View
6
Download
0
Category
Preview:
Citation preview
UNIVERSIDAD SAN PABLO CEU
FACULTAD DE DERECHO
TESIS DOCTORAL
La privacidad en la Sociedad de la Información: el
derecho al olvido en la UE como reto derivado del
avance digital
DEPARTAMENTO DE DERECHO PÚBLICO
PROGRAMA DE DOCTORADO: Estudios Europeos
Doctoranda: María Álvarez Caro
Director de Tesis: Prof. Dr. Leopoldo Abad Alcalá
1
INDICE:
1. Introducción p. 5 a 19
2. Bases de partida, hipótesis y tesis,
2.1. Motivación
2.2. Proceso de investigación y contenido
2.3. Metodología
2.4. Fuentes y bibliografía
2.5. Hipótesis y tesis
p. 21 a 50
p. 21 a 24
p. 24 a 28
p. 29 a 41
p. 42 a 44
p. 44 a 50
3. Los retos de la nueva economía digital
3.1. Impacto económico de la economía digital
3.2. Cloud Computing
3.3. Big Data e Internet of things (IoT)
3.4. Dispositivos de almacenamiento y recuperación de datos
3.5. Crowdfunding
3.6. Plataformas de economía colaborativa
3.7. Propiedad Intelectual
3.8. Comunicación y periodismo digital
3.9. Los motores de búsqueda
p. 51 a 101
p. 51 a 56
p. 56 a 61
p. 61 a 72
p. 72 a 78
p. 78 a 80
p. 81 a 85
p. 85 a 86
p. 87 a 94
p. 94 a 101
4. Evolución histórica de la intimidad
4.1. El origen de la intimidad
4.2. La intimidad en las civilizaciones antiguas
4.3. La intimidad a partir de la época medieval: la teoría
racionalista y la teoría histórica
p. 103 a 118
p. 103 a 105
p. 105 a 109
p. 109 a 118
2
5. Derecho a la intimidad y derecho a la protección de datos de
carácter personal
5.1. Derecho a la intimidad: Samuel Warren y Louis Brandeis,
la doctrina y configuración constitucional
5.2. Derecho a la protección de datos de carácter personal: la
autodeterminación informativa
p. 119 a 156
p. 119 a 143
p. 143 a 156
6. Derecho al olvido
6.1. El derecho al olvido, la cancelación o la supresión de datos
de carácter personal en Internet
6.2. Caso Mario Costeja y AEPD v. Google (C-131/12)
6.3. Guidelines del Grupo de Trabajo del Artículo 29 (WP29)
sobre la interpretación de la sentencia del TJUE en el
asunto C-131/12
6.4. Formulario online habilitado por Google para la solicitud
de desindexación
6.5. Informe del Consejo Asesor de Google sobre derecho al
olvido
6.6. Sentencia del Tribunal Supremo de 15 de octubre de
2015: rechazo del derecho al olvido en hemerotecas
digitales de los medios de comunicación
p. 157 a 254
p. 157 a 184
p. 184 a 220
p. 220 a 236
p. 236 a 238
p. 238 a 245
p. 245 a 254
7. La privacidad en Internet en un mundo global: EE.UU versus
Europa
p. 255 a 300
3
8. Reglamento General de Protección de Datos
8.1. Una Directiva 95/46/CE ya obsoleta. Hacia un Reglamento
europeo de Protección de Datos: antecedentes del
Reglamento
8.2. Novedades del Reglamento 679/2016
p. 301 a 339
p. 301 a 313
p. 313 a 339
9. Conclusiones p. 341 a 354
10. Bibliografía
10.1 Doctrina
10.2 Discursos, Artículos de Prensa y Otros
10.3 Jurisprudencia
10.4 Normativa y Soft Law
10.5 Informes, Estudios y Consultas Públicas
11. Anexos
11.1 Referencias
11.2. Índice de Autores
11.3 Acrónimos
p. 355 a 412
p. 355 a 380
p. 381 a 386
p. 387 a 394
p. 395 a 406
p. 407 a 412
p. 413 a 429
p. 413 a 418
p. 419 a 426
p. 427 a 429
4
5
1. Introducción
El rápido avance de la tecnología y su amplio desarrollo en este siglo XXI han
provocado importantes cambios en muchos de los órdenes de la sociedad. Las
relaciones humanas, las institucionales, y el Derecho, por tanto, han sido y siguen
siendo ámbitos muy afectados por esos agentes de progreso, singularmente como
consecuencia del auge de la tecnología digital. El Derecho siempre camina por detrás de
las nuevas tecnologías1 y son éstas precisamente las que van trazando profundos
cambios en la sociedad, en la vida de las empresas y de las personas, cambios que con el
tiempo, a su vez, tienen un reflejo en la normativa y propician reformas y
modificaciones regulatorias necesarias para la adaptación a los nuevos tiempos. La
evolución está presente en todos los órdenes, más aún en el campo del Derecho, donde
se ha avanzado profundamente en las últimas décadas en el reconocimiento de un mayor
catálogo de derechos individuales, hasta llegar al actual Estado Democrático y Social de
Derecho y a la denominada Sociedad del Bienestar, que imperan en España.
El fenómeno de Internet ha supuesto un punto de inflexión y marca un antes y un
después en la forma de entender la comunicación a nivel global, en el acceso a la
información, tanto en el ámbito empresarial como en la esfera personal o social e
incluso en el ámbito de la Administración Pública. También Internet-ha tenido
importantes implicaciones en materia de privacidad y en cómo queda ésta configurada
en una nueva Era de comunicación global, de intercambio de información sin
precedentes y en tiempo real, en la que actualmente vivimos. Por todo ello, el desarrollo
1 Así se manifestaba el estadounidense Lawrence Lessig, en el marco del primer Digital Law World
Congress, celebrado en Barcelona el 29 de junio de 2012. Este catedrático de Derecho de la Universidad
de Harvard es considerado un referente en Derecho digital y pronunció en Barcelona una interesante
ponencia bajo el título de On the future of IP Law, en la que destacó que es necesario hacer esfuerzos para
que el Derecho no vaya tan por detrás de los avances tecnológicos.
6
de Internet, así como, en concreto, de los motores de búsqueda, ha supuesto un cambio
en la forma de entender el concepto de lo público y de lo privado. De hecho, hoy en día
Internet es una infraestructura económica y básica, al menos, en los países del mundo
occidental. En 2015 existían 3.174 millones de usuarios de Internet en el mundo. En los
países desarrollados, el porcentaje de usuarios de Internet se situó en 2015 en el 82,2%,
2,7 puntos porcentuales más que en 2014. En los países en vías de desarrollo, el
porcentaje de usuarios de Internet alcanza el 35,3%. Europa lidera las regiones
mundiales respecto al porcentaje de usuarios de Internet con un 77,6%2.
Internet es un conjunto descentralizado de redes de comunicación interconectadas, que
utiliza los protocolos TCP/IP. Sus orígenes se remontan a 1969. Uno de los servicios
que ha tenido más éxito es la World Wide Web (www o web). Vinton G. Cerf y Timothy
John Berners-Lee son considerados los padres de Internet y de la Web respectivamente.
Sin lugar a dudas han supuesto una transformación en todos los órdenes de la sociedad.
Internet puede definirse como “una gran red de computadoras conectadas entre sí por
telecomunicaciones. Es una red de redes, el mayor grupo de computadoras
interconectadas que pone al usuario en contacto con miles de fuentes de información”3.
Difícilmente podríamos entender la vida sin esta indispensable herramienta de
comunicación, clave hoy en día en cualquier tipo de negocio. Internet y las redes
sociales se han convertido en una herramienta esencial, por tanto, en el ejercicio de la
libertad de información y expresión, así como en un vehículo clave para la
comunicación efectiva a todos los niveles y en todos los ámbitos. En cierto modo,
2 Ver el Informe Sociedad en Red 2015 (edición 2016), Observatorio Nacional de las Telecomunicaciones
y la Sociedad de la Información, Secretaría de Estado de Telecomunicaciones y Sociedad de la
Información, Ministerio de Industria, Energía y Turismo. 3Moirano, Carlos: Internet, Intranet, Extranet, redes privadas virtuales (túneles). Conceptos e
Interrelaciones, UDELAR, Facultad de Ciencias Económicas y de la Administración, Universidad de la
República de Uruguay, septiembre 2005, pag.7 y ss.
7
Internet y las redes sociales han provocado una revolución de una magnitud similar a la
que surgió siglos atrás con la invención de la imprenta, salvando obviamente las
distancias, no sólo cronológicas. En cierto modo, se ha producido el tránsito de una
sociedad industrial a una sociedad del conocimiento, en la que en muchas ocasiones,
empresas con una elevada capitalización de mercado no tienen grandes activos físicos,
sino que cuentan fundamentalmente con activos intangibles y, para ellas, la información
y los datos, son vitales.
La Red es ambivalente, en el sentido de que no sólo tiene elementos positivos ni ha de
ser vista única y exclusivamente como generadora de oportunidades para las empresas y
las personas. Por el contrario, y como consecuencia de la propia idiosincrasia de la Red,
también es un foco de riesgos. Me atrevería a decir que esta condición ambivalente, con
un lado positivo y otro negativo, es propia y característica de prácticamente cualquier
fenómeno importante que se analice, aunque quizá, en algo tan extraordinario como
puede ser Internet, esa condición está más acentuada.
En materia privacidad y protección de datos de carácter personal, se plantean nuevos
interrogantes, teniendo en cuenta que la normativa en vigor data de la era pre-Internet.
La Directiva 95/46/CE de Protección de Datos se remonta a 19954 (Directiva 95/46/CE
en adelante), y tal y como recordó la Comisaria de Justicia de la UE, Viviane Reding, en
su discurso en la Cumbre anual de EuroClouds en 2012, “sólo el 1% de la población
europea usaba Internet por aquel entonces, el fundador de Facebook tenía ocho años y la
Nube era aire saturado” (la Nube en referencia a la Computación en la Nube o Cloud
Computing en su denominación en inglés). Es decir, los tiempos han cambiado y hay
4 Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
8
que hacer frente a nuevas demandas. En el ámbito de la vida privada, la legislación ha
quedado desfasada por los avances tecnológicos5.
Muchos ciudadanos están preocupados por cómo las compañías de base tecnológica
usan sus datos personales y son partidarios del reconocimiento de un derecho a borrar
datos personales en cualquier momento6. Asimismo, a los ciudadanos les preocupa la
posibilidad de que los datos que tienen las compañías sean usados para un propósito
diferente a aquel para el que fueron recabados. Por eso, inspirar confianza en los
consumidores se ha convertido en algo esencial. La confianza es una condición previa
necesaria para el desarrollo de Internet en todo su potencial. Es decir, la confianza en la
Red es indispensable para el florecimiento de servicios digitales innovadores.
Entre los riesgos o peligros derivados de Internet, la problemática de la privacidad en la
Red es, si no el problema más importante, al menos una preocupación nada desdeñable.
Existen otras áreas del Derecho relevantes en el ámbito digital, como puede ser todo lo
relacionado con Propiedad Intelectual, fiscalidad, financiación, Ciberdelincuencia y
Ciberseguridad, defensa de consumidores y usuarios, que asimismo presentan grandes
desafíos. Entre todas las áreas del Derecho vinculadas a la economía digital, esta tesis
doctoral se centra en el derecho a la protección de datos de carácter personal, en la
5 Así se ha manifestado el Tribunal Constitucional, en sentencia 70/2002, de 3 de abril. Aunque sin llegar
a entrar en el fondo de la cuestión, en el fundamento jurídico 9º destaca: “ciertamente los avances
tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones,
especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del
concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la
protección a esos nuevos ámbitos, como se deriva necesariamente del tenor literal del art. 18.3 CE
1978”. 6 En el Eurobarómetro de Protección de Datos publicado por la Comisión Europea, en junio de 2015, se
pone de manifiesto que 2/3 de ciudadanos creen que no tienen control sobre los datos que proporcionan
en Internet y que 6 de cada 10 no confían en las empresas online, compañías o proveedores de servicios
de Internet. Ver los resultados del Eurobarómetro en http://ec.europa.eu/justice/newsroom/data-
protection/news/240615_en.htm
9
libertad de expresión e información, en el acceso a la información en Internet en su
conflicto con el derecho a la privacidad y, más en concreto, con la protección de datos
de carácter personal y el nuevo derecho al olvido (right to be forgotten o right to
oblivion). Es decir, el eje central es uno de los retos en materia de protección de datos
que está surgiendo en la Sociedad de la Información, en la que los motores de búsqueda
permiten acceder en tiempo real a una ingente cantidad de información, y en ocasiones,
y dependiendo de los parámetros que se utilicen para las búsquedas de información,
conducen a datos de carácter personal que podrían invadir la esfera privada o íntima de
las personas.
Si todo delito está sujeto a prescripción y se ponen límites temporales a la persecución
de los hechos delictivos, algunos consideran que sería lógico y razonable incluir, o al
menos plantearse, límites racionales, de orden temporal, o de otro tipo, que restrinjan el
acceso universal, global, ilimitado e indefinido a datos de carácter personal, cuya
difusión en su día pudo estar justificada y responder a un interés público o privado, un
interés o justificación que puede desvanecerse con el tiempo. Por ello, se viene
hablando desde hace tiempo de establecer límites al acceso a la información en la Red,
siempre preservando el equilibrio para no caer en la censura o poner en jaque derechos
igualmente fundamentales como lo son la libertad de expresión e información en una
sociedad democrática avanzada, o para no hacer peligrar la innovación y crecimiento
económico que, necesariamente, pasa por la mejora tecnológica y por el hecho de que
no haya demasiados obstáculos a que la información fluya, es decir al libre flujo de
datos7. Sin duda, el acceso a la información posibilita la innovación, nuevos servicios
7 La Comisión Europea anunció el pasado 6 de mayo de 2015 la Estrategia de Mercado Único Digital que,
entre otras medidas, contempla la puesta en marcha en 2016 de una iniciativa de flujo de datos,
denominada Free Data Flow Initiative, que tratará aspectos como la propiedad de los datos y los datos
10
digitales de mayor conveniencia y bajo demanda, nuevos servicios digitales que
proporcionan mayor bienestar a los ciudadanos.
Internet se sustenta en el acceso universal a la información y, en cierto modo, es
concebida como una autopista al conocimiento, sin obstáculos. La indexación y el
enlace es la esencia de Internet. No obstante, la garantía de protección de los datos de
carácter personal y de la privacidad que toda sociedad democrática avanzada necesita,
es igualmente indispensable para el logro de una sociedad en la que las personas que la
integran estén protegidas. Por ello, es clave el logro de un equilibrio.
A día de hoy, el carácter global o universal, la fácil accesibilidad a la información en la
Red y el carácter permanente o imperecedero de dicha información en Internet, hace
peligrar, en ocasiones, el respeto a la intimidad y privacidad en la Red. En cierto modo,
Internet es como un elefante, con una memoria infinita. Sin embargo, pese a ser capaz
de almacenar datos eternamente, corre el riesgo de descontextualizar los datos que
ofrece y, por tanto, caer en la inexactitud, falta de proporcionalidad o inadecuación o
falta de calidad del dato. En los últimos tiempos, expertos de distintos ámbitos y
nacionalidades han venido debatiendo sobre lo que se denomina el derecho al olvido un
derecho que sin embargo, a día de hoy, no está reconocido como tal, aún, en un texto
legislativo vigente, pese a que se están sentando las bases y perfilando sus
características a nivel jurisprudencial. A este respecto, en enero de 2012, la Comisión
Europea aprobó la Propuesta de Reglamento Europeo de Protección de Datos y en su
artículo 17 se contempla el denominado derecho al olvido. Esta normativa ha estado
tramitándose durante casi cuatro años hasta que finalmente el pasado 15 de diciembre se
generados por máquinas. Ver la Estrategia de Mercado Único Digital en http://europa.eu/rapid/press-
release_IP-15-4919_es.htm
11
acordó el texto final, que tras ser aprobado por el Pleno del Parlamento Europeo y
publicado en el Boletín Oficial de la UE el pasado 4 de mayo, comenzará a aplicarse a
partir del 25 de mayo de 2018. En líneas generales, y sin entrar todavía en un análisis
más profundo y riguroso, exponiendo límites y matices, que se hará más adelante a lo
largo de esta tesis doctoral, el derecho al olvido consistiría en el derecho de los
ciudadanos para hacer desaparecer de la Red información referente a su persona,
información que se aloja en Internet con carácter permanente, a golpe de click, que
puede ser objeto de enlaces y réplicas, y que podría ocasionarle perjuicios. En otras
palabras, no condenar a un individuo a ser víctima de la reacción de la sociedad, en
ocasiones desproporcionada, ante un error o imprudencia de su pasado, lo que
dificultaría el ejercicio del Derecho reconocido en el artículo 10.1 de la Constitución
Española (CE1978)8, donde se contempla el derecho al libre desarrollo de la
personalidad. A este respecto, se abrió hace unos años un debate sobre si Google u otro
motor de búsqueda debe responsabilizarse de algún modo de la información a la que da
acceso en su motor de búsqueda o si, por el contrario, el único responsable es la web
que aloja dicha información o la denominada también fuente de origen. El debate
también se ha ampliado asimismo a redes sociales u otros prestadores de servicios de la
sociedad de la información9, más allá de a los buscadores en Internet. En la Audiencia
Nacional española se han venido resolviendo casos que involucran al buscador de
8 El artículo 10.1 de la Constitución Española de 1978 dice así: “La dignidad de la persona, los derechos
inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y los derechos
de los demás son fundamentos del orden político y la paz social”. 9 La Ley 34/2002, de 11 de julio de Servicios de la Sociedad de la Información y Comercio Electrónico
(LSSICE) define en su anexo los servicios de la sociedad de la información del siguiente modo: “todo
servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual
del destinatario. El concepto de servicio de la sociedad de la información comprende también los
servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad
económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros, y
siempre que representen una actividad económica, los siguientes: “1. La contratación de bienes y
servicios por vía electrónica. 2. La organización y gestión de subastas por medios electrónicos o de
mercados y centros comerciales virtuales. 3. La gestión de compras en la Red por grupos de personas. 4.
El envío de comunicaciones comerciales. El suministro de información por vía telemática”.
12
Google10. El 27 de febrero de 2012 la Audiencia Nacional (AN) planteó una cuestión
prejudicial al Tribunal de Justicia de la Unión Europea (TJUE) sobre si la Directiva
95/46/CE era aplicable a Google Inc. y en qué medida Google debía asumir algún tipo
de responsabilidad en el caso de que realizase un tratamiento de datos de carácter
personal al realizar búsquedas. El 25 de junio de 2013, el Abogado General ante el
TJUE emitió su informe de conclusiones resaltando que el buscador no es quien tiene
que borrar la información sino, en su caso, la web- la edición online de un periódico en
el caso en cuestión- que aloja la misma, ya que consideraba que Google no era
responsable del tratamiento de los datos aunque sí realizase un tratamiento. Asimismo el
Abogado General consideró que la Directiva 95/46/CE resulta aplicable a Google y, por
tanto, el gigante tecnológico americano debe someterse a la normativa de privacidad
europea. Más adelante, en un capítulo de esta tesis se realiza un análisis detallado de
este caso sobre el que el TJUE ya dictó sentencia en 2014, contradiciendo en su práctica
totalidad, (aunque con algún punto coincidente como la aplicación extraterritorial de la
Directiva 95/46/CE) la tesis sostenida por el Abogado General y, sin duda, ha sentado
un importante precedente para resolver el resto de cuestiones de la misma naturaleza
pendientes en los tribunales, sin perjuicio de que haya todavía algunos interrogantes
abiertos sobre el derecho al olvido y puntos que no se abordan en la sentencia.
A lo largo de esta tesis se hace un estudio sobre el concepto, contenido, naturaleza
jurídica, alcance y efectividad de un derecho, todavía en fase de gestación: el derecho al
olvido, partiendo del estudio de derechos ya consolidados y con una indiscutible cabida
en nuestra Constitución y legislación, como es el derecho a la intimidad, a la protección
10 La primera de las sentencias de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional
sobre derecho al olvido, tras la sentencia del TJUE de 13 de mayo de 2014, es la que resuelve el caso
Mario Costeja según el criterio fijado por el TJUE, de 29 de diciembre de 2014, publicada en 23 de enero
de 2015. Desde entonces, la Audiencia Nacional ha ido resolviendo las cuestiones prejudiciales
planteadas, en línea con los criterios fijados por el tribunal de la UE.
13
de datos de carácter personal, a la información o a la libertad de expresión. El derecho al
olvido, a tenor de cómo ha transcurrido la tramitación del futuro Reglamento General de
Protección de Datos (RGPD en adelante) y teniendo en cuenta la reciente sentencia del
TJUE en el caso Mario Costeja y la Agencia Española de Protección de Datos (AEPD)
contra Google (C-131/12)11, queda configurado como la manifestación en el soporte
digital de un derecho ya existente –el derecho de supresión o cancelación-. El derecho al
olvido es uno de los grandes retos de la privacidad en la Sociedad de la Información, en
la que los motores de búsqueda y otros prestadores de servicios de la sociedad de la
información se han convertido en herramientas fundamentales para el acceso a la
información en la Red y tratan grandes volúmenes de datos, en ocasiones en tiempo
real. En definitiva, es uno de los retos de la privacidad en el siglo XXI.
Por otra parte, no podemos obviar la importancia creciente de la economía digital en su
conjunto, de los modelos de negocio basados en las nuevas tecnologías de la
información y comunicación, entorno en el que se desarrolla el derecho al olvido. Más
específicamente, los motores de búsqueda (o buscadores), tanto en lo que se refiere a su
aportación económica como al valor del servicio que ofrecen en el acceso a la
información, son herramientas clave que se analizan a lo largo de esta tesis. Los
buscadores en Internet facilitan al internauta el acceso a una gran cantidad de
información en tiempo real, posibilitando búsquedas muy precisas de información,
ofreciendo asimismo a las empresas amplias posibilidades en relación con sus
estrategias de márketing y publicidad. Sin embargo, no podemos olvidarnos de la
posible descontextualización de la información que, en referencia a una persona física,
podemos encontrar como resultado de las búsquedas realizadas.
11 Sentencia del Tribunal de Justicia de la Unión Europa (TJUE), de 13 de mayo de 2014, en el caso
Mario Costeja y la AEPD v. Google (C-131/12).
14
Internet es un fenómeno global y no se puede perder de vista esta característica de
globalidad. Por ello, a lo largo de esta tesis doctoral también se estudian las diferencias
entre el sistema de protección y la legislación a ambos lados del Atlántico (Europa
versus EE.UU) en torno a la privacidad, así como las claves, características, valor
añadido y tendencias de los negocios en el entorno digital, incluidos los medios de
comunicación digitales y redes sociales, su aportación a la economía y los principales
obstáculos y retos que el mundo online plantea.
Como más adelante se abordará en detalle, la visión en EE.UU difiere a día de hoy en
gran medida del punto de vista europeo en lo que respecta a la protección de datos y
privacidad en su conflicto con otras libertades como la libertad de expresión y de
información, la innovación y el desarrollo económico. No obstante, sí existe algún
punto de unión entre ambos sistemas12. En este sentido, hay planteadas algunas
iniciativas dirigidas a la aproximación, a que Europa y EE.UU reduzcan distancias en lo
que respecta a la privacidad y protección de datos13. La privacidad en el entorno digital
plantea retos y desafíos en todo el mundo, si bien hay que tener en cuenta que en Europa
la protección de datos es un derecho fundamental y una garantía del consumidor,
modelo que siguen algunos países latinoamericanos; un concepto de protección de datos
bien distinto del de los norteamericanos. Por ello, lograr un derecho al olvido en EE.UU
tal y como se contempla en Europa, es una posibilidad harto difícil.
12 Reding, Viviane, en la Cumbre Anual Euroclouds, octubre, 2012. En esta misma línea se manifestó
Marcos Judel, miembro de la Asociación Española de Expertos en Privacidad, en el marco del II
Congreso Nacional de la citada asociación, celebrado en Madrid en junio de 2013. En referencia a las
divergencias entre EE.UU y Europa, este experto destacó que “se percibe un acercamiento entre ambas
partes”. 13 Ver la Consumer Privacy Bill of Rights 2015 de la Administración Obama, así como la de 2012. En
este sentido, algunos de los principios incluidos en estos textos han sido trasladados a nuestro Reglamento
General de Protección de Datos 679/2016.
15
Por tanto, en Europa, el derecho al olvido, al estar vinculado a la intimidad, se trataría
de un tipo de derecho ligado a la dignidad de la persona dentro del Estado y de la
sociedad, y por ello, gozaría de una especial protección. Es decir, el derecho al olvido
digital se encontraría en la misma categoría de derechos que el derecho a la vida, a la
integridad física y moral o a la igualdad. Sin embargo, es importante tener en cuenta
que, como todo derecho fundamental, no se trataría de un derecho absoluto sino
relativo, en el sentido de que, en conflicto con otros derechos asimismo fundamentales,
debe realizarse un ejercicio de ponderación de intereses o balancing test. Por tanto, no
hemos de olvidarnos de los derechos a la libertad de información y de expresión, que
suponen un límite, entre otros, que impide un ejercicio indiscriminado y abusivo del
derecho al olvido.
A día de hoy parece muy poco recomendable que en la práctica se aplique en Europa,
un derecho al olvido en unos términos muy exigentes con las empresas de tecnología y
de comunicación, por el freno a la innovación tecnológica que esto supondría y la
desventaja competitiva para las empresas del viejo continente. Es necesaria una
regulación del derecho al olvido respetuosa con todos, tanto con la protección de los
ciudadanos como con los intereses de la industria tecnológica o, incluso, de la industria
en general, que está apostando fuertemente por su transformación digital. Y
precisamente la clave está en hallar este punto de equilibrio.
