EL DERECHO AL OLVIDO EN INTERNET

Grau en Dret Treball de fi de Grau (21067/22747) Curs acadèmic 2019-2020 EL DERECHO AL OLVIDO EN INTERNET Maria Mayorga Baeza 194836 Tutor del treball: Migle Laukyte “Someone once said: God forgives and forgets, but the Web never does” - VIVIANE REDING, vicepresidenta de la Comisión Europea Resumen Este trabajo surge de la curiosidad entorno el concepto de Internet y cómo este afecta a la privacidad de las personas. En primer lugar, se hace una introducción a la normativa reguladora en materia de protección de datos tanto a nivel europeo como a nivel nacional en España, y se introducen los denominados derechos ARCO. A continuación, se examina el contenido y alcance del derecho al olvido, analizando sentencias sobre las cuales este derecho ha sido el objeto de las mismas y, por tanto, también se habla y se comenta el asunto C-131/12 – también conocido como el caso Google Spain – pues es dónde de manera clara queda constancia de la existencia del denominado derecho. Se profundiza también el concepto de responsable del tratamiento, entrando a cuestionar si realmente los motores de búsqueda quedan determinados como tal, y centrándose en Google como buscador más conocido y con el uso más generalizado, se analiza qué margen de actuación tiene a la hora de ejercitar el derecho al olvido. Finalmente, también se menciona las autoridades de control que se ocupan de velar por los derechos digitales de los ciudadanos tanto a nivel estatal (Agencia Española de Protección de Datos) como a nivel autonómico (Autoritat Catalana de Protecció de Dades) en relación con el derecho al olvido. I. INTRODUCCIÓN ........................................................................................................... 8 II. EL DERECHO A LA PROTECCIÓN DE DATOS ..................................................... 8 LEGISLACIÓN APLICABLE ................................................................................... 9 1. a. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).................................................. 9 b. La Constitución Española de 1978 .......................................................................... 10 c. Ley Orgánica de Protección de Datos .................................................................. 11 LOS DERECHOS ARCO Y EL DERECHO DE SUPRESIÓN ............................. 11 2. a. Los derechos ARCO y sus limitaciones................................................................... 12 b. El derecho de supresión en el Reglamento General de Protección de Datos........... 14 III. EL DERECHO AL OLVIDO ....................................................................................... 16 1. EL RECONOCIMIENTO DEL DERECHO AL OLVIDO: LA STJUE DE 13 DE MAYO 2014 ........................................................................................................................ 16 2. DERECHO AL OLVIDO Y OTROS DERECHOS: LA LIBERTAD DE INFORMACIÓN................................................................................................................ 18 IV. ¿SON LOS MOTORES DE BÚSQUEDA RESPONSABLES DEL TRATAMIENTO? ................................................................................................................. 20 CONCEPTO DE MOTOR DE BÚSQUEDA EN INTERNET .............................. 20 1. V. a. Google y la STJUE de 13 mayo de 2014 ................................................................. 21 b. ¿Cómo se ejercita el derecho al olvido en Google? ................................................. 22 LAS AUTORIDADES DE CONTROL: LA AEPD Y LA AUTORITAT CATALANA DE PROTECCIÓ DE DADES .............................................................................................. 25 1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS............................... 25 2. L’AUTORITAT CATALANA DE PROTECCIÓ DE DADES .............................. 28 VI. ¿ES EFECTIVO EL DERECHO AL OLVIDO?: CONCLUSIONES ..................... 29 VII. BIBLIOGRAFÍA........................................................................................................ 32 Definiciones • Dato personal: un dato personal es cualquier dato que permita identificar un sujeto ya sea de modo directo o indirecto, siendo por tanto toda información relativa a una persona física siempre que ésta pueda ser identificada. Por ejemplo, hablaremos de dato personal cuando nos refiramos a un nombre, un D.N.I, datos de localización, o cualquier elemento propio de la identidad física, fisiológica, genética, psíquica, económica, etc.1 • Fichero: un fichero es un conjunto estructurado de datos personales que es accesible con arreglo a determinados criterios. Por ejemplo, los números de teléfono que tenemos organizados en una agenda son un fichero. • Tratamiento: el tratamiento hace referencia a cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no. Se trata de un concepto ambiguo, puesto que abarca casi cualquier operación que se realice con un fichero. Entonces, estaremos ante una situación de tratamiento, por ejemplo, cuando haya una recogida, registro, organización, estructuración, conservación, modificación, difusión, supresión, etc. de datos personales. • Responsable del tratamiento: es aquella persona física o jurídica, autoridad pública, servicio, u otro organismo que, ya sea de manera individual o conjunta, determine los fines y medios que seguirá el tratamiento de los datos personales. Es decir, será responsable del tratamiento, por ejemplo, aquella empresa que decida obtener información personal de terceros para llevar a cabo una actividad concreta sobre la que ella también decide (por ejemplo, un estudio de mercado). 1 Vid. Art.4 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). • Encargado del tratamiento: es aquella persona física o jurídica, autoridad pública, servicio u otro organismo que trae los datos personales por cuenta del responsable del tratamiento. Cabe destacar, que los encargados del tratamiento deben tratar tales datos personales de manera exclusiva conforme a la finalidad por la que fueron obtenidos, además de que es requisito esencial la existencia de un contrato de prestación de servicios por escrito que vincule las partes y delimite el ámbito de actuación. Por tanto, será encargado del tratamiento, por ejemplo, un proveedor de alojamiento si estamos en un contexto de interactuar mediante página web. I. INTRODUCCIÓN Las nuevas tecnologías de la información y de la comunicación sin lugar a duda han cambiado el paradigma de la sociedad y su funcionamiento en un lapso de tiempo relativamente corto. Destacamos en concreto Internet, una herramienta de información y de comunicación que brilla principalmente en cuanto a su capacidad para almacenar y difundir información, comunicar a millones de usuarios por todo el mundo y, por tanto, hacer posible que la información contenida en la red sea accesible de manera indefinida. A su vez, olvidar es un concepto que puede entenderse como “dejar de retener en la mente algo o a alguien”2, y es un significado que, si bien suele asociarse a ideas o cosas materiales, ahora también cobra sentido en un entorno tecnológico como en el que nos encontramos. Ya de por sí, en una dimensión offline, la gente siempre ha intentado ocultar ciertas partes de uno mismo que no quiere que sea conocida por los demás; y por ello, no parece irrazonable pensar que, en un entorno digital donde todo perdura y nada se “pierde”, se quiera por parte de la sociedad ejercitar aquellos derechos cuyo objetivo sea la protección de cualquier ámbito de la privacidad de uno mismo. Estamos, actualmente, en la denominada Sociedad Digital, y ello se materializa en que podemos acceder a cualquier tipo de información a la velocidad de un solo click. II. EL DERECHO A LA PROTECCIÓN DE DATOS La inmediatez de las telecomunicaciones es sin duda alguna uno de los efectos más positivos de la globalización. Pero ello, a veces, nos hace ignorar que, sin embargo, es también esta constante evolución de las nuevas tecnologías la que, permitiendo que se puedan ejercer tratamientos sobre cualquier tipo de información a gran escala, se vulneren derechos y libertades consagradas en nuestro ordenamiento jurídico que ostentamos como personas. La protección de la privacidad y de los datos personales extrapolada a un entorno online y tan amplio como es la red de Internet ha conllevado que, la sociedad, con el tiempo, haya ido aumentando su preocupación entorno a quién y cómo se tratan sus datos personales; y que en consecuencia, se haya planteado la necesidad de regular el que ahora se conoce como “derecho 2 Según la definición de la RAE, acepción número 1. Extraído de: https://dle.rae.es/olvidar. 