Notas sobre el derecho de supresión de datos personales o “derecho al olvido” tras el Reglamento europeo de protección de datos.

0
65

Imprimir

1. En la actualidad, es de todos conocido el impacto que tienen las TICs en cualquier ámbito de la sociedad. La utilización de las nuevas tecnologías ha fomentado no solo la contratación de un modo global, sino nuevas formas de comunicación. Ello ofrece innumerables ventajas, pero también plantea el desarrollo de nuevos retos. Concretamente, en nuestro caso, si los ciudadanos tenemos derecho a que nuestros datos no permanezcan de manera perpetúa en la Red, puesto que la aparición de una determinada información en un buscador de Internet puede ocasionarnos graves daños, no sólo por perjudicar nuestra propia imagen u honor, sino que puede ser utilizados para dar lugar a despidos o frenar el acceso a un puesto de trabajo (Cobas Cobiella, M. E.: “El derecho al olvido: de la STJUE de 2014 al Reglamento de Protección de Datos”, “Actualidad Civil”, núm. 1, enero, 2017, p. 99).
 
Por ese motivo, el objeto de este breve excurso, es delimitar las posibilidades que tienen los ciudadanos de frenar la globalidad de Internet y la facilidad del acceso a la red (Rallo Lombarte, A.: “El derecho al olvido y su protección a partir de la protección de datos”, “Telos: Cuadernos de comunicación e innovación”, núm. 85, 2010, p.104), especialmente teniendo en cuenta que el Reglamento Europeo de protección de datos deberá estar implantado el 25 de mayo de 2018.


2. El derecho fundamental de la “protección de datos” es el derecho que nos permite acceder, rectificar y cancelar la información almacenada y disponer de los propios datos personales, es decir, es el derecho a controlar la veracidad o exactitud de dichos datos, así como de verificar su utilización para el fin autorizado (Pérez Luño, A.: Derechos Humanos, Estado de Derecho y Constitución, Tecnos, Madrid, 1984, pp. 316-375).
 
El punto de partida del reconocimiento a la protección de datos se encuentra en el apartado cuarto del artículo 18 CE que establece que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
 
Aunque desde la Sentencia del Tribunal Constitucional, núm. 292/2000, de 30 de noviembre de 2000, se reconoció el derecho a la protección de datos, como un derecho fundamental absolutamente independiente del derecho al honor, intimidad y propia imagen, inicialmente se discutía sobre si era un derecho autónomo o una rama del derecho a la intimidad.


3. El reconocimiento constitucional a la protección de datos fue desarrollado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).
 
En la actualidad, un estudio de la protección de datos no tendría sentido sin hacer referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).


4. La definición de dato personal se encuentra recogida en el artículo 3, letra a), LOPD que señala que se entiende por dato personal cualquier información concerniente a personas físicas identificadas o identificables.
 
En este mismo sentido se pronuncia la letra a) del artículo 2 de la Directiva 95/46/CE del Parlamento europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
 
Como se ha podido observar de la lectura de los preceptos analizados que establecen la definición de datos personales, en ninguno de ellos se incluyen específicamente categorías concretas de datos de carácter personal.
 
Para poder especificar el concepto se ha de acudir al contenido de la letra f) del artículo 5 del Reglamento de desarrollo de la Ley (Real Decreto 1720/2007, de 21 de diciembre) que entiende como dato personal “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
 
Por su parte, el artículo 4 RGPD señala que dato personal es toda información sobre una persona física identificada o identificable, tal y como se venía afirmado.
 
No obstante, respecto a las personas identificables, el Considerando 26 señala que “para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física”.
 
Además, precisa el legislador europeo que “para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos”.
 
Por tanto, el mencionado criterio de probabilidad razonable de que se utilicen medios para identificar a una persona servirá para concretar la aplicación o no de la normativa de protección de datos.
 
Así mismo, se debe hacer referencia que, a diferencia de la actual legislación, el citado precepto, como novedad introducida, señala, específicamente, como dato personal los siguientes identificadores: “un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
 
Dicha lista es ejemplificativa y puede ser ampliada con cualquier otra información sobre una persona física identificada o identificable, es decir, aquella persona cuya identidad pueda determinarse, directa o indirectamente.
 
Debe analizarse conjuntamente con el Considerando 30 RGPD que establece que las personas físicas pueden ser asociadas a determinados identificadores en línea facilitados por sus dispositivos o aplicaciones, como las direcciones IP o las «cookies» y que ello, combinado con otros datos recibidos por los servidores, puede suponer la elaboración de perfiles de las personas físicas e identificarlas.


5. Es importante subrayar, a los efectos de conocer quién debe articular el derecho de supresión de los datos, que el Reglamento ha dado un paso importante respecto a clarificar la cuestión relativa a la aplicación de la normativa europea de protección de datos a los encargados de los ficheros que estuvieran establecidos fuera de la UE, puesto que diferencia entre el ámbito de aplicación objetivo y territorial, con la finalidad de que las personas físicas no nos veamos privadas de nuestro derecho a la protección de datos.
 
Respecto a la primera cuestión, el artículo 2 RGPD establece, en su párrafo primero, que “se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.
 
Por un lado, al no hacer referencia el precepto expresamente a los datos de residentes en la Unión, se debe entender que se aplica a toda persona física, independientemente de su nacionalidad o residencia.
 