El marco regulador en Europa y, por ende, en España, de la privacidad y la protección
de datos ha sido recientemente reformado (aunque pendiente de que comience a
aplicarse en 2018), desde enero de 2012, a través del citado RGPD 679/2016 que
sustituirá a la Directiva 95/46/CE. Precisamente al tratarse de un Reglamento será
16
aplicable en los 28 Estados miembros, acabando con la fragmentación existente a día de
hoy, en la que cada Estado aplica y ejecuta la legislación en la materia de una forma
distinta. No obstante, hay diversos aspectos del RGPD en los que se deja margen de
maniobra a los Estados Miembros y, además, en todo caso, el Reglamento ha de ser
implementado y las empresas adaptarse en este tiempo hasta mayo de 2018, debiendo
las autoridades de protección de datos perfilar aspectos del Reglamento que necesitan de
clarificación. Esta tesis dedica también especial atención a los nuevos conceptos y
principios que incorpora el RGPD y, en general, a las novedades incorporadas por el
citado Reglamento.
A lo largo de esta investigación se analiza el valor y la importancia de la información y
los datos en los negocios en la Red y en el entorno digital, y la problemática que surge
para conciliar intereses económicos, innovación y crecimiento con una legislación
adecuada que proteja los derechos fundamentales de las personas, problemática que, en
parte, se debe a que Internet y los buscadores en la Red, así como los medios de
comunicación social en la Red, son un fenómeno relativamente reciente, en torno al cual
aún hay importantes lagunas o vacíos legales o inseguridad jurídica. No obstante, los
desafíos del siglo XXI en materia de privacidad, por supuesto, van más allá de los
meramente regulatorios, pues abarcan no sólo retos legislativos, sino también
educativos y culturales, aspectos clave a los que debemos dar especial atención.
La privacidad no debe ser un obstáculo al crecimiento y desarrollo económico sino un
motor impulsor del mismo14. Por ello, el punto de equilibrio entre derechos debe ser
ponderado, un balance entre privacidad y libertad de actuación. No cabe duda de que si
14Así se manifestaba Piñar, José Luis, en el Seminario Protección de datos e Innovación, Universidad San
Pablo CEU, 8 de noviembre de 2012. http://www.ceu.es/blog/index.php/2012/expertos-del-ambito-
empresarial-y-universitario-debaten-en-el-ceu-sobre-privacidad-innovacion-y-economia-en-internet/
17
el marco regulador es muy estricto ahuyentará a los inversores y a las empresas, quienes
buscarán otros territorios en los que se permita más libertad de actuación y menos
restricciones para invertir. Por ello, el marco regulador debe ser flexible, conciliador
con otros derechos fundamentales como el de la libertad de información y expresión en
un entorno digital, así como compatible con la innovación, el acceso a la información y
el crecimiento económico.
La realidad social del momento tiene que ser necesariamente considerada por el
Ordenamiento Jurídico, en general, y por el Derecho Constitucional, en particular,
esencialmente en aquello que hace referencia a la extensión y delimitación de los
derechos fundamentales, pues más allá del papel normativo de la Constitución, ésta
también cumple una función transformadora ad hoc de la consolidación del sistema
democrático15. Es decir, es necesario evolucionar y adaptarse a los tiempos, que el
Derecho cubra y esté a la altura de los avances tecnológicos que hacen evolucionar a la
sociedad. Tal y como manifiestan Artemi Rallo y Ricard Martínez, “los cambios
implican entonces reflexiones en el ámbito jurídico, donde se plantea hasta qué punto el
Derecho que ordena nuestras sociedades es eficaz en el Universo 2.0”16.
Los avances tecnológicos y el desarrollo de la telemática, que constituyen la conjunción
de las telecomunicaciones y la informática, y que conforman el conjunto de servicios de
naturaleza informática que pueden ser prestados a través de una red de comunicaciones,
presenta, junto con el progreso y su aportación al desarrollo de la sociedad, riesgos
15 Álvarez Conde, Enrique: Curso de Derecho Constitucional: el Estado Constitucional. El sistema de
fuentes. Los derechos y libertades. Vol. I, Madrid, Tecnos, 2003, pag.152. 16 Rallo Lombarte, Artemi y Martínez, Ricard (coords): Derecho y redes sociales, Navarra, Civitas, 2010,
pag.10.
18
importantes para el respeto de la vida privada y la intimidad de las personas17, por su
capacidad de reunir datos, interrelacionarlos, conectarlos, transmitirlos y posibilitar el
acceso a ellos, construyendo importantes bases de datos con información sobre las
personas tanto en manos del Estado como de particulares, con desconocimiento de los
afectados.
Con la celebración de la Conferencia Internacional de Derechos Humanos en 1968 para
conmemorar el 20 aniversario de la Declaración Universal de Derechos Humanos, que
organizó Naciones Unidas en Teherán, comenzó el debate sobre la incidencia del uso de
la electrónica en los derechos individuales, discutiéndose, ya entonces, cuáles eran los
límites que una sociedad democrática debía establecer para proteger dichos derechos.
Nadie pone en duda que la tecnología avanza a pasos a agigantados y plantea retos en el
ámbito del Derecho. Al compás del avance de las sociedades surgen nuevos derechos. Y
en el caso del derecho al olvido, su nacimiento se sitúa en el momento del auge de
Internet, con los buscadores como Google y las redes sociales formando parte de la vida
diaria de miles de personas. Nunca antes el flujo de información e intercambio de datos
había sido de tal magnitud, llegando a hablarse hoy en día de la denominada Economía
de los datos o data-driven economy.
La elaboración de un marco regulador de la privacidad adecuado y adaptado al S.XXI es
uno de los grandes desafíos de la actualidad, como también lo es la configuración del
derecho al olvido y su aplicación por los tribunales. Es esencial lograr un efectivo
equilibrio entre el derecho a la protección de datos de los ciudadanos y el respeto de los
17 Estadella Yuste, Olga: La protección de la intimidad frente a la transmisión internacional de datos
personales, Madrid, Tecnos, 1995, pag. 13.
19
intereses económicos de los grandes grupos tecnológicos y empresas del entorno digital,
no obstaculizando la innovación y el crecimiento empresarial ni el acceso a la
información, a la vez que velando por la seguridad nacional y, por supuesto, por el
derecho a la intimidad.
20
21
2. Bases de partida hipótesis y tesis,
2.1. Motivación
La fuerte irrupción de Internet y el rápido desarrollo de las nuevas tecnologías han
afectado a la privacidad, a la intimidad y al derecho de protección de datos personales.
Por ello, se ha detectado la necesidad de abordar una investigación sobre la privacidad
en el entorno o ecosistema digital actual. Entre los diversos retos a los que se enfrenta la
privacidad en el siglo XXI, esta tesis doctoral se centra en el denominado derecho al
olvido, estrechamente relacionado con nuevos conceptos como la identidad digital o la
reputación digital como una derivación del concepto de honor y la autodeterminación
informativa en Internet.
Una de las principales motivaciones para la realización de esta tesis doctoral es el gran
atractivo que esta materia despierta en la doctoranda, pues ya son varios los años
investigando, leyendo y analizando esta disciplina cambiante. Tras terminar mi
licenciatura en Derecho, comencé mi andadura profesional en el ámbito de la
comunicación y periodismo, especializándome en asuntos legales y periodismo jurídico.
Fui continuando mi formación, a través de un postgrado, en el ámbito de la
Administración y Dirección de Empresas, con la realización de un MBA en una Escuela
de Negocios, así como en el campo de la protección de datos, el acceso a la información
y la transparencia. En paralelo, y dada mi formación –tanto jurídica como periodística-
fui ahondando en el ámbito del derecho a la información y sus límites, entre los que se
encuentra, la intimidad, honor y propia imagen, comenzando así a trabajar en lo que fue
el germen de esta tesis doctoral. Por aquel entonces, cuando empecé a investigar en esta
22
área, desempeñaba mi labor profesional en el sector editorial, en una importante
multinacional editorial jurídica.
Con posterioridad, tuve la oportunidad de trabajar en el área Legal y de Relaciones
Institucionales en una asociación empresarial orientada al comercio electrónico e
Internet, a los negocios digitales y nuevas tecnologías, que agrupa a más de 500
empresas –españolas y extranjeras con implantación en España- que se ha convertido en
la agrupación empresarial referente en España en comercio electrónico. En esta etapa
profesional, fue creciendo mi interés por la privacidad y sus límites u otros derechos o
intereses con los que tiene que convivir en un entorno digital: el derecho a la
información o el desarrollo e impulso de la economía digital. En paralelo, he ido
ampliando, por distintas vías, mi formación en el ámbito de la protección de datos,
acceso a la información y transparencia. Una de esas vías ha sido a través de la Cátedra
Google de Privacidad, Sociedad e Innovación, de la Universidad San Pablo CEU, a
través de la realización del Master Oficial Universitario en Protección de Datos, Acceso
a la Información y Transparencia.
Por otra parte, un espaldarazo importante para la culminación de esta investigación, fue
recibir, en marzo de 2014, el Primer Premio de Investigación Anual 2013 de dicha
Cátedra Google, por la monografía El nuevo paradigma de la privacidad: el derecho al
olvido en Internet (publicada por la Editorial Reus dentro de la Colección de Derecho de
las Nuevas Tecnologías), trabajo de investigación que, parcialmente, se ha integrado en
algún capítulo de esta tesis doctoral. No obstante, el foco de investigación en esta tesis
es más amplio, abarcando el análisis sobre la economía digital y el entorno en el que la
privacidad se desarrolla en este siglo XXI, con un análisis de los nuevos modelos de
23
negocio basados en la innovación tecnológica –entre otros, los motores de búsqueda- y
que confluyen con, o necesariamente deben tener en cuenta la protección de datos para
aportar garantías al usuario o consumidor final. Además, desde marzo de 2014 a la
fecha actual, han surgido acontecimientos relevantes así como actualizaciones
importantes tanto en materia de privacidad como en lo que respecta a desafíos
tecnológicos, y particularmente, en materia de derecho al olvido, que son recogidas en
este trabajo. Por otra parte, y dado que por aquel entonces la tramitación del RGPD
estaba aún en estadios más bien iniciales, la citada monografía no entraba a analizar las
novedades del RGPD, lo que sí se realiza en esta tesis doctoral, además de analizar la
postura del Parlamento Europeo y del Consejo de la UE durante la tramitación, además
del texto finalmente aprobado.
En la actualidad, desempeño mi labor profesional en el servicio de estudios de una
importante entidad financiera española, en la unidad de Regulación Digital. No cabe
duda de que el reto de la transformación digital para todos los sectores de la economía,
incluido como no podía ser de otra manera el sector financiero, es un gran desafío. Y la
privacidad y el uso que se puede hacer de los datos y de la información, ocupa una
posición central en el debate sobre la transformación digital.
Por ello, y haciendo un resumen o sintetizando las motivaciones para la realización de
esta tesis doctoral, diría que, al margen de sentir una gran curiosidad y atracción por
esta materia, considero que la vertiente de la privacidad, como un elemento a considerar
en toda estrategia de negocio digital, en el desarrollo de negocios tecnológicos así como
en la transformación digital de todos los sectores de la economía, irá ganando peso al
compás de la innovación. También, los profesionales especializados en esta materia,
24
tanto jurídicos como los perfiles técnicos como los científicos de datos, serán más
demandados y necesarios. Precisamente un futuro, con tanto potencial, como el que
sinceramente creo que le espera a esta disciplina, hace que la motivación para realizar
esta tesis doctoral sea muy fuerte. Finalmente, estoy convencida de que el perfil
polivalente o la formación en varias disciplinas de la doctoranda, enriquecen el análisis
y propician una reflexión sobre esta materia no desde un único ángulo, sino desde
múltiples perspectivas: Derecho, Comunicación o Periodismo, Gestión empresarial,
entre otras, son áreas de conocimiento con puntos de intersección y, precisamente, en lo
que respecta a la privacidad en Internet, creo que tiene muchas ventajas analizarla desde
este enfoque multidisciplinar.
2.2. Proceso de investigación y contenido
Si bien la intimidad y la privacidad, como conceptos, tienen su historia y antigüedad,
han surgido, debido a la fuerte irrupción de Internet, conceptos novedosos y nuevos
interrogantes relacionados con ellas. Asimismo, se han planteado nuevos retos y
desafíos futuros. De entre todos ellos, esta tesis doctoral se centrará en el derecho al
olvido, cómo se ha llegado a este derecho, en qué consiste y cuál es el bien jurídico
protegido, cuál es la fase en la que se encuentra ahora, así como en los interrogantes a
los que en torno al mismo habrá que ir dando respuesta en un futuro próximo,-desde el
plano legislativo, jurisprudencial y por parte de la industria.
Debido a que hablar del derecho al olvido es hablar de Internet o, dicho de otra forma,
no se concibe lo uno sin lo otro, ha sido necesario analizar el ecosistema de Internet y la
25
economía digital. Se ha considerado importante analizar qué es la economía digital y su
aportación o impacto, cuáles son los nuevos modelos de negocio basados en las nuevas
tecnologías y en los datos, nuevas formas de comunicar y hacer periodismo, u otras
materias con las que se han hallado ciertas similitudes con el derecho al olvido (al
menos en lo que a aspectos procedimentales se refiere) como, por ejemplo, la propiedad
intelectual en Internet. No cabe duda de que se viene hablando del derecho al olvido en
los últimos años como un tema que ha adquirido bastante popularidad como tema de
actualidad y los buscadores (Google, entre otros) se han visto recientemente obligados
por el TJUE a dar respuesta a las peticiones de borrado de datos. Por ello, se hace
sumamente atractivo el estudio de un concepto jurídico y fenómeno sociológico al cual
se están dando respuestas en la actualidad y sobre el que aún quedan preguntas sin
respuesta y que tendrán que ir perfilándose conforme se va avanzando en la
consolidación de jurisprudencia y en la aplicación de una normativa clave, como es el
nuevo RGPD.
Esta normativa europea que aún no ha comenzado a aplicarse, el RGPD 679/2016,
contempla en su artículo 17 el derecho al olvido, y cuando comience a aplicarse, se
convertirá en el primer texto legislativo que regule este Derecho. Si bien ha habido
pronunciamientos judiciales en torno al mismo, por el momento, ningún texto legal
vigente regula aún este derecho como tal. En España, existe una reserva de ley orgánica
en lo que respecta a los derechos fundamentales, de modo que un derecho fundamental
siempre debe ser regulado por una Ley Orgánica, con las correspondientes mayorías y
respaldo en las Cortes que requiere este tipo de ley. Por ello, se trataría de la primera
vez que un derecho fundamental es regulado a través de un reglamento comunitario.
26
El modo en el que el Tribunal de Justicia de la UE ha resuelto el caso Mario Costeja y
AEPD c. Google (caso C-131/12), el pasado 13 de mayo de 2014, deja muchos aspectos
abiertos o pone muchos interrogantes sobre la mesa, a los que se podrá ir dando
respuesta, a través de la resolución del caso por caso, así como a través de la aplicación
del nuevo RGPD. Esta sentencia del TJUE, que se convierte en leading case y marca un
punto de inflexión en el proceso del tema que nos ocupa, está sirviendo como base o
referencia para resolver los casos pendientes en la Audiencia Nacional española y en los
distintos tribunales de los Estados Miembros de la UE, y ha sido tenida en cuenta
también por el legislador europeo. Esta sentencia, así como las interpretaciones en torno
a la misma, son pormenorizadamente analizadas en esta tesis doctoral.
Este trabajo está estructurado en nueve capítulos o apartados, contando la Introducción
y Conclusiones, y al margen del apartado referente a la Bibliografía. Por tanto,
incluyendo introducción y conclusiones, la tesis doctoral consta de nueve apartados o
bloques. El trabajo comienza con una introducción al tema sobre el que se ha
investigado, que es el nuevo enfoque de la privacidad en el siglo XXI, en el que ha
surgido un nuevo desafío, que es el derecho al olvido en Internet o la cancelación o
supresión de datos personales en motores de búsqueda en Internet, para lo cual ha sido
necesario analizar el ecosistema digital actual. Posteriormente y, tras una explicación de
la motivación, hipótesis y tesis defendida, proceso de investigación y contenido,
metodología y fuentes y bibliografía, se realiza un análisis sobre la aportación
económica de la nueva economía digital y de los nuevos modelos de negocio basados en
el desarrollo de las nuevas tecnologías. No solamente se dedica espacio al análisis o
aportación desde un punto de vista económico, sino que también se aborda el impacto
que el avance digital ha tenido en otras ramas, más allá de la económica, como puede
27
ser el propio campo del Derecho o en el ámbito de la Comunicación y el Periodismo.
Por otra parte, y por su importancia en relación con el derecho al olvido, se dedica un
subapartado completo a los motores de búsqueda, en el bloque de la economía digital.
Posteriormente, se analiza la intimidad y la privacidad como concepto y como derecho,
se analiza su evolución histórica, el marco jurídico de la intimidad, así como la
configuración constitucional del derecho a la intimidad en España. Asimismo, se analiza
la evolución que ha seguido el derecho a la intimidad, dando origen al nacimiento de
nuevos derechos independientes del propio derecho a la intimidad, como es el derecho a
la protección de datos de carácter personal y la autodeterminación informativa.
El epicentro de esta tesis es el denominado derecho al olvido. Así pues, se aborda con
un riguroso análisis de su concepto, su origen y su naturaleza, desde un plano doctrinal
y jurisprudencial. La mencionada sentencia, leading case en la materia, relativa al caso
Mario Costeja y la AEPD v. Google Inc y Google Spain, C-131/12, del TJUE, de 13 de
mayo de 2014, es analizada exhaustivamente en este trabajo, tanto la propia sentencia
como las conclusiones del abogado general del TJUE de junio de 2013. También, se
estudian otros hitos posteriores a esta sentencia como las Directrices (Guidelines) del
Grupo de Trabajo del artículo 2918, de noviembre de 2014, que interpretan la sentencia y
proporcionan orientaciones a las Autoridades de Protección de Datos de los Estados
miembros de la UE (WP29 en adelante) para resolver los casos que se les puedan
plantear, así como el informe del Consejo Asesor de Google para el Derecho al Olvido
(Google Advisory Board on the Right to be Forgotten), de 6 de febrero de 2015, donde
18 El Grupo de trabajo del Artículo 29 (Directiva 95/46/CE) es un organismo consultivo formado por las
autoridades de protección de datos de los distintos Estados miembros de la UE, por el Supervisor Europeo
de Protección de Datos, así como por la Comisión Europea en calidad de observador y con funciones de
secretariado. Emite dictámenes, guías, recomendaciones y opiniones de alto valor doctrinal, normalmente
citados por los tribunales de los países de la UE, pero sin fuerza de ley. En adelante, WP29.
28
se analizan los criterios de desindexación ofrecidos por la sentencia de mayo de 2014,
además de otros aspectos como el alcance territorial de la decisión de desindexación,
entre otros. Por otra parte, se estudia el formulario que el propio Google ha habilitado
para la solicitud de desindexación de información, así como la sentencia de la Audiencia
Nacional de diciembre de 2014 que resuelve el caso que había derivado en el
planteamiento de la cuestión prejudicial citada (caso Mario Costeja y AEPD v. Google).
Con posterioridad, ya en 2015, el Tribunal Supremo, en sentencia de 15 de octubre de
2015, resuelve un caso en el que rechaza el derecho al olvido en las hemerotecas
digitales de los medios de comunicación, que también es analizada a lo largo de esta
tesis.
Este trabajo también aborda las diferencias en torno a la regulación en materia de
privacidad en EE.UU frente a la UE, dos sistemas que, aunque con puntos de
coincidencia, tienes bastantes diferencias, pese a que, tal y como se verá a lo largo de
esta tesis, se está produciendo, en ciertos aspectos, un acercamiento entre ambos
sistemas en materia de privacidad, pese a algún reciente acontecimiento de
distanciamiento y posterior acercamiento, al que también se hace referencia en esta
investigación, como es la anulación del acuerdo que, desde el año 2000 y hasta octubre
de 2015 ha estado vigente para las transferencias internacionales de datos entre EE.UU
y la UE, denominado Safe Harbour Agreement o acuerdo de Puerto Seguro. Por
supuesto, y dado que se trata de la norma que sustituirá en la UE a la Directiva vigente
de Protección de Datos Personales de las personas físicas, se dedica especial atención en
este trabajo al RGPD, a los nuevos principios y conceptos y novedades que incorpora, y
en especial, a lo que respecta a la regulación sobre derecho al olvido contemplada en el
artículo 17.
29
2.3. Metodología
En relación con la metodología utilizada, se ha seguido el método científico, aplicado a
la Ciencia Jurídica, basado en el conocimiento previo de la materia, el ejercicio de
abstracción, el planteamiento de hipótesis, la observación y sometimiento de todo ello a
análisis y contrastación para, finalmente, elaborar una tesis con sus conclusiones.
Por método se entiende vulgarmente el “modo de decir o hacer con orden una cosa19.
Como indica Sánchez de Diego20, esta primera definición académica nos aporta dos
elementos valiosos del concepto de método. En primer lugar, el método es un modo,
esto es, un procedimiento, una forma de hacer o decir; utilizando una expresión
metafórica, se trata de “una senda que nos lleva a un fin”. En segundo lugar, se trata de
algo ordenado, lo cual significa una coherencia en la formulación, una ausencia de caos
o de aleatoriedad, una formulación derivada de la razón.
De forma más específica, método desde una perspectiva filosófica significa “un
procedimiento que se sigue en las ciencias para hallar la verdad y enseñarla; y es de dos
maneras; analítico y sintético”21. Esta segunda definición nos introduce otro elemento
fundamental, cual es el fin filosófico del método: la verdad y la enseñanza de la misma.
Obsérvese que se trata de una doble finalidad: por un lado el obtener la verdad y, por
otro, comunicarla. Además nos orienta sobre las dos vías para obtener la verdad y
enseñarla: un procedimiento analítico que supone el conocimiento de las partes a partir
19 Real Academia Española: Diccionario de la Lengua Española, Vigésima tercera edición 2014. Método:
Modo de decir o hacer con orden una cosa. 2. Modo de obrar o proceder, hábito o costumbre que cada
uno tiene y observa. 3. Fil. Procedimiento que se sigue en las ciencias para hallar la verdad y enseñarla.
Método real. Vía administrativa del Estado para la tramitación de las preces de los fieles a la Santa Sede. 20 Sánchez de Diego Fernández de la Riva, Manuel: Proyecto docente de Derecho de la Información,
Universidad Complutense, Madrid, 1993, pag. 140 y ss. 21 Acepción tercera del diccionario de la Real Academia de la Lengua Española.
30
de un todo y un procedimiento sintético que procede componiendo, esto es, que a partir
de las partes se llega al todo22. De forma muy general podríamos definir el método
como “el modo ordenado-tanto sea mediante un procedimiento sintético como analítico-
de lograr un fin”23.
A través del ejercicio de la abstracción, y partiendo del conocimiento de los principales
aspectos del objeto observado-en este caso, el derecho a la protección de datos
personales en Internet-se ha comenzado a dialogar en voz alta o plantearse cuestiones e
hipótesis con las posibles soluciones. Así, y de este modo, han surgido interrogantes
clave como: ¿cuál es el origen del derecho al olvido?, ¿es un derecho nuevo o una
modalidad o manifestación de un derecho ya existente?, ¿cabe una respuesta global al
derecho al olvido o debe ser territorial o local? (analogías y diferencias entre EE.UU y
la UE en lo que respecta al derecho al olvido), ¿cómo debe configurarse el derecho al
olvido? (límites y características). ¿ante quién se puede ejercitar el derecho al olvido?
Este trabajo es una tesis jurídico-histórica, jurídico-doctrinal, jurídico-comparativa,
jurídico-prospectiva y jurídico-sociológica. Esta tesis analiza el origen del derecho al
olvido, haciendo un repaso histórico de la intimidad, como concepto y como derecho,
abordando así los orígenes de la intimidad y la privacidad desde un plano antropológico
y jurídico, explicando cómo se ha pasado del derecho a la intimidad, al derecho a la
autodeterminación informativa o derecho a la protección de datos personales, hasta
llegar al denominado derecho al olvido. Asimismo, analiza los estudios científicos de la
doctrina, es decir, de los especialistas en Derecho sobre la intimidad, privacidad,
22 Sánchez de Diego Fernández de la Riva, Manuel: op.cit, pag.147. 23 Ibídem.
31
derecho a la protección de datos personales y derecho al olvido, así como a los expertos
en derecho a la información, libertad de expresión, honor, intimidad y propia imagen.
Como indica Escobar de la Serna24, el conocimiento científico, frente al conocimiento
espontáneo-que es individual y, por lo tanto, subjetivo, por lo que varía con la persona-
es un conocimiento crítico, pues se obtiene racionalmente, sometiendo a examen todos
los resultados con el fin de evitar cualquier posibilidad de error. De esta forma el
conocimiento es objetivo, pues se obtiene, mediante un esfuerzo de ajuste que realizan
colectivamente todos los que se dedican al menester científico, de modo que el
conocimiento obtenido por lo que se ha llamado la convergencia mental de varios
científicos o investigadores, puede considerarse como un avance objetivo de la propia
Ciencia, desvinculado de las condiciones subjetivas de las personas.
Parece innecesario significar la importancia de la metodología en la investigación
científica. El método científico es consustancial a la investigación científica, de forma
que sin aquel no existe auténtica ciencia. Tal es la opinión de Bunge al respecto25. El
orden de los pasos a seguir en la elaboración de algo influye poderosamente en el
resultado. Y ello es así, “tanto para la elaboración de un plato de cocina, como para el
desarrollo de la teoría científica. Con los mismos ingredientes, es el método lo que
determina el producto final”26.
La exposición del método presenta otro aspecto destacable que deriva del hecho de que
el método científico no es ni infalible ni autosuficiente. Como método falible puede
24Ver Escobar de la Serna, Luis: Principios del Derecho de la Información, Dykinsson, 2000. 25Bunge, Mario: La investigación científica, su estrategia y su filosofía, Ariel, Barcelona 1979, pag. 29 y
ss. 26 Ibídem.