8 al olvido”, fruto de la multiplicidad de reclamaciones por parte de aquellos quienes instaban la eliminación de cierto contenido disponible en Internet. 1. LEGISLACIÓN APLICABLE Aunque el desarrollo de las nuevas tecnologías puede ser calificado sin problema alguno de acelerado, como resultado de ello, desde el sector del derecho – cuya función es la regulación normativa de la sociedad y el orden social –, ha habido la obligación de seguir sus pasos para poder adaptarse a dichos cambios constantes; y como resultado, existe la normativa sobre la protección de los datos personales. a. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) A nivel de derecho europeo, ya el Convenio 108 del Consejo de Europa de 28 de enero de 1981 para la para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal3, no sólo tenía como objetivo ampliar la protección otorgada a los derechos y libertades fundamentales garantizándole a cualquier persona física el respeto a las mismas, sino que también estableció las definiciones y los principios básicos para la protección de los datos que hoy en día se siguen utilizando. Actualmente, siguiendo con el objetivo de seguir protegiendo los derechos de los ciudadanos, dicha finalidad se materializó en la entrada en vigor el 25 de mayo de 2018 del Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/CE (Reglamento General de Protección de Datos); en adelante también denominado como RGPD. 3 Hecho en Estrasburgo el 28 de enero de 1981, ratificado por España el 27 de enero de 1984, y entrando en vigor de forma general el 1 de octubre de 1985. 9 Este Reglamento General de Protección de Datos – el cual no sólo pretende contribuir a la construcción de un sistema de “libertad, seguridad, justicia, y de una unión económica”4 sino que también es un mecanismo de armonización y actualización de la normativa relativa a la protección de datos – ha conllevado asimismo una unificación de derechos y obligaciones, puesto que previamente los Estados Miembros ofrecían soluciones que diferían entre ellas. b. La Constitución Española de 1978 El derecho a la protección de datos personales es un derecho que actualmente casi todos los ordenamientos jurídicos otorgan a los ciudadanos, y en nuestro sistema jurídico en concreto, obtiene la calificación como fundamental al encontrarse su regulación en el art. 18.4 de la Constitución Española, relativo a la intimidad y la inviolabilidad del domicilio: “4.La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos5.” Este precepto normativo, el cual podemos ver que claramente actualiza la normativa constitucional a nuevas realidades, sin embargo, no desprende por parte del legislador un mandato absoluto, sino que cabría calificar el contenido de este artículo como amplio y con posibilidad de interpretación: en él simplemente se busca limitar el uso de la informática para poder preservar la intimidad y el honor de los ciudadanos. No obstante, el Tribunal Constitucional ha ampliado el significado y contenido de dicho precepto legal en sentencias como las siguientes. En primer lugar, en la STC 290/2000, de 30 de noviembre, se establece que dicho artículo garantiza a los ciudadanos un control y disposición sobre sus datos personales6, atribuyendo facultades que son elementos esenciales del derecho fundamental a la protección de los datos personales; mientras que en la STC 292/2000 también del 30 de noviembre, se determina por un lado que la garantía a la protección de datos impone a los poderes públicos la prohibición de que se conviertan en fuentes de esa información sin las debidas garantías, y por otro lado, se establece lo más importante: que el poder de disposición sobre los propios datos personales que posee una persona de nada vale si 4 Considerando núm. 2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). 5 Constitución Española de 1978. 6 Sentencia del Tribunal Constitucional. Recurso de inconstitucionalidad 201-1993, 219-1993, 236-1993, FJ. Núm. 7. 10 el afectado “desconoce qué datos son los que se poseen por terceros, quiénes los poseen, y con qué fin.”7 Por tanto, de la jurisprudencia del Tribunal Constitucional deducimos que, se garantiza un ámbito de protección específico del derecho a la protección de datos de carácter personal ante cualquier tipo de daño que las nuevas tecnologías pueden conllevar a los titulares de los datos. c. Ley Orgánica de Protección de Datos Fruto del Convenio 108 del Consejo de Europa de 1981 y del mandato del art. 18.4 CE, tuvo lugar la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD8). Sin embargo, la posterior Directiva 95/46/CE9 amplió la protección del derecho a la protección de los datos, y por tanto, al transponerse dicha Directiva en nuestro derecho interno, la nueva Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal (LOPD) que tuvo lugar derogó la anterior ley vigente, la LORTAD. Finalmente, dicha LOPD fue también derogada con efectos de 7 de diciembre de 2018, debido a que el mismo día anterior, el 6 de diciembre de 2018, entró en vigor la nueva denominada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante también LOPDGDD). De esta nueva LOPDGDD, cabe destacar, entre otros, su objetivo de completar y desarrollar aspectos regulados ya en el Reglamento como, por ejemplo, el desarrollo normativo del procedimiento sancionador y sus respectivas cuantías, el establecimiento de la relación de entidades que requieren de la figura de un Delegado de Protección de Datos, la figura del Delegado de Protección de Datos… 2. LOS DERECHOS ARCO Y EL DERECHO DE SUPRESIÓN Cualquier persona, como titular del dato personal sobre el cual se vaya a emplear cualquier tipo de tratamiento, goza de ciertos derechos que la propia normativa que regula los datos personales le ofrece. No cabe olvidar, no obstante, que el ejercicio de dichos derechos es de carácter 7 Sentencia del Tribunal Constitucional. Recurso de inconstitucionalidad núm.1463-2000. FJ. Núm. 6 Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Ley que configuró la Agencia de Protección de Datos (actual AEPD) en su título VI como ente independiente que debe garantizar el cumplimiento de las previsiones y mandatos en ella establecidos. 