24 junio 2014

El derecho al olvido, configuración y retos

morgueFile/Pippalou
morgueFile/Pippalou

El pasado 13 de mayo de 2014 conocíamos la Sentencia del TJUE del asunto Google / AEPD y M. Costeja, y no cabe duda de que la decisión del TJUE ajustó la definición de “derecho al olvido” como parte del derecho a la protección de datos de carácter personal, como derecho de oposición al tratamiento de datos, ejercitado frente a proveedores de servicios en Internet, reconociéndole además detalles esenciales para su efectividad.

Los afectados ya pueden solicitar “directamente al gestor de un motor de búsqueda que retire de sus índices y de su memoria intermedia información que contiene datos personales publicados por terceros”, y “el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona, vinculados a páginas web publicadas por terceros, y que contienen información relativa a esta persona”, pero también está obligado a examinar “caso por caso”, pues existen supuestos en los que dicho derecho de oposición no será ejercitable (por ejemplo, datos estadísticos, históricos o científicos, o datos de interés público o periodístico). La Sentencia explica que habrá que analizar “si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre”, y advierte expresamente “que la apreciación de la existencia de tal derecho” no presupone sin más que exista un perjuicio al interesado.

Aunque no tenemos aún definición “legal” de esta parte del derecho a la protección de datos, puede entenderse como el derecho de todo individuo a evitar que su información personal quede accesible indefinidamente, y para un público indeterminado, con un simple clic. Y si, una forma de hacerlo efectivo es eliminar la información del escaparate principal, es decir, de los resultados de los buscadores. Sin embargo, hay que tener claro que así no se elimina el contenido cuestionado, pues continuará colgado, digámoslo así, en la tienda.

Casi nadie discute ya la necesidad de que en un Estado de Derecho se nos reconozca la posibilidad o el derecho de cancelar, “limpiar, pulir o adecuar” nuestra reputación on-line, y que no tenemos por qué soportar una “condena de por vida” a que terceras personas interpreten lo que somos en base a resultados automáticos que arroja un motor de búsqueda, y la asociación de contenidos que hagan sus algoritmos.

El TJUE ha considerado que “el efecto de la injerencia en dichos derechos del interesado se multiplica debido al importante papel que desempeñan en Internet” estos sistemas de búsqueda, y en función de la “gravedad de la injerencia” viene a decir que habrá que encontrar un “justo equilibrio” entre los derechos fundamentales del afectado (según el carácter sensible de la información “para la vida privada de la persona afectada”), el “interés económico” de la empresa responsable, y el “interés legítimo de los internautas potencialmente interesados en tener acceso a la información en cuestión”.

Pero esta Sentencia trae igualmente grandes incógnitas e inseguridad jurídica.

Se cuestiona si una empresa privada como Google tiene capacidad para tomar este tipo de decisiones “legales”, por los derechos fundamentales que hay en juego; su capacidad para asumir correctamente una avalancha de peticiones sin lesionar injustamente el derecho al acceso a la información ¿Es su sistema suficiente para autenticar al solicitante? ¿No será contraproducente tener que dar al buscador más datos personales de los que se está intentando desindexar? ¿Podrá con ello provocar “muertes virtuales” arbitrarias o no solicitadas?

Por eso, surge la duda de si no habría otro sistema mejor para lograr idéntico resultado, otro que no obligase a los responsables de buscadores de contenidos a asumir la posición de “responsable del tratamiento” en el sentido de la Directiva 95/46/CE, es decir, “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales”, que tiene obligaciones legales como por ejemplo la que se señala en su art. 17.1: “Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ílícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ílícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse”. Y esto, teniendo en cuenta, que por ejemplo, Google no controla en exclusiva el orden de los resultados que arroja su buscador.

Es decir, cabe preguntarse si no hubiera sido mejor establecer cualquier precisión que garantizase que el sencillo sistema de ejercicio de derechos estuviese desde el principio supervisado por una autoridad de control, y que ésta coordinase la petición del ciudadano con algún mecanismo de comunicación con el prestador de servicios (similar al “apercibimiento”), bastando con ello que el TJUE hubiese señalado expresamente la obligación del buscador de colaborar acatándolo y desindexar los contenidos del caso concreto que estuviese en cuestión. Con ello se habría evitado esa “ficción jurídica” que el TJUE ha creado ex profeso, pues Google no es un “responsable de tratamiento” al uso.

Finalmente, otro detalle reseñable son las referencias al ámbito territorial del derecho de la Unión Europea y su aplicación a Google España, como sucursal o filial de Google Inc. “destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”.

Como conclusión, tan sólo añadir que, en mi opinión, la Sentencia insta con carácter de urgencia una respuesta de las Instituciones dedicadas a la supervisión de la protección de datos, así como de la Comisión y Parlamento europeos, para que delimiten el escenario en que los Estados miembros deben ordenar el ejercicio de un derecho al que ya se le reconoce jurídicamente nombre y apellidos, como una parte más del derecho a la protección de datos de carácter personal.

 Ofelia Tejerina Rodríguez

Doctora UCM. Abogada www.internautas.org. Vocal Junta @ENATIC. 

Comparte: