El derecho al olvido en Internet. Miguel Ángel DAVARA RODRÍGUEZ. Catedrático de Universidad. Socio de Davara&Davara, Asesores Jurídicos

Transcripción

1 1/7 El derecho al olvido en Internet Miguel Ángel DAVARA RODRÍGUEZ Catedrático de Universidad. Socio de Davara&Davara, Asesores Jurídicos Diario La Ley, Nº 8137, Sección Tribuna, 30 Jul. 2013, Año XXXIV, Editorial LA LEY LA LEY 4871/2013 I. INTRODUCCIÓN Debido al avance tecnológico y, en particular, a la utilización de Internet, la web 2.0. y la ya avanzada web 3.0., la geolocalización, el cloud computing, la web 3D, la red de objetos y la RFid., la Comisión Europea se ha preguntado si la legislación actual en materia de protección de datos es capaz de hacer frente plena y eficazmente a estos retos y, consecuentemente, se están planteando algunas cuestiones básicas que llevarán a la modificación de la normativa sobre protección de datos (1). A todo esto hay que añadir la utilización de la red Internet en dos aspectos básicos por su incidencia en la protección de datos: de una parte, las denominadas redes sociales que alcanzan a millones de usuarios en el mundo, siendo de múltiples y distantes países e incluso realidades tecnológica y jurídicamente hablando y de otra parte, el cloud computing que, desde sus tres aspectos básicos centrados en el software como servicio, la plataforma como servicio y la infraestructura como servicio, basa su desarrollo, imparable e irreversible, en programas y servicios y, consecuentemente, se tratan los datos de carácter personal de personas identificadas o identificables por su nombre y apellidos o no identificadas o identificables sino relacionadas y localizadas, de acuerdo con perfiles en red sin necesidad de conocer su identificación personal. En este sentido, señala la Comisión Europea en la referida Comunicación de 2010 que los riesgos para la protección de la intimidad y los datos personales están aumentando con las actividades en línea y, a partir de estas cuestiones, surge la necesidad (2) de implantar el denominado «derecho al olvido». II. EN QUÉ CONSISTE? Podemos definir el derecho al olvido como aquél derecho que tiene el titular de un dato a que éste sea borrado o bloqueado, cuando se produzcan determinadas circunstancias y, en particular, que no sea accesible a través de la red Internet. Es así que el interesado tendrá derecho a que el responsable del tratamiento suprima los datos

2 2/7 personales que le conciernen y se abstenga de darles más difusión, especialmente, señala en su art. 17 la propuesta de Reglamento europeo (3), en lo que respecta a los datos personales proporcionados por el interesado siendo niño (4), cuando concurra alguna de las circunstancias siguientes: a) Los datos ya no son necesarios en relación con los fines para los que fueron recogidos o tratados b) el interesado retira el consentimiento en que se basa el tratamiento o ha expirado el plazo de conservación autorizado y no existe otro fundamento jurídico para el tratamiento de los datos o c) el interesado se opone al tratamiento de sus datos personales ejerciendo su derecho de oposición. Continua señalando la propuesta de Reglamento europeo que cuando el responsable del tratamiento haya hecho públicos los datos personales, adoptará todas las medidas razonables, incluidas medidas técnicas, en lo que respecta a los datos de cuya publicación sea responsable, con miras a informar a los terceros que estén tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. La publicación de datos personales en una página web no presenta, en principio, ninguna complicación ya que, como expresamente señaló el Tribunal de Justicia de la Unión Europea en la sentencia del caso Lindqvist (5), la Directiva europea sobre protección de datos (6) es de total aplicación. Exactamente se indica, en el apartado primero del fallo, que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» en el sentido del art. 3, apartado 1, de la Directiva europea sobre protección de datos y, consecuentemente, esta norma europea es de total aplicación. III. EL DERECHO AL OLVIDO EN LA PROPUESTA DE REGLAMENTO EUROPEO SOBRE PROTECCIÓN DE DATOS El derecho al olvido, en la práctica, tiene determinadas características que lo hacen difícil de controlar: De una parte, la imposibilidad de borrar todo rastro y, en particular, que los datos no sean accesibles indirectamente por buscadores en red que se alejan del control del titular del dato y del responsable del fichero o tratamiento que lo acogía. De otra, también, puede chocar con el derecho a la libertad de expresión o información. Pero realmente el problema se plantea cuando un motor de búsqueda en Internet proporciona datos para redireccionar al usuario a una página web que contiene datos de carácter personal. Es aquí donde surge la imposibilidad de control real de que se cumple con el derecho al olvido. La propuesta de Reglamento europeo referida, aun recogiendo el derecho al olvido y dedicándole mención expresa e independiente en el articulado, no desarrolla suficientemente cómo debe ser considerado y tratado en la práctica.