9 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 8 11 personalísimo – ergo solo podrán ser ejercitados por el mismo titular o bien por un representante legal o acreditado debidamente –; y ello implica, que el responsable del fichero podrá denegar la solicitud para el ejercicio de dicho derecho cuando aquél que la hubiera formulado fuese alguien distinto a quien resulta efectivamente ser el afectado y no acreditase debidamente la representación. Los derechos en cuestión que puede ejercitar el interesado y titular de los datos personales, se encuentran regulados el capítulo III (artículos 12 y ss.) y capítulo II (art. 15 y ss.) del RGPD y LOPDGDD respectivamente.10 a. Los derechos ARCO y sus limitaciones En el caso concreto del Reglamento General de Protección de Datos, aún cuando tales derechos se encuentran dentro del capítulo III del Reglamento, los derechos que efectivamente puede ejercer cualquier interesado titular de un dato personal son aquellos que se conocen como ARCO. Y, aunque sus siglas responden a los derechos de Acceso, Rectificación, Cancelación y Oposición, también hoy en día entran dentro de esta calificación los derechos de Limitación y Portabilidad. § El derecho de acceso según el Reglamento implica que el interesado tiene derecho a que se le confirme por parte del responsable del tratamiento si sus datos personales están siendo tratados o no, y en caso afirmativo, a que se le indique la finalidad, los destinatarios y el origen, entre otros, a parte de la obtención de una copia de dichos datos personales. El plazo de ejercicio de este derecho de acceso no requerirá de justificación salvo si se ejercitara en el último año, y deberá haber resolución de la solicitud del interesado en el plazo máximo de un mes haciéndose efectivo el acceso en los 10 días siguientes de dicha resolución. Por ejemplo, una persona podría ejercer su derecho de acceso contra un hospital, solicitando su historia clínica, el lugar y año en que fue intervenido, el informe médico, la fecha de la última consulta...11 10 En concreto, en el RGDP los derechos ARCO están regulados en los arts. 15 y 16, mientras que en la LOPDGDD están se encuentran en los arts. 16 y 17 de dicha ley. 11 Agencia Española de Protección de Datos. Resolución R/01531/2018. 12 § El derecho de rectificación implica que el interesado tiene derecho a obtener sin dilación indebida, la rectificación o corrección de aquellos datos incorrectos, incompletos o inexactos que le conciernan al responsable del tratamiento mediante declaración adicional. El ejercicio de tal derecho, según la LOPDGDD será efectivo en el plazo de diez días. Por ejemplo, una emisora de una radio local emite una información sobre una empresa farmacéutica, en la que se evidencia que sus prácticas no son legales. La empresa farmacéutica puede hacer uso de su derecho de rectificación y solicitar a la emisora que rectifique dicha información. § El derecho a cancelación solo está contemplado en la LOPDGDD en el artículo 16 juntamente con el derecho a rectificación, e implica también la cancelación de aquellos datos que no fueran ajustados a la misma LOPDGDD o que resultaren inexactos aparte del bloqueo de tales datos.12 Por ejemplo, un ciudadano podría solicitar el derecho a cancelación ante la Jefatura Central de Tráfico porque al perder la totalidad de los puntos del permiso implica la pérdida de la autorización para conducir, y, por tanto, poder cancelar el tratamiento de sus datos.13 § El derecho a oposición es el derecho a que el afectado pueda oponerse en cualquier momento a que se lleve a cabo el tratamiento de sus datos personales en determinadas situaciones concretas o que se cese dicho tratamiento por motivos relacionados con su situación particular, entre otras razones. Por ejemplo, si una persona recibe continuadamente llamadas telefónicas procedentes de una empresa de telefonía ofreciéndosele sus servicios, ejerciendo su derecho de oposición para la referida línea telefónica, se puede solicitar el cese de las llamadas y la eliminación de sus datos de los ficheros de la compañía.14 12 Sin embargo, los datos serán conservados únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. (art. 16.3 LOPDGDD). 13 Agencia Española de Protección de Datos. Resolución R/00706/2010 de la AEPD. 14 Agencia Española de Protección de Datos. Resolución R/01828/2018 de la AEPD. 13 § El derecho a limitación del tratamiento significa limitar el tratamiento que se hace sobre los datos cuando se cumpla alguna de las condiciones determinadas por el Reglamento. Por ejemplo, alguien tiene hipotecada su casa en una entidad financiera en concreto, pero por cuestiones de los intereses que se solicitan prefiere cambiar a otra entidad. Aunque por ley, la anterior entidad financiera debe mantener sus datos durante veinte años15, se puede solicitar una limitación del tratamiento de esos datos16. § El derecho a la portabilidad de los datos implica tener el derecho a recibir los datos personales que al afectado le incumban en un formato estructurado, y que los datos personales se sean transmitidos directamente de responsable a responsable cuando sea técnicamente posible. Por ejemplo, trasladar todos tus datos que habían sido gestionados por Google a Naver. b. El derecho de supresión en el Reglamento General de Protección de Datos Actualmente hay un poco de confusión acerca del contenido del derecho de supresión y el derecho al olvido, puesto que pueden hacerle pensar a uno que ambos derechos persiguen el mismo objetivo. Sin embargo, su aplicación práctica difiere, y hay que matizar el concepto del derecho de supresión en su vertiente más estricta, a lo que es el conocido derecho al olvido. El derecho de supresión dentro del Reglamento General de Protección de Datos se encuentra regulado en su artículo 17, bajo el título “Derecho de supresión («el derecho al olvido»)”. Según su apartado primero, se permite a aquel que ostente la condición de interesado17, poder obtener sin dilaciones indebidas por parte del responsable del tratamiento la supresión de aquellos datos personales que le conciernan; puesto que el mismo responsable del tratamiento queda obligado a dicho acto de supresión cuando concurran alguna de las siguientes circunstancias: 15 Real Decreto de 24 de julio de 1889 por el que se publica el Código Civil: La acción hipotecaria prescribe a los veinte años. 16 Comisión Europea. ¿Cuándo debería ejercer mi derecho a limitar el tratamiento de mis datos personales? Extraído de https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/whenshould-i-exercise-my-right-restriction-processing-my-personal-data_es#ejemplo 17 Se entiende como “interesado” toda persona física o identificable cuya información se trate. 14 a. Que los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. b. Que el interesado, titular de los datos, retire el consentimiento en que se basa el tratamiento y no haya otra justificación que lo legitime. c. Que el interesado se oponga al tratamiento amparándose en las razones que se establecen en el artículo 21 (que el tratamiento estuviera fundamentado en el interés legítimo, cumplimiento de una misión de interés público18, o que los datos fuese objeto de mercadotecnia directa, incluyendo la elaboración de perfiles19). d. Que los datos personales hayan sido tratados ilícitamente. e. Que los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento. f. Que los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8 (que determina las condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información). Por tanto, y en consonancia con lo establecido en el considerando núm. 65 del mismo Reglamento, los interesados tienen derecho a que sus datos personales sean suprimidos y dejen de ser objeto de tratamiento si no hay necesidad alguna en relación con la finalidad por la que fueron recogidos (entre otras condiciones mencionadas); y son aquellos responsables del tratamiento los que deberán de facilitar a los interesados la existencia de este mismo derechos 18 Artículo 21.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 19 Artículo 21.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). 