32
perfeccionarse mediante la estimación de los resultados a los que lleva, y mediante el
análisis directo. La falta de autosuficiencia exige algún conocimiento previo que pueda
luego reajustarse y elaborarse. En definitiva, “nadie puede empezar a reflexionar sobre
un problema sin tener algún tipo de marco teórico. Todos tenemos alguno, tanto si
somos conscientes de ello como si no”27. Pues bien, la determinación del método
seguido en una investigación que se precie de ser científica, aporta un elemento de
referencia que permitirá a posteriores investigadores mejorar el método y los resultados,
así como evaluar éstos, consiguiendo con ello un conocimiento previo más fidedigno en
investigaciones futuras. Como indica Sánchez de Diego, “es posible que una
investigación científica llegue a resultados incorrectos, normalmente por no realizar una
evaluación fría y objetiva, pero lo importante es que el proceso-el método empleado- de
formulación de la hipótesis y su comprobación se formule de manera transparente, de
forma que se pueda comprobar posteriormente el trabajo realizado28.
Por su parte, el profesor Sánchez Agesta29 considera que adquiere importancia, la
necesidad de definir metodológicamente el proceso de análisis y sistematización de
estas disciplinas. Para lo cual, podemos distinguir entre el primer paso la necesidad de
establecer conceptos tipos, es decir, abstracciones que fijan los elementos esenciales de
determinadas conductas, situaciones o entidades. Dentro de un mismo objeto es posible
la concurrencia de diferentes métodos. En este trabajo de investigación se han seguido
distintos métodos. Aquellas investigaciones que utilizan prevalentemente la razón
utilizan métodos racionales, como los utilizados en este trabajo de investigación.
Asimismo, podríamos hablar de métodos experimentales para referirnos a
27 Meyer, Philip: Periodismo de precisión: nuevas fronteras de la investigación periodística, Barcelona,
Bosch, 1993, pag. 36. 28 Sánchez de Diego y Fernández de la Riva, Manuel: op.cit, pag.149. 29 Vid Sanchéz Agesta, Luis: Principios de Teoría Política, Madrid, Editorial Nacional, 1983.
33
investigaciones que van de lo particular a lo general (inducción), mediante la técnica de
análisis o división de la realidad. Sin embargo, los métodos racionales, van de lo general
a lo particular (deducción), mediante la síntesis. La inducción analítica es una operación
ascendente (de lo concreto a lo abstracto). La deducción sintética es una operación
descendente (de lo abstracto a lo concreto). Esta tesis utiliza una combinación de ambos
métodos, racional y experimental, aunque racional primordialmente.
Tal y como explica Moles, “las teorías abstractas, o teorías sólo deductivas, establecen
el concepto de verdad al imponer convencionalmente los axiomas que formalmente
habrán de respetarse en las deducciones. Los métodos que se adecuan a las teorías
deductivas son los que contribuyen a construir los enunciados formalmente, o sea, a
formularlos de manera que la verdad formal resulte independiente del contenido con que
se interpreten los enunciados. Las teorías inductivas conciben la verdad material como
la confirmación provisionalmente progresiva de la verdad formal contenida
deductivamente en los enunciados, llamados hipótesis antes de ser confirmados y leyes
mientras permanecen confirmados por los hechos”30.
El abuso de método fundado exclusivamente en un modo de conocimiento racional
produce lo que Duverger31 denomina ‘hipersistematización’. El abuso de la experiencia
es designada por dicho autor como ‘hiperempirismo’32. Cada objeto de conocimiento
exige el uso de unas determinadas técnicas experimentales y racionales, cuya
conjugación da lugar, para cada ciencia a un complejo metodológico, sin que se pueda
alcanzar un método universal para todas las ciencias distinto rechazando la pretensión
cotidiana de reducir los métodos a la unidad.
30 Moles, Abraham: La creación científica, Madrid, Editorial Taurus, 1986, pag.14 y ss. 31 Duverger, Maurice: Los métodos de las Ciencias Sociales, Barcelona, Editorial Ariel, 1974, pag. 113. 32 Ibídem.
34
Incluso dentro de un mismo objeto es posible la concurrencia de diferentes métodos.
González Ballesteros33 manifiesta al respecto que “el acceso al conocimiento exige la
vibración de todas las potencias y los sentidos humanos, todo lo cual puede y debe
hacerse extensivo al método: todos los caminos que facilitan o conducen al
conocimiento científico han de integrarse, sin rechazar imprudentemente ninguno. La
apertura y totalidad con que han de tratarse las cuestiones metodológicas son una
garantía más del carácter científico del conocimiento alcanzado34. En definitiva, el
método no es inmutable y único como tampoco lo es la Ciencia, pues como señala
Bunge, “si la ciencia no pretende ser final incorregible, sino sólo más verdadera que
cualquier modelo no-científico del mundo, capaz de probar esa pretensión de verdad,
capaz de descubrir y corregir sus propias deficiencias, con mucha mayor razón el
método tampoco está llamado a ser final e incorregible, sino esencialmente
perfectible”35.
Hemos de partir de la premisa de que toda investigación supone un planteamiento
previo, un proyecto, que consiste precisamente en reconocer de antemano la
problemática de las cosas que han de estudiarse36. Y la determinación del problema a
investigar consiste, a su vez, en la actividad mediante la cual el investigador especifica
de un modo concreto el tema sobre el que va a versar el trabajo científico que piensa
emprender37.
33 González Ballesteros, Teodoro.: Proyecto docente y de investigación de Derecho de la Información,
Madrid, 1990, pag.45. 34 González Ballesteros, Teodoro.: op.cit, Madrid, 1990, pag.45. 35 Bunge, Mario: op.cit, pag. 46. 36 Vázquez, Jesús María y López Rivas, Pablo: La investigación social, O.P.E, Madrid, 1962, pag.1. 37 Sierra Bravo, Restituto: Técnicas de investigación social, Madrid, Paraninfo, 1991, pag.56.
35
Por su parte, Popper38 planteó que una hipótesis sólo se puede confirmar
empíricamente, de modo que, una vez presentada a título provisional una nueva idea,
aún no justificada en absoluto, sea una anticipación, una hipótesis, un sistema teórico o
lo que se quiera, se extraen conclusiones de ella por medio de una deducción lógica;
estas conclusiones se comparan entre sí, y con otros enunciados pertinentes, con objeto
de hallar relaciones lógicas (tales como equivalencia, deductibilidad, compatibilidad o
incompatibilidad, etc), que existan entre ellas.
Desde otra perspectiva, Piaget39 distingue entre Ciencias “nomotéticas” (del griego
nómos, ley) y Ciencias “históricas”. Las primeras incluyen aquellas disciplinas que
intentan llegar a establecer leyes en el sentido, algunas veces, de relaciones cuantitativas
relativamente constantes y expresables en forma de funciones matemáticas, pero
también en el sentido de hechos generales o de relaciones ordinales, de análisis
estructurales, etc., traduciéndose por medio del lenguaje ordinario o de un lenguaje más
o menos formalizado (lógico). La psicología científica, la sociología, la etnología, la
lingüística, la Ciencia económica y la demografía constituyen, sin duda alguna,
ejemplos de disciplinas que persiguen la búsqueda de leyes en el sentido amplio que
acaba de verse.
En cambio se llaman Ciencias históricas del hombre a aquellas disciplinas que tienen
por objeto reconstruir y comprender el desarrollo de todas las manifestaciones de la vida
social a través del tiempo. Ya se trate de la vida de los individuos, cuya acción ha
dejado huellas en esta vida social, de sus obras, de las ideas que han tenido una
influencia duradera, de las técnicas y de las ciencias, de las literaturas y de las artes, de
38 Popper, Karl: Lógica de la investigación científica, Tecnos, Madrid, 1962, pag.27 y ss. 39 Piaget, Jean; McKenzie, William; Lazarsfeld, Paul. et al.: Tendencias de la investigación en las
ciencias sociales, Madrid, Alianza Universidad, 1979, pag.46 y ss.
36
la filosofía y de las religiones, de las instituciones, de los cambios económicos o de otro
tipo y de la civilización en general. La historia abarca todo aquello que ha tenido
importancia para la vida colectiva a lo largo del tiempo, tanto en sus sectores aislados
como en sus interdependencias.
Así, para Escobar de la Serna, “la cuestión que se plantea inmediatamente es la de
determinar si las ciencias sociales constituyen un dominio aparte, susceptible de ser
caracterizado por propiedades específicas y positivas, o si simplemente se ocupan de la
dimensión diacrónica (es decir, la que se aplica a los fenómenos que ocurren a lo largo
del tiempo o no sincrónicos), propia de cada una de las disciplinas nomotéticas,
jurídicas o filosóficas”40. Aun cuando puedan encontrarse todos los grados intermedios
entre el análisis histórico del desarrollo de los fenómenos o acontecimientos en el
tiempo, parece existir entre ellos una diferencia bastante apreciable, que se apoya en una
relación de complementariedad en cuanto al modo en que estos distintos análisis tratan
los factores de este desarrollo temporal. Es decir, por estrecha que sea la relación entre
las Ciencias nomotéticas y las históricas, necesitando la unas de las otras, sus
orientaciones, en tanto que complementarias, son distintas, aun cuando se trate de
contenidos comunes: “a la abstracción necesaria de las primeras corresponde la
restitución de lo concreto en las segundas, y esa es también una función primordial del
conocimiento del hombre, pero una función distinta de la de la elaboración de las
leyes41”.
Aunque podemos considerar que las Ciencias Jurídicas se encuentran a caballo entre las
Ciencias Nomotéticas y las Ciencias Históricas, ocupan sin embargo una posición muy
40 Escobar de la Serna, Luis: op.cit, pag. 178 y ss. 41 Ibídem.
37
diferente debido a que el Derecho constituye un sistema de normas, y una norma se
distingue, por su misma obligatoriedad, de las relaciones más o menos generales
buscadas por las Ciencias nomotéticas bajo el nombre de “leyes”42. En efecto, una
norma no procede de la simple constatación de relaciones existentes, sino de una
categoría aparte, que es la de deber ser. “Lo propio de una norma es, pues, prescribir un
cierto número de atribuciones y de obligaciones que siguen siendo válidas aun en el
curso de que un sujeto las viole o no haga caso de ellas, mientras que una ley natural se
apoya en un determinismo casual, y su valor de verdad depende exclusivamente de su
adecuación a los hechos”43.
Pero, como apunta Escobar de la Serna44, hay una serie de regiones fronterizas entre las
Ciencias propiamente jurídicas y las demás. Hay que tener en cuenta que la historia del
Derecho, en tanto que historia de las instituciones jurídicas (sin hablar de la historia de
las teorías), no es ya una disciplina normativa, sino un análisis de las realidades que han
sido admitidas, y en algunos casos se admiten todavía, como normas por las sociedades
afectadas, siendo para el propio historiador del Derecho unos hechos históricos más.
Esa dualidad de puntos de vista entre lo que es norma para el sujeto, pasado o presente,
y lo que es hecho para el observador, se presenta también, todavía con más claridad, en
una disciplina propiamente nomotética, pero que tiene por objeto el estudio de los
comportamientos jurídicos en tanto que hechos sociales: “es el caso de la Sociología del
Derecho, cuyo objeto no es en modo alguno estudiar, como hace la Ciencia Jurídica, las
condiciones de la validez normativa, sin analizar los hechos sociales relacionados con la
constitución y el fundamento de tales normas, lo cual es bastante distinto. También los
42 Piaget, Jean; McKenzie, William; Lazarsfeld, Paul et al: op.cit, pag.50 y ss. 43 Ibídem. 44 Escobar de la Serna, op.cit, pag. 179.
38
especialistas de esta disciplina introdujeron la noción fecunda y general de hechos
normativos, precisamente para designar lo que es normativo para el sujeto, siendo a la
vez objeto de análisis para el observador que estudia, en tanto que hechos, las conductas
de este sujeto y las normas que admite”45.
Esta noción es de alcance general, lo mismo que el caso del estudio de los hechos
morales, en el que el sociólogo tampoco tiene que ocuparse de la validez de las normas
aceptadas por los sujetos, sino que únicamente debe investigar en virtud de qué
procesos se consideran obligados por esas normas. Del mismo modo, en psicología
genética se estudian también hechos normativos cuando se trata de explicar cómo los
sujetos, en principio insensibles a tales o cuales normas lógicas, terminan
considerándolas necesarias a través de un proceso que en parte depende de la vida social
y en parte de las estructuras internas de la acción46.
En resumen, si bien el dominio jurídico es de naturaleza normativa, no obstante- como
ocurre con todos los demás dominios nomotéticos-da lugar a estudios de hecho y a
análisis causales que se ocupan de las conductas individuales o sociales en relación con
las normas consideradas y, por consiguiente, esos estudios son necesariamente de
carácter nomotético. En particular, cuando una escuela jurídica considera que el sollen
propio de la norma del Derecho no expresa más que la voluntad del Estado y, a través
de ella, la de los agentes sociales que dirigen la sociedad, el Derecho ya no se ocupa
entonces de la categoría formal del deber ser, sino de relaciones puramente materiales
45 Ibídem. 46 Ibídem.
39
que dan lugar a un estudio objetivo. Sólo que, para los normativistas, éste competería a
la Sociología jurídica47.
En esta tesis cobra especial importancia la vertiente histórica. Si comprender los
orígenes y la evolución histórica de los conceptos, principios e instituciones es siempre
conveniente en las Ciencias Sociales, en el ámbito del derecho a la protección de datos
de carácter personal, del derecho a la información, de la libertad de expresión, del
acceso a la información o del derecho a la intimidad, el estudio histórico se convierte en
necesario e ineludible. En la situación actual, el derecho vigente, es más que nunca una
etapa en un proceso. Tener presente la globalidad del proceso es esencial para
comprender e interpretar la situación actual y poder atisbar tanto los posibles cambios
de interpretación de la norma como su eventual reforma en el futuro.
Asimismo, en este trabajo es relevante el análisis jurisprudencial. El Tribunal
Constitucional, el Tribunal de Justicia de la UE (TJUE), el Tribunal Europeo de
Derechos Humanos (TEDH) y la Audiencia Nacional (AN) han jugado un papel
trascendental en el desarrollo del derecho a la protección de datos de carácter personal,
junto con las resoluciones de la Autoridad española de protección de datos (Agencia
Española de Protección de datos o AEPD). Recordemos tan sólo a título de ejemplo
que, precisamente es la jurisprudencia del Tribunal Constitucional (TC) la que eleva a
derecho con rango de derecho fundamental a la protección de datos de carácter personal
y es el propio Tribunal Constitucional, junto con la jurisprudencia del TEDH, la que ha
dado los criterios para configurar los límites del derecho a la intimidad y analizar con
qué otros derechos puede entrar en conflicto, o cuándo debe ceder el uno ante el otro.
47 Ibídem.
40
Tener muy en cuenta esa jurisprudencia en la investigación, conocer su funcionamiento,
sus condicionamientos y límites, saberla interpretar, es esencial para adentrarnos
adecuadamente en la mayor parte de las áreas del derecho a la intimidad y derecho a la
protección de datos de carácter personal.
El ordenamiento jurídico del derecho a la intimidad y del derecho a la protección de
datos de carácter personal no sólo se nutre del Derecho Constitucional y del Derecho
Administrativo, sino que interactúa con otras ramas del Derecho. El Derecho
Internacional, a través de tratados o convenios entre países y el Derecho Comunitario,
también entran en juego, como también lo puede hacer, en ocasiones, el Derecho Penal.
Cada una de estas disciplinas jurídicas tiene su propia lógica interna, por lo que hay que
acostumbrarse pues a una interrelación entre disciplinas jurídicas distintas y a un
diálogo entre las lógicas internas de cada una de ellas. Naturalmente habrá puntos de
fricción y hasta de conflicto y el reajuste no será siempre fácil.
Es conveniente no perder de vista que la lógica sobre la que actúan distintos actores y
sobre la que operan los diversos ámbitos jurídicos no es única sino plural. Por ello, es
clave entender la lógica interna del ordenamiento jurídico constitucional en referencia a
derechos fundamentales pero sin infravalorar otras perspectivas. Sólo ese enfoque desde
el pluralismo jurídico permite comprender la realidad y, una vez dado este primer paso,
buscar las medidas adecuadas para el avance y el ajuste entre las diversas aportaciones
al Derecho a la intimidad y a la protección de datos de carácter personal. Por tanto, esta
investigación tiene en cuenta diferentes ramas y fuentes jurídicas, teniendo muy en
cuenta la perspectiva comunitaria o supranacional.
41
Por último, cabe destacar la multidisciplinariedad de esta investigación. Sin dejar de
tener la naturaleza de un trabajo jurídico, en pocos ámbitos como en el de la protección
de datos en el entorno online o de Internet, se percibe tan bien la imbricación del
Derecho con la Economía, la Historia, la Sociología, la Antropología, la Ciencia
Política, las Relaciones Internacionales, la Pedagogía, la Gestión Empresarial, el
Márketing o la Comunicación. Por tanto, en esta tesis no sólo se ha tratado la privacidad
desde una perspectiva jurídica, sino también sociológica, histórica, económica o desde
la perspectiva del desarrollo tecnológico o la privacidad en los modelos de negocio. Es
decir, se ha analizado la cuestión de la privacidad desde una óptica amplia, en la que
convergen elementos económicos, sociales, jurídicos, antropológicos o históricos,
tecnológicos o culturales. No cabe duda de que en el estudio del Derecho, resulta clave
el estudio de conductas y de sus tendencias, comportamientos, relaciones entre
individuos o entre empresas, situaciones y hechos que demandan una respuesta jurídica,
aspectos que el legislador debe tener en cuenta a la hora de regular.
Por otra parte, en esta tesis doctoral también se realiza un análisis jurídico-comparativo,
abordando las diferencias y analogías entre el sistema en EE.UU y en la UE, en lo que
respecta a la privacidad y la protección de datos personales. Por tanto, se trata también
de un estudio de Derecho comparado. Además, desde el momento en el que se detecta
un problema al que hay que dar respuesta, esta tesis doctoral es jurídico-prospectiva,
dado que cuestiona una ley o institución jurídica vigente y detecta fallos para proponer
cambios o reformas legislativas.
42
2. 4. Fuentes y bibliografía
Para la elaboración de esta tesis doctoral se han utilizado fuentes de investigación, tanto
documentales como de campo. En lo que respecta a las fuentes bibliográficas
documentales cabe destacar: las fuentes del Derecho como leyes, reglamentos y demás
normativa de ámbito nacional, reglamentos y directivas comunitarias, normativa de
EE.UU, convenciones y tratados internacionales, jurisprudencia española y comunitaria,
así como de EE.UU, además de recomendaciones y dictámenes de soft law y códigos
de autorregulación de empresas. Se han tenido en cuenta textos, entre otros, como la
Declaración Universal de Derechos Humanos, Convención Europea de Derechos
Humanos, Carta de Derechos Fundamentales de la UE o la Constitución federal de
EE.UU de 1789 y, más en concreto, algunas de sus enmiendas como la primera, cuarta,
novena o decimocuarta que han sido detalladamente analizadas.
Para la elaboración del Capítulo octavo de esta tesis, centrado en el RGPD, se han
tenido en cuenta los distintos borradores del texto durante su tramitación así como los
documentos con opiniones o informes de organismos europeos que se pronunciaron
sobre el texto durante su tramitación.
Por otra parte, se ha estudiado a numerosos eruditos y expertos en Derecho a la
intimidad y protección de datos, teniendo esta tesis doctoral abundantes citas
doctrinales. Asimismo, se ha recurrido a libros y revistas, tanto jurídicas como
especializadas en Comunicación, Periodismo, Economía o Tecnología, entre otras
disciplinas. Asimismo, entre las fuentes bibliográficas figuran artículos periodísticos,
publicados en prensa escrita y online. También se han utilizado informes y estudios de
43
instituciones públicas de reconocido prestigio así como de organizaciones del sector
privado, también de prestigio, como importantes consultoras estratégicas de negocio.
También, se han tenido en cuenta iniciativas de la Comisión Europea (CE) u otros
organismos, como Comunicaciones de la CE o estudios de dicha institución, u
opiniones, recomendaciones y dictámenes del órgano que integra a las autoridades de
protección de datos europeas, al Supervisor Europeo de Protección de Datos y a la CE,
conocido como el WP29. Además, se han analizado diversas resoluciones
sancionadoras de la Agencia Española de Protección de Datos (AEPD) así como Guías
o informes de dicho organismo o sus homólogos en otros Estados Miembros de la UE.
Por otra parte, y puesto que se trata de una tesis doctoral multidisciplinar, además de
doctrina jurídica, se ha tenido en cuenta a autores de otras disciplinas, como la
Economía, Tecnología, Historia, Política o Pedagogía, entre otras.
En lo referente a las técnicas de investigación de campo, se han realizado entrevistas a
directivos de empresas tecnológicas, representantes de asociaciones empresariales o a
abogados expertos en la materia y también visitas a empresas tecnológicas. Además, se
han aportado los conocimientos adquiridos en varios seminarios y congresos sobre la
materia, a los que la doctoranda ha asistido y que, en algunos casos, ha intervenido
como ponente o conferenciante.
En lo que respecta al bloque de bibliografía de esta tesis, comienza con las referencias
doctrinales o bibliografía utilizada para aportaciones doctrinales, contando con
abundantes citas doctrinales de autores nacionales y extranjeros, tanto de obras
monográficas como de artículos científicos publicados en revistas de prestigio.
44
Posteriormente, incluye el bloque referente a jurisprudencia y resoluciones de la
Agencia Española de Protección de Datos (AEPD) analizadas, donde se incluyen tanto
sentencias de tribunales europeos y españoles como jurisprudencia norteamericana.
Como tercer bloque en el apartado de la bibliografía, se incluye la normativa, soft law y
documentos de organismos de las instituciones de la UE. Posteriormente, otro apartado
con los documentos del WP 29 que se han estudiado, seguido de un apartado con
informes y estudios tanto de instituciones públicas como de organizaciones privadas.
Finalmente, se incluye un último apartado, donde se recogen otras referencias
bibliográficas como discursos de académicos, artículos en prensa, boletines
informativos, blogs o noticias.
2. 5. Hipótesis y Tesis
Esta tesis es una tesis jurídica, pero en la que se tienen en cuenta más conocimientos o
materias ajenas a la ciencia del Derecho. De hecho, una de las hipótesis que la
doctoranda pretende contrastar a lo largo de esta investigación es que la propia
disciplina de la privacidad, del derecho a la privacidad y protección de datos personales,
está en estrecha relación con otras áreas de conocimiento y, por tanto, entender bien la
privacidad en Internet no implica sólo un conocimiento del Derecho, sino también, de
otras disciplinas relacionadas como la Sociología, Antropología, Economía, el
Periodismo o la Comunicación, entre otras. La privacidad es una ciencia
multidisciplinar y, precisamente, ésta es una de las hipótesis planteadas.
45
Esta investigación se centra en un objeto o materia, la privacidad en Internet y, más en
concreto, el derecho al olvido en Internet, que es no sólo muy reciente en el tiempo, sino
que está en constante cambio o evolución, ya que, tanto el Derecho como Internet o la
Tecnología son dinámicas y cambiantes. Por ello, esta tesis deja líneas de investigación
abiertas. Otra de las hipótesis, y relacionada con el carácter cambiante del Derecho y de
la Tecnología, es que la privacidad y, por ende, cualquier derecho derivado de la misma,
no es un concepto estático, sino sometido a constante evolución, algo que varía no sólo
en el tiempo, sino en función de otros diversos factores, como la cultura, civilización, la
etapa de la vida de la persona, educación, valores, contexto social, y otros diversos
elementos que se analizarán a lo largo de esta tesis. Debido a los rápidos avances
tecnológicos, podemos hablar a día de hoy de un nuevo paradigma de privacidad al que
se debe dar respuesta.
Los conflictos que se pueden ocasionar entre el derecho a la privacidad, intimidad o
protección de datos y el derecho a la información, acceso a la información, libertad de
expresión y desarrollo e innovación e impulso a los nuevos modelos de negocio
disruptivos han ido planteando nuevas vertientes y enfoques. Esta tesis doctoral analiza
un derecho que se concreta en la cancelación u oposición al tratamiento de datos
personales en un motor de búsqueda de Internet u otros servicios de la sociedad de la
información y referido a las personas físicas. No obstante, también se ha reflexionado
sobre los mecanismos que están al alcance de personas jurídicas cuando éstas quieren
borrar o cancelar informaciones o datos en Internet, a través de los mecanismos
existentes en vía civil para la defensa del honor, intimidad y propia imagen. Esta tesis
asimismo pretende demostrar que, el derecho al olvido, al derivar de un derecho
fundamental, como es el derecho a la autodeterminación informativa o protección de
46
datos de carácter personal, gozaría de esa misma condición, en el sentido de que sólo lo
podría ejercitar la persona física, y no es nunca un derecho absoluto, debiendo ser
sometido a ponderación con otros intereses o derechos en conflicto, en busca de un
punto de equilibrio.
Por otra parte, se reflexiona sobre la administrativización del derecho al olvido con la
sentencia del caso Mario Costeja y AEPD v. Google con la creación de un nuevo
procedimiento para ejercitar el derecho ante motores de búsqueda, como respuesta para
solucionar el reto que plantea el acceso a la información cuasiuniversal y en tiempo real
que proporcionan los motores de búsqueda en Internet. Si bien es cierto que los motores
de búsqueda permiten una mayor exposición del individuo e impactan en la privacidad
cuando permiten acceder a informaciones o datos relativos a una persona con nombres y
apellidos, no es menos cierto que los prestadores de servicios de la sociedad de la
información pueden incorporar protocolos de no indexación, al igual que también
contamos con una legislación del honor, intimidad y propia imagen48, que ha venido
dando una respuesta satisfactoria durante años a los conflictos entre el derecho a la
intimidad y el derecho a la información. Por otra parte, este trabajo plantea como
hipótesis que la sentencia del caso Mario Costeja y la AEPD v. Google podría implicar
tener que replantearse la compatibilidad del fallo judicial con la Directiva de Comercio
Electrónico, en la que se contempla la exención de responsabilidad de los prestadores de
servicios de la sociedad de la información intermediarios frente al contenido de terceros
que alojan.
