¿Qué es el derecho al olvido y cómo se aplica en el entorno digital actual?

El derecho a que se borren sus datos personales, el llamado derecho al olvido, concedido por el acervo europeo, se comprueba en función del interés implicado. Esta operación debe realizarse caso por caso, teniendo en cuenta los elementos contextuales y los intereses específicos del sujeto implicado. 

Índice de contenidos 

1. Introducción 

2. El derecho al olvido en la jurisprudencia europea

3. Herramientas de gestión de la identidad para gestionar el derecho al olvido

4. Conclusiones 

Artículo completo

El derecho al olvido: del equilibrio de intereses al blockchain

1. Introducción 

Internet nunca olvida. En nuestra era digital es imposible olvidar. La web tiene la capacidad de "sacar a la superficie", mediante la inserción de una sola palabra, datos y hechos referidos a acontecimientos ocurridos hace muchos años o publicados en periódicos que, hasta la fecha, han digitalizado sus archivos. Básicamente, no puede haber un olvido perfecto en la web. ¿Pueden borrarse los datos de la web una vez introducidos? ¿Qué es el derecho al olvido y cómo se aplica en el entorno digital del siglo XXI?

La legislación es un buen punto de partida para responder a las preguntas anteriores. El Reglamento General de Protección de Datos 2016/679 ("RGPD"), en su artículo 17, establece que el interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin dilación indebida y el responsable del tratamiento tendrá la obligación de suprimir los datos personales sin dilación indebida. Por lo tanto, los responsables del tratamiento están obligados (si han "hecho públicos" los datos personales del interesado: por ejemplo, publicándolos en un sitio web) a informar a los responsables del tratamiento de los datos personales de que el interesado ha solicitado la supresión por parte de dichos responsables, incluido "cualquier enlace, copia o reproducción" (véase el artículo 17, apartado 2, del RGPD). Este derecho tiene un alcance más amplio que el ya previsto por el Código de Privacidad en el art. 7, apartado 3, letra b), ya que el interesado tiene derecho a solicitar la supresión de sus datos, por ejemplo, incluso después de la revocación del consentimiento para el tratamiento (véase el art. 17, apartado 1 del RGPD).

En este contexto, está claro que los motores de búsqueda tienen una importancia fundamental como intermediarios de la información. Son verdaderos meta-instrumentos del conocimiento digital. En efecto, una vez que se introduce una palabra en el campo de búsqueda de un motor de búsqueda, toda la información pertinente aparece en la pantalla en un orden metódico. La cantidad de información así recopilada y almacenada por los buscadores es alucinante (y puede ser peligrosa), y por eso los legisladores europeos y nacionales pusieron orden en el caos. De hecho, en el profundo mar de conocimientos de la web es probable que algunos hechos lesivos para la dignidad de un sujeto salgan a la luz después de mucho tiempo y es su derecho pedir que se borren. En esta situación entra en juego el equilibrio de intereses con la libertad de expresión y el derecho a la información. 

Fuente: Freepik

2. El derecho al olvido en la jurisprudencia europea

En los últimos años, la cuestión de cómo los motores de búsqueda deben equilibrar el derecho a la privacidad con la libertad de información ha despertado el interés de juristas y jueces y las sentencias del Tribunal de Justicia de la Unión Europea, el Tribunal Europeo de Derechos Humanos, así como las importantes sentencias de los Tribunales Constitucionales nacionales.

En 2014, el Tribunal de Justicia de la Unión Europea (TJUE), en el caso Google España, dictaminó que los ciudadanos europeos tenían derecho a exigir a los motores de búsqueda, como Google y Bing, que eliminaran los resultados "inexactos, inadecuados, irrelevantes o excesivos" vinculados a su nombre. En este caso, el TJCE confirmó una sentencia del tribunal español que había ordenado a Google que retirara los enlaces a artículos periodísticos sobre el ciudadano español Costeja González. En concreto, esos enlaces se referían a unos procedimientos de quiebra relativos a deudas de diversa índole que se remontaban a finales de los años noventa. Google cumplió eliminando parcialmente los resultados de la búsqueda en sus dominios.

Tras el reconocimiento inicial del derecho a la desindexación (la llamada supresión de la lista), con la decisión de Google Spain -que invistió a los motores de búsqueda de un papel para-constitucional en el delicado equilibrio entre el derecho a la protección de datos y el derecho del público a obtener información en relación con acontecimientos de importancia general (un papel que nunca se había impuesto a los proveedores de servicios, que -por el contrario- se benefician de una exención general de responsabilidad en virtud de la Directiva 2000/31 de la CE, la llamada directiva sobre comercio electrónico), el TJCE , una vez más preguntado sobre si el derecho a ser olvidado podía extenderse también más allá de las fronteras continentales, respondió negativamente.

En efecto, con la reciente sentencia en el asunto C-507/17 (24 de septiembre de 2019) entre Google y la Commission nationale de l'informatique et des libertés (CNIL), los jueces del TJUE han negado efectivamente al individuo el derecho al borrado, ya concedido por la CNIL respecto a los datos presentes en línea y negativos para la reputación de un empresario francés. Para ello se basaron en la circunstancia de que muchos Estados fuera de la Unión Europea no reconocen el derecho de supresión, por lo que consideraron que "el derecho a la protección de datos personales no es una prerrogativa absoluta, sino que debe considerarse a la luz de su función social y debe equilibrarse con otros derechos fundamentales, de acuerdo con el principio de proporcionalidad".