15 a los que puede iniciar su solicitud de ejecución además de informarle de los plazos y cualquier otro tipo de información relevante. Sin embargo, es considerable remarcar que, dicho derecho a la supresión no tiene total abarcamiento, sino que el mismo artículo 17 tiene estipuladas determinadas excepciones a la ejecución de dicho derecho siempre y cuando sea necesario para el responsable el mantenimiento y tratamiento de los datos para las siguientes finalidades (art. 17.3): a. El ejercicio de derecho a la libertad de expresión e información. b. El cumplimiento de una obligación legal que requiera el tratamiento de dichos datos, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable. c. Cuando haya razones de interés público en el ámbito de la salud pública. d. Cuando se den fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el ejercicio de dicho derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento. e. La formulación, el ejercicio o la defensa de reclamaciones. III. EL DERECHO AL OLVIDO 1. EL RECONOCIMIENTO DEL DERECHO AL OLVIDO: LA STJUE DE 13 DE MAYO 2014 El derecho al olvido no es que sea un derecho autónomo o diferenciado de los derechos ARCO20, sino que, es una vertiente del derecho de supresión digital, y concretamente, tiene su aplicación en los buscadores de internet. Por tanto, es un derecho que permite a los individuos poder solicitar, bajo determinadas condiciones, que los enlaces a tus datos personales no figuren en los resultados que te ofrecen los motores de búsqueda cuando escribes allí tu nombre. No sólo se encuentra este derecho al olvido dentro de Reglamento de Protección de Datos, sino que, a nivel interno, lo tenemos regulado íntegramente en el artículo 93 de la LOPDGDD: 20 Guía del Reglamento General de Protección de Datos para responsables de tratamiento, pág.10 16 “1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet. Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo. 2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.” De este artículo podemos deducir, que las personas tienen derecho a que los motores de búsqueda en Internet deban eliminar de las listas de resultados, aquellos que, obtenidos a través de cierta búsqueda a partir de un nombre, fuesen inadecuados, inexactos, desactualizados, o no tuvieran uso al haber transcurrido cierto tiempo desde su entrada a dicho motor de búsqueda. Por otro lado, aunque actualmente en España tengamos dedicados en la LOPDGDD dos artículos sobre este derecho (pues el artículo 94 de dicha ley regula el derecho al olvido, pero en servicios de redes sociales y servicios equivalentes), cabe tener en cuenta que es la jurisprudencia la que tiene un peso importante a la hora de concretar el origen de este derecho, pues a partir del momento en que éste fue debidamente reconocido por primera vez ( STJUE de 13 de mayo de 2014, asunto C-131/12, caso “Google Spain”), tuvo lugar un punto de inflexión. En el caso Google Spain, el Sr. Mario Costeja González solicitaba que el buscador en sus resultados retirara unos anuncios de subasta que habían sido publicados años atrás con el fin de poder extinguir una deuda, puesto que ello había ocurrido años atrás y la relación jurídica ya había sido extinguido y las deudas liquidadas. Era objeto de análisis el contenido de los artículos 2, 12 y 14 de la Directiva 95/46/CE en consonancia con el contenido del artículo 8 de la Carta 17 de los Derechos Fundamentales de la Unión Europea; y al abordar el reconocimiento del derecho de supresión en relación con la información que se obtiene a través de los motores de búsqueda en internet, se establecía lo siguiente: “En relación con el derecho de supresión, cuya aplicación está sometida al requisito de que el tratamiento de datos personales sea incompatible con la Directiva, es necesario recordar que, tal incompatibilidad puede resultar no sólo de que los datos sean inexactos, sino en particular, de que sean inadecuados, no pertinentes y excesivos en relación con los fines del tratamiento, de que no estén actualizados o de que se conserven durante un período superior al necesario (…).”21 Y en consonancia con lo determinado, cabe tener en cuenta lo señalado en el apartado 72 de la sentencia: “(…), incumbe al responsable del tratamiento garantizar que los datos personales sean «tratados de manera leal y lícita», que sean «recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines» (….) En este marco, el mencionado responsable debe adoptar todas las medidas razonables para que los datos que no responden a los requisitos de esta disposición sean suprimidos o rectificados.” Pero no sólo a nivel europeo ha habido reconocimiento alguno del derecho al olvido, sino que a nivel interno también ha sido reconocido. Destaca la sentencia del Tribunal Supremo de 11 de Enero de 2019, en la que se establece que el derecho al olvido otorga la facultad de poder solicitar ante cualquier motor de búsqueda y de la Agencia Española de Protección de Datos la cancelación, supresión o prohibición de indexación de aquellos datos de la lista de resultados proporcionada por el buscador obtenidos a partir de su nombre y que sean inexactos, pues cabe impedir injerencias ilegítimas en el derecho a la vida privada y familiar y en el derecho a la protección de datos personales.22 2. DERECHO AL OLVIDO Y OTROS DERECHOS: LA LIBERTAD DE INFORMACIÓN El derecho al olvido, sin embargo, no es un derecho de carácter absoluto con aplicación automática, sino que este puede entrar en colisión o incluso ceder ante otros bienes o intereses que constitucionalmente también son relevantes.23 21 Sentencia del Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Párrafo 92. Sentencia del Tribunal Supremo. Recurso Jurídico núm. 5579/2017. FJ. Núm.10. 23 L. Rebollo Delgado, P. Zapatero Martín, 2019. Derechos Digitales, 1ª Edición. Pág.105. 22 18 Concretamente, puede el derecho al olvido verse en la mayoría de las situaciones amparado, entre otros, por el derecho a la intimidad del individuo y por la protección de datos de carácter personal, pero, por otro lado, también es posible que entre en colisión con el derecho a la libertad de información. Por tanto, es necesario delimitar el contenido y objeto de estos derechos, y hay que ver qué valor hay que darle al tratamiento de los datos personales que, en algunos casos, podrá llegar a ser lícito en cuanto se satisface un interés legítimo por parte del responsable de dicho tratamiento (en este caso, el motor de búsqueda). En relación con la colisión del derecho al olvido con el derecho a la libertad de información consagrado en la Constitución Española (art. 20.1.d), ya la STJUE de 13 de mayo de 2014 deja claro que no es que un derecho prevalga sobre el otro, sino que cabe llevar a cabo una ponderación caso por caso donde se llegue al consenso y se pueda determinar qué derecho tiene mas peso sobre el otro para poder hacer frente los intereses de los afectados 24. En relación con tal afirmación, cabe destacar, por ejemplo, la sentencia STS 2675/2017. En dicha sentencia, un individuo que había sido absuelto por dos delitos de asesinato (uno de robo y otro de lesiones, ambos ocurridos en 1997) formuló demanda contra el periódico valenciano “Levante EMV” alegando una intromisión ilegítima por parte del diario al utilizar fotografías suyas tomadas sin consentimiento durante el juicio y que éstas iban acompañadas de titulares que cuestionaban su presunción de inocencia. En dicha sentencia, se determina que aún cuando los hechos delictivos habían pasado hace años, por su trascendencia en la sociedad y su impacto social, no convertirían el tratamiento de dichos datos (la noticia estaba en la hemeroteca digital del diario) en desproporcionados que pudieran justificar vulneración alguna. Además, destaca el tribunal que el derecho al olvido “no ampara la alteración del contenido de la información original lícitamente publicada”25 y “tampoco ampara la supresión de la posibilidad de búsqueda específica de la noticia en su integridad del propio buscador interno de la hemeroteca digital”. Pero lo contrario se deduce de la STS 4132/2015. En este caso, “Ediciones El País SL” en su momento publicó una noticia en la que informaba que los demandantes habían sido detenidos por tráfico de drogas. Sin embargo, años después, habiéndose rehabilitado de dicha adicción, al introducir el nombre y apellidos de cualquiera de ellos, el enlace a esa noticia era el primer resultado que tanto Google como Yahoo! te ofrecían. En este caso, dicha sentencia determina que a los demandantes no se les podía denegar el ejercicio del derecho al olvido, en cuanto la 24 25 Sentencia de Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Párrafos 74, 86, y 99. Sentencia del Tribunal Supremo. Número de recurso 3440/2015. FJ. Núm. 5. 