3 3/7 Este derecho es particularmente pertinente si los interesados hubieran dado el consentimiento para el tratamiento de sus datos en las redes sociales siendo niños y más tarde quisieran que se supriman tales datos. A este respecto, el Considerando 54 de la referida propuesta de Reglamento europeo, aproxima una solución al señalar que, con el fin de reforzar el derecho al olvido en el entorno en línea, el responsable del tratamiento debe tomar todas las medidas razonables, incluidas las de carácter técnico, en relación con los datos cuya publicación sea de su competencia. Sin duda es en este aspecto en el que podemos encontrar un primer acercamiento a que se haga efectivo el derecho al olvido, ya que es el responsable del tratamiento el que puede adoptar medidas organizativas, incluso técnicas, para impedir que los datos puedan salir de su entorno de responsabilidad. Aun así, creemos que en la práctica resultará muy difícil controlar estos datos que, aunque no puedan ser descargados del sitio web, sí pueden ser «subidos» a otra página de Internet o a otro lugar de almacenamiento aunque solamente fuera para facilitar la velocidad de comunicación y acceso o la optimización de la información a recibir. De esta forma, los datos salen de lo que hemos denominado el ámbito de responsabilidad del responsable del tratamiento sin que éste, en muchos casos, ni siquiera sea consciente de ello. IV. EL CASO GOOGLE SPAIN, S.L., GOOGLE INC., CONTRA LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS En la petición de decisión prejudicial planteada por la Audiencia Nacional al Tribunal Superior de Justicia de la Unión Europea, en el caso Google Spain, S.L., Google Inc., contra la Agencia Española de Protección de Datos (7), se han hecho públicas recientemente las conclusiones del abogado general (8) que proporcionan un poco de luz a tan enrevesada cuestión. El tema se centra sobre la aplicación de la Directiva sobre protección de datos a un motor de búsqueda en Internet que Google gestiona como proveedor de servicios y, en este marco, se plantea el denominado «derecho al olvido» respecto a si los interesados pueden solicitar que los resultados que les afecten respecto a sus datos de carácter personal no estén disponibles a través de un motor de búsqueda. A este respecto, siguiendo al pie de la letra la presentación de estos conceptos en las referidas conclusiones del abogado general, por «motor de búsqueda en Internet» entenderemos la combinación de software y equipamiento que permite la búsqueda de texto y de contenido audiovisual en Internet y por «proveedor de servicios de motor de búsqueda en Internet» entenderemos el operador económico que da acceso a un motor de búsqueda. La cuestión nace cuando la Audiencia Nacional planteó una serie de consultas al Tribunal de Justicia de la Unión Europea de las que, por su relación directa con el denominado derecho al olvido, destacamos: En relación con la actividad del buscador de la empresa «Google» en Internet, como proveedor de

4 4/7 contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas Debe interpretarse una actividad como la descrita comprendida en el concepto de «tratamiento de datos» contenido en la Directiva europea sobre protección de datos? En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: Debe interpretarse el art. 2 d) de la Directiva (9), en el sentido de considerar que la empresa que gestiona el buscador «Google» es «responsable del tratamiento» de los datos personales contenidos en las páginas web que indexa? En el caso de que la respuesta anterior fuera afirmativa: Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos de rectificación, supresión, bloqueo y oposición al tratamiento, requerir directamente al buscador de la empresa «Google» para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información? V. RECOMENDACIONES DEL ABOGADO GENERAL Buscando respuestas a las preguntas planteadas hacemos nuestras las argumentaciones del abogado general en el procedimiento referido (10), al señalar que, en su forma básica, un motor de búsqueda en Internet, en principio, no crea nuevo contenido autónomo. En su forma más simple, únicamente indica dónde pueden encontrarse contenidos ya existentes, puestos a disposición en Internet por terceros, proporcionando un hipervínculo a la página web que contiene los términos buscados. Además, sigue argumentando el abogado general, el papel y la posición jurídica de los proveedores de servicios de motores de búsqueda en Internet no está regulado expresamente en la normativa de la Unión Europea. Como tales, los «servicios de instrumentos de localización de la información» se prestan «a distancia, por vía electrónica y a petición individual de un destinatario de servicios», y, por lo tanto, equivalen a un servicio de la sociedad de la información consistente en la provisión de herramientas que permiten buscar, acceder y obtener datos. No obstante, los proveedores de servicios de motores de búsqueda en Internet, como Google, que no prestan su servicio como contrapartida de una remuneración por parte de los usuarios de Internet, parecen, por su condición, estar excluidos del ámbito de aplicación de la Directiva 2000/31 (11), sobre el comercio electrónico. En sus conclusiones, el abogado general señala que una autoridad de control (en el caso que nos ocupa, la Agencia Española de Protección de Datos), no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, salvo en los supuestos en que el proveedor de servicios no ha respetado los códigos de exclusión (12) o en los que no se ha dado cumplimiento a una solicitud emanada de la página web relativa a la actualización de la memoria oculta.