48 Ley Orgánica 1/1982, de 5 de mayo, de protección civil del honor, intimidad y propia Imagen.
47
Este trabajo plantea también la hipótesis de que el derecho al olvido es la manifestación
de un derecho existente, que es la cancelación u oposición de datos personales en un
entorno muy concreto, que es el entorno de Internet. Por tanto, no se trataría de un
derecho nuevo sino de la manifestación en un entorno concreto (el entorno sí sería
relativamente nuevo) de un derecho ya existente.
Por otra parte, otra de las hipótesis que se plantean es que la respuesta al desafío del
derecho al olvido, así como a los retos en general de la privacidad en el entorno digital,
no debería ser exclusivamente una respuesta legislativa sino que también debe tenerse
en cuenta la respuesta educativa, formativa, o la que debe dar la propia industria
tecnológica a través de buenas prácticas y fomentando la transparencia para que el
individuo sepa cómo actuar en Internet y pueda estar en verdadero control de sus datos.
No todo debería ser legislación y caer en el error de la sobrerregulación.
La tesis que se defiende en este trabajo de investigación es que, dado que la Directiva
europea 95/46/CE de Protección de Datos, vigente en la actualidad pero que será
sustituida en mayo de 2018 por el RGPD 679/2016, data de una fecha muy anterior al
boom de Internet o a la consolidación de Internet como herramienta indispensable, no
estaba diseñada para supuestos como los que se han venido planteando en los últimos
años. En concreto, la Directiva no estaba pensada ni preparada para avances
tecnológicos que han surgido en los últimos años, como los drones, el Internet de las
cosas, la inteligencia artificial o el Big Data. Particularmente, la normativa vigente
tampoco da respuesta al reto de la cancelación de datos en motores de búsqueda en
Internet o en la Red. Por todo ello, este trabajo defiende que es necesaria una
actualización y una adaptación de la normativa a la realidad imperante, en un mundo
48
permanentemente conectado a Internet. Asimismo, y en la medida en que Internet es
dinámico y cambiante, la regulación que se apruebe debe procurar su estabilidad en el
tiempo y evitar que quede desfasada en un plazo relativamente corto. Es decir, debe
tenerse en cuenta que se está regulando sobre un objeto dinámico y cambiante. No sólo
debe adaptarse la legislación sino también su aplicación y su interpretación por
autoridades de protección de datos y tribunales. También, las propias empresas de la
industria tecnológica deben adaptar sus prácticas empresariales y políticas de privacidad
a las demandas del nuevo paradigma de la privacidad en el entorno digital y, en
concreto, realizar las adaptaciones internas necesarias o creación de sistemas para dar
respuesta a las solicitudes de derecho al olvido. Además de una necesaria actualización
de la normativa, esta tesis defiende que la regulación, dada la materia dinámica y
cambiante sobre la que se regula, debe ser una regulación flexible y de principios,
evitando caer en la prescripción detallada, que puede llevar al desfase de la regulación
en un corto período de tiempo.
El punto de partida ha sido, por tanto, haber detectado un problema, al que se han
planteado posibles soluciones a través de hipótesis. El problema detectado no es otro
que, dada la Era digital en la que vivimos, de permanente conexión cuasiuniversal a
Internet dicho ya anteriormente, han surgido nuevos retos a los que hay que dar una
respuesta jurídica, entre los que se encuentra el denominado derecho al olvido o al
borrado de datos en los motores de búsqueda en Internet, en prestadores de servicios de
la sociedad de la información o en la Red, en general. A través de la observación y
contrastación de diversas hipótesis, este trabajo defiende que la normativa actual es
obsoleta y no se adapta al reto del derecho al olvido. Por tanto, debe adaptarse al
fenómeno digital en el que el derecho al olvido tiene lugar, abogando por una normativa
49
armonizada, flexible y de principios. A su vez, debe adaptarse la interpretación que de
la normativa realizan los diversos órganos administrativos y tribunales así como las
propias empresas deben adaptar sus sistemas y procesos para dar respuesta a los nuevos
retos –el derecho al olvido, entre otros- y cumplir con la futura normativa de protección
de datos. La normativa vigente no se ajusta a los retos actuales, entre los que se
encuentra el derecho al olvido, y es necesaria una armonización normativa a nivel de la
UE. Teniendo en cuenta, además, que las empresas compiten en un mercado global, es
aconsejable que el marco de la UE no esté aislado y se avance en la reducción de
asimetrías en lo que respecta a la regulación en materia de privacidad en las distintas
zonas geográficas, siendo deseable contar con estándares globales comunes, así como
un acercamiento en lo que respecta a la regulación entre la UE y EE.UU o Asia-Pacífico
o Latinoamérica.
El nuevo artículo 17 del RGPD regula un derecho hasta ahora no contemplado o, al
menos, no regulado hasta ahora en la forma en la que el nuevo Reglamento lo regula. La
aparición de los prestadores de servicios intermediarios en la Red, como puede ser un
motor de búsqueda en Internet o una red social, en la que tanto el motor de búsqueda
como la red social no editan contenido sino que son transmisores o conectores ha
supuesto un cambio de paradigma, como también lo ha sido la generación de contenido
en Internet por parte de los propios usuarios. Todo ello ha llevado a replantearse la
adecuación del marco normativo europeo en el ámbito de protección de datos y a que en
enero de 2012 la Comisión Europea plantease una propuesta legislativa de reglamento
para crear un nuevo marco que pueda dar respuesta a estos retos. El derecho a la
cancelación de datos contemplado en la Directiva de 1995 está pensado para un mundo
analógico y no para un entorno digital en el que la esencia de la Red es el enlace (link en
50
su denominación en inglés), que implica un acceso a la información sin precedentes y a
gran escala. Big Data, el Internet de las Cosas, la inteligencia artificial o las decisiones
que afectan a las personas, basadas en algoritmos, plantean nuevos retos, que indicen en
cierta medida en la privacidad de las personas y que demandan un nuevo marco
normativo, a la vez que se hacen necesarias políticas públicas que permiten equilibrar la
necesaria innovación y progreso con el debido respeto a la privacidad de las personas.
51
3. Los retos de la nueva economía digital
3.1. Impacto económico de la economía digital
La nueva economía digital tiene numerosos frentes abiertos en aspectos regulatorios,
siendo la privacidad y la protección de datos en el ámbito digital uno de los retos
importantes, pero no el único. Otros desafíos regulatorios relacionados con el desarrollo
tecnológico son la propiedad intelectual en Internet, fenómenos como las denominadas
plataformas de consumo colaborativo, el denominado crowdfunding o
microfinanciación, la normativa relacionada con consumidores y usuarios en el entorno
de Internet, o la regulación sobre nuevos medios de pago, entre otros. Consideramos
que es esencial realizar un análisis de lo que es la economía digital, su aportación y
evolución, desde el momento en el que un análisis del derecho al olvido o de la
desindexación de información en motores de búsqueda o en Internet, requiere un
análisis del ecosistema en el que los buscadores se desarrollan, que no es otro que el
ecosistema digital o de Internet. Sin Internet no podemos hablar de desindexación ni,
por tanto, de derecho al olvido.
La Economía digital es aquella que deriva de las nuevas tecnologías o de Internet. La
Organización para la Cooperación y Desarrollo Económico (OCDE) ha ofrecido una
definición de lo que se considera Economía digital, destacando los rasgos característicos
de la misma y peculiaridades de los modelos de negocio propios de la misma. Al
respecto, destaca que la Economía digital puede definirse como “la que comprende los
mercados basados en tecnologías digitales que facilitan el comercio de bienes y
52
servicios a través del comercio electrónico”49. Por su parte, el Plan de Acción de la
OCDE denominado Base Erosion and Profit Shifting (proyecto BEPS)50, que aborda la
cuestión de la fiscalidad de la economía digital con el fin de afrontar la deslocalización
de beneficios a territorios offshore51 y la erosión de bases impositivas, no ofrece una
definición de economía digital pero sí proporciona unas características definitorias de la
misma, entre las que destacan “el apoyo en activos intangibles, el uso masivos de datos
particularmente de carácter personal, la proliferación de los modelos de negocio
denominados multi-sided52 en los que participan varias partes capturando valor de las
externalidades generadas por productos gratuitos, y la dificultad de determinar la
jurisdicción en la que la creación de valor se produce”. En octubre de 2015, se presentó
el paquete de medidas o informe final del Proyecto BEPS.
El Grupo de Expertos sobre Fiscalidad de la Economía digital, creado por la Comisión
Europea en octubre de 2013, celebró su primera reunión el 12 de diciembre de 2013
para abordar la materia de la fiscalidad de la economía digital, con el fin de debatir y
reflexionar sobre cómo debe ser la fiscalidad de este tipo de economía con el propósito
de atajar la planificación fiscal agresiva que adoptan muchas multinacionales
tecnológicas, lo que se ha convertido en un objetivo político del G-20 y, en menor
medida, del G-8. En el marco de este encuentro del Grupo de Expertos sobre Fiscalidad
49 Working Paper sobre cuestiones generales del Grupo de Expertos sobre Fiscalidad de la Economía
digital, tras la primera reunión celebrada por dicho grupo de expertos el pasado 12 de diciembre de 2013.
Bruselas, 12/12/2013, TAXUD D1/JT, Digit/002/2013. 50 El proyecto BEPS (Base Erosion and Profit Shifting), de la OCDE, fue adoptado por el citado
organismo internacional encargado de establecer los estándares en materia de fiscalidad, en junio de
2012. El pasado 5 de octubre de 2015, se presentó el paquete definitivo de medidas del proyecto BEPS.
http://www.oecd.org/newsroom/la-ocde-presenta-los-resultados-del-proyecto-beps-de-la-ocde-y-el-g20-
para-su-discusion-en-la-reunion-de-los-ministros-de-finanzas-del-g20.htm. 51 Los territorios offshore son aquellos de baja o nula tributación. 52 Un buen ejemplo de modelo de negocio multi-sided, en los que se captura valor de externalidades
positivas generadas por los productos gratuitos, son los motores de búsqueda, en los que por un lado el
usuario acude a un motor de búsqueda para acceder a información a la vez que sirve de canal para los
anunciantes, obteniendo el usuario valor accediendo a la información de una forma gratuita.
53
de la Economía Digital se definieron las características de la Economía digital:
“innovación intensiva y tendencia a hacer un mayor uso de nuevas fuentes de
financiación (capital riesgo); énfasis en la importancia de activos intangibles más que en
activos tradicionales tangibles, como por ejemplo énfasis en patentes, trademarks,
copyrights, franquicias, licencias, etc.- en la creación de valor y de servicios
electrónicos como productos finales; la emergencia de nuevos modelos de negocio
basados en efectos de redes, contenido generado por el usuario (user generated content),
la captación y explotación de datos personales, etc; y el comercio electrónico
transfronterizo (cross-border), incluyendo la entrega de formas tradicionales de
comercio a través de nuevos canales”.
Aunque España está avanzando en su transformación digital y en el desarrollo de la
economía digital, en comparación con otros países avanzados de nuestro entorno aún se
encuentra rezagada y debe mejorar su posición en los principales indicadores de
digitalización. Así se desprende del Índice NRI (Networked Readiness Index) del Foro
Económico Mundial 2016, que sitúa a España en el puesto 35 sobre 139, en lo que
respecta al avance digital, logrando 4,8 puntos sobre 753. Por su parte, el índice europeo
DESI (Digital Economy and Society Index) sitúa a España en el puesto 15, ligeramente
por detrás de la media europea pero creciendo a un ritmo mayor que la media54. Según
un reciente informe de Accenture presentado en Davos, el 19,4% del PIB español está
ligado actualmente a entornos digitales, lo que equivale a 231.000 millones de dólares55.
El citado informe pronostica que en 2020 este porcentaje de contribución crecerá hasta
53 Global Information Technology Report, Foro Económico Mundial, 2016, pag.31. 54 Digital Economy and Society Index (DESI), 2016. https://ec.europa.eu/digital-single-market/en/desi 55 Informe de Accenture Strategy, Digital disruption: the growth multiplier, 2016.
https://www.accenture.com/es-es/insight-digital-disruption-growth-
multiplier?c=ad_gispainFY16_10002070&n=bac_0216
54
el 22% del PIB, lo que supondría un volumen de 290.000 millones de dólares. Otro dato
curioso e interesante para ayudar a comprender el impacto de la Economía digital es que
si ésta fuese un país, estaría situada en quinta posición mundial, sólo por detrás de
EE.UU, China, Japón y la India56.
Con respecto al impacto del Internet móvil en la Economía en Europa, según un reciente
presentado en 2015 realizado por Boston Consulting Group para Google57, sólo en
Alemania, España, Francia, Italia y Reino Unido, el Internet móvil ha generado unos
ingresos de 90.000 millones de euros y ha creado 500.000 puestos de trabajo, la mitad
de ellos basados físicamente en dichos países.
La fuerte irrupción y el rápido desarrollo de la economía digital ha implicado la
aparición de nuevos productos y servicios innovadores y la entrada de nuevos
competidores en sectores tradicionales de la economía. Por ello, las empresas de los
distintos sectores, fundamentalmente banca y seguros, telecomunicaciones o industrias
como la automovilística, están inmersas en un proceso de transformación digital que les
permita resistir en este nuevo ecosistema donde entran a competir nuevas empresas de
base tecnológica. La digitalización de las empresas conlleva “una potencial disrupción
en toda la cadena de valor, innovando en productos y servicios, mejorando la
experiencia de usuario y apostando por la omnicanalidad”58.
56 Informe de Adigital (Asociación Española de la Economía Digital) realizado por Rocasalvatella
Transformación digital y su impacto socioeconómico, diciembre 2014, pag.5. 57 Informe The mobile Internet Economy in Europe, Boston Consulting Group para Google, diciembre
2014. 58 Álvarez Caro, María: “La digitalización: retos y oportunidades para las empresas”, Suplemento Foro
Empresarial, nº 3, La Vanguardia, 1 de octubre 2016.
http://www.lavanguardia.com/tecnologia/20161001/41709352605/retos-oportunidades-empresas.html
55
Asimismo, las nuevas tecnologías han traído nuevos interrogantes al campo del Derecho
y materias jurídicas tradicionales ya con tiempo de rodaje, han tenido o están teniendo
que adaptarse al nuevo fenómeno digital. Además de la privacidad y la protección de
datos, que es el objeto de estudio en esta tesis doctoral, otras materias relacionadas con
la economía digital están teniendo que sumarse a esta transformación o adaptación al
entorno de la digitalización global propia del siglo XXI y al auge de las nuevas
tecnologías, como son, entre otras, la propiedad intelectual, la normativa sobre derechos
de los consumidores y usuarios o la fiscalidad. Así, por ejemplo, también Internet ha
pulido conceptos como la reproducción de obras, propiedad intelectual, distribución o
almacenamiento, en referencia a los cambios en el ámbito de los derechos de autor.
Con el desarrollo de las Tecnologías de la Información y Comunicación (TIC) y el
mayor acceso a Internet, han surgido nuevos modelos de negocio así como nuevos
perfiles profesionales, transformándose asimismo la educación y muchos otros órdenes
de la sociedad. El trabajo con un perfil digital está en claro aumento. En este sentido, los
especialistas digitales son requeridos tanto por empresas online como por firmas
tradicionales que transforman sus negocios. Se ha detectado que la mayoría de estos
nuevos perfiles digitales operan con polivalencia en diversos sectores, como lo hacen
los desarrolladores de aplicaciones o los expertos en marketing online. Ello se explica
por la transversalidad que presentan los contenidos digitales entre los diversos sectores.
Entre los perfiles más demandados se encuentra el experto en posicionamiento online,
especialista en marketing online o community manager o los científicos de datos, que se
encargan de extraer valor de la gran cantidad de datos que manejan las organizaciones.
Por otro lado, el avance tecnológico está teniendo un impacto en el trabajo en sí mismo,
siendo cada vez más frecuente la figura del autónomo o freelance, a la vez que
56
aumentando los procesos automatizados, surgiendo el debate sobre cuál será el futuro
del trabajo. A este respecto, se ha analizado recientemente cómo está afectando al
trabajo tecnologías emergentes como la robótica, inteligencia artificial y cómo se ha
expandido el potencial de la automatización y los algoritmos, destacando que “el 47%
de los puestos actuales en EE.UU son susceptibles de automatización en las próximas
décadas”59.
3. 2. Cloud Computing
Una de las revoluciones digitales de los últimos tiempos, con importantes repercusiones
en el plano de la privacidad, es el Cloud Computing o Computación en la Nube. Ésta ha
sido definida como “un modelo para hacer posible el acceso a red adecuado y bajo
demanda a un conjunto de recursos de computación configurables y compartidos (por
ejemplo redes, servicios, servidores, almacenamiento, aplicaciones y servicios) cuyo
aprovisionamiento y liberación puede realizarse con rapidez y con un mínimo esfuerzo
de gestión e interacción por parte del proveedor del Cloud”60. Puede considerarse como
“una nueva forma de prestación de los servicios de tratamiento de la información, válida
tanto para una empresa como para un particular y, también, para la Administración
Pública”61, que permite al usuario “optimizar la asignación y el coste de los recursos
asociados a sus necesidades de tratamiento de información”62.
59 Berger Thor y Frey Carl: “Structural transformation in the OECD: digitalization, deindustrialization
and the future of work”, OECD Social, Employment and migration Working Papers, No 193, OECD,
Paris, 2016, pag.3. 60 Ver el documento Riesgos y amenazas en Cloud Computing, Instituto Nacional de Tecnologías de la
Comunicación (INTECO), Ministerio de Industria, Turismo y Comercio del Gobierno de España, 2011. 61Ver la Guía para clientes que contraten servicios de Cloud Computing, AEPD, 2013. 62 Ibídem.
57
Como ha dicho el destacado creador de la licencia Creative Commons63, Lawrence
Lessig, la tecnología siempre se adelanta al Derecho. O dicho de otro modo hay una
falta de sincronización: la tecnología evoluciona a pasos agigantados, mientras que la
evolución del Derecho es mucho más lenta y cuando finalmente se aprueba una
normativa para regular una determinada tecnología, en muchos casos, la tecnología
vigente ya es otra más nueva, habiendo quedado la primera obsoleta. En parte, y ya
ofreciendo una opinión o valoración personal, quizá sea esta realidad la que hace
precisamente del denominado Derecho digital o Derecho de Internet una especialidad
jurídica apasionante, en la que es necesario actualizarse de forma constante al compás
de los avances tecnológicos que van planteando nuevos interrogantes o retos jurídicos.
Las repercusiones que, desde el plano jurídico, pueden tener nuevas tecnologías de
servicios como el Cloud Computing, son importantes, en lo que respecta a los datos de
carácter personal64. Nadie pone en duda que se trata de una tecnología beneficiosa para
las empresas, que las ayuda a reducir el coste de infraestructura de forma considerable y
que cada vez está más presente en el mundo empresarial, incluso en sectores que
tradicionalmente han sido muy conservadores o manejan información sensible, como es
el sector financiero65. En concreto, y precisamente en relación con el Cloud Computing
en el sector financiero, ENISA (Agencia Europea de Seguridad de las Redes y de la
Información) publicó en diciembre de 2015 un documento sobre recomendaciones para
un uso seguro del Cloud Computing en el sector financiero, desatacando que la
63 La Licencia Creative Commons, creada por Lawrence Lessig, son licencias de derechos de autor, de
copyright, publicadas por una organización sin ánimo de lucro (Creative Commons) de Estados Unidos
fundada en 2001. Disponibles en 43 jurisdicciones a nivel global y en otras tantas en fase de desarrollo. 64 La Estrategia de Mercado Único Digital, presentada el pasado 6 de mayo de 2015 por la CE, contempla
en el tercer pilar relativo a la maximización del potencial del crecimiento de la sociedad y economía
digital, una iniciativa para el impulso de los servicios del Cloud Computing.
https://ec.europa.eu/priorities/digital-single-market_en 65 Numerosas empresas de diversos sectores, dado el importante ahorro de costes que les supone, están
llevando a cabo acuerdos de outsourcing para servicios en la Nube, entre otras, los bancos.
58
seguridad y privacidad son precisamente los riesgos principales en la externalización a
través del Cloud Computing66.
El Cloud Computing, implementado correctamente contribuye a la mejora de la agilidad
y productividad de las compañías, ahorro de costes y convierte costes fijos en variables.
Sin embargo, y puesto que el cloud lleva consigo la transmisión de gran cantidad de
información y de datos, algunos de ellos de carácter personal, es importante tener en
cuenta que se deben adoptar medidas de seguridad importantes para garantizar la
confidencialidad de la información que manejan las empresas, el secreto profesional en
su caso, o el derecho a la protección de datos de carácter personal de las personas y, en
algunos casos, también el derecho a la intimidad de las personas67.
Precisamente en relación con el punto de la seguridad de la información hay una
coincidencia entre proveedores y clientes del Cloud Computing, al señalar que es
precisamente la seguridad uno de los más importantes elementos del servicio.
Precisamente por ello, la mayoría de proveedores ya garantizan la seguridad como parte
del servicio, a través de la adopción de distintos estándares internacionales68.
66 Ver el documento Secure use of Cloud Computing in the Finance sector, ENISA, 7 de diciembre de
2015. https://www.enisa.europa.eu/publications/cloud-in-finance 67Ver el Informe de la AEPD y del Consejo General de la Abogacía Española (CGAE) sobre utilización
del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter
personal, 2012.
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/junio/in
forme_CLOUD.pdf 68 Ver el artículo “Cloud computing: de la teoría a la práctica”, elaborado por María González, asociada
senior de IT de Écija Abogados, escrito en LegalToday.com, al hilo del encuentro sobre cloud computing
organizado por IDG y Computerworld, el pasado 12 de diciembre de 2013.
http://www.legaltoday.com/blogs/nuevas-tecnologias/blog-ecija-2-0/cloud-computing-de-la-teoria-a-la-
practica
59
Con respecto a la tecnología de Cloud Computing, ha surgido una tendencia en las
empresas a su uso generalizado en los últimos tiempos, aunque la cuestión de la
seguridad o pérdida de control de la información es algo que inquieta a algunas
compañías.
Según la definición de NIST (National Institute of Standards), se definen tres modelos
de servicio en Cloud “en función de la capa de tecnología que se provea, y por tanto, del
diferente tipo de control que el usuario final tenga sobre la infraestructura
tecnológica”69. Estos tres modelos serían: IaaS (Infraestructure as a service), Paas
(Platform as a service) y Saas (Software as a service). En el caso del Iaas “se trata de la
provisión de sistemas hardware como el acceso a servidores, capacidad de cómputo,
sistemas de almacenamiento, dispositivos de comunicaciones, etc”70. En el caso del
Paas, se “suministra un entorno de desarrollo donde los programadores pueden generar,
testear y/o ejecutar sus aplicaciones informáticas. Además de lenguajes de
programación y otras herramientas de programación, se provee también de la
infraestructura Iaas necesaria para su ejecución”71. Finalmente, en el Saas, “es posible
ofrecer aplicaciones finales que se alojan y ejecutan en una infraestructura física y de
aplicación controlada por el proveedor”72.
Asimismo, el Cloud Computing es una tecnología global, por la que, además, están
apostando países en las distintas geografías. En abril de 2016, la Comisión Europea
presentaba la Iniciativa Europea de Computación en la nube, con el fin de construir en
69 Cuesta, Carmen; Alonso, Javier; Tuesta, David; y Fernández de Lis, Santiago: “El desarrollo de la
industria del cloud computing: impactos y transformaciones en marcha”, Observatorio Economía Digital,
BBVA Research, 4 de julio de 2014, pag.1. 70 Ibídem. 71 Ibídem. 72 Ibídem.
60
Europa una economía competitiva de los datos y del conocimiento, apostando por el
Cloud Computing en el ámbito de la investigación73. Pese a ser un fenómeno global, por
el que ya están apostando fuerte muchos países, no en todos ellos el entorno es igual de
favorable para el impulso de esta tecnología que, como se ha ya destacado, es de
aplicación tanto para el sector público como para el sector privado. En este sentido, se
ha elaborado una clasificación sobre la preparación de los países para impulsar el
crecimiento de un mercado de la nube totalmente integrada, una clasificación que
evalúa leyes y reglamentos de los países que, en conjunto, representan el 80% de la
información del mundo y las tecnologías de las comunicaciones74. En concreto, se
estudian distintas áreas: privacidad; ciberseguridad; cibercrimen; propiedad intelectual;
interoperabilidad de la tecnología y armonización legal; libre comercio; o
infraestructura de tecnologías de la información. Según esta clasificación, en cuanto a
los cinco primeros puestos del ránking, el primer lugar lo ocupa Japón, seguido de
EE.UU, Alemania, Canadá y Francia. España ocupa la undécima posición, por detrás de
Italia, Reino Unido y Polonia75.
En cuanto a los motivos por los que las empresas se suman al Cloud, sin duda, destaca
el motivo de ahorro de costes y un mejor aprovechamiento de los recursos tecnológicos.
Este modelo puede generar importantes beneficios económicos tanto para la empresa
usuaria de servicios como para la compañía proveedora de los mismos. Entre los
servicios que ofrece el Cloud, destacan las aplicaciones de procesamiento de textos,
agendas y calendarios, sistemas de archivos para el almacenamiento de documentos en
73 Comunicación de la Comisión Europea, al Parlamento Europeo, al Consejo, al Comité Económico y
Social Europeo y al Comité de las Regiones, Iniciativa Europea de Computación en la Nube: construir en
Europa una economía competitiva de los datos y del conocimiento, de 19 de abril de 2016.
http://ec.europa.eu/transparency/regdoc/rep/1/2016/ES/1-2016-178-ES-F1-1.PDF 74 Ver el estudio BSA Cloud Computing Global Scorecard, 2016. http://cloudscorecard.bsa.org/2016/ 75 Ibídem.