19 actuación de El País SL no se encontraba amparada por la libertad de información: si bien dicha información era veraz y adecuada en dicho momento – ergo cumplía con su función en la sociedad de informar –, el problema estaba en que el paso del tiempo habría conllevado que el tratamiento de dichos datos se convertiría en inadecuado 26. En mi opinión, nos encontramos ante dos derechos cuyo ejercicio es fundamental y que por tanto no puede haber lugar a debilitación automática de uno frente al otro: la libertad información es muy importante y, su ejercicio de manera genérica no debe conllevar censura alguna o supresión de contenido por el simple ímpetu personal de quien cree que el contenido de una página web puede afectarle. Sin embargo, la ponderación que tiene que hacerse no es menos importante en un caso que en otro. Las circunstancias propias de un caso lo pueden hacer cambiar lo más mínimo (y como podemos ver, por factores externos como en este caso el tiempo) y, por tanto, hacer que nos encontremos en un caso en el que el ejercicio del derecho al olvido es legítimo en cuanto a la afectación y el perjuicio a la persona por el tratamiento de la información publicada. IV. ¿SON LOS MOTORES TRATAMIENTO? DE BÚSQUEDA RESPONSABLES DEL Siguiendo el apartado de definiciones visto previamente, como quien ostente la categoría de responsable es el que decide cómo y por qué ciertos datos van a ser susceptibles de tratamiento, es razonable que se le imponga responsabilidad ante tales actuaciones. A partir de aquí, analizaremos si a efectos de la normativa, los motores de búsqueda son calificados como tal, y en caso afirmativo, cómo actúan. 1. CONCEPTO DE MOTOR DE BÚSQUEDA EN INTERNET Los motores de búsqueda o search engines – también popularmente llamados buscadores – son un mecanismo que nos permite a nosotros como usuarios la obtención de manera inmediata de toda la información que se encuentra en Internet. Organizan y permiten distribuir la información que se recopila en los servidores web, indexando los archivos que se encuentran 26 Sentencia del Tribunal Supremo. Número de recurso 2772/2013. FJ. Núm. 6. 20 almacenados en Internet mediante arañas27 o crawlers para después elaborar páginas de resultados en las que los usuarios finalmente acceden a las páginas web. Es decir, a partir de aquellas palabras clave (o nombres) que los usuarios introducen en el buscador, los motores de búsqueda elaboran un listado de resultados (los cuales son las páginas web) que contienen información relacionada o que al menos contienen dicha palabra. Pueden ser de muchos tipos según el método de indexación de la información (hay buscadores jerárquicos, directorios, metabuscadores, etc.), y aunque el ejemplo por excelencia cuando se habla de buscadores es Google (motor de búsqueda cuyo uso es el más generalizado y sobre el que nos centramos en este trabajo) hoy en día existen muchísimos más motores de búsqueda en Internet: Yahoo!, Bing, Ask, Duck Duck Go, Boing, MSN Search… a. Google y la STJUE de 13 mayo de 2014 Habiendo establecido que se le permite a quien que ostente la condición de interesado el poder obtener sin dilaciones indebidas y por parte del responsable del tratamiento la supresión de aquellos datos personales que le conciernan, de ello se desprende que, a la hora de querer ejercitar el derecho al olvido en los motores de búsqueda, cabe entonces determinar si realmente los buscadores actúan como responsables de dicho tratamiento. En el asunto C-131/1228, se defendía por parte de Google Spain que, el buscador no podía ser considerado como responsable del tratamiento de datos porque, para ello, debería entonces tener capacidad de control sobre el proceso. Sin embargo, cabe tener en cuenta lo que se determina por parte del tribunal en los párrafos 27 y ss. a efectos del contenido de la Directiva 95/46/CE, pues era la Directiva objeto de la cuestión prejudicial: (1) Dado el hecho que entre los datos que se encuentran almacenados por los motores de búsqueda figuran datos personales que se acomodan a los requisitos de la normativa de la Directiva (art.2, letra a), y que las actuaciones que ejerce el motor de búsqueda entre otras son las de “recoger”, “registrar”, “organizar”, “comunicar”, “facilitar el acceso”, también contenidas en la Directiva (art. 2 letra b), cabe determinar que las operaciones del motor de búsqueda deben ser efectivamente calificadas como tratamiento de datos29. 27 Las arañas web (también denominadas crawlers) son los rastreadores web, cuya función es la de indexar y detectar nuevas páginas y enlaces que quedan registrados en el buscador Extraído de: https://rockcontent.com/es/blog/motores-de-busqueda/. 28 29 Sentencia de Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Sentencia de Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Párrafo 27-28. 21 (2) Como la directiva define el concepto de responsable del tratamiento como “persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales” (art. 2 letra d), cabe deducir por tanto que el motor de búsqueda, al ser el mismo quien determina los fines y los medios de esta actividad, por consiguiente, deberá ser considerado como responsable.30 (3) Un tratamiento de datos personales como el que efectúa el buscador puede afectar significativamente a los derechos fundamentales de respeto de la vida privada y de protección de datos personales cuando, al insertar en el buscador el nombre de una persona física, se obtiene una lista de resultados sobre toda la información relativa a esta persona en Internet31. Por tanto, queda determinado que perfectamente el motor de búsqueda queda calificado como responsable a efectos de la normativa y que, deberá hacer frente a las solicitudes de aquellos afectados por su tratamiento. b. ¿Cómo se ejercita el derecho al olvido en Google? Cuando se solicita el derecho al olvido, la respuesta por parte de Google es el bloqueo de las URL32 de todos los resultados de búsqueda europeos y se restringe el acceso a dicha dirección desde el país donde el afectado ha solicitado la retirada. Para que ello sea así, primero el interesado (o su representante) debe completar su formulario web en el que se tienen que rellenar determinados campos de información: país de origen, nombre y apellidos, actuación en propio nombre o de un tercero (y en cuyo caso, cuál es la relación con dicha persona), la URL que se quiera retirar y el motivo de ello, el nombre utilizado para realizar búsquedas33, aceptar las declaraciones juradas, y la firma. A continuación, tiene lugar una evaluación sobre 30 Sentencia de Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Párrafos 32 y 33. Sentencia de Tribunal de Justicia de la Unión Europea. Asunto C-131/12. Párrafo 80. 32 El concepto de URL hace referencia a Unfirom Resource Locator, que es la dirección específica que se asigna a cada uno de los recursos que se encuentran disponibles en la red: páginas, documentos, archivos, etc. 33 El nombre que, si se utiliza como consulta de búsqueda, consiguientemente produzca los resultados que se buscan eliminar del registro. 31 22 el contenido de la solicitud; aunque en concreto, Google trabaja en función de las directrices establecidas por el Grupo de Trabajo del Artículo 29 (GT29)34 y sigue los siguientes pasos: 1. ¿La solicitud contiene todos los datos necesarios para que podamos tomar una decisión? 2. ¿La persona que presenta la solicitud está relacionada de algún modo con un país europeo? Por ejemplo, ¿tiene la residencia o la nacionalidad? 