interés se tratan los datos, con los del interesado. Como observó el Tribunal de Justicia en la sentencia ASNEF y FECEMD, a la hora de realizar la ponderación es relevante que los datos controvertidos hayan aparecido ya o no en fuentes públicas.

108. No obstante, como han afirmado casi todas las partes que han presentado observaciones escritas en el presente asunto, considero que la Directiva no establece un derecho general al olvido, en el sentido de que un interesado esté facultado para restringir o poner fin a la difusión de datos personales que considera lesivos o contrarios a sus intereses. La finalidad del tratamiento y los intereses a los que sirve, al compararse con los del interesado, son los criterios que han de aplicarse cuando se procesan datos sin el consentimiento del interesado, y no las preferencias subjetivas de éste. Una preferencia subjetiva por sí sola no equivale a una razón legítima, en el sentido del artículo 14, letra a), de la Directiva.

109. Aunque el Tribunal de Justicia declarase que los proveedores de servicios de motor de búsqueda en Internet se responsabilizan, como responsables del tratamiento, quod non, de los datos personales contenidos en las páginas web fuente de terceros, un interesado tampoco tendría un «derecho al olvido» absoluto que pudiera invocar frente a los proveedores de servicios. Sin embargo, el proveedor de servicios necesitaría ponerse en la posición del editor de la página web fuente y comprobar si la difusión de los datos personales en la página web podría considerarse legal y legítima a los efectos de la Directiva. Dicho de otro modo, el proveedor de servicios necesitaría abandonar su función de intermediario entre usuario y editor y asumir la responsabilidad por el contenido de la página web fuente y, cuando resultase necesario, censurar el contenido evitando o limitando el acceso a éste.

110. En aras de la exhaustividad, resulta útil recordar que la propuesta de la Comisión de Reglamento general de protección de datos establece en su artículo 17 un derecho al olvido. No obstante, la propuesta parece haberse enfrentado a una oposición considerable, y no pretende representar la codificación del Derecho actual, sino una innovación legal importante. Por tanto, no parece afectar a la respuesta que ha de darse a la cuestión prejudicial. Dicho esto, es interesante que, con arreglo al artículo 17, apartado 2, de la propuesta «cuando el responsable del tratamiento […] haya hecho públicos los datos personales, adoptará todas las medidas razonables […] en lo que respecta a los datos de cuya publicación sea responsable, con miras a informar a los terceros que estén tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos». Este texto parece considerar a los proveedores de servicios de motor de búsqueda en Internet terceros, más que responsables del tratamiento por derecho propio.

  1.  Por consiguiente, llegó a la conclusión de que los artículos 12, letra b), y 14, letra a), de la Directiva no establecen un derecho al olvido”.

De las conclusiones del Abogado General de la UE debería desprenderse, sentencia del TJUE aparte:

  • El derecho de cancelación debería ejercerse por el afectado frente al responsable del tratamiento, esto es, frente a la página web de origen que es la fuente de la información.
  • Los proveedores de servicios de motor de búsqueda en Internet deberían considerarse terceros, más que responsables del tratamiento.
  • El derecho al olvido, distinto del de cancelación, consta únicamente en la propuesta del RGPDUE y, en consecuencia, no puede considerarse normativa del Derecho actual.

10. DUDAS SOBRE LA SENTENCIA CONCRETA DEL TJUE

Debo hacer notar el hecho de que, como apunta Ricard Martínez en su blog “LOPD y seguridad” [11] “El TJUE responde únicamente a lo que se le pregunta. Por tanto mientras todos vamos a realizar una lectura general a la búsqueda de criterios, el TJUE está respondiendo a preguntas concretas de un órgano jurisdiccional específico para un caso determinado. Y esto de algún modo supone que se aplique un enfoque concentrado que renuncia a una visión periférica o de conjunto. Porque lo que sin duda constituye un hecho es que los criterios de interpretación normativa son generalizables, y este es el segundo elemento central”.

Desde la más absoluta imparcialidad, paso a reseñar una serie de dudas que se plantean sobre esta sentencia concreta del TJUE [12].

