El "derecho al olvido"

El día a día de cualquier persona, y más de las empresas, está lleno de gestión de datos. Desde la aparición de los primeros ordenadores, la evolución de la informática y las TICs hizo que irrumpiese en el mundo el ARPANET, posterior INTERNET, conectó el uso de la telefonía inicialmente, las telecomunicaciones después, con la informática. Este nuevo instrumento de comunicación revolucionó el tratamiento de los datos, al permitir una transmisión masiva y constante de los mismos, inicialmente de ordenador a ordenador, y después a conjuntos de ordenadores a través de la Red. El uso masivo de la Red, la Internet de la Cosas, el Cloud Computing y la Business Intelligence han multiplicado exponencialmente el impacto sobre el tratamiento de los de datos, al hacer infinito el volumen de los mismos que pueden estar circulando a través de estos sistemas. Desde el punto de vista jurídico, esta revolución en la gestión de los datos ha demandado un cambio en la protección de algunos derechos que se ven afectados, en especial el derecho a la protección de los datos.

En esta línea, una de las últimas reformas que ha llevado a cabo la Unión Europea (UE) ha sido la de la normativa de protección de datos. Cuatro intensos años de trabajo, consultas y discusiones entre los distintos Estados miembros, instituciones comunitarias y particulares, han dado como fruto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. El Reglamento es una norma compleja, que va a implicar cambios sustanciales en las normativas de los Estados miembros, y en la organización y gestión de las cuestiones de protección de datos de las empresas, incluso en el desarrollo de las actividades de algunas empresas en concreto, como los buscadores de Internet.

Los cambios han venido inspirados principalmente por la irrupción de Internet y los problemas que ha supuesto para la gestión de los datos personales. La Red de redes no tiene fronteras y resulta complicado aplicarle normas territoriales, pero por otra parte, no se puede dejar que la propia Red se autorregule, y que sea ella, o los que la gestionan, quienes decidan que se protege y que no. Ante esta situación, la UE se ha posicionado buscando mecanismos para proteger a sus particulares, y los datos que de los mismo puedan circular por Internet, tanto dentro como fuera de sus fronteras. Un ejemplo de esta toma de posición lo encontramos en el llamado “derecho al olvido” o derecho a la supresión de datos. El derecho al olvido ha resultado uno de los puntos más controvertidos de la reforma, y de los que más debates acaparó durante la negociación de la misma. En esencia, este derecho supone un actualización y adaptación a Internet del derecho a la cancelación de los datos, recogido ya en la Directiva 95/46/CE. En la aplicación de este derecho, se plantean dos problemas: en primer lugar, su propio contenido, puesto que el artículo 17 del Reglamento no define claramente el contenido de este derecho. Y en segundo lugar, la práctica que se le pueda dar.

En cuanto a su contenido, el derecho al olvido implica que, bajo determinadas circunstancias, los particulares pueden solicitar que se borren sus datos de la fuente en la que se contengan. La magnitud que ha adquirido este derecho ha venido dada porque se ha solicitado a los buscadores de internet que ejecuten este derecho, es decir, que procedan al borrado de datos, cuando así lo solicite un particular y resulte coherente proceder al borrado de acuerdo con la normativa (que se retire el consentimiento, que exista desconexión entre el consentimiento y el fin para el que fueron recabados, etc). Los buscadores de internet se han resistido a proceder al borrado, entre otras razones por la dificultad técnica que esto supone, en un sistema de tráfico de datos constante. Sin embargo, la posición de la UE, mantenida por el TJUE en el asunto Google Spain, ha sido la de aplicar este derecho para proteger los derechos de los particulares, frente a otros posibles intereses en juego.

Por lo que respecta a la aplicación del mismo, resulta curioso que desde el punto de vista jurídico y de acuerdo con las normas sobre competencia judicial internacional y sobre determinación de la ley aplicable del nuevo Reglamento, dentro de la Unión Europea se puede reclamar judicialmente el cumplimiento de este derecho, incluso frente a operadores de Internet situados fuera de las fronteras de la UE, como sería el caso de Google Internacional. No obstante, puede resultar complicado el caso de tener que solicitar la ejecución de una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) por la que se reconoce este derecho en un tercer Estado extracomunitario, en especial si la solicitud de reconocimiento y ejecución se dirige a los Estados Unidos, cuyo concepto de la protección de datos es distinto al reconocido en la UE. La complicación deriva, no sólo porque la UE está siendo pionera en el reconocimiento legal de este derecho, sino también porque afloran a través de él las diferencias en la protección del bien jurídico “privacidad”, que es en última instancia lo que trata de proteger el derecho al olvido. En el ejemplo citado, la sentencia del TJUE en el asunto Google Spain reconocía el derecho de los particulares a que Google internacional borrara de sus servidores los datos que los ciudadanos comunitarios les solicitaran. La sede de Google internacional se encuentra en California, por lo que era fácil pensar que los ciudadanos de la UE tendrían que tratar de ejecutar la sentencia europea en territorio americano. Sin embargo, la realidad ha hecho que la empresa americana se aviniera a cumplir con la sentencia, sin necesidad de instar un cumplimiento forzoso. Eso sí el cumplimiento de esta sentencia, y del ejercicio del derecho al olvido ha supuesto que la empresa se ha visto obligada a crear todo un mecanismo (y probablemente un departamento) que gestione las solicitudes de borrado de datos en el ejercicio del derecho al olvido.

Este ejemplo del derecho al olvido es solo uno de los supuestos en los que las empresas se van a ver obligadas a cambiar su gestión de los datos para poder cumplir con la nueva normativa de protección de datos. La forma de almacenar y supervisar si se cumple con las obligaciones de protección de datos, la manera de recabar el consentimiento, o las normas sobre portabilidad de datos son otras de las novedades que van a afectar a algunas de las prácticas de las empresas comunitarias.

Esther López Barrero Licenciada en Derecho y Doctora en Derecho Internacional por la Universidad Complutense de Madrid. Su especialidad es el derecho económico internacional y el derecho de la UE. Ha investigado sobre el funcionamiento de organizaciones como la OMC, sus políticas socioeconómicas: cooperación, igualdad, DDHH. Madrid, España.