3. ¿Las páginas aparecen en los resultados al buscar el nombre del solicitante y dicho nombre aparece en las páginas que se solicita que se retiren? 4. ¿La página cuya retirada se solicita incluye datos inadecuados, irrelevantes, que ya no son relevantes o exageraciones, según la información que el solicitante proporciona? ¿Existe un interés público en que la información permanezca disponible en los resultados generados por una búsqueda del nombre del solicitante? Cabe recordar que Google puede aceptar la solicitud o no, aunque en caso negativo, el mismo buscador ya te avisa que entonces puedes ponerte en contacto con la autoridad de protección de datos local. Sin embargo, y desde la publicación de la STJUE, desde Google a través de su informe de transparencia, se han ido aportando estadísticas de las retiradas de resultados de búsqueda en aplicación de la normativa europea sobre privacidad. Según los datos aportados por parte el motor de búsqueda, a nivel global se han solicitado la retirada de 3.670.524 URLs habiendo 934.422 solicitudes; mientras que, en España, hay 294.478 URLs cuya retirada se ha solicitado, y 88.193 solicitudes de retirada: Ilustración 1. Solicitudes de retirada de URLs a nivel global Ilustración 2. Solicitudes de retirada de URLs en España 34 El grupo de trabajo del art. 29 es un órgano europeo independiente que hasta 2018, entrada en aplicación del RGPD, se ha ocupado de cuestiones relacionadas con la privacidad y datos personales. 23 Y, a efectos prácticos, desde el 29 de mayo de 2014 – fecha en que desde Google se puso a disposición el proceso de solicitudes oficial – se han retirado oficialmente a nivel global unas 1.474.587 URLs (46.4%)35, quedando mantenidas unas 1.703.537URLs (53,6%). En España, por otro lado, han sido retiradas 97.562 (el 38,1%), quedando mantenidas 158.487 direcciones (el 61,9%): Ilustración 3. Porcentaje de URLs retiradas a nivel global Ilustración 4. Porcentaje de URLs retiradas en España Por otro lado, Google en 2016 recibió la solicitud de retirada de páginas cuyo contenido por las que se solicitó su retirada era el siguiente: - Información insuficiente (555. 706 URLs, el 23,7%) - Información profesional (413.898 URLs, el 17.6%) - Nombre no encontrado (391.984 URLs, el 16,7%) - Varios (279.694 URLs, el 11,9%) - Autoría propia (160.048 URLs, el 6,8%) - Actividad ilegal (154.177 URLs, el 6,6%) - Conducta profesional indebida (147.401 URLs, el 6,3%) - Información profesional (139.307, el 5,9%) - Otros (el 4,4%) 35 Estos porcentajes no tienen en cuenta las solicitudes que todavía están pendientes de revisión o que requieren más información por parte de Google para que puedan ser retiradas. Extraído de: https://transparencyreport.google.com/eu-privacy/overview 24 Sin embargo, cabe tener en cuenta, que las solicitudes son analizadas individualmente caso a caso por parte de Google, y pues según ellos mismos dicen, “se trata de un proceso complicado en el que ponderan los derechos de la persona a controlar sus datos personales con el derecho del público a conocer y distribuir información”. De las estadísticas podemos concluir, que a hoy en día todavía quedan muchas direcciones en pie, porque al final es el motor de búsqueda el que tiene el margen de decisión. V. LAS AUTORIDADES DE CONTROL: LA AEPD Y LA AUTORITAT CATALANA DE PROTECCIÓ DE DADES 1. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS En el mismo RGPD, en su artículo 51 se determina que cada Estado miembro deberá otorgar la responsabilidad a una o varias autoridades públicas (a las que denomina “autoridades de control”), cuya función es el control del cumplimiento y la supervisión de la aplicación correcta del mismo Reglamento. Por ello, y fruto del mandato establecido Reglamento, el título VII de la LOPD en sus arts. 44 y ss. regula las autoridades de protección de datos. La Agencia Española de Protección de datos (en adelante, AEPD) es una autoridad administrativa independiente de ámbito estatal creada en 1992 que goza de propia personalidad jurídica y capacidad para actuar36 en el ejercicio de sus funciones inherentes, entre las cuales está la supervisión del cumplimiento del RGPD y las del art. 57 y ss. de dicho de Reglamento37. Las funciones que desempeña la Agencia en nuestro derecho interno en la actualidad, las encontramos en el art.47 de la nueva ley38, y en este precepto, se desprende que corresponde a la AEPD la supervisión de la aplicación de Reglamento (UE) 2016/679. Actualmente, la AEPD actúa sobre las siguientes áreas: Internet y redes sociales, reclamaciones de telecomunicaciones, publicidad no deseada, educación y menores, videovigilancia, innovación y tecnología, 36 Según los arts.1.2 y 2.1 Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos. 37 Las funciones establecidas en el RGPD van de la letra a la letra v, pero destacan entre ellas el asesoramiento al Parlamento y otras instituciones sobre medidas legislativas y administrativas relativas a la protección de datos y la elaboración de códigos de conducta a seguir. 38 En su origen se encontraban reguladas en el capítulo II de Estatuto de esta AEPD (Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el estatuto de la agencia de protección de datos) y por ello hacen referencia a la antigua LO 5/1992 derogada. 25 violencia de género y protección de datos; y el derecho al olvido se encuentra en su área “Internet y redes sociales. Como se ha dicho anteriormente, cabe tener en cuenta que para que la AEPD pueda interponer la reclamación ante el responsable del tratamiento, debe previamente el interesado haberse dirigido contra la entidad que tratase los datos en cuestión (en este caso en concreto, el buscador) pues es él el responsable de dicho tratamiento. Este responsable está obligado a informarte sobre los medios para poder ejercitar dicho derecho, los cuales deben ser accesibles y no pueden ser dificultosos en la medida que te denieguen el ejercicio de este. Sin embargo, si dicho responsable no da curso a la solicitud39, entonces, deberá informar de las razones por las que no actúa finalmente, y la posibilidad de reclamar ante la Autoridad de Control (la AEPD). A continuación, si la Agencia estimase la pretensión40, sería entonces quien ejercería la actuación de dicho derecho. La misma AEPD en su página web te facilita un formulario a rellenar para poder ejercer dicho derecho, en el que hay aportar los datos del responsable del tratamiento y los del afectado o representante legal del mismo. También cabe aportar fotocopia del DNI o equivalente para identificar al particular, y para que la AEPD pueda tramitar la reclamación efectivamente, cabe que se adjunte alguno de los siguientes documentos: - La negativa del responsable del tratamiento a la supresión de los datos solicitados. - Copia sellada por el responsable del tratamiento del modelo de petición de supresión. - Copia del modelo de solicitud de supresión sellada por la oficina de correos o copia del resguardo del envío por correo certificado. - Cualesquiera otros medios de prueba facilitados por el responsable del tratamiento y de los que se pueda deducir la recepción de la solicitud. Además, cada año hace pública una memoria (art. 8 Estatuto AEPD) donde plasma la actividad de la Agencia. En 2018, por parte de la AEPD, tuvieron lugar un total 146 resoluciones relativas al ejercicio del derecho al olvido tuteladas por parte de la Agencia (43 de ellas fueron contabilizadas con resultado estimatorio, 31 con estimación total o parcial, y 72 con resultado 39 La respuesta a dicha solicitud debe responderse en el plazo de un mes según el Cdo. 59 del RGDP. Cabe tener en cuenta que la AEPD puede desestimar la solicitud, y esta desestimación es recurrible ante los Tribunales. 