Por otro lado, en relación a qué tipo de tratamientos es aplicable el RGPD, el precepto citado menciona literalmente tanto los tratamientos automatizados, como los manuales, pero en este segundo supuesto la aplicación del Reglamento se limita a aquellos supuestos en que los datos se incorporaren o estén destinados a ser incluidos en un fichero.
 
En relación a la segunda cuestión relativa al ámbito de aplicación territorial, en primer lugar, el párrafo primero del artículo 3 establece, con carácter general, que el RGPD se aplicará al “tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.
 
A continuación, el párrafo segundo del artículo 3 RGPD señala que el mismo se aplica también al tratamiento de datos personales de interesados que residan en la Unión, realizado por un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
 
– la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a éstos se les requiere su pago. Al respecto, aclara el propio RGPD, en su Considerando 23, que la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, no bastan para determinar la intención de ofrecer bienes y servicios, sino que debe atenderse a otros factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros.
 
– O el co&ntrol de su comportamiento, en la medida en que éste tenga lugar en la Unión. Para determinar si una actividad de tratamiento controla el comportamiento de los interesados, el Considerando 24 RGPD establece que “debe evaluarse si las personas físicas son objeto de un seguimiento en Internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.
 
Como se observa el legislador europeo especifica y clarifica los criterios para determinar si se aplica la normativa europea de protección de datos a los residentes en la Unión, cuando el responsable o encargado no lo sea, lo cual favorece la aplicación de la normativa de protección de datos a los motores de búsqueda o las redes sociales, puesto que muchas de ellas están ubicadas en terceros países. (Gil Antón, A. M.: ¿Privacidad del menor en Internet?, Thomson Reuters Aranzadi, Cizur Menor, 2015, p. 121).


6. Como hemos mencionado anteriormente, el desarrollo de las técnicas informáticas ha supuesto la recogida masiva de datos personales. Por ello, es necesario conocer cuál es el régimen jurídico del derecho de cancelación una vez realizado el tratamiento de datos.


7. Aunque la importancia del derecho al olvido es su desenvolvimiento en el ámbito digital, se debe afirmar que es una categoría única, sino que se extiende a otros ámbitos como la prensa escrita (Cobas Cobiella, M. E.: “El derecho al olvido, cit., p.100).


8. La Sentencia del Tribunal de Justicia de 13 de mayo de 2014, asunto C-131/12, configuró inicialmente el derecho al olvido estableciendo la aplicación de la normativa de protección de datos a los motores de búsqueda. Además, señaló expresamente que la actividad de éstos consiste en hallar la información publicada o puesta en Internet por terceros, indexarla de forma automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según orden de preferencia determinado y que ello debe calificarse de tratamiento de datos personales, y concretó que los gestores del motor de búsqueda deben considerarse los responsable de ese tratamiento (Cobas Cobiella, M. E.: “El derecho al olvido”, cit., p. 108).
 
En consecuencia, se debe puntualizar que, como aclara la propia sentencia, el derecho al olvido no supone materialmente una supresión de los datos, puesto que el ejercicio del derecho realizado frente a los buscadores sólo afecta a los resultados obtenidos en las búsquedas hechas mediante el nombre de la persona y no implica que la página deba ser suprimida.


9. No obstante, legislativamente no es hasta la promulgación del RGPD donde se sienta las bases para la articulación del derecho al olvido.
 
Concretamente, el art. 17 RGPD señala, en el párrafo primero, que “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
 
a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
 
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
 
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
 
d) los datos personales hayan sido tratados ilícitamente;
 
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
 
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
 
El párrafo segundo del artículo señala que “cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos”.
 
No obstante, dicha obligación de supresión de los datos se exceptúa, según lo establecido en el apartado tercero del citado precepto, cuando el tratamiento sea necesario:
 
a) para ejercer el derecho a la libertad de expresión e información;
 
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
 
c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
 
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o
 
e) para la formulación, el ejercicio o la defensa de reclamaciones
 
10. Como se observa, quedan ciertos aspectos por resolver como los límites entre el derecho al olvido o a la supresión de los datos, frente a la libertad de expresión o el concepto y alcance del interés público, entre otros (Cobas Cobiella, M. E.: “El derecho al olvido. Algunas ideas preliminares”, en Nuevos retos jurídicos de la sociedad digital, Aranzadi, 2017, pp. 263-300).


11. Otra de las cuestiones que se deben plantear en relación al derecho al olvido, y con el objeto de delimitarlo o clarificarlo, es si se puede hacer una equiparación entre el denominado derecho al olvido y el derecho a la supresión reconocido en el RGPD.
 
Si entendemos que el derecho de supresión conlleva materialmente y realmente la eliminación de los datos, la utilización del término “supresión” resultaría cuando menos inadecuada en relación al derecho al olvido, puesto que no siempre conllevaría la supresión de la información, tal y como se ha explicado anteriormente.


12. También es cuestión tratada o debatida doctrinalmente si el RGPD configura o no un nuevo derecho específico o simplemente si el derecho al olvido es un derecho autónomo de los ya reconocidos derechos de cancelación y oposición.


13. En conclusión, el desarrollo jurisprudencial y legislativo del derecho al olvido, entendiéndolo tanto como un nuevo derecho, como una especificación del derecho de supresión, ha supuesto vislumbrar un mecanismo efectivo que facilita a los ciudadanos la defensa de sus datos personales en la actual sociedad digital, facilitando su desaparición del mundo interconectado.
 
Raquel Guillén Catalán 
Profesora Titular de Derecho Civil de la Universitat de València

Dejar respuesta

Please enter your comment!
Please enter your name here