Los profesionales de la privacidad vamos de sobresalto en sobresalto en los últimos meses y parece que esto, lejos de cesar, va a convertirse en una constante si, como anunciaron reiteradamente en la Jornada celebrada el pasado 5 de noviembre por la Agencia Española de Protección de Datos, el próximo mes de diciembre se aprueba el tan esperado Reglamento General de Protección de Datos. Habrá que recibirlo como un reto y como una gran oportunidad de crecimiento a nivel comunitario en el respeto a nuestro querido derecho a la privacidad, protección de datos o autodeterminación informativa como prefiramos denominarlo. En este sentido lo manifestaba también Natalia Basterrechea, Directora de Políticas Públicas para España y Portugal en Facebook en la conferencia que impartía para Alumni de la Universidad de Navarra en Madrid el pasado miércoles 12 de noviembre.
En la Jornada que la AEPD dedicó al vigésimo aniversario de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos, tuvimos la oportunidad de escuchar a José Luis Rodríguez Álvarez, anterior Director de la AEPD y a Pablo Lucas Murillo de la Cueva una magnífica ponencia sobre el derecho al olvido digital. Entre las cuestiones que destacaron señalaré como Lucas Murillo de la Cueva repasó esta cuestión a través de las Sentencias del Tribunal de Justicia de la Unión Europea de 8 de abril de 2014, Caso Digital Rights Ireland y Seitlinger, la de 13 de mayo de 2014 Caso Mario Costeja y AEPD contra Google y la de 6 de octubre de 2015, Caso Schrems y Data Protection Commissioner y de la Sentencia del Tribunal Supremo de 15 de octubre de 2015. Despertó la atención del auditorio sobre el Considerando 42 de la Directiva en el que ya se recoge la idea de un necesario equilibrio entre derechos. Dice así: ‘Considerando que, en interés del interesado de que se trate y para proteger los derechos y libertades de terceros, los Estados miembros podrán limitar los derechos de acceso y de información; (…)’.
La Sentencia de nuestro Tribunal Supremo ha supuesto un hito muy relevante en la historia del derecho al olvido digital desde el momento en el que la jurisprudencia sienta un precedente de aplicación de la regla de responsabilidad del prestador de servicios de internet que hasta ahora sólo se predicaba de los prestadores de servicios de intermediación, como es el caso de los buscadores, y derivado de la STJUE de 13 de mayo de 2014. En esta línea la extinta Agencia de Protección de Datos de la Comunidad de Madrid aprobó la Recomendación 2/2008, de 25 de abril sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios webs institucionales y en otros medios electrónicos y telemáticos cuyo artículo 10.2 disponía: ‘(…) se recomienda que la conservación de los datos de carácter personal publicados en Boletines o Diarios Oficiales a través de Internet, en cumplimiento de las obligaciones previstas por Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y de la normativa sectorial específicamente aplicable, se realice sin perjuicio de la obligación de bloqueo de dichos datos personales cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido publicados, sin perjuicio de las excepciones contenidas en esta Recomendación. (…)’.
De la STS de 15 de octubre queremos destacar dos cuestiones que nos parecen muy relevantes, recogidas ambas en el Fundamento de Derecho 6º apdo 7. La primera dice así: ‘La publicidad general y permanente de su implicación en aquellos hechos (posibilitada porque el tratamiento automatizado de sus datos personales realizado por Ediciones El País en su hemeroteca digital permitía su indexado y archivo en las bases de datos de los motores de búsqueda, al no usar el código robots.txt ni la instrucción noindex o noarchive , e incluso lo potenciaba al utilizar los datos personales en la cabecera del código fuente y al emplear las instrucciones index y follow) supuso un daño desproporcionado para el honor de las personas demandantes, al vincular sus datos personales con unos hechos que afectaban seriamente a su reputación, y para su intimidad, al hacer pública su drogodependencia en aquellas fechas, con tan solo introducir su nombre y apellidos en los motores de búsqueda de Internet utilizados con más frecuencia.’ De esta argumentación deducimos que si es posible programar la hemeroteca digital para que utilice los datos personales para indexar contenido, es muy factible que se pueda configurar para lo contrario respetando así el derecho fundamental a la protección de datos y el equilibrio de este con el derecho a la libertad de información.
La segunda cuestión que destacamos se refiere al límite de la responsabilidad de las hemerotecas digitales sobre la información personal publicada, dice así: ‘No puede exigirse al editor de la página web que por su propia iniciativa depure estos datos, porque ello supondría un sacrificio desproporcionado para la libertad de información, a la vista de las múltiples variables que debería tomar en consideración y de la ingente cantidad de información objeto de procesamiento y tratamiento en las hemerotecas digitales. Pero sí puede exigírsele que dé una respuesta adecuada a los afectados que ejerciten sus derechos de cancelación y oposición al tratamiento de datos, y que cancele el tratamiento de sus datos personales cuando haya transcurrido un periodo de tiempo que haga inadecuado el tratamiento, por carecer las personas afectadas de relevancia pública, y no tener interés histórico la vinculación de la información con sus datos personales.’ Se establece así un límite a la responsabilidad del prestador de servicios que no puede sino llevarnos al concepto de ‘conocimiento efectivo’ por analogía con el límite a la responsabilidad de los prestadores de servicios de intermediación. Se exige así un esfuerzo previo de control sobre el tiempo de publicación de información relacionada con personas físicas identificadas o identificables y además una adopción de las medidas oportunas en caso de ejercicio de derecho al olvido por un usuario frente a una publicación que ha dejado de tener relevancia pública e interés histórico.
Seguimos avanzando en el camino del derecho al olvido digital.