40 26 desestimatorio 41); mientras que en 2019 se registraron un 11% menor que el año anterior. Ello es debido a que, con la entrada en vigor de la Ley Orgánica 3/2018, se ha establecido un nuevo procedimiento referido al ejercicio de los derechos establecidos en RGPD, el cual por voluntad de resolver con mayor rapidez las reclamaciones de los interesados, se da traslado de la petición al responsable o encargado del tratamiento previo a la reclamación ante la AEPD42; y el encargado o responsable podrá por su lado actuar adoptando por ejemplo las medidas correctivas pertinentes y por tanto, archivando la causa. Según la AEPD, la inclusión de esta nueva fase de traslado ha conllevado que casi el 80% de las resoluciones finalicen en ella, dando solución a los reclamantes y, por tanto, solucionando las controversias con mucha mayor rapidez. Destaca en 2019 la resolución R/00112/2019, en la que el interesado A.A.A., reclamaba contra Google LLC (Google Spain, SL) no haber sido debidamente atendido su solicitud. En ella, se establece que previamente ya se le había solicitado a Google que los datos el interesado no fuesen indexados al realizar una búsqueda por su nombre en dos enlaces de periódicos, pero no sólo hubo una negativa por parte de Google en su momento, sino que 5 meses tras la resolución de la Agencia (quien estimó la reclamación e instó al motor de búsqueda), el buscador indexó un nuevo enlace – que anteriormente no existía – cuyo contenido era el mismo que uno de los periódicos y que por tanto, era materia de controversia. A ello, la AEPD determina que como el tratamiento de datos de carácter personal que realiza el gestor de un motor de búsqueda permite que de un “nombre” se obtenga una lista de resultados que ofrezcan información sobre una persona que pueda afectar a su ámbito privado, cabe examinar la solicitud por el afectado y si cabe, “efectuar la supresión de los enlaces concretos de la lista de resultados, sin que previa o simultáneamente se tenga que acudir al responsable del sitio web”. Este caso es un reflejo de los porcentajes anteriormente vistos facilitados en el informe de transparencia de Google: como hemos podido ver, todavía hay un número elevado de direcciones que, aun habiéndose solicitado su retirada, siguen en pie. En este caso en concreto no sólo Google se negó a ello cuando en su momento fue requerido, sino que posteriormente 41 Agencia Española de Protección de Datos. Memoria anual de 2018. Extraído de: https://www.aepd.es/es/laagencia/transparencia/informacion-economica-presupuestaria-y-estadistica/memorias. 42 Vid. art. 37 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. 27 indexó nuevas direcciones con el mismo contenido. Y ello, hace poder ver como todavía queda camino para poder elevar esos porcentajes. 2. L’AUTORITAT CATALANA DE PROTECCIÓ DE DADES A nivel autonómico, en Catalunya, tenemos la Autoritat Catalana de Protecció de Dades (APDCAT), la cual surge también del mandato del RGPD (art.51.1). En la LO 3/2018, su régimen jurídico se encuentra dentro del capítulo II, relativos las autoridades autonómicas de protección de datos, y en concreto, en el artículo 57. Según la ley, las autoridades autonómicas de protección de datos pueden ejercer las funciones y potestades que se les atribuye en el RGPD43 de acuerdo con la normativa autonómica si dichas funciones se refieren: a. A tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta. b. A tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local. c. A tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.44 Su ley interna que la regula es la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, donde se establece que se trata de una institución de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones45. Para el ejercicio del derecho al olvido en concreto, la Autoritat Catalana de Protecció de Dades también facilita un formulario modelo donde también cabe rellenar los siguientes campos de información: nombre del solicitante, datos del responsable del tratamiento, y firma del solicitante. 43 Las mismas funciones y potestades que se derivan de los arts. 57 y 58 del RGPD. Dicho ámbito de actuación también se recoge en el art. 3 de su ley que la regula. 45 Vid. art. 2 de la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos. 44 28 También, siguiendo el art. 13 de la ley que la regula, debe efectuar una memoria anual, siendo la de 2018 la última que es accesible. En ella, se determina que se recibieron 65 reclamaciones, y concretamente, 29 de ellas fueron relativas al derecho al olvido: 12 de ellas se referían antecedentes policiales y supresión de datos en expedientes penitenciarios. Sin embargo, destaca la Resolución PT 26/2019, en el que la interesada A.A.A. formulaba su reclamación por la presunta desatención del derecho al olvido ejercitado contra el Ayuntamiento de Riudarenes. Se solicitaba la supresión de “sus datos personales expuestas desde 2015” (datos personales que la identificaban como miembro de la mesa electoral a efectos de las elecciones municipales de 2014) porque al buscarse el nombre del Ayuntamiento juntamente con el nombre y apellidos de la interesada, el primer resultado de Google era un archivo con el acta de una sesión del Pleno del Ayuntamiento, y en ese mismo archivo descargable, figuraban no sólo su nombre y apellidos, sino que también su DNI, código postal, dirección, y estudios académicos. No obstante, aunque el Ayuntamiento hubiese dado respuesta a la interesada en su momento y alegara la debida supresión de los datos personales, todavía constaban su DNI y dirección; pero, además, según se determina por parte l’Autoritat Catalana, mantener la publicación de los datos personales que permiten identificar a las personas que estuvieron en las mesas electorales de 2014 no tenia sentido en cuanto ya había culminado su fin, que era la celebración de las elecciones municipales. VI. ¿ES EFECTIVO EL DERECHO AL OLVIDO?: CONCLUSIONES A lo largo del trabajo se ha podido ver la evolución de la protección de los datos y los derechos digitales, pudiendo concluir el hecho que la ley finalmente ha regulado – y, por tanto, ha otorgado –, protección a los particulares para así poder controlar sus datos personales. Quizás años atrás las personas no eran plenamente conscientes del poder o de la importancia de sus datos personales, pero las cifras actualmente presentadas (en este caso, las solicitudes a Google) demuestran que existe una preocupación que va en aumento por parte de los ciudadanos para intentar reclamar la retirada de direcciones cuya búsqueda te lleva a contenidos inexactos, o perjudiciales. 29 Sin embargo, aunque se le reconozca derecho a los ciudadanos a poder exigir a los motores de búsqueda la eliminación de enlaces cuyo contenido ya no sea pertinente – entre otras causas – y que, existan autoridades de control que buscan garantizar la protección de los individuos y el efectivo tratamiento de los datos a efectos de la normativa vigente; no deja de resultar irónico el nombramiento de “derecho al olvido” a la simple desvinculación de un nombre a cierto contenido que, en la práctica, sigue estando ahí. Ya a partir de la STJUE de 13 de mayo de 2014 se determinó que, dicho derecho no implica que la página deba ser suprimida de los índices del buscador ni de la propia fuente original, sino que, la información continua intacta en la web original y seguirá siendo accesible a través del buscador por cualquier otra palabra o término que no sea el nombre del afectado46. Por tanto, podría decirse que, por parte del buscador, lo que se hace– coloquialmente hablando –, es correr un tupido velo: no se encuentra la web en cuestión si se escribe un nombre en concreto, pero la información sigue vigente y es accesible para aquellos que sean más persistentes en su búsqueda y pacientemente introduzcan nuevas credenciales o palabras clave al buscador. En mi opinión, aún cuando la existencia de este propio derecho ya demuestra un gran avance y adaptación del ordenamiento jurídico