5 5/7 En lo que atañe a la situación jurídica de Google como proveedor de servicios de motor de búsqueda en Internet, el abogado general recuerda que, cuando se adoptó la Directiva sobre protección de datos, en 1995, Internet y los motores de búsqueda eran fenómenos novedosos y el legislador comunitario no previó su evolución actual. Opina que no se ha de considerar que Google es, con carácter general, «responsable del tratamiento» de los datos contenidos en las páginas web que procesa, siendo así que el responsable del tratamiento, según la Directiva, es responsable del respeto de las normas de protección de datos. Efectivamente, la puesta a disposición de una herramienta de localización de información no implica control alguno sobre el contenido incluido en páginas web de terceros. A juicio del abogado general, el proveedor de servicios de motor de búsqueda en Internet no puede, ni jurídicamente ni de hecho, cumplir las obligaciones del responsable del tratamiento en relación con los datos personales contenidos en páginas web fuente alojadas en servidores de terceros. VI. A MODO DE CONCLUSIÓN Es llamativo, al tratar de redes sociales y accesos a Internet, el tema del derecho al olvido, centrado en el derecho de los interesados a que se cese en el tratamiento y se supriman, o cancelen, los datos cuando no sean necesarios para los fines legítimos para los que se hubieran obtenido o, sencillamente, cuando así sea la voluntad del titular de los datos y revoque el consentimiento para el tratamiento en los casos previstos en la normativa sobre protección de datos. El problema del derecho al olvido, y su difícil consideración y control por el titular de los datos, muestra su cara más huidiza en el caso de la red Internet. Los motores de búsqueda en la red, con accesos indirectos y distantes de su almacenamiento de origen, imposibilitan en gran medida este derecho al olvido. Debemos considerar que, cuando se utilizan servicios en línea, las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como las direcciones de los protocolos de Internet o los identificadores de sesión almacenados en cookies. Ello puede dejar huellas que, combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas e identificarlas. Y, nuevamente, será difícil el control de esta actividad y mucho más difícil lograr que se borre en todos los lugares donde han quedado almacenados los datos. Si pensamos que en la actualidad no existe ninguna normativa que recoja, con carácter general, el derecho al olvido, y, por tanto, no podemos hablar de que exista realmente, habría en ese caso que controlar el derecho al olvido en el origen no permitiendo que la página que puso la información original estuviera libre de responsabilidad alguna? Es posible que éste fuera un acercamiento a la solución pero, aun en este caso, habría que asociar estos conceptos con algo tan directamente relacionado como la Privacidad (o protección) desde el Diseño (PdD), o la Privacidad (o protección) por Defecto (PxD). Concluimos, con cierta tristeza, que en Internet es imposible que se pueda implantar con total

6 6/7 seguridad jurídica el derecho al olvido pero guardamos esperanzas de que se puedan adoptar medidas de carácter técnico y organizativo, tanto en el momento del diseño del tratamiento como del tratamiento propiamente dicho, con el fin de que se pueda impedir en un alto grado la difusión incontrolada de datos a través de la red. (1) Esto ha quedado plasmado en una Comunicación de la Comisión Europea de noviembre de 2010, en la que se indica que la rapidez de la evolución tecnológica y la globalización han modificado profundamente nuestro medio y ha lanzado nuevos retos en materia de protección de datos personales. Véase la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre un enfoque global de la protección de los datos personales en la Unión Europea, de 4 de noviembre de COM (2010) 609 final. (2) Y diríamos, haciendo un juego de palabras, que también la imposibilidad por las dificultades en su implantación y desarrollo. (3) Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11 final. (4) La propuesta de Reglamento europeo, en sus definiciones (art. 4.18), señala que niño «es toda persona menor de 18 años». (5) Sentencia de 6 de noviembre de 2003 (Petición de decisión prejudicial planteada por el Göta hovrätt): Bodil Lindqvist (C-101/01, Rec. p. I-12971). (6) Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31). (7) Asunto C-131/12 (8) Conclusiones del abogado general sr. Niilo Jääskinen presentadas el 25 de junio de Se pueden consultar en

7 7/7 text=&docid=138782&pageindex=0&doclang=es&mode=req&dir=&occ=first&part=1&cid= (9) Artículo que define al «responsable del tratamiento» como aquel que determina los fines y los medios del tratamiento de datos personales. (10) Antes de continuar con la argumentación, debemos indicar que las conclusiones del abogado general no vinculan al Tribunal de Justicia y que su función (la del abogado general) consiste solamente en proponer al Tribunal, con total independencia, una solución jurídica al asunto. (11) Directiva del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178, p. 1). (12) Aclara a este respecto el abogado general que el editor de páginas web fuente puede utilizar «códigos de exclusión», que recomiendan a los motores de búsqueda que no indexen o almacenen una página web fuente, o que no la muestren en los resultados de la búsqueda. Su uso indica que el editor no desea que determinada información de la página web fuente pueda ser recuperada para su difusión a través de motores de búsqueda.