  • Se limita a ponderar un interés económico con los derechos fundamentales a la protección de datos y al honor, la intimidad y la propia imagen. Es evidente que el interés económico siempre será legítimo pero insuficiente frente derechos fundamentales. En lugar del interés económico quizá debería ponderarse el derecho fundamental a la información (proporcionarla y recibirla) como defendía el Abogado General de la UE.
  • Parece que se esté empleando la técnica jurídica de la subsunción, forzando la realidad de los hechos para obtener conclusiones preestablecidas, a partir de una aplicación determinada de la norma. Considerar razonable el dirigirse a Google para que des-indexe contenido sin necesidad de dirigirse, o haberse dirigido, a la página web como fuente de origen, con el único argumento de que Google consigue un efecto multiplicador de la visibilidad, parece al menos cuestionable. Podríamos añadir una nota de humor responsabilizando de ocasionar una enfermedad al microscopio que lo magnifica en vez de al virus que es el auténtico causante biológico. También podría ser cuestionable considerar a Google responsable del tratamiento.
  • Sitúa en la percepción y el criterio de un sujeto privado, como es un motor de búsqueda, la decisión de des-indexar con resultados a futuro impredecibles en este momento. [12]  Si bien en el caso de Google se ha constituido una comisión internacional de expertos, algunos de reconocido prestigio, para que establezcan las directrices de actuación ante el más que probable aluvión de peticiones de tutela de derechos, sería deseable establecer una “guía de criterios de ponderación” con las pautas necesarias para balancear la subjetividad, a la que nos aboca esta sentencia, hacia la objetividad necesaria que tienda a dar mayor seguridad jurídica asegurando las indudables ventajas, frente a los riesgos, que aportan los buscadores a la sociedad.
  • El Tribunal no efectúa distinción alguna, a diferencia del Abogado General, y se limita a tratar en bloque toda la actividad del buscador. De este modo lo cataloga como responsable sin matices. La argumentación del Abogado general acerca de si Google puede ser considerado responsable (con su triple distinción entre contenidos de los webs de terceros, los de la memoria oculta del buscador y los del índice propiamente dicho del buscador) es desde luego mucho más rica y clarificadora en este aspecto – muy importante a fin de calibrar el alcance que la responsabilidad deba tener- que la del TJUE. [7] La responsabilidad solo debería surgir si Google actúa en contra de lo que le exija o solicite la fuente, como editora de la información originaria, que es quien puede realmente calibrar si los fines perseguidos con el tratamiento inicial siguen siendo necesarios o no.

11. BIBLIOGRAFÍA CONSULTADA

– Declaración de Ciudad de Panamá. “Hacia la unificación de criterios y garantías para la protección de la identidad digital y el derecho al olvido”. Presentada el 23 de julio de 2014. Observatorio Iberoamericano de Protección de Datos.

Declaración de Ciudad de Panamá

– [1] José Luis Colom. “El oversharing es una actitud con secuelas para el futuro”. 21 de enero de 2014. BlogAspectos profesionales.

El oversharing

– [2] Lorenzo Cotino Hueso. “Datos personales y libertades informativas. Medios de comunicación social como fuentes accesibles al público (art. 3 de la LOPD)”. En: Troncoso Reigada, Antonio (dir.). Comentario a la Ley orgánica de protección de datos personales. 2010. Navarra: Civitas, p. 289–315 (esp. 298).

– [3] Luis Javier Mieres Mieres. “El derecho al olvido digital”. Documento de trabajo 186/2014. 2014. Fundación Alternativas.

–  [4] José Luis Colom. “Conflicto jurídico entre el derecho a la intimidad y el derecho a la información”. 6 de Mayo de 2014. Observatorio Iberoamericano de Protección de Datos.

Conflicto jurídico

– [5] Romina Florencia Cabrera. “LA INTERNET COMO DERECHO HUMANO”. 24 de febrero de 2013. Observatorio Iberoamericano de Protección de Datos.

Internet como derecho humano

– [6] Enrique Dans. “El absurdo derecho a que internet te saque por tu lado bueno”. 13 de mayo de 2014. El blog de Enrique Dans.

El absurdo derecho

 [13] Lorenzo Cotino Hueso. “Libertades informativas y responsabilidad de los prestadores de servicios en Internet”.  21 de febrero de 2013. XI CONGRESO DE LA ASOCIACIÓN CONSTITUCIONALISTAS DE ESPAÑA (ACE).

Libertades informativas

– [7] Pablo García Mexía. “Gana el derecho al olvido, pierden Internet y la libre expresión”. 15 de mayo de 2014. La Ley en la Red. Blogs ABC.