61
línea y soluciones de contratación de email. El Cloud Computing se caracteriza
fundamentalmente por tratarse de servicios de IT (Information Technology) bajo
demanda, como recursos, software y/o datos, y tratarse de servicios a través de redes de
telecomunicaciones. A la hora de valorar una empresa la migración al Cloud, sobre todo
debe valorar si el proveedor de servicios está en la UE o en territorio fuera de la UE,
puesto que si ésta se encuentra en territorio fuera de la UE, podría perderse el control de
la información, o poner en riesgo la información para el caso de que se aloje o se trate
en países que no tengan un nivel adecuado de protección de datos y similar al
proporcionado en la UE y tampoco se guarde una copia de seguridad en territorio de la
UE76. Por todo lo anterior, el Cloud Computing es una de las nuevas tendencias de
negocio con importantes implicaciones en materia de privacidad y seguridad, que a la
vez proporciona un mejor aprovechamiento de los recursos tecnológicos y permite una
reducción de costes a las empresas. Sin duda, veremos cómo en los próximos años se va
consolidando esta tecnología y utilizando el Cloud Computing en todo su potencial, a la
vez que dando respuesta a los retos que plantea.
3. 3. Big Data e Internet of things (IoT)
Otro de los fenómenos emergentes derivados del crecimiento exponencial de la
economía digital es el Big Data. Este término hace referencia a “conjuntos masivos de
datos, cuyo volumen supera la capacidad de las herramientas informáticas de uso común
para, capturar, gestionar, almacenar y procesar datos”77. Mucho antes de que el Big
Data se convirtiera en el fenómeno y disciplina en auge que hoy es, ya empresas
76 Ver la Guía para clientes que contraten servicios de Cloud Computing, AEPD, 2013, pag.9 y ss. 77 Manyika, James et al: “Big Data: the next frontier for innovation, competition and productivity”,
McKinsey Global Institute Report, McKinsey, Mayo 2011, pag.1.
62
tecnológicas multinacionales como IBM eran conscientes del elevado potencial del
tratamiento de conjunto masivos de datos78. El denominado Business Intelligence, que
se basa en la recolección de datos y análisis básico se remonta a la década de los 50,
pero hubo que esperar a que llegase el Big Data que, a diferencia del Business
Intelligence, incorpora y se basa en análisis predictivos y en volúmenes inmensos de
datos, desde terabytes a petabytes o incluso exabytes79. Para que nos hagamos una idea
de lo que estas magnitudes representan, aproximadamente un terabyte equivaldría a 300
horas de vídeo y aproximadamente en Facebook se manejan 105 terabytes de datos cada
media hora80. En resumen, y en lo que respecta a las diferencias entre business
intelligence y Big Data, la predicción a futuro es lo marca la diferencia entre el básico
Business Intelligence y el avanzado Big Data81.
Para hacerse una idea de la magnitud o alcance del fenómeno del tratamiento masivo de
la información y los datos, resulta interesante conocer el dato de que “Google procesa
más de 24 petabytes de datos diarios, un volumen que representa miles de veces la
totalidad del material impreso que guarda la Biblioteca del Congreso de Estados
Unidos”82. “A Facebook se suben más de diez millones de fotos nuevas cada hora. Sus
usuarios hacen clic en el botón de me gusta o insertan un comentario casi tres mil
millones de veces diarias, lo que deja un rastro digital que la compañía explota para
78 Lohr, Steve: DATA-ISM: inside the Big Data Revolution, Londres, Oneworld, 2015, pag.41. 79 El bit es la unidad mínima de información empleada en informática en cualquier dispositivo digital; un
byte equivale a 8 bits; un kilobyte (KB) equivale a 1000 bytes; un Megabyte (MB) equivale a 106 bytes;
un Gigabyte (GB) equivale a 109 bytes; un terabyte (TB) equivale a 1012 bytes; un petabyte (PT) equivale
a 1015 bytes; un exabyte equivale a 1018 bytes; un zettabyte equivale a 1021 bytes; y un yottabyte equivale
a 1024 bytes. 80 Ver Jain, Anil; Chitta ,Radha; y Jin, Rong: Clustering Big Data, Departamento de Ciencias de la
Computación, Universidad del Estado de Michigan, 2012. Ver asimismo el artículo de prensa de Martínez
M.: “¿cuánto cabe en un terabyte?”, Expansion Mexico, 1 de febrero de 2008.
http://expansion.mx/actualidad/2008/02/01/bfcuanto-entra-en-un-terabyte 81 Ibídem. 82 Mayer-Schönberger, Victor y Cukier Kenneth: Big Data, la revolución de los datos masivos, Madrid,
Editorial Turner Noema, 2013, pag.19.
63
descubrir sus preferencias. Los 800 millones de usuarios mensuales del servicio
YouTube de Google suben más de una hora de vídeo cada segundo. El número de
mensajes de Twitter aumenta alrededor de un 200 por 100 al año, y en 2012 se habían
superado los 400 millones de tuits diarios”83.
Los volúmenes de Big Data están variando permanentemente, y actualmente, oscilan
entre algunas docenas de terabytes hasta muchos petabytes para un conjunto de datos
individual. En cierto modo, los datos masivos o el Big Data son el nuevo petróleo del
siglo XXI o al menos ya hay quienes hacen esta afirmación84.Como características
esenciales del Big Data podríamos mencionar las siguientes: volumen masivo de datos,
que implica la existencia de sistemas que manejan y ordenan grandes conjuntos de
datos, tanto información estructurada como información desestructurada; los datos se
organizan conforme a un parámetro y se almacenan para su posterior correlación; y
requieren de nuevos sistemas capaces de manejar tal volumen de información. Además
se viene hablando de las cuatro uves: variety, velocity, volume, value. (variedad,
velocidad, volumen y valor), como características esenciales del Big Data. Incluso de la
‘V’ de veracidad. Por velocidad, entendemos la rapidez a la que se mueven y se generan
los datos, en tiempo real; la variedad de los datos hace referencia a las distintas fuentes
de datos que utiliza el Big Data, tanto datos estructurados como no estructurados, de
fuentes internas a la organización o externas (textos, imágenes, etc.); y por valor
entendemos el valor añadido que se genera gracias al Big Data, permitiendo la toma de
83Ibídem. 84Así lo afirmó César Alierta en su discurso de ingreso en la Real Academia de las Ciencias Económicas
y Financieras (Racef) en noviembre de 2013, “Un mundo digital: las TIC, las protagonistas de la gran
transformación de la economía, cultura y sociedad del siglo XXI”. Asimismo, durante su discurso,
destacó el impacto social, económico y cultural de las TIC, incidiendo en que las estadísticas demuestran
que el aumento del PIB de cualquier país es directamente proporcional al incremento de la penetración de
las TIC. Al respecto, también destacó que las TIC representan a día de hoy el 5% del PIB europeo y que
según estima la Comisión Europea, por cada millón de euros invertido en TIC se generan 33 puestos de
trabajo”.
64
decisiones más eficaces, gracias a la realización de análisis predictivos. En lo que
respecta a la veracidad, quizá sea “la más delicada”85, puesto que dado el gran volumen
de datos, unido a la variedad de las fuentes, es necesario realizar una labor de limpieza
para lograr datos de calidad y rigurosos, exentos de error.
Asimismo, el Big Data permite cuantificar en datos muchos aspectos de la vida, que
hasta entonces no habían sido cuantificados de esta manera, lo que ha venido a llamarse
como datificación86. Con respecto a los beneficios del Big Data, éstos son múltiples.
Fundamentalmente, permite la toma de decisiones basadas en la evidencia, en lo que los
datos nos transmiten, gracias a que permite establecer correlaciones y patrones de
conducta, lo que facilitará la innovación en productos y servicios El Big Data permite
ofrecer “una visión cada vez más precisa de las fluctuaciones y rendimientos de todo
tipo de recursos, permite realizar adaptaciones experimentales a cualquier escala de un
proceso y conocer su impacto en tiempo casi real, ayudar a conocer mejor la demanda y
así realizar una segmentación mucho más ajustada de la oferta para cada bien o servicio,
o acelerar la innovación y la prestación de servicios cada vez más innovadores y
eficientes”87.
Por su propia esencia, el Big Data podría permitir la asociación del resultado de los
análisis de datos a una persona física concreta, estudiando su conducta y prediciendo su
actuación. Por ello, es necesario tomar una serie de medidas como la anonimización –el
proceso de anonimización es un tratamiento de datos de carácter personal en sí mismo,
85 Trifu, Mircea Raducu e Ivan, Micaela Laura.: “Big Data: present and future”, Database Systems
Journal vol. 5, Universidad de Bucarest, Rumanía, 1/ 2014, pag.34. 86 Vid. Cukier Kenneth y Mayer-Schöenberger Viktor: “The rise of Big Data: how it is changing the way
we think about the world”, Foreign Affairs vol.92, nº3, 2013. 87 Puyol, Javier (conferencia) en Gil, Elena: Big Data, privacidad y protección de datos, Agencia
Española de Protección de Datos y Agencia Estatal Boletin Oficial del Estado, Madrid, 2016, pag.28.
65
pero una vez correctamente realizado, ya no estaríamos ante datos de carácter personal
y, por tanto, la normativa de protección de datos no sería aplicaría- y trabajar con datos
agregados, para paliar los riesgos en el ámbito de la privacidad y protección de datos.
El uso de grandes volúmenes de datos e información requiere tres cambios profundos en
el modo de enfoque. El primero es la preferencia a recoger grandes cantidades de datos
en vez de pequeñas muestras como venían haciendo en el ámbito de la estadística
durante más de un siglo. Segundo, desechar la preferencia por los datos precisos y finos
y, por el contrario, aceptar cierto desorden: “en un número creciente de situaciones, una
dosis de imprecisión puede ser tolerada”88, porque los beneficios de usar grandes
cantidades de datos de calidad variable son superiores a los que se obtienen al usar
menor cantidad de información pero más precisa. Tercero, en muchas ocasiones,
“tendremos que rendirnos ante nuestra búsqueda de la causa de las cosas, a cambio de
aceptar correlaciones”89. De este modo, a través del Big Data los investigadores más
que analizar la causa de los fenómenos, se decantan por recopilar datos y analizar
cantidades masivas de información sobre dichos fenómenos y sobre todo lo asociado
con ellos, en búsqueda de modelos y patrones con fines predictivos.
En lo que respecta al nuevo RGPD, el objetivo de esta normativa es regular la
protección de los datos de carácter personal y no el Big Data, que trabaja con datos
anonimizados y agregados. Ahora bien, en el Reglamento hay alguna mención a los
tratamientos de datos a gran escala, como por ejemplo en lo que respecta a la necesidad
de realizar una evaluación de impacto de privacidad cuando se traten datos a gran escala
88 Cukier, Kenneth y Mayer-Schönberger, Viktor: La revolución de los datos masivos, Madrid Editorial
Turner Noema, 2013, pag.29. 89 Ibídem.
66
o a la necesidad de contar con un delegado de protección de datos (DPO) para la
organización ante estos supuestos de tratamientos de datos a gran escala90.
Con respecto a los riesgos en el ámbito de la privacidad o para las personas derivados
del Big Data, los podemos encontrar en el hecho de que el Big Data se basa en
algoritmos para la toma de decisiones y éstos podría conducir a discriminación si no son
diseñados desde un principio bajo el principio de no discriminación. El nuevo RGPD
incluye un derecho a recibir una explicación de la lógica del algoritmo cuando se tomen
decisiones automatizadas que afecten significativamente al sujeto o produzcan efectos
jurídicos91. Por supuesto, también esto supone retos en el ámbito de la propiedad
intelectual, ya que habría que explicar la lógica del algoritmo al sujeto, explicándole las
variables que habría que tener en cuenta, de un modo que sea para él comprensible pero,
a la vez, se proteja adecuadamente la fórmula matemática concreta del algoritmo, que al
fin y al cabo forma parte del know how de la empresa. Por tanto, el Big Data aumenta
considerablemente el riesgo de toma de decisiones sin intervención humana o con una
intervención humana limitada92. Por otra parte, para el tratamiento de datos personales,
la regla general es que es necesario el consentimiento del titular de los datos, aunque
podría estar amparado asimismo un tratamiento con base en el interés legítimo del
responsable del tratamiento. Precisamente, el hecho de que la normativa refuerce el
consentimiento como base del tratamiento93, unido a la ambigüedad o falta de claridad
en torno al concepto de interés legítimo, supone un obstáculo para el Big Data, ya que
como se ha mencionado, el proceso de anonimización de los datos personales es un
tratamiento de datos en sí mismo. Además, la anonimización ha demostrado tener
90 Ver los artículos 35 y 37 del Reglamento 2016/679, General de Protección de Datos. 91 Ver el artículo 22 del Reglamento 2016/679, General de Protección de Datos. 92 Gil, Elena: op.cit, pag. 53. 93 Ibídem.
67
limitaciones, no lográndose e no ocasiones el 100% de la misma y, por tanto, siendo
posible la identificación del sujeto94.
Por otra parte, las personas pueden tener limitaciones en su capacidad para consumir y
entender el Big Data, es decir, límites derivados de nuestras facultades cognitivas y
sensoriales innatas para procesar información. Según algunos estudios, la mente
humana puede manejar siete piezas de información en su memoria a corto plazo95. En
este sentido, la carga o cantidad de información que el ser humano puede procesar ha
sido un tema investigado desde disciplinas como la neurociencia o la economía. En
cierto modo, “la riqueza de información crea pobreza en la atención y crea asimismo la
necesidad de alojar o focalizar esa atención eficientemente entre la sobreabundancia de
fuentes de información que la puedan consumir”96.
En colaboración con la consultora estratégica de negocio, Boston Consulting Group, el
Foro Económico Mundial elaboró un estudio sobre el Big Data, Unlocking the value of
personal data: From collection to usage, que analiza la necesidad de nuevos enfoques
en las políticas que permitan el manejo de los datos personales de una forma que sea
flexible, que tenga en cuenta el contexto y que se adapte a él. A este respecto, resulta
muy importante destacar que este estudio resalta la importancia del contexto y del
establecimiento de un conjunto de principios que sean sostenibles en un mundo
interconectado97.
94 Ibídem. 95 Miller, George: “The magical number seven, plus or minus two: some limits on our capacity for
processing information”, Psichological Review, Volumen 63 (2). Marzo, 1956, pags 81 a 97. 96 Vid. Simon, Herbert: “Designing organizations for an information-rich world”, en Martin Greenberger,
Computers, Communication and the Public Interest, Baltimore, Johns Hopkins Press, 1971. 97 Ver el estudio Unlocking the value of personal data: from collection to usage, Working Paper Foro
Económico Mundial en colaboración con Boston Consulting Group, Febrero, 2013, pag.2 y ss.
68
Es cierto que a día de hoy los datos no se registran en los balances de las empresas,
pero, tal y como afirma Mayer-Schönberger y Cukier, “probablemente sea sólo cuestión
de tiempo”98. Según el citado estudio del Foro Económico Mundial en colaboración con
Boston Consulting Group, el valor económico y social de los datos no viene sólo de su
cantidad, sino también de su calidad, “del modo en el que los bits individuales de datos
pueden ser interconectados para revelar nuevos insights con el potencial de transformar
los negocios y la sociedad”99. Otro de los puntos que defiende este estudio y que, es
muy importante destacar es que, por sí mismos, la tecnología y los datos son neutrales,
siendo su uso lo que puede llevar consigo tanto un valor como un daño significativo,
“incluso a veces de modo simultáneo”100. Asimismo el estudio destaca que, en el
momento actual, y dada la gran cantidad de datos masivos que circulan por Internet, a
los ciudadanos les surgen preguntas como quién tiene sus datos o dónde están sus datos
localizados, preguntas para las que, a veces, es muy difícil de obtener respuesta.
A pesar de los límites en la capacidad del procesamiento de la información, tanto desde
el punto de vista de la capacidad del ser humano como de la capacidad de las
herramientas tecnológicas sujetas asimismo a limitaciones, hay formas de ayudar a las
organizaciones y a los individuos a procesar, visualizar y sintetizar el significado del
Big Data. Por ejemplo, técnicas de visualización y algoritmos más sofisticados,
incluyendo los algoritmos automatizados, pueden habilitar a las personas para ser
capaces de ver modelos y patrones en grandes cantidades de datos y ayudarles a ser
capaces de extraer conclusiones e insights101.
98 Mayer-Schönberger, Viktor y Cukier Kenneth: La revolución de los datos masivos, Editorial Turner
Noema, 2013, pag.28. 99 Unlocking the value of personal data: from collection to usage, Working Paper, Foro Económico
Mundial en colaboración con Boston Consulting Group, Febrero 2013, pag.2. 100Ibídem. 101 Manyika, James et al: op.cit, pag.18.
69
Por parte de la industria digital, así como por parte de los analistas de negocio o
profesionales del Business Intelligence y consultores de Big Data, se defiende de forma
vehemente que la notificación y el consentimiento en materia de protección de datos y
en el entorno digital tienen que reconsiderarse, siendo necesario un enfoque basado en
el análisis de riesgos y en el estudio del contexto. Más que un consentimiento basado en
marcar Sí o No (tick in the box, en terminología anglosajona), lo realmente importante
es que los usuarios estén debidamente informados. La información previa es la clave.
Un importante reto, por tanto, es alcanzar el compromiso de los individuos con la
formación en privacidad y la información, para que así estén verdaderamente en una
posición de control sobre sus datos. El análisis del contexto, por tanto, es muy
importante, dado que el comportamiento humano, en ocasiones, es impredecible, la
tecnología avanza a velocidad de la luz, las aplicaciones tecnológicas son complejas y la
idiosincrasia de los individuos en distintas partes del globo es muy variada.
De acuerdo con la legislación de protección de datos, los datos personales se recaban
para un propósito y fin específico, con base en el principio de finalidad de los datos,
recogido en nuestra Ley Orgánica de Protección de Datos (LOPD)102. Sin embargo, por
otra parte, “el valor económico y la innovación vienen del hecho de combinar conjuntos
de datos y usos subsiguientes”103. Y de esta forma surgen preguntas como, ¿es viable el
Big Data con un respeto escrupuloso al principio del consentimiento y de minimización
102 En el Título II “Principios de la Protección de Datos”, de la Ley Orgánica de Protección de Datos
15/1999, de 13 de diciembre, el artículo 4, referido al principio de calidad de los datos dice así: “1. Los
datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados,
pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y
legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no
podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido
recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos,
estadísticos o científicos. 3 […]” 103 Ver el estudio citado de BCG en colaboración con el Foro Económico Mundial, 2013.
70
de los datos y finalidad de los datos?, ¿es compatible dicho respeto a los citados
principios con la innovación y progreso empresarial, rentabilidad y legítima
maximización del beneficio, a través de la vía de extracción de valor del dato?, ¿pueden
las empresas asumir el coste de cumplir estrictamente con dichos principios o asumir el
lucro cesante por el hecho de no aprovechar todas las posibilidades del Big Data?,
¿existen fórmulas para hallar el equilibrio entre el respeto a la privacidad y protección
de datos de los usuarios y el progreso e innovación empresarial, realizando un análisis
de riesgos y análisis del contexto ad hoc, de forma que no siempre sea necesario obtener
el consentimiento para legitimar el tratamiento, siempre que se cumplan otros requisitos
de seguridad? Precisamente para dar respuesta a estas preguntas, habría que partir de la
debida conjugación y búsqueda de equilibrio entre las dos máximas. Por una parte, la
máxima de que el tratamiento de datos personales debe respetar todos los principios y
disposiciones contemplados en la normativa de protección de datos y, por otra parte,
que hoy en día, nadie duda de que los datos son probablemente el activo más importante
en la economía digital, el oro del siglo XXI, y está constatado que existen enormes
posibilidades de crecimiento y progreso, a partir del uso innovador de los datos,
extrayendo valor del dato.
Los beneficios del Big Data van más allá del ámbito de la medicina, farmacéutico o
bienes de consumo. En este sentido, “cambiará profundamente el modo en el que los
Gobiernos trabajan. En lo que respecta al crecimiento económico, la oferta de bienes
públicos o en conflictos bélicos, aquéllos que utilicen el Big Data de un modo efectivo
tendrán una significativa ventaja sobre los que no”104. No cabe duda de que, en lo que
respecta al desarrollo de las tecnologías Big Data, Europa ha sido más lenta que EE.UU.
104 Cukier, Kenneth y Mayer-Schönberger, Viktor: La revolución de los datos masivos, Editorial Turner
Noema, 2013, pag.35.
71
“La economía digital en Europa ha sido lenta en acoger la revolución de los datos en
comparación con EE.UU”105.
La evolución de Internet ha llevado a la aparición de un fenómeno con una clara
tendencia al alza en los próximos años. Se trata del fenómeno del denominado Internet
de las cosas o Internet of things, (IoT). El número de aparatos con conexión a Internet
sobrepasó en 2011 al número de seres humanos en el planeta y, para 2020, está previsto
que los aparatos con conexión a Internet puedan llegar a los 50.000 millones106. En las
dos últimas décadas la habilidad para conectar aparatos o máquinas a la Red ha crecido
de forma exponencial, gracias al uso de las comunicaciones sin cable, los sensores de
bajo coste y al creciente almacenaje de datos. La hiperconectividad puede definirse
como la conexión permanente a Internet de personas y cosas en cualquier lugar y a
cualquier hora, desde múltiples dispositivos, generando un flujo de información
continua. La hiperconectividad se traduce en el incesante aumento del número de
dispositivos conectados a Internet. Si a finales de 2014 se estimaba que existían 12
billones de dispositivos conectados, en 2020 se espera que el número de dispositivos
conectados crezca hasta los 33 billones107.
105 Ver la Comunicación de la Comisión Europea al Parlamento Europeo, Consejo Europeo, el Comité
Económico y Social Europeo y el Comité de las Regiones, Towards a thriving data-driven economy, de 2
de julio de 2014. https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy 106 Ver el informe The Internet of things elaborado por Raymond James & Associates, US Research, 24
enero de 2014. 107 Strategy Analytics (octubre de 2014). Nota de prensa: 33 billion Internet Devices by 2020: Four
connected Devices for Every Person in the
World.https://www4.strategyanalytics.com/default.aspx?mod=pressreleaseviewer&a0=5609
72
(Gráfico: Evolución de los dispositivos conectados a Internet, Fuente: Strategy
Analytics, Octubre 2014)
3. 4. Dispositivos de almacenamiento y recuperación de datos
Las cookies son elementos clave en la industria publicitaria y otro de los grandes retos
de la economía digital en relación con la privacidad. Las cookies se pueden definir
como una ficha de información informatizada que se envía desde un servidor web al
ordenador de un usuario con objeto de identificar en el futuro ese ordenador en
sucesivas visitas a ese sitio web108. Al tratarse de ficheros de texto que recuperan y
almacenan datos tiene una serie de implicaciones importantes para la privacidad.
108Ver la definición de cookies ofrecida por la Recomendación 1/1999 sobre el tratamiento invisible y
automático de datos personales en Internet efectuado por software y hardware, elaborado por el grupo de
trabajo del Artículo 29.
73
Además, en la actualidad, numerosos servicios de la sociedad de la información utilizan
cookies para poder prestar el servicio en cuestión, siendo un elemento clave para la
funcionalidad de numerosas páginas web y en el ámbito de la publicidad online.
Existe una amplia tipología de cookies, algunas más y otras menos invasivas con
respecto a la privacidad. Las implicaciones de estos dispositivos de almacenamiento de
datos con respecto a la protección de datos personales de los usuarios de Internet ha sido
una de las preocupaciones recientes de la Agencia Española de Protección de Datos
(AEPD), habiéndose producido en 2014 las primeras resoluciones sancionadoras a
empresas por incumplimiento de la legislación en esta materia109. En 2015, la Audiencia
Nacional dictaba la primera sentencia sobre cookies, ratificando íntegramente la
resolución sancionadora de la AEPD110. Asimismo, la propia AEPD, junto con la
industria de Internet y publicitaria elaboraron un documento-guía111 sobre cómo las
empresas pueden cumplir con la normativa sobre cookies, que explica de manera clara
la distinta tipología de estos dispositivos, así como los requerimientos legales para la
utilización de los mismos.
El régimen jurídico de las cookies está compuesto por la Directiva 2002/58/CE, del
Parlamento Europeo y del Consejo, relativa al tratamiento de los datos personales y a la
protección de la intimidad en el sector de las comunicaciones electrónicas, modificada
109La primera resolución sancionadora de la AEPD en materia de cookies es en relación con el
procedimiento Nº PS/00321/2013, que implicaba a empresas del sector joyería. La segunda resolución
sancionadora, el 14 de mayo de 2014, implicó al gigante tecnológico Google. 110 Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 8 de mayo de
2015. 111 La Guía sobre el uso de las cookies, fue publicada en abril de 2013, y elaborada por la AEPD, en
colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial),
adigital (Asociación Española de la Economía Digital) e IAB Spain (asociación que representa al sector
de la publicidad online en España).
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.p
df
74
por la Directiva 136/2009/CE112, sobre privacidad en el ámbito de las
telecomunicaciones. También, el real decreto 13/2012, de 30 de marzo113 que da una
nueva redacción al artículo 22.2 Ley de Servicios de la Sociedad de la Información y
Comercio Electrónico (LSSICE)114 para exigir el consentimiento del usuario sobre los
archivos o programas informáticos. Por otra parte, la nueva Ley General de
Telecomunicaciones115, que entró en vigor en mayo de 2014, incorporó una serie de
modificaciones en la LSSICE para tipificar la no obtención del consentimiento previo.