a la realidad tecnológica, creo que la única solución viable es la eliminación definitiva del contenido en la red. Nos encontramos ante un derecho digital que no es aplicable de manera automática, ergo que requiere de una ponderación, y que, en su requerimiento inicial al propio buscador, es este quien analiza caso por caso si retirar la dirección o no. Debido a que los números presentados por Google en su informe de transparencia ya dan a entender que su margen de actuación y decisión es importante (pues la mitad de las direcciones siguen activas), creo que en aquellos casos donde realmente se pueda demostrar que el derecho al olvido tiene una dimensión de peso importante (y mayor que, por ejemplo, la libertad de información) entonces sí es legítimo y justificable ya no retirar la dirección, sino eliminar directamente el contenido y la página web. Sin embargo, como la eliminación propiamente dicha de la página web no es el resultado de este derecho, podríamos decir, por tanto, que no estaríamos ante un derecho que te permite poder ser olvidado absolutamente, sino que podría entenderse como “no facilitar” a cualquier 46 Criterios de comunes a la hora de interpretar la STJUE por parte del Grupo de Trabajo del art. 29. Extraído de: https://www.aepd.es/sites/default/files/2019-09/criterios-gt29-wp225.pdf. 30 internauta el acceso a cierto tipo de contenido cuando se teclea un nombre en concreto en la barra del buscador. Aunque en este trabajo se ha cogido en concreto a Google como buscador por cuestiones de popularidad (y por tanto, por el hecho que es el motor de búsqueda con más contenido indexado en su totalidad) si al final los resultados los extrapolamos al resto de buscadores que actualmente existen en Internet, podemos llegar a la conclusión que seguramente habrá también muchas otras solicitudes que quedan o bien archivadas, o bien que no llegan a finalmente conseguir el objetivo que perseguían; y ello implica, que el contenido que se buscaba “suprimir” es todavía mucho más fácil de acceder con el nombre controvertido en cuestión. Por tanto, aunque claramente es indudable el avance que implica la existencia de este derecho digital, al final, aún cuando se les permite a los ciudadanos poder solicitar la no indexación de la información por parte del buscador, no creo que debamos entenderlo como una solución suficiente. No olvidemos que, estamos en una dimensión donde el tiempo no corre, la memoria no se agota, y por ende, todo contenido publicado persiste y es recuperable. 31 VII. BIBLIOGRAFÍA Legislación Constitución española (BOE núm.311, de 29 de diciembre de 1978). Convenio 108 del Consejo de Europa, de 28-1-1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos. Bibliografía ARTICLE 29 DATA PROTECTION WORKING PARTY. (2014). Guidelines on the Implementation of the Court of Justice of the European Union Judgment on “Google Spain and Inc V. Agencia Española De Protección De Datos (Aepd) and Mario Costeja González” C131/12. November, 1-20. http://ec.europa.eu/justice/data-protection/index_en.htm. ARTICLE29 Newsroom - News overview - European Commission. (s. f.). Recuperado de https://ec.europa.eu/newsroom/article29/news-overview.cfm. BRUNO, L. (2019). Data protection rules as a trust-enabler in the EU and beyond – taking stock EN. Journal of Chemical Information and Modeling, 53(9), 1689-1699. https://doi.org/10.1017/CBO9781107415324.004 CAMPO PUERTA, P. DEL, & GONZÁLEZ SÁNCHEZ, R. (2015). Donde habite el olvido. Métodos de información, 6(10), 087-108. https://doi.org/10.5557/iimei6-n10-087108 ‘Caso google’: ¿una mejor privacidad? la sentencia del “derecho al olvido” abre muchas dudas sobre su aplicación- privacidad y acceso. (s. f.). Recuperado de 32 http://privacidadyacceso.com/noticias/‘caso-google’-¿una-mejor-privacidad-la-sentencia-del“derecho-al-olvido”-abre-muchas-dudas CASTRO, R. P. (2015). BOLETÍN DEL MINISTERIO DE JUSTICIA ESTUDIO DOCTRINAL El mal llamado «derecho al olvido» en la era de Internet. www.mjusticia.es/bmj CORRAL TALCIANI, H. (2017). The right to oblivion in Internet: background and bases for its legal configuration. Revista Jurídica Digital UANDES, 1(1), 1-20. https://doi.org/10.24822/rjduandes.0101.3 Directrices para la aplicación del nuevo Reglamento Europeo de Protección de datos | Iberley. (s. f.). Recuperado de https://www.iberley.es/noticias/directrices-aplicacion-nuevo- reglamento-europeo-proteccion-datos-27762 GUASCH PORTAS, V., & SOLER FUENSANTA, J. (2015). El derecho al olvido en internet. RDUNED. Revista de derecho UNED, 0(16), 989-1005. JAVIER, L., & MIERES, M. (s. f.). El derecho al olvido digital. L. REBOLLO DELGADO, P. ZAPATERO MARTÍN, 2019. Derechos Digitales, 1ª Edición. Olvidar | Definición | Diccionario de la lengua española | RAE - ASALE. (s. f.). Recuperado de https://dle.rae.es/olvidar PLATERO ALCÓN, A. (2016). El derecho al olvido en internet. El fenómeno de los motores de búsqueda. Opinión Jurídica, 15(29), 243-260. https://doi.org/10.22395/ojum.v15n29a12 Preguntas frecuentes sobre las solicitudes de privacidad en Europa relativas a la retirada de resultados de la Búsqueda - Ayuda de Transparency Report. (s. f.). Recuperado de https://support.google.com/transparencyreport/answer/7347822/?hl=es Preguntas frecuentes – Privacidad y Condiciones – Google. (s. f.). Recuperado de 2020, de https://policies.google.com/faq?hl=es PROTECCIÓN, G., & DEL, D. E. D. (2017). Grupo «protección de datos» del artículo 29. 26. 33 ¿Qué es un responsable o encargado del tratamiento? | Comisión Europea. (s. f.). Recuperado de https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and- organisations/obligations/controller-processor/what-data-controller-or-data-processor_es ¿Qué son los motores de búsqueda y cómo funcionan? (s. f.). Recuperado de https://rockcontent.com/es/blog/motores-de-busqueda/ ¿Qué es y para qué sirve un motor de búsqueda? - Postedin. (s. f.). Recuperado de https://www.postedin.com/blog/que-es-para-que-sirve-motor-busqueda/ ¿Qué son los Motores de Búsqueda y para que sirven? - Neo Wiki | NeoAttack. (s. f.). Recuperado de https://neoattack.com/neowiki/motores-de-busqueda/ RALLO LOMBARTE, A. (2017). De la ‘libertad informática’ a la constitucionalización de nuevos derechos digitales (1978-2018) //From «computing freedom» towards the constitutionalization of new digital rights (1978-2018). Revista de Derecho Político, 1(100), 639. https://doi.org/10.5944/rdp.100.2017.20713 RALUCA STROIE, I. (2016). ¿Es o no es Google Spain responsable del tratamiento de datos personales? Revista CESCO de Derecho de Consumo, 17, 246-251. Reconocimiento, E. L., Derecho, D., Olvido Digital, A. L., España, E. N., En, Y., & Ue, L. A. (s. f.). Pere Simón Castellano Efectos tras la sentencia del TJUE de mayo de 2014. Retiradas de resultados de búsqueda en aplicación de la normativa europea sobre privacidad – Informe de transparencia de Google. (s. f.). Recuperado de https://transparencyreport.google.com/eu-privacy/overview Retirada en virtud de la ley de privacidad de la UE. (s. f.). Recuperado de https://www.google.com/webmasters/tools/legal-removalrequest?complaint_type=rtbf&visit_id=637269535345939177-1984531316&rd=1 TERWANGNE, C. (2012). Privacidad en Internet y el derecho a ser olvidado/derecho al olvido = Internet privacy and the right to be forgotten/right to oblivion. IDP: revista de Internet, derecho y política = revista d’Internet, dret i política, 13, 53-56. 34 TRENADO, L. C. (2019). Derecho Al Olvido Digital (Ii). En Derecho de la comunicación. Selección de casos prácticos.Obra adaptada al Grado en Derecho. https://doi.org/10.2307/j.ctvr7f630.21 VILASAU SOLANA, M. (2014). El caso Google Spain: la afirmación del buscador como responsable del tratamiento y el reconocimiento del derecho al olvido (análisis de la STJUE de 13 de mayo de 2014). IDP. Revista de Internet, Derecho y Política, 18, 16-32. 35