Gana el derecho al olvido

– [8] Francisco Javier Sempere. “Derecho al olvido: ni censura ni límite al derecho de información”. 27 de mayo de 2014. Blog Privacidad lógica.

Derecho al olvido

– [9] Samuel Parra. “Esto es lo que obligan a borrar a Google en virtud del Derecho al Olvido”. 2 de junio de 2014. Blog Protección de datos personales.

Esto es lo que obligan a borrar

– [10] Niilo Jääskinen. “conclusiones del Abogado General de la UE  en el asunto C‑131/12 del Sr. Mario Costeja”. 25 de junio de 2013. Comisión Europea. Justicia.

Conclusiones del Abogado General

– [11] Ricard Martínez. “Olvidar es un fenómeno muy complejo”. 14 de mayo de 2014. Blog LOPD y Seguridad.

Olvidar

– Francisco Ramón González-Calero Manzanares. “Sentencia sobre derecho al olvido ¿Algo ha cambiado?”. 27 de mayo de 2014. El Derecho (Grupo Francis Lefebvre).

¿Algo ha cambiado?

– [12] Lorenzo Cotino Hueso. “(Audio) sobre el olvido de la libertad de recibir información en la sentencia TJUE que reconoce el derecho al olvido…”. 14 de mayo de 2014. Universitat de València.

El olvido de la libertad

¿Qué podemos hacer con las cookies?

cookies_vivet

Por Laura Vivet Tañà

A nivel Europeo se ha estado discutiendo sobre la adopción de un sistema opt-in para la instalación de cookies en los ordenadores de los usuarios. Las Cookies son pequeños ficheros que se instalan automáticamente en tu ordenador cada vez que te conectas a alguna página web. Cuando hablamos de cookies, el sistema opt-in consiste en requerir a los usuarios finales consentimiento expreso, antes de instalar este tipo de ficheros en su equipo. El Grupo de trabajo del art. 29 ha definido el consentimiento que debería recabase en estos casos, adoptando una interpretación estricta.

No obstante, creo que podría ser deseable cambiar un poco el enfoque, con el fin de mejorar la coherencia entre la tecnología y la legislación.

No podemos esperar que los usuarios tengan que leer una página entera sobre cookies o sobre privacidad. Este planteamiento es excesivo y podría convertirse en inefectivo.

Es un hecho bien conocido que, la sobrecarga de información provoca el efecto contrario. El ámbito online se caracteriza por su dinamismo e internacionalidad; Por lo que, podría ser el momento de reinventarnos.

No podemos esperar que los usuarios tengan que leer una página entera sobre cookies o privacidad.

No podemos olvidar que, cuando un usuario navega por Internet en busca de información, a penas se detiene a leer dos líneas de cada página hasta que encuentra lo que está buscando. La gente está acostumbrada a utilizar sus smartphones, ordenadores portátiles o tablets cuando viajan o esperando el metro. Cada vez más la tendencia general es estar on-line en todas partes, en cada momento y con cualquier dispositivo.

Andorra y protección de datos de carácter personal

bandera_andorra

Por José Luis Colom Planas

1. INTRODUCCIÓN

El Principado de Andorra (en catalán, su idioma oficial, “Principat d’Andorra”), como todos sabemos es un pequeño país soberano del suroeste de Europa con una extensión de 468 km2, situado en los Pirineos. Es fronterizo por el sur con España y por el norte con Francia. Su territorio, con capital en “Andorra la Vella”, está formado por siete parroquias con una población total de unos 78.115 habitantes (1).

Está constituido como un Estado social y democrático de Derecho, cuyo régimen político es el Coprincipado parlamentario y tiene como jefes de Estado al obispo de Urgel (España), actualmente  Joan Enric Vives i Sicília (1), y al presidente de la República Francesa, en la actualidad François Hollande (1).

El 8 de enero de 1982 se creó el cargo de Jefe de Gobierno del Principado de Andorra (en catalán “Cap de Govern del Principat d’Andorra”), que es presidente del Consejo de Ministros andorrano y es quien propone las leyes al Consejo General de Andorra. Tras la Constitución de 1993, este cargo quedó plenamente normalizado. El actual jefe de Gobierno electo el 12 de Mayo de 2011 es Antoni Martí Petit (1).