Antes, desde el Real Decreto-Ley de 2012, se venía exigiendo dicho consentimiento
pero su incumplimiento no estaba tipificado y, por tanto, de facto, no se podía sancionar
al incumplir dicha Ley. En mayo de 2014 se introducen modificaciones en el régimen
sancionador116 en materia de cookies, a la vez que se introduce la responsabilidad de las
redes publicitarias con respecto al incumplimiento de los deberes en materia de cookies
112 Ver la Directiva 136/2009/CE, por la que se modifican la Directiva 2002/22/CE, relativa al servicio
universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones
electrónicas, la Directiva 2002/58/CE y el Reglamento 2006/2004 sobre cooperación en materia de
protección de los consumidores. 113 El real decreto-ley 13/2012, de 30 de marzo, por el que se trasponen directivas en materia de mercados
interiores de electricidad y gas y en materia de comunicaciones electrónicas, introduce modificaciones en
el régimen jurídico de las cookies. 114 La redacción vigente del artículo 22.2 LSSICE es la siguiente: “Los prestadores de servicios podrán
utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los
destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya
facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento
de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección
de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento
de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegado o de otras
aplicaciones.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al sólo fin de efectuar la
transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que
resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información,
expresamente solicitado por el destinatario”. 115La nueva Ley General de Telecomunicaciones, la Ley 9/2014, de 9 de mayo, incorpora una serie de
modificaciones en la LSSICE, en lo que respecta a la denominada legislación sobre cookies. En concreto,
incorpora modificaciones en el régimen sancionador y tipifica el incumplimiento de la no obtención del
consentimiento previo. 116En cuanto a las modificaciones del régimen sancionador, se corrige el error legislativo de la anterior
reforma de no incluir como infracción la no obtención del consentimiento previo y se introduce la figura
del apercibimiento sin abrir procedimiento sancionador, introduciéndose también la posibilidad de
graduación de las sanciones en base a una serie de parámetros. Por un informar o por no obtener el
consentimiento previo, se puede sancionar por infracción leve con hasta 30.000 euros, mientras que en
caso de reincidencia en el plazo de tres años, se trataría de una infracción grave con hasta 150.000 euros.
75
por parte del editor web. Asimismo, desde el momento en el que los datos que traten los
dispositivos de almacenamiento de datos (cookies) sean datos de carácter personal, será
de aplicación la Ley Orgánica de Protección de Datos.
Según la normativa de aplicación, son dos los requisitos legales que las empresas han de
cumplir para poder utilizar las cookies: la información previa y el consentimiento
informado. No obstante, hay algunos tipos de cookies que están exentas de estos
deberes, por sus características consideradas menos invasivas.
Gran parte de la inversión en Internet es inversión publicitaria y las cookies son
elementos indispensables en la publicidad online. La inversión de la publicidad online
fue de 654 millones de euros, en España, en 2011, y suponía el 11,6% de la publicidad
total en medios de comunicación117. Las cookies, además de ser elementos
indispensables para la publicidad online son herramientas necesarias para la prestación
de numerosos servicios de la sociedad de la información, que concentran la mayor
inversión publicitaria, facilitan la navegación del usuario, y ofrecen en ocasiones, una
publicidad basada en los hábitos de navegación. A modo de repaso de algunas de las
características esenciales de las cookies, conviene destacar que no sólo se crean con
fines publicitarios, pues permiten funcionalidades muy importantes de páginas web. Por
ejemplo permiten rellenar un carrito virtual de compra online, rellenar un formulario
online o participar en un chat con una tienda online para resolver dudas relacionadas
con la compra y ver publicidad acorde con los intereses y gustos, entre otras
funcionalidades.
117 Ver el White Paper Consumers driving the digital uptake. The economic value of online advertising-
based services for consumers, Estudio de Mc Kinsey & Company para IAB Spain, 2010. Ver asimismo el
informe España conecta: cómo transforma Internet la economía española, informe independiente de
Boston Consulting Group (BCG) encargado por Google, abril 2011.
76
En lo que respecta a la tipología de cookies, podrían clasificarse atendiendo a su
funcionalidad, duración, entidad gestora, o en cuanto a la carga de obligaciones para
quienes las utilizan. Según su funcionalidad, las cookies pueden ser: técnicas, de
personalización, de análisis, de publicidad o de publicidad comportamental. Según su
duración, con fecha de caducidad o persistentes. Según la entidad gestora, pueden ser
propias o de terceros. Y según las obligaciones, podrían clasificarse en exentas y no
exentas de los deberes de información previa y consentimiento informado118.
En lo que respecta a la primera resolución sancionadora de la Agencia de Protección de
Datos, de enero de 2014119, uno de sus aspectos más destacables es que valida el
denominado sistema de información por capas, como un medio para informar y obtener
el consentimiento, siendo necesario que la primera capa contenga una información
mínima, y que ésta esté visible hasta que el usuario realice la acción requerida para la
obtención del consentimiento. “La primera capa debería incluir la siguiente
información: advertencia sobre el uso de las cookies no exceptuadas que se instalan al
navegar por los sitios web o al utilizar el servicio solicitad; identificación de la
finalidad de las cookies que se instalan con información sobre si se trata de cookies
propias o de terceros; advertencia en su caso de que si se realiza determinada acción
se entenderá que el usuario acepta el uso de las cookies; un enlace a la segunda capa
informativa en la que se indica una información más detallada”.
118 Ver la clasificación sobre la tipología de las cookies en la Guía sobre el uso de las cookies, elaborada
por la Agencia Española de Protección de Datos, en colaboración con Adigital, Autocontrol e IAB Spain.
2013.
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.p
df 119 Resolución sancionadora de la AEPD R/02990/2013 en el procedimiento sancionador PS/00321/2013.
77
Ya, en la segunda capa, se ha de ofrecer información más detallada sobre la tipología de
las cookies que utiliza la página web y sus finalidades. Según se destaca en la
resolución, de este modo se da a conocer al usuario el uso que se dará a la información
recabada, y asociar claramente su uso con la propia empresa o con terceros que deben
ser identificados siempre y cuando accedan a los datos obtenidos a través de las cookies
y los utilicen para sus propias finalidades, como por ejemplo, para mejorar los servicios
que prestan u ofrecer servicios a terceros de carácter publicitario o de otro tipo.
Asimismo, la AEPD resalta que es obligatorio hacer un análisis de cookies e identificar
a las terceras empresas que pueden estar usándolas. Por ello, propone la utilización
conjunta de las opciones ofrecidas en las barras de menús desplegables de configuración
o herramientas de los principales navegadores como Chrome o Explorer.
Con respecto a la segunda resolución sancionadora de la AEPD en materia de cookies,
de 14 de mayo de 2014120, sobre el uso de cookies en el sitio blogspot.com y
blogsplot.com.es, ambas de Google, la AEPD estima que el artículo 22.2 LSSICE es
aplicable tanto a personas jurídicas como a físicas, sosteniendo que el ámbito de
aplicación de las Directivas no se circunscribe únicamente a la protección de datos de
carácter personal, pudiendo referirse la información almacenada tanto a personas físicas
como a jurídicas. Según los hechos probados, Google instalaba y utilizaba cookies no
exentas, por defecto, en los terminales de los usuarios que acceden a los blogs creados
bajo el servicio online blogger. Además, el documento de Condiciones de servicio de
Google no incluía mención al uso de cookies y la Política de Privacidad, sino que
proporcionaba sólo información genérica sobre las cookies, sin especificar el tipo de
cookies ni sus finalidades. Por su parte, Google, alegó que la única interpretación del
120 Resolución sancionadora de la AEPD R/00936/2014, en el procedimiento sancionador PS/00320/2013.
78
artículo 22.2 LSSICE de acuerdo con la normativa comunitaria, era circunscribir ese
artículo a datos personales de personas físicas. Sin embargo, la AEPD sostuvo que la
Directiva 2002/58/CE no se circunscribe a los datos de carácter personal y es de
aplicación tanto a datos de personas físicas como jurídicas.
3. 5. Crowdfunding
Otro de los desafíos de la economía digital son los nuevos modelos de negocio
orientados a la financiación a través de plataformas de Internet, que están impactando
además a la industria financiera. Gracias al avance de la tecnología se han desarrollado
nuevos mecanismos, al alcance de empresas y de particulares, para la financiación, más
allá de la banca tradicional. De este modo, ha surgido lo que se denomina sector Fintech
(fusión de las finanzas y la tecnología)121. El sector Fintech está compuesto por
startups122 innovadoras, que están desarrollando productos y servicios en determinados
nichos del negocio bancario, fundamentalmente en pagos y financiación. Si bien está
por ver cuál será el transcurso de los acontecimientos con el Brexit123 en el Reino
Unido, hasta la fecha ha sido precisamente el Reino Unido donde el sector Fintech ha
tenido un mayor desarrollo en Europa. Dentro del Fintech, el crowdfunding ocupa un
lugar importante124.
El crowdfunding es una fuente alternativa de financiación de proyectos empresariales
que se desarrolla en el entorno de los servicios de la sociedad de la información.
Asimismo, se configura como otro de los retos de la Era digital, al tratarse de un nuevo
121 Para mayor información sobre el sector Fintech ver https://www.hottopics.ht/stories/finance/what-is-
fintech-and-why-it-matters/ 122 Startup es el término anglosajón para referirse a empresas de reciente creación, de base tecnológica,
escalables y con alto potencial de innovación. 123 Término con el que se conoce a la salida del Reino Unido de la UE. Tras el referéndum celebrado el
pasado 23 de junio de 2016, se logró un resultado ligeramente favorable al abandono de la UE. 124 Ver el Informe de EY, por encargo del Gobierno Británico, UK Fintech: on the cutting edge, Febrero
2016.
79
sistema de financiación de proyectos mediante el que el canal es digital, realizándose a
través de una plataforma de Internet. Por ello, desde un punto de vista regulatorio, la
protección al inversor, la normativa de consumidores y usuarios, y la de protección de
datos, entre otras, son clave. Este sistema alternativo de intermediación comercial o
financiera permite testear los proyectos empresariales y los productos o servicios que se
quieren comercializar. Crowdfunding proviene de la unión del anglicismo crowd
(multitud en su traducción al español) y funding (financiación en español), y consiste en
la financiación participativa de proyectos, facilitando la inversión y haciéndola
accesible a un mayor número de personas.
Por el momento, este modo de financiación, se ha utilizado fundamentalmente en
industrias como la cinematográfica o la de medios de comunicación, en el ámbito del
emprendimiento en el periodismo online y en proyectos culturales o científicos, entre
otros. El vínculo o nexo principal con el ámbito digital se encuentra en el hecho de que
el crowdfunding siempre se canaliza a través de una plataforma en Internet. “La
multitud que hace posible la obtención de recursos o fondos está compuesta, entre otros,
por donantes, consumidores o usuarios, Family, Fools & Friends, profesionales,
business angels y sociedades de capital”125.
Un reciente informe del Banco Mundial126 destaca sobre el crowdfunding que es “una
innovación en la financiación empresarial que puede alimentar el crecimiento de los
demás globalmente” y apunta que el crecimiento de esta fuente de financiación es
exponencial, estimando que en el año 2025 en China puede alcanzar los 50 billones de
125Gracia Labarta, Carolina: “Presente y futuro del crowdfunding como fuente de financiación de
proyectos empresariales”, Revista Española de Capital Riesgo, nº 1, 2014, pags.3 a19. 126 Ver el informe del Banco Mundial Crowdfunding’s potential for developing the world, 2013.
http://www.infodev.org/infodev-files/wb_crowdfundingreport-v12.pdf
80
dólares, la mitad de la cantidad que se espera sea canalizada en startups y negocios en
todo el mundo. Estos cálculos están basados en factores que permiten lo que el Banco
Mundial denomina ecosistema de crowdfunding, en donde “la penetración de las redes
sociales es el prescriptor más importante”127.
Fuente: Informe del Banco Mundial Crowdfunding’s potential for developing the world, 2013.
(Gráfico del Informe del Banco Mundial sobre el potencial del crowdfunding para el desarrollo mundial)
Por su parte, la Comisión Europea lanzó en octubre de 2013 una consulta pública sobre
el crowdfunding, con objeto de valorar los principales riesgos y ventajas de este sistema
de financiación alternativa y valorar posibles iniciativas regulatorias o legislativas en
esta materia, ya que, de momento, no existe una normativa europea al respecto. Según
127Gracia Labarta, Carolina: Op.cit, pags 3 a 19.
81
los resultados de la consulta, una amplia mayoría considera que este tipo de financiación
no debe ser sólo reservado para proyectos con necesidades pequeñas de financiación.
Hay distintos modelos de crowdfunding, y según los resultados de la consulta de la UE,
el más conocido es el basado en donaciones o recompensas. Un 85% de respuestas
señalan que el principal beneficio derivado de este sistema alternativo de financiación es
el hecho de poder seleccionar proyectos a los que merece la pena apoyar o en los que
merece la pena invertir, con una implicación directa en el proyecto.
En lo que respecta a España, tampoco hasta la fecha había una normativa vigente sobre
crowdfunding, algo que recientemente ha cambiado. En abril de 2015, el Congreso de
los Diputados aprobaba la Ley de Fomento de Financiación Empresarial128 que, en su
título V, regula el régimen jurídico de las plataformas de financiación participativa. Esta
ley ofrece el marco jurídico para determinadas modalidades de crowdfunding, en
concreto, para el denominado equity crowdfunding y el lending crowdfunding (los
basados en préstamos o acciones), dejando fuera a los basados en recompensas o
donaciones.
3. 6. Plataformas de economía colaborativa
El consumo colaborativo, concepto creado por Rachel Botsman en 2010, en su obra
What is mine is yours: the rise of collaborative consumption129, se define como una
forma de consumir basada en abogar por el acceso de la sociedad a determinados bienes
y servicios, sin tener la propiedad de éstos, optando por compartir a la vez que se
128 Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial. 129 Vid. Botsman, Rachel, y Rogers, Roo: What’s mine is yours: the rise of collaborative consumption,
Harpersbusiness 2010.
82
consume. Dentro de este concepto, surge el fenómeno del intercambio entre pares o
entre iguales (peer to peer o P2P), que se ha convertido en una de las más importantes
tendencias globales. Algunos sectores en los que se ha generado una economía
colaborativa (aquélla que se basa en el consumo colaborativo) son, por ejemplo, el
turismo y el transporte. En ambos sectores, han surgido plataformas en Internet o
aplicaciones (apps) que han revolucionado la forma de viajar o de hacer turismo130.
Estas plataformas se han ido consolidando como nuevos intermediarios con presencia
internacional.
A día de hoy, no hay una normativa específica para este fenómeno, más allá de las
diversas normativas sectoriales –las normas no están adaptadas a este nuevo fenómeno-,
además de la normativa aplicable a los prestadores de la sociedad de la información: la
Directiva de Comercio Electrónico y la LSSICE. Por ello, la inseguridad jurídica, las
lagunas normativas y la consiguiente confusión demandan una respuesta para
diferenciar claramente la oferta ilegal de la oferta compatible con las legislaciones
vigentes y que necesitan una adaptación al fenómeno digital. En 2013, la revista Time
destacó, sobre el consumo colaborativo, que se trata de una de las diez ideas que
cambiarán el mundo en el siglo XXI. Según un estudio de Euromonitor International131,
este fenómeno crecerá notablemente en los próximos años. Este tipo de plataformas
tienen una clara aportación directa e indirecta a la economía, mientras van cayendo las
barreras entre la producción y el consumo. Se trata de un fenómeno que necesita sus
leyes y, por tanto, una regulación armonizada, no obstaculizadora y que aporte
seguridad jurídica, así como crear puentes con la economía tradicional. Tras el reciente
130A título de ejemplo, como empresas punteras, ver el caso de las empresas Airbnb, Homeaway, Toprural
o Blablacar, entre otras. 131Ver el estudio Tendencias Globales del consumidor, 2014, de Euromonitor International, Londres
(UK), 2014.
83
conflicto en Europa entre los taxistas y la aplicación Uber132, Neelie Kroes, ex
vicepresidenta de la Comisión Europea y comisaria de la Agenda Digital, destacó que
“la tecnología está cambiando muchos aspectos de nuestras vidas. No podemos abordar
estos retos ignorándolos, haciendo huelga o intentando prohibir estas innovaciones. Es
el momento de sentarse a la mesa y encontrar arreglos razonables para la
innovación”133.
En relación con el impacto de la economía colaborativa, se estima que los cinco sectores
que más implicación tienen en esta tendencia son: crowdfunding y préstamos entre
pares (P2P lending o préstamos entre particulares), contratación online de profesionales
para tareas específicas por parte de las empresas u online staffing, gestión de
alojamientos entre pares, compartición de vehículos y compartición de música y vídeo
en streaming mediante la creación de listas de reproducción. Estos cinco sectores
pueden alcanzar unos ingresos potenciales de 335.000 millones de dólares en 2025,
desde los 15.000 millones que generan en la actualidad134.
132http://economia.elpais.com/economia/2014/09/23/actualidad/1411461457_252970.html 133http://www.expansion.com/accesible/2014/06/11/empresastransporte/1402469685.html.
http://www.abc.es/economia/20140610/abci-comision-europea-contraria-prohibir-201406101800.html 134 Ver el estudio de PwC (2014): The Sharing Economy-sizing the revenue opportunity.
http://www.pwc.co.uk/issues/megatrends/collisions/sharingeconomy/the-sharing-economy-sizing-the-
revenue-opportunity.html
84
(Comparativa de crecimiento entre sector tradicional del alquiler y el basado en la economía colaborativa,
2013 v.2015, Fuente: PwC)
La propia Comisión Europea es consciente del reto no sólo de la llamada economía
colaborativa sino también de las plataformas digitales en general, entendiendo por tales
buscadores, redes sociales, iOS o sistemas operativos, prestadores de servicios de pago;
los denominados marketplaces o plataformas intermediarias en general. Prueba de ello
es que en el documento de la estrategia para un Mercado Único Digital (Digital Single
Market Strategy)135, presentado el pasado 6 de mayo de 2015 por la Comisión Europea,
el análisis sobre las plataformas digitales, incluida la economía colaborativa, ocupa un
lugar relevante. Asimismo, se publicó una consulta pública para valorar si por parte de
la Comisión Europea es necesario adoptar alguna medida legislativa para la regulación
135http://europa.eu/rapid/press-release_IP-15-4919_es.htm
85
de las plataformas digitales y replantearse el rol de las plataformas intermediarias. En
dicha consulta, se abordan asimismo cuestiones sobre el modo en el que estas
plataformas tratan datos de carácter personal y la protección que otorgan a los usuarios
de las mismas en lo referente a protección de datos de carácter personal. En relación con
los resultados que se publicaron de dicha consulta, la mayoría de respuestas pusieron de
manifiesto que las plataformas no facilitan información accesible y suficiente sobre el
uso que hacen de los datos, tanto personales como no personales, destacando que las
políticas de privacidad y los términos y condiciones de uso de las plataformas no son lo
suficientemente claros136.
3. 7. Propiedad Intelectual
Otro de los desafíos relevantes en el ámbito digital, en lo que respecta a la regulación, es
todo lo relacionado con la Propiedad Intelectual en Internet. No en vano, en 2013 la
Comisión Europea lanzó una consulta pública con el fin de recabar opiniones para
legislar en la materia, llegando a obtenerse más de 9.500 respuestas. Según los
resultados de esta consulta, que se publicaron en julio de 2014, en lo relativo al acceso a
contenidos en la Red desde otro país de la UE, los consumidores afirman tener
problemas debido a las restricciones de acceso por la localización geográfica de la
propiedad intelectual137. También los consumidores en dicha consulta hicieron
referencia a la necesidad de una mayor seguridad jurídica para compartir contenidos
protegidos por propiedad intelectual en redes P2P. En los límites y excepciones al
136 https://ec.europa.eu/digital-single-market/en/news/full-report-results-public-consultation-regulatory-
environment-platforms-online-intermediaries 137 Ver la Comunicación de la Comisión Europea, al Parlamento Europeo, al Consejo, al Comité de las
Regiones y al Comité económico y social Towards a modern, more European copyright framework, de 9
de diciembre de 2015. https://ec.europa.eu/digital-single-market/en/news/towards-modern-more-
european-copyright-framework-commission-takes-first-steps-and-sets-out-its
86
copyright en el Mercado Único, entre los que se encuentra la copia privada, la mayoría
de proveedores de servicios piden seguridad jurídica y armonización. A este respecto,
los proveedores de servicios destacan que el sistema actual es demasiado complejo,
especialmente para determinados contenidos basados en actividades cross-border o
transfronterizas, como los servicios cloud, que según los resultados de la consulta, no se
benefician de las ventajas del Mercado Único138. Asimismo, en el citado documento de
estrategia del Mercado Único Digital, dado a conocer el pasado 6 de mayo de 2015, la
reforma de copyright ocupa un lugar destacado. En diciembre de 2015 se anunciaron
una Hoja de Ruta o Plan de Acción sobre la reforma de copyright139 y una propuesta
legislativa para la portabilidad de contenido online140.
En el ámbito de la legislación nacional, en España en enero de 2015 entró en vigor la
Ley 21/2014 de modificación del texto refundido de la Ley de Propiedad Intelectual y
de la Ley de Enjuiciamiento Civil, que incorpora una serie de cambios en materia de
propiedad intelectual. Entre otros, incorpora la polémica tasa google (o canon AEDE
como también es conocida), una compensación económica obligatoria que deben pagar
los agregadores online de noticias a los editores por la utilización de fragmentos de sus
contenidos. También incorpora cambios en el procedimiento y sanciones en lo relativo a
la vulneración de la propiedad intelectual en Internet. Sin embargo, aspectos como la
Tasa Google siguen sin concretarse y, además, el agregador Google News decidió cerrar
en España poco antes de entrar en vigor esta ley.
138 Ibídem. 139 Comunicación del a Comisión Europa, al Parlamento Europeo, Consejo, Comité Económico y Social y
Comité de las Regiones Towards a modern, more European copyright framework, de 9 de diciembre de
2015. http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52015DC0626&from=EN 140 Propuesta de Reglamento de la Comisión Europea sobre la portabilidad crossborder de contenido
online en el Mercado Interior, de 9 de diciembre de 2015. COM (2015) 627 final. 2015/0284 (COD).
https://ec.europa.eu/transparency/regdoc/rep/1/2015/EN/1-2015-627-EN-F1-1.PDF
87
3. 8. Comunicación y periodismo digital
Las nuevas tecnologías, como no podía ser de otra manera, también han revolucionado
el ámbito de la Comunicación y el Periodismo. Los avances tecnológicos han cambiado
las condiciones para el intercambio de información. “La revolución digital coloca a la
libertad de expresión en un nuevo punto, del mismo modo que el desarrollo de las
tecnologías de retransmisión de la radio y de la televisión lo hicieron antes”141. Del
mismo modo, la digitalización hace posible la participación cultural a gran escala y su
expansión y “permite una interacción que antes no había existido a la misma escala”142.
Asimismo, “la evolución de Internet ha producido un paso del escenario electrónico de
libre expresión y una interacción no comercial a convertirse en una sofisticada
plataforma de marketing y entretenimiento que está impulsada en gran parte por el
comercio electrónico”143. Internet ha cambiado pues la forma de ver la privacidad, de
modo que, para algunos, “las personas que se preocupan por mantener un poco de
anonimato personal llegan a la conclusión de que la privacidad ya es menos un derecho
y más una capacidad y una técnica”144. En cierto sentido, “Internet está pasando por una
importante transición impulsada por una nueva necesidad de equilibrar lo público y lo
privado, así como los valores humanos y la eficacia técnica. […] El resultado de esta
141 Balkin, Jack: “Digital speech and democratic culture: A theory of freedom of expression for the
Information Society”, New York University Law Review, Vol. 79: 1, 2004, pag.2. 142 Ibídem. 143 Castillo Jiménez, Cinta: “Protección del derecho a la intimidad y uso de las nuevas tecnologías de la
información”, Derecho y conocimiento, Universidad de Huelva, vol.1, 2001, pags. 35 a 48. 144 Ibídem, pag.48.
88
transición, en último término, será el nacimiento de una nueva arquitectura en Red
basada en dos valores fundamentales: la transparencia y la confianza”145.
El entorno online no sólo ha posibilitado que la ciudadanía se exprese de forma libre y
abierta, sino que también ha brindado unas óptimas condiciones para la innovación y el
ejercicio de otros derechos, como puede ser el derecho a la educación y a la libre
asociación146.
El derecho fundamental a la libertad de expresión halla en Internet un instrumento único
para aumentar, notoriamente, su enorme potencial de difusión y comunicación hacia
amplios sectores de la población. “Internet, como ningún medio de comunicación antes,
ha permitido a los individuos comunicarse instantáneamente y a bajo costo, y ha tenido
un impacto dramático en el periodismo y en la forma en la que compartimos y
accedemos a la información y a las ideas”147.
Internet tiene unas características especiales que lo convierten en una herramienta única
de transformación y cambio, dado su potencial inédito para la realización efectiva del
derecho a buscar, recibir y difundir información y su gran capacidad para servir de
plataforma efectiva para la realización de otros derechos. “En consecuencia, cuando se
trata de Internet, resulta imprescindible evaluar todas las condiciones de legitimidad de
las limitaciones del derecho a la libertad de expresión a la luz de estas características
propias y especiales. Así, por ejemplo, al momento de establecer la eventual
proporcionalidad de una determinada restricción, es imprescindible evaluar el impacto
145 Llaneza González, Paloma: Internet y Comunicaciones Digitales en Castillo Jiménez, op.cit, pag.48. 146 Informe del Relator Especial sobre la promoción y la protección del derecho a la libertad de opinión y
de expresión, Asamblea General de las Naciones Unidas, A/66/290.10 de agosto de 2011. Párrafo 61. 147 Ibídem, párrafo 10.
89
(o costo) de dicha restricción no sólo desde el punto de vista de los particulares
directamente afectados con la medida, sino desde la perspectiva de su impacto en el
funcionamiento de la Red”148.
Tal y como destaca en la Declaración conjunta sobre Libertad de Expresión e Internet
de la ONU, “al evaluar la proporcionalidad de una restricción a la libertad de expresión
en Internet, se debe ponderar el impacto que dicha restricción podría tener en la
capacidad de Internet para garantizar y promover la libertad de expresión con respecto a
los beneficios que la restricción aportaría para la protección de otros intereses”149.
El periodismo está en fase de cambio y adaptación a la Era digital. El informe The State
of the news media del Project for excellence in journalism de la Universidad de
Columbia (Nueva York) destaca que el periodismo se encuentra en medio de una época
de transformación tan trascendental como la invención del telégrafo o la televisión150.
Las empresas mejor preparadas serían aquellas que ya tienen redacciones integradas y
personal polivalente, empresas que funcionan como grupos y además funcionan con la
lógica del 7x24 (siete días a la semana durante 24 horas)151.