Más recientemente, el Tribunal Europeo de Derechos Humanos (TEDH) decidió en 2018 en el caso Apollonia que Alemania había negado correctamente a dos personas su derecho al olvido en relación con los archivos de prensa relacionados con un asesinato de 1991. El Tribunal del TEDH confirmó la decisión del Tribunal Supremo alemán al considerar que este había aplicado correctamente la prueba de equilibrio en relación con el derecho al olvido. En este caso, el TEDH se basó principalmente en el artículo 8 del Convenio Europeo de Derechos Humanos, que se aplicó en relación con la ponderación de los dos derechos del artículo 10 del mismo Convenio.

A la luz de esto, está claro que el operador del motor de búsqueda tiene la difícil tarea de garantizar que los datos personales de una persona sean tratados legalmente para fines específicos, explícitos y legítimos, que sean adecuados, pertinentes y no excesivos en relación con dichos fines, que sean exactos, actualizados y que se conserven durante un período de tiempo que no exceda del necesario para alcanzar dichos fines.

Este es el contexto de la sentencia del Tribunal de Luxemburgo (caso Manni), que reveló la relación entre los tiempos de conservación y de supresión de los datos. De hecho, esta operación debe guiarse por una cuidadosa "evaluación caso por caso" que tenga en cuenta los elementos contextuales y los intereses específicos de los terceros potencialmente implicados [1]. 

3. Herramientas de gestión de la identidad para gestionar el derecho al olvido

A la luz de lo anterior, la tecnología jurídica y las herramientas de IA serían dispositivos útiles para determinar la veracidad y exactitud de los datos personales. Los motores de búsqueda, como Google, han adoptado una serie de soluciones para gestionar las solicitudes de los usuarios de eliminación de información falsa o inexacta. Sorprendentemente, el Consejo Asesor de Google -nombrado específicamente para definir los aspectos operativos del ejercicio del derecho al olvido- ha acordado que la información falsa e inexacta contribuye a desplazar la aguja de la balanza hacia el fortalecimiento de la privacidad del sujeto en lugar de hacia el interés público generalizado en el conocimiento. En este contexto, la carga de la prueba para demostrar la inexactitud de los datos cuya supresión se solicita, recae en el sujeto afectado.

De hecho, el gran número de solicitudes que deben ser objeto de un seguimiento rápido aumenta la probabilidad de que se produzcan errores humanos y expone a las partes interesadas y a los terceros interesados a situaciones perjudiciales. Por esta razón, para apoyar este proceso, las mismas herramientas que definen la privacidad podrían ser útiles precisamente para su mismo fortalecimiento, permitiendo a cada usuario personalizar la protección de su identidad previniendo la lesión del derecho a la privacidad y al mismo tiempo ayudar a los propietarios y gestores a mantener actualizados y precisos los datos personales de los interesados. ¡Todo lo anterior procesado sólo por un algoritmo! Las herramientas de gestión de la identidad ya permiten a los usuarios ver y modificar los datos personales que el propietario procesa.

El problema persiste en la gestión de las solicitudes de exclusión de la lista. Si los motores de búsqueda automatizaran totalmente el proceso (como ya han hecho varios operadores), ¿podría el algoritmo garantizar la aplicación efectiva del derecho al olvido? En opinión del autor, para seguir gestionando una enorme cantidad de datos personales y garantizar al mismo tiempo la protección del derecho al olvido en el entorno digital respetando todos los demás derechos e intereses implicados, seguirá siendo necesario un fuerte componente humano en la prueba de equilibrio, como también afirma el Tribunal Europeo. Es probable que esta prueba de equilibrio no sea transponible a un algoritmo.

Conclusión

Presumiblemente, la solución está a la vuelta de la esquina. Sin duda, con la llegada de blockchain y [2] sistemas descentralizados cada vez más transparentes, podría ser más fácil para los buscadores garantizar una protección más efectiva e inmediata de los derechos de los usuarios, activando ese aún lejano principio de "responsabilidad" del responsable del tratamiento previsto por el GDPR. En este sentido, es bueno destacar algunas cuestiones cuando blockchain y el derecho a ser olvidado se sientan en la misma mesa.

En efecto, ¿cómo puede combinarse el derecho al olvido con el carácter inmutable de una cadena de bloques? Una de las soluciones podría ser la posibilidad de introducir los datos en una cadena de bloques sólo como un enlace externo, dejando así los datos fuera de la cadena. Sin embargo, al hacerlo, los datos ya no podrían utilizarse de forma segura y estarían sujetos a una modificación potencialmente indiscriminada. Otra solución podría ser la anonimización, que, sin embargo, presenta a su vez varios problemas. En una cadena de bloques, todo está encriptado, por lo que los datos deberían estar protegidos. Pero la encriptación, aunque segura, no es infalible y puede ser hackeada.

Probablemente, en un futuro no muy lejano podremos resolver muchas de las cuestiones abiertas entre la introducción de un sistema basado en blockchain y la aplicación de la normativa GDPR.

Mientras tanto, empecemos a pensar en las importantes cuestiones que han surgido en torno al derecho al olvido y su equilibrio con los derechos fundamentales en competencia.