No tiene fuerzas armadas propias y su defensa es responsabilidad de España y Francia, según el tratado de buena vecindad:

TRATADO DE BUENA VECINDAD CON ANDORRA

2. RECONOCIMIENTO Y LEGISLACIÓN APLICABLE

Aunque uno de los dos copríncipes sea de España y sea un país vecino, la AEPD(Agencia Española de Protección de Datos) no tiene jurisdicción en Andorra. Dispone por tanto de una Agencia de Protección de Datos propia: APDA (Agència Andorrana de protecció de Dades) www.apda.ad

El 1 de Diciembre de 2009, the ARTICLE 29 DATA PROTECTION WORKING PARTY, 02317/09/EN, WP 166, publica la opinión 7/2009 “On the level of protection of personal data in the Principality of Andorra”.

Dicho dictamen prepara el terreno para que Andorra sea reconocida como país con adecuado nivel de protección por la EU.

Finalmente, la DECISIÓN DE LA COMISIÓN de 19 de octubre de 2010, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la adecuada protección de los datos personales en Andorra (2010/625/UE), reconoce a Andorra como país con adecuado nivel de protección de datos personales.

La legislación aplicable en dicho país es la siguiente (equivalente a la LOPD y RLOPD de España):

La ley andorrana es la Llei 15/2003, del 18 de desembre, calificada de protección de datos personales.

El Reglamento de aplicación es el Decret del 9-06-2010 d’aprovació del Reglament de l’Agència Andorrana de Protecció de Dades.

De ello se deduce que carece de sentido hablar de adecuar una empresa andorrana a la LOPD (Ley Orgánica española 15/1999, de 13 de diciembre). Si acaso a la Llei andorrana 15/2003, del 18 de desembre.

El artículo 4 de la “Lley andorrana 15/2003, del 18 de desembre”, cita textualmente, en relación al ámbito territorial de su aplicación:

Article 4. Àmbit territorial.

Aquesta Llei s’aplica a la creació de fitxers i al tractament de dades personals per responsables de tractament domiciliats al Principat d’Andorra, o constituïts conforme a les lleis del Principat d’Andorra.

Igualment, aquesta Llei és aplicable als tractaments de dades realitzats per responsables de tractament no domiciliats al Principat o no constituïts conforme a les lleis del Principat d’Andorra, quan facin servir mitjans de tractament ubicats en el territori del Principat.

Que traducido al español dice:

Artículo 4. Ámbito territorial.

Esta ley se aplica a la creación de ficheros y al tratamiento de datos personales por parte de responsables del tratamiento domiciliados en el Principat d’Andorra, o constituidos conforme a las leyes del “Principat d’Andorra”.

Igualmente, esta ley es aplicable a los tratamientos de datos realizados por responsables del tratamiento no domiciliados al Principat o no constituidos conforme a las leyes del “Principat d’Andorra”, cuando hagan servir medios de tratamiento ubicados en el territorio del Principado.

3. ANÁLISIS DE POSIBILIDADES

3.1. Empresa Andorrana, con sede en Andorra y que opera allí.

En dicho caso se debe a la legislación andorrana, y actúa en calidad de RESPONSABLE DEL TRATAMIENTO de los datos de carácter personal recabados a los andorranos.

Debe registrar los ficheros que contengan dichos datos de carácter personal a la APDA (Agència Andorrana de Protecció de Dades).

3.2. Empresa Andorrana, con sede en Andorra que envía a España para que se los procesen o traten, los datos personales de andorranos.

Como España y Andorra, según la Comisión Europea y como lo contemplan sus respectivas AGPDs, son países con adecuado nivel de protección, se considerará una transferencia internacional de datos por lo que deberá notificarse a la APDA, pero no será necesaria la autorización de su director.

Debe firmarse un contrato con la empresa española, de forma que ésta actúe como ENCARGADO DEL TRATAMIENTO por cuenta de la andorrana que será la RESPONSABLE DEL TRATAMIENTO.

 3.3. Empresa Andorrana, con sede en Andorra que procesa o trata los datos personales de españoles, por cuenta de otra empresa española.

En dicho caso la empresa andorrana actuará como ENCARGADA DEL TRATAMIENTO y deberá reflejarlo en un contrato que la vincule a la empresa española que actuará como RESPONSABLE DEL TRATAMIENTO.

Será la empresa española la que deberá notificar a la AEPD, que realiza una transferencia internacional de datos hacia Andorra.

La empresa andorrana estará bajo la “Lley andorrana 15/2003, del 18 de desembre” que deberá cumplir.