“Se han producido una serie de cambios drásticos que han supuesto para los periodistas
y los medios la implantación de las herramientas colaborativas e interactivas que
148 Ver el Informe Libertad de expresión e Internet, Relatoría Especial para la Libertad de Expresión de la
Comisión Interamericana de Derechos Humanos (CIDH), Open Society Foundations, OEA, 2013, pag.
27. 149 Ver la Declaración conjunta sobre libertad de expresión e Internet elaborada por el relator de la ONU,
Frank La Rue, en colaboración con otras instituciones, punto 1.b), de 1 de junio de 2011. 150Vid. Dahlgren, Peter: Media and Political engagement: citizens, communication and democracy,
Nueva York, editorial Cambridge University Press, 2009. 151 Díaz-Noci, Javier: “Medios de comunicación en Internet: algunas tendencias”, El profesional de la
Información, vol.19, nº 6, 2010, pags.561 a 567.
90
convierten a los pasivos lectores en activos autores o coautores productores de
información”152. La web 2.0 se centra en el usuario con servicios como blogs, webs
colaborativas, alojamientos de vídeos y fotografías, etc. “Es un entorno de lectura-
escritura interactivo en el que los usuarios crecen, amplían, varían o actualizan los datos
y contenidos”153. Cabe decir que los cambios de la web 2.0 han transformado el campo
periodístico y difuminado la barrera de lo que es el periodismo. “Es absolutamente
necesario, por tanto, adaptar la formación académica de los periodistas
(comunicadores), en cualquiera de sus vertientes, a la Era digital, aunque la
interactividad entre el emisor y el receptor y el acceso abierto a cualquier ciudadano
complica esa actividad”154. Este fenómeno tiene su parte positiva de mayor flexibilidad
y medios para producir contenidos, mayor acceso a la información, democratización de
la información con el acceso universal a la Red y una mayor participación ciudadana.
“Es una ventaja poder disponer de espacios públicos más amplios donde caben todos,
donde se hacen más evidentes las plurales características de nuestras sociedades
posmodernas y donde hay siempre un lugar para una nueva opinión o para contrastar
cualquier afirmación, en definitiva, para la crítica”155.
El lenguaje, esta vez con las características peculiares del hipertexto, vuelve a ser el
vehículo de comunicación más fértil entre los ciudadanos inscritos en países distintos,
en culturas distintas, con convicciones religiosas distintas, con ideologías distintas”156.
A fin de cuentas, la Red permite un acceso igual e universal a la información y a la
comunicación instantánea con cualquier persona del mundo. Como ya vaticinó Bill
152 Egerique Mosquera, Teresa: “El ciudadano como informador y sus consecuencias en la Era del
ciberperiodismo”, Revista Académica de Marketing Aplicado, nº 2, Redmarka, 2009, pags. 55 a 72. 153 Ibídem, pag. 60 y ss. 154 Ibídem, pag. 66 y ss. 155 Ibídem, pag. 66 y ss. 156 Chillón, José Manuel: “Oportunidades y amenazas del periodismo ciudadano en la sociedad
globalizada”, Ekasia revista de filosofía, año V, 31, marzo 2010, pag.6.
91
Gates, la Red “abrirá nuevos mercados y oportunidades de negocios de todas las
dimensiones. Trascenderá fronteras nacionales y hará posible una economía global sin
fricciones. […] Concederá a las naciones en desarrollo la oportunidad de pasar por alto
la época industrial y avanzar directamente hacia la era de la información”157.
Sin embargo, también tiene consecuencias no tan positivas, como algunos autores
señalan, al considerar que se produce una “progresiva dilución de la autoría y de la
responsabilidad ante lo que se publica, al producirse interacciones muy estrechas entre
los periodistas y sus lectores anónimos, que pasan a ser autores o coautores y
prescriptores de un sinnúmero de informaciones”. Por ello, algún autor158 alerta del
riesgo de lesión de derechos en materia de propiedad intelectual o derechos relativos a
la protección de datos personales, por esa interacción amparada en el anonimato que
permite Internet. Los Estados constitucionales garantizan la libertad de información
siempre que las informaciones se atengan a dos condiciones legales como son la
veracidad y el interés público pero ambas condiciones están sometidas a un control
democrático desde el momento en el que los afectados pueden reclamar el amparo
constitucional que valorará el cumplimiento de tales premisas159. “Con Internet, esa
tarea de control, hoy por hoy, es casi imposible”160. Es decir, si se realiza un análisis
comparativo entre el periodismo tradicional y el periodismo ciudadano, “se comprueba
cómo el primero está sometido a una regulación muy exhaustiva, de modo que se
157 Gates, Bill en Siegel Lee: El mundo a través de una pantalla. Ser humano en la era de la multitud
digital, Barcelona, Tendencias Editores, 2008, pag.20. 158 Ibídem, pags.66 y ss. 159 Para un mayor conocimiento sobre los requisitos de veracidad e interés público en la información
publicada por los periodistas, ver, entre otras, las sentencias del Tribunal Constitucional, STC 68/2008,
STC 185/2002, de 4 de octubre (FJ4), STC 171/1990, de 12 de noviembre, STC 240/1992, de 21 de
diciembre. Ver asimismo, entre otros, los autores Navarro Merchante, Vicente: “La veracidad como límite
interno del derecho a la información”, Revista Latina de Comunicación Social, nº8, 1998, o la autora
Suárez Espino, María Lidia: “La veracidad y el interés público en la información”, Revista General de
Derecho Constitucional, vol.18, 2014. 160 Chillón, José Manuel: op.cit, pag.7.
92
concilia la libertad de expresión con la responsabilidad sobre la propia actividad,
mientras que en el segundo, campa libre sin ninguna cortapisa, ni está sometido a
ningún control”161.
En relación con el denominado nuevo periodismo ciudadano, es necesario destacar que
éste deriva del hecho de que los ciudadanos tienen acceso a nuevas vías para la
intervención en los procesos comunicativos. Internet ofrece a cada usuario la posibilidad
de ser reconocido como periodista, sin necesidad de una empresa de comunicación para
la que se trabaje. “La fuente será la masa y la masa será la que informe. La narrativa
hipertextual es la nueva forma de comunicar los hechos. Permite que el receptor pueda
ir más allá de la información escogida por el periodista, ya que le ofrece los enlaces a
las páginas de sus fuentes, a elementos de contextualización, a datos complementarios, a
las páginas de los protagonistas y que los lectores puedan aportar datos”162. El
periodismo ciudadano se caracteriza por las notas de dinamismo e inmediatez.
El periodismo ciudadano transforma las estructuras de los medios de comunicación para
hacerlas más democráticas y descentralizadas. Comienza a tener cobertura teórica a
partir de la obra de Dan Gilmor (2006) We the media: Grassroots Journalism by the
people, for the people163. Tal fenómeno puede definirse como “la necesidad ciudadana
de participar en la construcción de la realidad social, mediante la incorporación de las
opiniones de los ciudadanos a las informaciones construidas profesionalmente o a través
de la creación de espacios distintos y alternativos a las fórmulas tradicionales”164.
161 Serrera Cobos, Pedro: “Periodismo ciudadano y protección de datos”, Normas y d-TIC. Buenas
prácticas, Dintel, mayo 2010, pag.136. 162 Chillón, José Manuel: op.cit, pag. 7 y ss. 163 Ibídem. 164 Ibídem, pag.1.
93
Este fenómeno del periodismo ciudadano, el surgimiento de blogs y redes sociales, la
interacción entre múltiples usuarios, autogeneradores de contenido informativo y de
opinión, el frecuente uso de buscadores en Internet y su efecto amplificador, tiene
frentes jurídicos abiertos y se plantea numerosos interrogantes a los que, de forma
paulatina, se va dando respuesta. “Ha nacido un periodismo ciudadano de opinión-no
siempre riguroso-y los medios tradicionales se han apresurado a incorporar a sus
espacios en Internet un espacio de blogs, ya sea conducido por sus profesionales, ya sea
abierto a los ciudadanos. […]. Entre otros interrogantes, se plantea cómo se articulan los
conflictos relacionados con la publicación de información u opinión por los propios
usuarios”165. En relación con este punto, cabe recordar la reciente polémica generada
con los contenidos ofensivos o incluso posiblemente delictivos en redes sociales como
Twitter y cómo abordar la cuestión desde un punto de vista jurídico166.
Como se ha visto a lo largo de este capítulo, son múltiples los frentes legales que hay
abiertos en relación con Internet y las nuevas tecnologías: la propiedad intelectual, los
nuevos modelos de negocio innovadores, la libertad de expresión y de información, la
protección de datos de carácter personal, la intimidad, el honor y la propia imagen. De
todos ellos, en este trabajo, analizaremos el derecho a la protección de datos de carácter
personal y el denominado derecho al olvido, para lo que haremos un repaso del origen
del mismo, de sus bases y de sus pilares, como son el derecho a la intimidad y el
165 Rallo, Artemi y Martínez Ricard: “Protección de datos personales y redes sociales: obligaciones para
los medios de comunicación”, Quaderns del Cac, 37, Vol.XIV (2), diciembre 2011, pag.41. 166 Tras el asesinato de la política del PP en León Isabel Carrasco, el ministro del Interior, Jorge
Fernández Díaz, anunció la creación de una comisión para estudiar posibles reformas legales que
permitan una mayor eficacia contra los delitos al honor e intimidad en redes sociales, a lo que días
después políticos de su propio partido afirmar que la ley ya tenía resortes suficientes para perseguir estas
conductas con independencia del medio en el que se produjesen.
http://www.diariodenavarra.es/noticias/mas_actualidad/nacional/2014/05/25/cerco_red_tras_asesinato_isa
bel_carrasco_160674_1031.html
94
derecho a la protección de datos de carácter personal y a la autodeterminación
informativa.
3. 9. Los motores de búsqueda
En una tesis que se centra en el derecho al olvido, se hace necesario y obligatorio
analizar qué son, cómo funcionan y cuál es el valor de los buscadores en el acceso a la
información online. De hecho, no podemos hablar de derecho al olvido sin hablar a la
vez de los motores de búsqueda (search engines).
Los buscadores surgen como herramientas de ayuda para buscar información en la web,
en respuesta a la dificultad, de mantener un catálogo con toda la información que
contiene la Red167 debido, fundamentalmente, a la volatilidad de ésta dado su
volumen168.
Los motores de búsqueda tienen tres componentes básicos: por un lado, una araña o
robot (crowler en su denominación en inglés), que es el programa informático que
rastrea por la web leyendo las páginas. Por el otro, un programa que añade las páginas
leídas a una base de datos o catálogo. Y, en tercer lugar, un programa, motor de
búsqueda, que permite al usuario, a través de la utilización de las palabras clave, realizar
la búsqueda169. Este programa la efectúa mediante un proceso de comparación y
167 Wukovitz, Laura: “Using Internet search engines and library catalogues to locate toxicology
information”, Toxicology, vol. 157, 2001 pag. 121 a 139. 168Salmerón, José Luis et al: “Localización de la Información en motores de búsqueda en Internet: análisis
de la efectividad”, Economía Industrial, nº 346, Universidad Pablo de Olavide de Sevilla, 2002, pag.173. 169 Fischer, Ingrid et al: “The role for web search engines”, The CPA Journal, enero, Vol. 70, nº 1, 2000,
pag.43.
95
aproximación entre las páginas de sus bases de datos y las palabras clave, para
posteriormente devolverle al usuario los resultados170.
El volumen de información en Internet crece a pasos agigantados debido a que se
incorporan diariamente cientos de páginas y se actualizan otras tantas entre las que se
incluyen las de carácter científico. Y es más, las tradicionales fuentes de información,
como bibliotecas y bases de datos, se han sumado a la Red con la publicación de sus
catálogos, pudiendo ser consultados la mayoría de ellos en su totalidad. Así pues, el
investigador puede llegar a controlar todo el conjunto de fuentes. Por ello, cada vez más
se ven obligados a acudir a Internet y seleccionar su contenido171.
Internet tiene el inconveniente de la ausencia de un catálogo donde se recoja la situación
exacta de toda la información publicada, debido a la imposibilidad de abarcar la
totalidad de la Red. De ahí que, por eso, buscar directamente en las páginas se convierte
en una estrategia poco adecuada, a menos que se sepa con certeza dónde se sitúa la
información deseada172.
En definitiva, un motor de búsqueda en Internet es un prestador de un servicio de acceso
a la información y de localización de contenido en Internet173. Un motor de búsqueda,
no obstante, y dada su función, de nada sirve sin usuarios o internautas, como tampoco
serviría sin los creadores de contenido. En cierto modo, su función, o el rol que
desempeña, es el de un intermediador entre el usuario y el contenido o proveedores de
170 Clarke, Charles et al: “Relevance ranking for one to three term queries”, Information Processing &
Management, vol. 36, 2000, pag. 291 a 293. 171 Salmerón, José Luis et al: op.cit, pag.181. 172 White, Marilyn y Livonen, Mirja: “Questions as a factor in Web search strategy”, Information
Processing & Management, vol. 37, 2000, pag. 721 a 740. 173 Google es el buscador más conocido, habiendo otros como Ask.com, Bing , Baidu, Yahoo o el ruso
Yandex.
96
contenido. Por tanto, además del usuario y el propio buscador, intervienen en el proceso
de búsquedas, los proveedores de contenido así como terceras partes como empresas
anunciantes asociadas a las búsquedas. Lo podemos ver en el siguiente esquema174:
Este esquema explica cómo los proveedores de contenido son indispensables para un
motor de búsqueda. Sin contenido, no hay búsquedas. El contenido puede ser rastreado
gracias a la indexación. En la industria, existen códigos de no indexación, como los
protocolos robot.txt. En el caso de que esos códigos sean utilizados por el titular de una
web, la información de esa web permanecería en ella, pero sin embargo, no podría ser
indexada por motores de búsqueda. Una nota característica importante de los motores de
búsqueda y del sistema a través del cual se accede a la información en ellos, es
precisamente que el contenido o la información la proporcionan terceros. Es decir, el
motor de búsqueda es el canal a través del cual se llega a la información pero dicha
información la edita y la proporciona un tercero.
174 Grimmelmann, James: “The estructure of search engine Law”, Iowa Law Review, New York Law
School, 2007, pag.7.
97
El usuario realiza una petición de búsqueda, basándose en unos parámetros de
búsqueda, utilizando palabras clave (keywords en su denominación en inglés) y,
posteriormente, tras rastrear en la web, el motor de búsqueda ofrece los resultados de
búsqueda al usuario. Por tanto, el contenido en Internet, gracias a los motores de
búsqueda, se encuentra fácilmente accesible y localizable por los usuarios. Asimismo,
conviene tener en cuenta a terceras partes, las empresas anunciantes, cuya publicidad
aparece como resultado de las búsquedas. Las palabras en base a las cuáles se realiza la
búsqueda llevan a la aparición de publicidad asociada a esas palabras o keywords.
Según destaca Suárez Sánchez-Ocaña175, antes de la aparición del buscador de Google-
actualmente domina el mercado de los buscadores con aproximadamente un 95% de
cuota de mercado176-los motores de búsqueda eran elementos secundarios de la web. En
este sentido, este autor destaca que “antes de la irrupción de Google, los buscadores no
eran un gran negocio y no se invertía demasiado en su desarrollo. Se concebían como
herramientas secundarias, no como un elemento clave del desarrollo de la web. No
representaban más que un servicio subalterno de los grandes portales de la época como
Yahoo!, o Lycos o Terra en España, quienes pretendían ofrecer un servicio global en el
que pasáramos buena parte de nuestro tiempo consumiendo publicidad. Aquellos
portales eran un enorme cajón de sastre que incluía millones de páginas web mal
interpretadas por los primarios robots de búsquedas que las almacenaban. Por eso no
podían ofrecer al usuario respuestas correctas y concretas a sus cada vez más
evolucionadas necesidades”177.
175 Suárez Sánchez-Ocaña, Alejandro: Desnudando a Google: la inquietante realidad que no quieren que
conozcas, Deusto, 2012, página 19. 176http://www.posicionamientointernacional.com/cuota-de-mercado-de-buscadores-por-paises/ 177 Suárez Sánchez-Ocaña, A.: op.cit, pag.19
98
Gran parte del éxito de los motores de búsqueda como Google radica en que ofrecen su
servicio de búsquedas al internauta o usuario de manera gratuita. No cabe duda de que
también ofrecen un servicio que se ha convertido casi en indispensable para la búsqueda
de Información en la Red de manera fácil y rápida. No obstante, el hecho de que para el
usuario que solicita el servicio de búsqueda sea gratuito también tiene que ver con el
éxito del servicio. Como toda empresa, sin embargo, tiene sus vías de financiación y
obtención de ingresos. En el caso de motores de búsqueda como Google, se obtienen
ingresos a través de la publicidad online del buscador. Los anuncios publicitarios están
ligados a las búsquedas en cuestión o a los términos de búsqueda utilizados. Es decir, y
por poner un ejemplo, si se realizan búsquedas de conciertos de música en Nueva York,
es probable que salgan anuncios en las listas de resultados de esas búsquedas, asociados
a hoteles en Nueva York, tiendas de instrumentos en la Gran Manzana o restaurantes en
la ciudad. Normalmente los anuncios aparecen en el margen derecho de la página del
buscador o arriba. De alguna manera, los anuncios van ligados a las denominadas
Keywords o palabras clave en las búsquedas, de tal manera que los hábitos de
navegación del usuario van a influir en la publicidad recibida por el mismo. A este tipo
de publicidad basada en los hábitos de navegación se la denomina publicidad
comportamental.
Aunque algunos servicios de la sociedad de la información resulten gratuitos para el
usuario, realmente, éste sí da algo a cambio. No es dinero, sino que son sus datos. El
valor económico de la denominada publicidad comportamental (behavioural
advertising) está en auge y se trata de publicidad asociada a los hábitos de navegación
del usuario.
99
Sobre la regulación de los motores de búsqueda en Internet, cabe decir que la naturaleza
de los mismos es la de plataformas intermediarias, en el sentido de que, aunque en
ocasiones alojen datos propios, sirven de plataformas para el acceso a datos de terceros
alojados en ellas. Los países de la OCDE,178 mayoritariamente, comenzaron a regular
adoptando como referencia unas directrices generales para las plataformas
intermediarias. Estas directrices básicamente hacen referencia a que no son
responsables, a priori, por la distribución de contenido de terceros o por las
transacciones hechas en la Red por estos; ni tampoco tienen una obligación general de
vigilancia y supervisión sobre dicho contenido y transacciones179.
De este modo, la regulación europea vigente, y la española, contemplan la denominada
platforms liability o protección en el régimen de responsabilidad de estos agentes de la
Red. La Directiva 2000/31/CE de Comercio Electrónico180, así como la Ley 34/2002, de
11 de julio de Sociedad de la Información y Comercio Electrónico (LSSI) que traspone
la Directiva al ordenamiento interno español, contempla una exención de
responsabilidad para los prestadores de servicios de intermediación, salvo conocimiento
efectivo de la ilicitud del contenido que alojan. Por conocimiento efectivo se entiende
una resolución administrativa o judicial y, en ese caso, el prestador de servicios
178Pertenecen a la OCDE los siguientes países: Australia, Bélgica, Chile, Dinamarca, Alemania, Estonia,
Finlandia, Francia, Grecia, Irlanda, Islandia, Israel, Italia, Japón, Canadá, Corea, Luxemburgo, México,
Nueva Zelanda, Paises Bajos, Noruega, Austria, Polonia, Portugal, Suecia, Suiza, República Eslovaca,
Eslovenia, España, República Checa, Turquía, Hungría, Reino Unido, Estados Unidos. 179 Ver la sentencia del TJUE, de 24 de noviembre de 2011, referente al caso Scarlet v.Sabam. 180 Ver artículos 12 a 15 de la Citada Directiva de Comercio Electrónico, que establece un marco legal
común para el desarrollo del comercio electrónico y la sociedad de la información y donde se hace
referencia al régimen de responsabilidad de los prestadores intermediarios de servicios de la sociedad de
información. En concreto, el artículo 14 de la Directiva 2000/31/CE, referente al alojamiento de datos,
dice así: “1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la
información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de
servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a
condición de que: a) el prestador de servicios no tenga conocimiento efectivo de que la actividad o la
información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento
de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que,
b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para
retirar los datos o hacer que el acceso a ellos sea imposible”.
100
intermediario está obligado a la actuación diligente en la retirada de contenido. Un
ejemplo de este tipo de actuación es el procedimiento que sigue Google para la retirada
de contenidos que vulneran derechos de propiedad intelectual181, a través del
denominado procedimiento de notice and take down182.
Asimismo el Derecho de la Competencia de la UE es una perspectiva que hay que tener
en cuenta cuando hablamos de motores de búsqueda. En 2010, la Comisión Europea
abrió expediente sancionador a Google por posible trato preferencial a sus propios
productos en sus resultados de búsqueda, lo que implicaría una vulneración del artículo
102 del TFUE183. En abril de 2015, la CE acusaba formalmente a Google de abuso de
posición dominante con su motor de búsqueda en la web e inició una investigación
sobre el sistema operativo Android, al sospechar que vulneraba las reglas de
Competencia comunitarias184.
Desde Bruselas, la Comisión Europea ha estado analizando con detalle en los últimos
meses la estrategia a seguir, no sólo en lo que respecta a motores de búsqueda o
plataformas digitales en general, sino en un ámbito más amplio, en todo lo que afecta al
denominado Digital Single Market o Mercado Único Digital. Al respecto, existe cierta
181http://www.wipo.int/meetings/es/doc_details.jsp?doc_id=260320 182 A este respecto, resulta interesante ver también la Digital Millenium Copyright Act (DMCA),
promulgada en 1998 por EEUU, que establece el marco legal para la protección de los derechos de autor
en entornos digitales. 183 El artículo 102 del TFUE dispone así: “Serán incompatibles con el mercado interior y quedará
prohibida, en la medida en que pueda afectar al comercio entre los Estados miembros, la explotación
abusiva, por parte de una o más empresas, de una posición dominante, en el mercado interior o en una
parte sustancial del mismo. Tales prácticas abusivas podrán consistir sustancialmente en : a) imponer
directa o indirectamente precios de compra, de venta u otras condiciones de transacción no equitativas,
b) limitar la producción, el mercado o el desarrollo técnico en perjuicio de los consumidores, c) aplicar
a terceros contratantes condiciones desiguales para prestaciones equivalentes, que ocasionen a éstos una
desventaja competitiva, d) subordinar la celebración de contratos a la aceptación, por los otros
contratantes, de prestaciones suplementarias que, por su naturaleza o según los usos mercantiles, no
guarden relación alguna con el objeto de dichos contratos”. 184http://www.espanol.rfi.fr/europa/20150415-la-comision-europea-acusa-google-de-abuso-de-posicion-
dominante-en-las-busquedas-de-
101
preocupación por parte de la Comisión Europea185, con el hecho de que el consumidor
tenga pocas alternativas de cambio en los denominados servicios over the top como
Skype o Facebook que compiten con los operadores de telecomunicaciones, dada la
falta de interoperabilidad o portabilidad en las plataformas digitales y el riesgo de que,
dada la situación actual, puedan existir abusos con posibles prácticas monopolísticas.
Por tanto, la posible regulación de los motores de búsqueda se enmarca en un debate
mucho más amplio, que es el debate sobre las plataformas digitales186, ligado al
denominado Internet Abierto (Open Internet), la neutralidad de la Red, el acceso
transfronterizo a contenido online, etc.
Desde el plano del derecho fundamental a la privacidad y protección de datos de
carácter personal, los motores de búsqueda permiten ensamblar informaciones reducidas
y elaborar un perfil bastante completo de las personas; incluso, a veces, distorsionando
la información u ofreciéndola de forma inexacta, lo que puede llegar a suponer un
menoscabo del prestigio, reputación o estima social de una persona. Asimismo, en
relación con los motores de búsqueda en Internet, la calidad de la información es algo
que está en el foco de debate y que ha venido cuestionándose, así como también se ha
venido cuestionando la neutralidad del buscador en la presentación de esa información o
resultados de búsqueda o, dicho de otra manera, la autonomía o independencia de la
información que alojan.
185 Ver la Comunicación de la Comisión Europea al Parlamento Europeo, Consejo de la UE, Comité
Económico y Social y Comité de las Regiones, A Digital Single Market for Europe, de 6 de mayo de
2015. https://ec.europa.eu/priorities/digital-single-market_en 186No sólo los motores de búsqueda son plataformas, sino que el concepto de plataforma digital es mucho
más amplio. También estarían englobadas las redes sociales, sistemas operativos, proveedores de
servicios de pago, ecommerce o marketplaces en general. El concepto de plataforma digital que se utiliza
en el documento de Estrategia de Mercado Único Digital es muy amplio. En la página 52 de la citada
Comunicación de la CE del 6 de mayo, las plataformas se definen de la siguiente manera: “Online
platforms can be described as software-based facilities offering two or even multi-sided markets where
providers and users of content, goods and services can meet”.
102
103
4. Evolución histórica de la intimidad
4.1. El origen de la intimidad
El ser humano ha ido evolucionando a lo largo del tiempo tanto en lo relativo a la vida
social y comunitaria como en el plano personal e individual. Las civilizaciones más
antiguas y primitivas apenas ofrecían al individuo la posibilidad de desarrollarse como
tal, al quedar la vida reducida exclusivamente a la comunidad y, por tanto, careciendo la
persona de intimidad, algo que se fue adquiriendo al evolucionar la especie humana. Si
se reflexiona sobre si antes fue lo público o lo privado, el huevo o la gallina, la
respuesta es que en la historia de la civilización humana lo público antecede a lo
privado187.
La reflexión sobre la intimidad se remonta muy atrás en la historia, muy a menudo
ligada con la especulación sobre la libertad188. Aunque sea desde una óptica o punto de
vista religioso, uno de los primeros símbolos de la intimidad fue la parra con la que
Adán y Eva se cubrían sus zonas corporales íntimas. Es decir, el ser humano viene al
mundo sin taparse o guardarse nada y conforme evoluciona delimita de algún modo su
esfera de intimidad. Por tanto, en las civilizaciones ancestrales todo era público y con el
tiempo se fueron conquistando parcelas de intimidad. Así, se puede llegar a la
conclusión de que cuanto más sofisticada o refinada sea una sociedad, más valor tiene
en ella la intimidad y, por el contrario, cuanto más primitiva, más valor tiene la vida
comunitaria y menos valor tiene el individuo de forma aislada como tal.