3.4. CLOUD COMPUTING.

Es lo mismo que acabamos de describir, simplemente teniendo en cuenta que la empresa que almacena los datos de carácter personal prestando servicios de Cloud Computing es el ENCARGADO DEL TRATAMIENTO y la empresa que contrata los servicios para almacenar o tratar datos de carácter personal, es considerado RESPONSABLE DEL TRATAMIENTO.

 

Sentencia sobre derecho al olvido ¿algo ha cambiado?

sentencia_ue

Por Francisco R. González-Calero Manzanares

Y esto es así porque la STJUE de 13 de mayo de 2014 en el asunto C-131/12 Costeja y AEPD vs Google INC y Google Spain SL interpreta y utiliza los instrumentos legales establecidos en la Directiva 95/46CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, para reconocer un derecho denominado “al olvido”, que no es otra cosa que la conjunción del principio de calidad de los datos y el ejercicio del derecho de oposición al tratamiento de datos, ambos regulados en la mencionada Directiva.

Lo que ha quedado claro es que ya no se depende de la aprobación del futuro Reglamento de Protección de Datos para poder ejercitar este “derecho al olvido” o tras las enmiendas aprobadas por el Parlamento Europeo, a “ser borrado”, aunque siempre que se delimite su alcance, objeto y contenido aportará seguridad jurídica.

Y esto es así porque el TJUE da la razón a la Agencia Española de Protección de Datos a la hora de interpretar el ejercicio del derecho de oposición y zanja una polémica entre esta y Google a la hora de interpretar la legislación española ya que hasta el momento, Google se ha dedicado sistemáticamente a recurrir ante la Audiencia Nacional las decisiones de la AEPD, provocando que en este momento estén pendientes de resolución más de 200 asuntos, lo que ayudará a delimitar aún más el alcance, el contenido y las consecuencias de esta sentencia y de este derecho. También se espera que la sentencia se analice en el Plenario del Grupo de Trabajo del artículo 29 del 3-4 de junio, y que de ahí salga una Opinión u otro tipo de documento que fije el criterio común de las autoridades nacionales de control.

Centrándonos en el asunto que nos ocupa, Google INC siempre ha entendido que no le era de aplicación la normativa española y europea de protección de datos al ser de su propiedad las arañas que rastrean continuamente la red, estar domiciliada en EEUU y no tener establecimiento permanente en España, ya que Google Spain SL sólo se dedica a comercializar los productos y servicios de Google INC. Tampoco entendía que con sus motores de búsqueda se produjeran tratamientos de datos personales en los términos establecidos en la legislación española y europea y, que en todo caso se debería acudir a la fuente para que o bien elimine el contenido o bien instale un dispositivo norobot.txt que evite la indexación del contenido por parte de sus arañas.

Estos alegatos no han sido tomados en cuenta por el TJUE, que da dictaminado que sí le es aplicable la legislación española y europea al tener una filial en España “destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro” y también entiende que se realiza un tratamiento de datos porque “la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado” y en lo que respecta al derecho de oposición y el derecho de rectificación, supresión y bloqueo de datos inexactos o incompletos que trata de garantizar el principio de calidad de los datos (artículos 12 b y 14 a de la Directiva 95/46CE) el Tribunal de Justicia dispone que:

.– De cumplirse los requisitos para el ejercicio de estos derechos, “el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”.

2º.- Al examinar los requisitos de estas derechos se tiene que analizar en concreto “si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”.

Llegados a este punto, podemos realizar las siguientes valoraciones:

  • Que se pueda bajo determinadas condiciones exigir a un buscador que nos elimine de su lista de resultados no impide que de pueda reclamar también a la fuente la eliminación del contenido (salvo que exista una obligación legal que obligue a ello o que se demuestre un interés legítimo en el tratamiento) o para los casos en los que no proceda la eliminación del contenido (como puede ser una publicación obligatoria en boletín oficial) a que se instale un mecanismo que impida su indexación por buscadores como se ha venido haciendo hasta la fecha.
  • Siempre será mejor acudir a la fuente para que elimine o evite la indexación, ya que los buscadores se actualizan periódicamente, y antes o después desaparecerá de la lista de resultados. Si nos dirigimos sólo al buscador corremos el riesgo de no poder localizar qué sitios web se están haciendo eco de ese contenido. No aparecerá en una lista de resultados pero cualquier internauta que acceda a ese sitio web tendrá acceso al contenido.
  • Estas valoraciones no tratan de restar valor a la sentencia analizada, ya que soluciona uno de los mayores problemas de la red ante amenazas y riesgos para la privacidad, a saber, la universalidad de la red y la falta de normativas sobre protección de datos en numerosos Estados. La retirada de los índices de búsqueda puede ser la única alternativa posible si el propietario de un sitio web o su servidor está domiciliado en alguno de estos países.
  • Los criterios para eliminar el resultado de búsqueda deben ser casi automáticos y la única verificación que deberían realizar los motores de búsqueda es la de comprobar la identidad del reclamante, al tratarse de derechos personalísimos. Por el contrario los editores de contenidos si tendrán que entrar a valorar si procede o no el ejercicio de esos derechos. Eso es lo que parece desprenderse de la siguiente afirmación contenida en el fallo “también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”.
  • El ejercicio de estos derechos no suponen ningún acto de censura en la red o atentado contra derecho de terceros que aparecen en ese contenido, puesto que se habla de eliminación de resultados de búsqueda “por persona” o instalación de mecanismos que impidan la indexación “de esa persona” por motores de búsqueda, no de la retirada en si de los contenidos que cuando procedan por ser delictivos, ofensivos, inexactos o se carezca de interés legítimo para su tratamiento, deberán utilizarse los cauces y herramientas legales destinados para ello.

Publicado originariamente por el autor en El Derecho.

Google da sus primeros pasos para hacer efectivo el derecho al olvido

google_olvido

Por Daniel A. López Carballo

Hace poco conocíamos la Sentencia del Tribunal de Justicia de la Unión Europea, sobre el famoso caso Google y derecho al olvido, un caso de gran relevancia al resuelve la cuestión prejudicial planteada en marzo de 2012 por la Audiencia Nacional española sobre la interpretación de la Directiva 95/46/CE en relación con la actividad de los motores de búsqueda de Internet. La decisión afecta a más de 220 recursos interpuestos por Google contra resoluciones de la Agencia Española de Protección de Datos, actualmente pendientes ante el citado organismo judicial español.

En ella se respalda el concepto de derecho al olvido, a la posibilidad de que un ciudadano pueda solicitar el borrado de su datos y el rastro de los mismos en Internet, de forma efectiva; clarificando definitivamente el régimen de responsabilidades de los buscadores de Internet en relación con la protección de los datos personales y pone término a la situación de desprotección de los afectados generada por la negativa de la compañía Google a someterse a la normativa española y europea reguladora de la materia.

Dos semanas después Google presenta una herramienta para que los motores de búsqueda eliminen resultados de consultas que incluyan su nombre si esos resultados se consideran “inadecuados, no pertinentes o ya no pertinentes, o excesivos desde el punto de vista de los fines para los que fueron tratados“.

Según informa la propia compañía “Google evaluará cada solicitud de forma individual e intentará buscar un equilibrio entre los derechos de privacidad de los usuarios y el derecho del público a conocer y distribuir información. Al evaluar tu solicitud, Google examinará si los resultados incluyen información obsoleta sobre ti, así como si existe interés público por esa información (por ejemplo, información sobre estafas financieras, negligencia profesional, condenas penales o comportamiento público de funcionarios del gobierno)”.

Para ello Google ha elaborado un formulario que el usuario debe cumplimentar sus datos y los enlaces que desea retirar. En caso de no ser el propio interesado deberá tener autoridad legal para actuar en su nombre. Según se recoge en el mismo, se necesitará una copia de un documento de identificación con foto válido para completar este formulario.

Para evaluar la idoneidad de la solictud, Google evaluará cada caso por lo que solicita que se:

a) Indique la URL de cada enlace que aparece en una búsqueda de Google de su nombre y que solicita que se retire. (La URL se puede encontrar en la barra del navegador después de hacer clic en el resultado de búsqueda en cuestión).

b) Explique, si no están claros, los motivos por los que la página enlazada se refiere a usted (o, si envía este formulario en nombre de otra persona, a la persona indicada anteriormente).

c) Explique por qué esta URL de los resultados de búsqueda resulta irrelevante, obsoleta o inadecuada de cualquier otro modo.

Entre las diferentes problemáticas que se suscitar, se encuentra la resolución de dicha solicitud conforme a los plazos legales establecidos en las diferentes legislaciones, más aun si se establece un periodo de evaluación según detalla Google, así como la carencia del deber de información en cuanto a la recogida de datos, se da la paradoja de que el usuario solicita que se eliminen sus datos, dándole nuevos datos a Google, que pasara a procesarlos e incluirlos en sus ficheros, en cierta medida, incrementando la información que la compañía tiene sobre el mismo.

Por último, pese a que el formulario se realiza en base a la legislación europea, si echamos de menos que está práctica sea extensible a otras nacionalidades y países, donde el ciudadano pueda solicitar la retirada de contenidos, en este sentido se debe recordar que el derecho a la protección de datos, se encuentra ligado al derecho a la privacidad, la intimidad y el honor, en definitiva a la propia imagen, debiendo ser considerado como tal, un derecho erga omnes, con independencia de el país de residencia de las personas, más aún teniendo en cuenta la velocidad a la que la información traspasa fronteras en Internet.

Enlace al formulario de Google.

Privacidad en Internet: Fallo del Tribunal de Justicia de la Unión Europea contra Google

publico_privado

Por Eduardo Peduto

Como Dirección de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires destacamos el fallo del Tribunal de Justicia de la Unión Europea en relación a una causa iniciada por la Agencia Española de Protección de Datos  contra Google Spain o Google Inc. Desde nuestro lugar, como organismo defensor del derecho a la protección de datos personales, nos encontramos constantemente atravesados por casos que involucran la vulneración de la privacidad en Internet.  Ante esto, la Dirección ha sostenido reiteradamente que no puede existir una diferenciación entre lo “virtual” y lo “real”. Así abogamos por una Internet constituida en favor de los derechos de las personas que no sea una intromisión en la vida  privada y, es justamente en esta línea que el fallo sienta un precendente.

La demanda se basó en el requerimiento por parte de un ciudadano español para ejercer su legítimo derecho al olvido en relación a cierta información personal disponible en Internet, a la que se accedía a través del buscador Google. En concreto, colocando el nombre del afectado, su nombre surgía vinculado al remate de un inmueble por un embargo en su contra por deudas que tenía con el Sistema de Seguridad Social.

Esta información que en su momento, enero de 1998, apareciera en el diario La Vanguardia de Barcelona como resultado de la publicación de un aviso del organismo previsional catalán, había dejado de tener vigencia por dos razones; el transcurso del tiempo y porque el interesado se había puesto al día con sus deudas previsionales obteniendo, en consecuencia, el levantamiento del embargo.

Sin embargo, y a través del buscador Google, la información original seguía apareciendo en Internet afectando de manera grave su reputación social. Por su parte, los responsables del buscador se negaban a bloquear la accesibilidad a esta información aduciendo que los motores de búsqueda son un recurso tecnológico que no tiene la capacidad de discriminar los datos personales del resto de la información que se muestran en páginas web de terceros. Luego de una extensa batalla jurídica, donde la Agencia de Española de Protección de Datos tuvo un papel fundamental, este martes 13 de mayo, el Tribunal de Justicia de la Unión Europea dictaminó claramente que “ el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona a vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto que este nombre o esta información no se borren previa o simultáneamente de estas páginas web y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”. En otras palabras, el buscador está obligado a retirar el contenido que afecta la privacidad del demandante. Cabe resaltar también que en el documento se argumenta que Google debe someterse a la normativa española sobre protección de datos, hecho que hasta el momento era negado por la empresa.

El fallo cobra importancia para nuestro país ya que el próximo 21 de mayo se realizará una audiencia pública sobre el tema en Corte Suprema de Justicia de la Nación. Esta vez, se trata del reclamo entablado por la modelo Belen Rodriguez, donde se cuestiona la responsabilidad de los buscadores de Internet que permitirían la vinculación o enlace con sitios web que afectan la dignidad, honor, intimidad o imagen de las personas. Hasta la fecha, en líneas generales, las distintas instancias de la justicia Argentina se expidieron a favor de los buscadores.

Finalmente, el principio en que se funda la sentencia del alto Tribunal Europeo viene a desatar el verdadero nudo gordiano al que, de manera permanente, nos vemos sometidos aquellos que tenemos la responsabilidad de velar por la protección de los datos personales cuando pretendemos que la ciudadanía pueda ejercer sus derechos frente a informaciones que los afectan en su intimidad y su privacidad y que aparecen mediante el uso de los buscadores en Internet. Estos, y las redes sociales, generan efectos concretos en la vida de las personas por lo que es extremadamente importante contar con mecanismos para proteger la privacidad.