187Así se manifestaba Borja Adsuara en el Seminario de la Cátedra Google de Privacidad, Sociedad e
Innovación de la Universidad San Pablo CEU Privacidad, Innovación y crecimiento económico: un
marco regulador para el fortalecimiento de la economía digital, Universidad San Pablo CEU, Madrid,
noviembre, 2012. 188Ruiz Miguel, Carlos: La configuración constitucional del Derecho a la intimidad, Madrid, Universidad
Complutense, 1992 pag.1.
104
Ya no desde una perspectiva global, de la humanidad o la civilización humana, sino
tomando en consideración una vida humana aislada, fijándonos en la vida de cualquier
individuo, en sus primeros estadios y etapas de desarrollo, es decir la infancia y
adolescencia, no tiene desarrollada su esfera de intimidad, sino que se trata de algo que
se construye en la vida de una persona conforme se alcanza la vida adulta y la madurez.
Por tanto, podríamos afirmar que la intimidad es algo que se logra con la evolución, el
crecimiento, la madurez y el desarrollo, tanto referido a la propia especie humana a lo
largo del tiempo como referido a una vida aislada de un individuo cualquiera. Con
respecto a este punto son muy interesantes las reflexiones del pedagogo Víctor García
Hoz189, quien apunta que en el comienzo de la vida juvenil nos encontramos con que
irrumpe con fuerza la vida interior. “Y es tal vez la aparición de esta vida interior la que
completa, cualitativamente, la evolución del hombre, que al final de la niñez, ya es
capaz de asomarse y percibir todo el mundo exterior que lo rodea”. Sigue apuntando
García Hoz que el fenómeno que da un matiz singular a la aparición de la vida interior
“es la conciencia que el sujeto tiene de estas nuevas fuerzas de su vida”. Por ello, “la
adolescencia puede caracterizarse por ser una entrada del hombre en sí mismo o, mejor
aún, como un nacimiento de la intimidad”.
Según destaca Ruiz Miguel190, “no todas las sociedades ni épocas han presentado un
grado de reflexión similar sobre la intimidad. El derecho a la intimidad como algo más
que una mera pauta social de comportamiento tiene también un desarrollo histórico
diferente en cada pueblo y época”.
189 García Hoz, Victor: El nacimiento de la Intimidad, Madrid, Consejo Superior de Investigaciones
Científicas, 1950, pag.1377. 190Ruiz Miguel, Carlos: op.cit, pág 73 y ss.
105
En un principio, en muchas comunidades primitivas, la sociedad rural, la estructura
patriarcal de la familia y la tendencia a instaurar relaciones íntimas con los vecinos,
obstaculizaba la creación de una esfera privada o reservada, tal como la entendemos
ahora, dando lugar a una concepción de la vida totalmente comunitaria. El hombre
primitivo veía transcurrir su vida en el espacio que hoy llamamos público, la vida entera
era pública para él, transcurría en el ágora, foro, en la plaza, en el mercado, la calle, etc.
Si bien algunos aspectos básicos de la intimidad, como sostiene Westin191, se
encuentran en todas las sociedades, la protección otorgada es distinta entre ellas, de
modo que en los pueblos primitivos es mucho menor y distinta a la que hoy en día se
otorga. En la sociedad primitiva, el incentivo individual es muy limitado, es decir, los
hombres se hallan próximos al molde común de la raza y transitan por caminos
predeterminados192. Por tanto, el individuo se halla sumido en el grupo sin una
relevancia propia importante y la vida entera de los pueblos está llevada por las
costumbres.
4. 2. La intimidad en las civilizaciones antiguas
En la antigüedad clásica, no existe aún manifestación jurídica alguna que pueda
identificarse con el actual derecho a la intimidad. Quizás existen algunos elementos de
protección al honor, o lo que es lo mismo, se protegen ámbitos personales que tienen
una proyección pública, siempre vinculados a la idea de la polis, a la esfera pública o
política y que no obedecen a un concepto de protección de la intimidad o vida privada.
En la Grecia antigua se atribuía un valor ilimitado a la comunidad, valor de tal magnitud
191Westin, Alan: Privacy and Freedom, Nueva York, Atheneum, 1970, pags 13-22. 192 Iver, Mac y Morrison, Robert: The modern State, Londres, Oxford University Press, 1946, pag.37.
106
que la existencia de una esfera reservada a la vida propiamente personal del ser humano
estaba, en principio, excluida193.
En lo que respecta a los antiguos pueblos orientales, también se trataba de sociedades
donde el peso de las costumbres y de los comportamientos prefijados era importante,
estando sujetas a fuerzas exteriores, que impedían el desarrollo de la vida íntima. Y ya
mucho más tarde en el tiempo, en la actualidad, las mismas leyes de la República
Popular China, como es bien sabido, entraban a inmiscuirse en decisiones del ámbito
íntimo y familiar, como es el número de hijos por matrimonio que se debían tener, por
supuestas razones de control demográfico194. Benjamin Constant195, en referencia al
antiguo Egipto, apunta cómo “todo estaba regulado por ley, incluidas las distracciones,
relaciones personales, la necesidad o cada momento del día”.
En Grecia no se diferenciaba entre vida pública y vida privada, puesto que la
democracia ateniense se basaba fundamentalmente en la participación de todos los
ciudadanos en las cuestiones públicas, siendo iguales todos ellos para el desempeño de
cargos públicos, ya que la esencia del hombre se centraba en el “ser público”. A este
respecto, resultan interesantes las obras de Platón (La República)196 y Aristóteles (La
Política), de donde se desprende el poco valor que daban en Grecia a la intimidad en
193 Ortega y Gasset, José: “Socialización del hombre”, El Espectador, tomos VII y VIII, Madrid, Espasa
Calpe, 1966, pag. 222 y ss. 194 Ver, entre otros, Gomà, Daniel: “¡No más niños! Análisis y balance de la política china del hijo único
treinta años después de su implantación”, Revista Electrónica de Geografía y Ciencias Sociales, nº 15,
2011, págs.348 a 386. Asimismo, se recomienda la lectura de Xizhe Peng: “China’s demographic History
and Future Challenges”, Science, Vol.333, 28 julio 2011, pags. 581 a 587. 195Constant, Benjamin: “De la libertad de los antiguos comparada con la de los modernos”, Escritos
Políticos, Estudio Preliminar (traducción y notas de María Luisa Sánchez Mejía), Madrid, CEC, 1989,
pag. 257 y ss. 196 Vid. De Azcárate, Patricio: Obras completas de Platón, Madrid, Medina y Navarro editores, 1871-
1872.
107
contraposición con la vida comunitaria197. De hecho, Aristóteles defiende la idea de que
los ciudadanos han de estar siempre observados, ha de saberse lo que hacen, como
fórmula para sostener las tiranías, reconociendo la potestad del tirano de tener espías y
realizar escuchas en cualquier reunión o asamblea.
El sentimiento de personalidad y desarrollo individual, la estimación del valor moral de
la persona, la conciencia que el hombre occidental actual tiene de su propio ser como un
fin en sí mismo, era algo ignorado por el hombre antiguo. El fracaso social de la Polis y
su concepto preeminente de lo público sobre lo privado llevan al ciudadano a crearse
ideales de carácter personal de felicidad individual que entran en colisión con el
concepto ciudad-Estado. Así pues, la autarquía, elemento esencial del Estado, pasó a
serlo del ser humano individualmente considerado.198
En Roma, ya empieza a haber cierto grado de protección de la esfera privada del
individuo. Sin duda, la civilización romana es considerada la cuna del Derecho y, como
tal, nos ha legado algunas acciones que tienden a la reparación de los daños producidos
en la esfera de lo privado. Precisamente, la correspondencia es uno de los ámbitos
protegidos199.
Asimismo en el Derecho romano ya existía la posibilidad de ejercitar una actio
iniuriarium, ante las injurias y, con la misma acción, se protege la inviolabilidad del
domicilio. Sin lugar a dudas, la protección del domicilio es una de las manifestaciones
197Vid. Aristóteles: La Política, traducción de Julián Marías y María Araujo, introducción de Julián
Marías, Madrid, CEC, 1989. 198Sabine, George: Historia de la teoría política. Traducción de Vicente Herrero, Madrid, edición F.C.E
España, 1987, pag.101. 199 Vid. Iglesias, Juan: Derecho romano: historia e instituciones, Barcelona, Ariel, 1997. Ver asimismo,
Betancourt, Fernando: Derecho romano clásico, 3ª edición, Universidad de Sevilla, 2007.
108
más significativas de protección de la intimidad en la antigua Roma y que, además,
perdura en la regulación española vigente y en el resto de los ordenamientos jurídicos de
influencia romana. Sin embargo, es importante tener en cuenta un pequeño matiz: la
idea del respeto al domicilio no deriva de la idea de garantizar el respeto hacia la
persona o la familia, sino más bien, por una extensión personal del derecho real de
propiedad200. Es decir, se trataba de una protección vinculada al derecho de propiedad y
no a la dignidad. Por tanto, ni en Roma ni en Grecia se puede hablar de derecho a la
intimidad como tal pero sí se vislumbran ciertas manifestaciones jurídicas en torno a
ella, siendo la del respeto al domicilio y a la correspondencia las más significativas.
En un principio, aparece la intimidad unida a la tutela del derecho al honor y confundida
con éste. Posteriormente, la Lex Cornelio de iniurius del año 81. A.C tutela por primera
vez la intimidad a través de la inviolabilidad del domicilio201. En el Derecho Romano se
aseguró también la reparación del daño moral, y ya el Corpus Iuris Civile señala como
pilares fundamentales de la ética jurídica romana el vivir honestamente, dar a cada uno
lo suyo y no causar daño a los demás. Este damnum sería el detrimento o perjuicio
causado en los bienes útiles y propios de la persona, ya sean estos intrínsecos a la
misma, ya extrínsecos, materiales o espirituales202.
La casa, el hogar doméstico, desempeña un papel muy importante en la sociedad
romana. El hogar era considerado un lugar sagrado o santo por los ciudadanos romanos.
La casa era para cada cual su refugio y acogida203. Pero, no obstante, no se puede decir
200 Rebollo Delgado, Lucrecio: El derecho fundamental a la intimidad, Madrid, Dykinson, 2005, pag 55 y
ss. 201 Herrero-Tejedor, Fernando: Honor, intimidad y propia imagen, 2ª edición, Madrid, Colex, 1994, p.36. 202 Vid. Paricio, Javier y Fernández Barreiro, Alejandrino: Historia del Derecho romano y su recepción
en Europa, Madrid, Editorial Pons, 2010. 203 Vid. Iglesias, Juan: op.cit.
109
que los clásicos tuvieran un sentido de la intimidad como el que se tiene en la
actualidad: la palabra moderna privacy no tiene sinónimo en latín ni en griego. Según
destacaba Ortega y Gasset, el mundo antiguo, en su totalidad, sólo conoce un modo de
ser que consiste en exteriorizarse, en relacionarse con los demás en una forma de vivir
comunitaria. Por el contrario, el hombre de hoy se ha quedado solo y quiere superar su
soledad saliendo de sí mismo. Ortega observa un fenómeno creciente que consiste en la
progresiva publicación de la vida204.
4. 3. La intimidad a partir de la época medieval: la Teoría racionalista y
teoría histórica
En cuanto al origen del derecho a la intimidad, se han formulado diversas teorías. Una
primera, podría denominarse racionalista, que es aquella que sitúa el nacimiento de este
derecho en el periodo del Racionalismo y de la Ilustración, en conexión con el ascenso
de la burguesía. La otra, podría llamarse histórica y se remonta más atrás para buscar el
origen de este derecho205.
Para un sector de la Doctrina, el punto de inflexión en el reconocimiento y proceso de
positivación de los derechos naturales aparece en la Revolución Francesa. La intimidad
surge cuando se disgrega la sociedad feudal, quedando configurada como una aspiración
de la burguesía de acceder a lo que antes había sido el privilegio de unos pocos. Pérez
204 Ortega y Gasset, José.: “Socialización del hombre” en El Espectador, tomos VII y VIII, Madrid,
Espasa Calpe, 1966, pag.222. 205 Ruiz Miguel, Carlos: op.cit, pag.7.
110
Luño es el principal defensor de esta teoría206. En este sentido, y para los defensores de
la teoría racionalista, el concepto estaría estrechamente ligado a las necesidades y a la
propia ideología de la clase social burguesa. Así pues, la propiedad es condición
indispensable para acceder a la intimidad. Si bien, el nacimiento de la intimidad
coincide, en un sentido cronológico, con la afirmación revolucionaria de los derechos
del hombre, no supuso en la sociedad burguesa la realización de una exigencia natural
de todos los hombres, sino la consagración del privilegio de una clase. Varios autores
respaldan y siguen la teoría de Pérez Luño como Serrano Alberca207y Béjar208, entre
otros. Esta última autora afirma que “la privacidad es descubierta y desarrollada por la
filosofía política liberal, si bien no insiste en el factor propiedad”209.
Frente a la teoría racionalista se encuentra la teoría histórica, la cual se separa de la
anterior basándose en datos históricos y defiende dos líneas básicas de argumentación.
Primero, descarta que la noción de propiedad que se vincula a la intimidad lo sea en el
sentido burgués del término y aboga por un sentido de la propiedad en su significado
antropológico, que lleva a pensar que incluso el reino animal cuando delimita su
territorio, lo que realmente hace es delimitar su propiedad. Por tanto, se trataría de
propiedad en un sentido amplio, que incluyera toda posesión, todos los derechos y
privilegios, comprendiendo el derecho a la inviolabilidad de la persona. La segunda
línea argumental, en base a los datos históricos, filosóficos y antropológicos que se han
ido recabando, conduce a que la intimidad, ni como derecho ni como fenómeno nace
206 Pérez Luño, Antonio Enrique.: Derechos Humanos, Estado de Derecho y Constitución, Madrid,
Editorial Tecnos, 1984, pag. 321. 207 Serrano Alberca, José Manuel: “Comentario al artículo 18 de la Constitución”, en Garrido Falla
Fernando, Comentarios a la Constitución, Civitas, Madrid, 1980, pags. 231 y ss. 208 Béjar Merino, Helena: “La génesis de la privacidad en el pensamiento liberal”, Revista de Ciencias
Sociales, vol.76, Sistema, 1987, pag. 59 y ss. 209 Ibídem.
111
con la Revolución Francesa, sino antes. Carlos Ruiz Miguel es un gran defensor de esta
teoría210.
La figura de San Agustín en cierto modo marca el tránsito del pensamiento antiguo al
medieval, y ha sido en lo que respecta a la intimidad, uno de los más destacados
pensadores. “San Agustín es el primer teórico de la intimidad propiamente dicha”211.
Como tal, habla de la intimidad en su obra Las confesiones, donde desarrolla su doctrina
de la interioridad, doctrina que fue la base para su estudio posterior por Kant y
Descartes. El pensador apunta a la conciencia del ser humano como intimidad, en el
fondo de la cual encuentra a Dios. Supone la liberación del individuo en cuanto tal y se
afirma en el derecho a la soledad.212 En España, Antonio Truyol y Serra y Ramón
Villanueva Etchevarría han querido encontrar a la noción de intimidad unas raíces
vinculadas a la aparición del cristianismo. En este sentido, destacan que “San Agustín es
el primer occidental cuya intimidad conozcamos propiamente”213.
En el Derecho medieval se encuentran manifestaciones aisladas de la protección a la
intimidad. Algunos textos jurídicos recogían el deber de respeto al domicilio ajeno. En
este sentido cabe destacar la Carta de Convenio entre el Rey Alfonso I de Aragón y los
moros de Tudela en 1119, así como los Decretos de la Curia de León de 1188, entre
otros214. En las Cortes de León de 1188 se recoge el derecho a la inviolabilidad del
domicilio. Este derecho, como manifestación del derecho a la intimidad, también será
210 Ruiz Miguel, Carlos: op.cit, pag.10. 211 Ruiz Miguel, Carlos: op.cit, pag.27. 212 Vid. San Agustín de Hipona: Las confesiones, Introducción por José Anoz, Madrid, Editorial San
Pablo España, 2012. 213 Truyol y Serra, Antonio y Villanueva Etcheverría, Ramón, en Pérez Luño, Antonio Enrique: “La
protección de la intimidad frente a la informática en la Constitución Española de 1978”, Revista de
Estudios Políticos, nº9, Madrid, Centro de Estudios Políticos y Constitucionales, 1979, pag. 65. 214 Beneyto, Juan: Los derechos fundamentales en la España medieval, Revista de Estudios Políticos, nº
26, (marzo-abril), 1982, pags. 99 y ss. Ver asimismo, García Gallo, Alfonso: El origen y la evolución del
Derecho: manual de historia del Derecho, Madrid, Artes Gráficas y Ediciones, 1967.
112
recogido en otros textos como el Fuero Viejo de Castilla de 1250 o las Leyes de Estilo
de 1300, entre otros215.
Es importante resaltar la idea de que la intimidad ha estado ligada a la propiedad
durante mucho tiempo, tal y como hemos visto a lo largo de este capítulo de evolución
histórica. Por tanto, se trataba de un privilegio de las altas esferas, de las clases sociales
más altas y es al disgregarse la sociedad feudal, en la que como en la Polis griega o en la
Civitas del mundo antiguo, los individuos se hallaban insertos en la comunidad, cuándo
va a aparecer la intimidad con todas sus matizaciones.
Santo Tomás de Aquino, máximo representante de la filosofía escolástica, afirmó que,
aparte de los bienes externos, existen bienes que están en la propia persona como la
integridad corporal, tranquilidad, sosiego de ánimo, libertad, honor y fama y la
intimidad. Para él, el derecho a la fama tiene estrecha relación con el derecho a la
intimidad. Esta última es sagrada, es el núcleo más oculto de las personas, y sólo
cuando esta intimidad es manifestada públicamente por la persona que la tiene, puede
ser juzgada y valorada por las demás personas, pero si es manifestada en privado o en
secreto a otra persona concreta hay que respetarla216.
Durante los siglos XVI al XVIII tendrá especial importancia el reconocimiento de
derechos en el ordenamiento jurídico inglés. La Petition of Rights de 1628217, el Bill of
215 Rebollo Delgado, Lucrecio: “Derechos de la personalidad y datos personales”, Revista De Derecho
Político, nº 44, Madrid, 1998, pag.156. 216 Vid. Forment, Eudaldo: Santo Tomás de Aquino: el oficio del sabio, Barcelona, Ariel, 2007. 217 La Petition of rights de 1628 es un relevante documento constitucional inglés que fija garantías
concretas para los súbditos, garantías que el Rey tiene prohibido violar. Fue concedida el 7 de junio de
1628, conteniendo restricciones o limitaciones sobre impuestos no establecidos por el Parlamento, entrada
forzada de soldados en casas particulares de civiles, encarcelamiento sin causa y restricciones en el uso de
la Ley marcial.
113
Rights de 1689218 y el Act of Settlement de 1701219 son algunos de los textos más
relevantes. Todos ellos tienen el nexo común de limitar las prerrogativas del monarca,
creando un sentimiento racional de que los derechos que al hombre pertenecen son
legítimas aspiraciones del ciudadano, máxima que también se persigue con la reforma
luterana.
A lo largo de esta exposición histórica vemos cómo el derecho a la privacidad ha estado
ligado de algún modo a la propiedad, la clase social, el estatus y el dinero. En un primer
estadio, se trataba de un derecho más vinculado a la propiedad y a los privilegios que a
la dignidad del individuo. No fue sino con el tiempo cuando se fue desligando de la
propiedad y del estatus para pasar a vincularse a la dignidad. De hecho, la historia del
derecho continental europeo vinculado a la dignidad empieza en el siglo XVIII y va
progresivamente desarrollándose220. Incluso bien entrado el siglo XX sólo las personas
de clase alta podían tener expectativas de que su honor personal fuera protegido en los
tribunales y, desde un punto de vista práctico, para la mayoría de la ciudadanía el
derecho al honor personal no tenía un significado práctico221.
Cuando por primera vez se institucionalizan las manifestaciones de la intimidad será en
el siglo XVIII, ya con un ámbito genérico de vigencia y con un reconocimiento y
218 El Bill of rights inglés es un documento redactado en 1689 que impuso el Parlamento inglés al príncipe
Guillermo de Orange para suceder al Rey Jacobo. El propósito fundamental del texto jurídico era
fortalecer y recuperar algunas facultades parlamentarias ya desaparecidas o muy limitadas durante el
reinado absolutista de los Estuardo. Textos posteriores, como la Declaración de Independencia de EE.UU,
la Declaración de Derechos del Hombre y del Ciudadano francesa (1789) o la más actual Declaración
Universal de Derechos Humanos (1948), se inspiraron, parcialmente, en el Bill of rights. 219 Este texto completó al Bill of rights de 1689 y creó la autonomía de los tribunales con respecto del
poder real. 220 Whitman, James: “The two western cultures of Privacy: dignity versus liberty”, Public Law & Legal
Theory Research Papers Series, Research Paper nº 64, Yale Law Journal, vol.113, 2004, pag. 1151 y ss. 221 Whitman, J.Q.: op.cit, pag.1166 y ss.
114
garantía igual al de otros derechos. La Constitución de Pensilvania de 1776222, la
Declaración del Buen Pueblo de Virginia de 1776223, la Declaración de Derechos y
Normas Fundamentales de Delaware del mismo año224 y la Constitución Federal de
EE.UU de 1787 en su enmienda IV225 acogen un concepto mucho más amplio que el del
simple domicilio, pudiendo afirmarse que la protección se extiende y se hace radicar en
la esencia de la persona.
La Declaración de Derechos del Hombre y del Ciudadano de 1789226 no acoge la
inviolabilidad de domicilio como derecho singular sino que, por el contrario y dentro de
las tendencias de la época, lo asume como implícito dentro del artículo 7, es decir, como
libertad y seguridad personales. Sí lo hará el artículo 9 de la Constitución francesa de
222 La Constitución de Pensilvania de 1776 fue ratificada el 28 de septiembre de ese año y fue la primera
Constitución del Estado de Pensilvania tras la Declaración de Independencia y ha sido descrita como una
de las constituciones más democráticas de América. Fue redactada por Robert Whitehill, Timothy
Matlack, Dr. Thomas Young, George Bryan, James Canon y Benjamin Franklin. Los historiadores
consideran que la estructura gubernamental innovadora y democrática de Pensilvania muy probablemente
haya influenciado la formación de la República francesa bajo la Constitución de 1793. La Constitución de
Pensilvania incluía una carta de derechos o Bill of rights idéntica a la Declaración de derechos del pueblo
de Virginia de 1776. 223 La Declaración del Buen Pueblo de Virginia de 1776 está considerada la primera declaración de
derechos humanos de la historia. Fue redactada por Lee y Mason, quienes se inspiraron en el Bill of rights
inglés de 1689. La Declaración de Virginia reconocía una serie de derechos inherentes al hombre,
incluyendo el derecho a rebelarse frente a un Gobierno “inadecuado”. Esta declaración inspiró una serie
de textos que fueron redactados más tarde como la Declaración de Independencia de EE.UU de ese
mismo año, el Bill of rights americano (1789) y la Declaración de Derechos del Hombre y del Ciudadano
de la revolución francesa en 1789. 224 La Declaración de Delaware fue aprobada el 11 de septiembre de 1776 y en su artículo 10 reconoce el
derecho a la libertad, la propiedad y la búsqueda de la felicidad y seguridad. 225 La IV enmienda de la Constitución de EE.UU de 1787 trata sobre la protección a las pesquisas y
aprehensiones arbitrarias y fue establecida como respuesta a la controvertida Writ of Assistance, una
especie de orden general de registro, que jugó un papel importante tras la Guerra de la Independencia de
EE.UU. El texto de la IV enmienda dice así: “El derecho de los habitantes de que sus personas,
domicilios, papeles y efectos se hallen a salvo de las pesquisas y aprehensiones arbitrarias será
inviolable, y no se pedirán al efecto mandamientos que no se apoyen en un motivo verosímil, estén
corroborados mediante juramento o promesa y describan particularmente el lugar que deba ser
registrado y las personas o cosas que han de ser detenidas o embargadas”. En cuanto al ámbito de
aplicación de la enmienda, ésta se aplica sólo a los entes gubernamentales. 226 En el preámbulo de la Declaración de Derechos del Hombre y del Ciudadano de 1789 se dice: “Los
hombres nacen y libres e iguales permanecen en derechos”. Se alude a la libertad e igualdad, es decir, a
la supresión de los estamentos, de los privilegios, el clero y la nobleza. En definitiva, se trata de la
supresión del régimen feudal. La Declaración fue aprobada por la Asamblea Nacional Constituyente
francesa el 26 de agosto de 1789 y es uno de los documentos fundamentales de la revolución francesa en
lo que respecta a la definición de los derechos personales y colectivos como universales. La Declaración
fue el preludio de la Constitución francesa de 1791. El contenido de la Declaración ha sido respetado y
trasladado a posteriores constituciones francesas hasta la actualidad.
115
1791, que manifiesta que “ningún agente de la fuerza pública puede entrar en casa de
un ciudadano si no es para ejecutar mandamiento de Policía o de Justicia o en los
casos formalmente descritos por la Ley”. Este modelo de reconocimiento será el que
pase a las constituciones españolas.
En el siglo XVIII, las diversas declaraciones de los derechos del hombre no hacen, sin
embargo, mención alguna al derecho a la intimidad en cuanto tal. No obstante, se
diferencia entre conducta pública y privada, y a medida que las condiciones sociales y
económicas conducen al desarrollo de los núcleos urbanos, se marca la diferencia entre
el lugar en el que se vive, entre el hogar y la casa privada, y el lugar en el que se trabaja.
La intimidad, se configura, entonces, como una aspiración de la burguesía de acceder a
lo que antes había sido privilegio de unos pocos227. En el año 1750 parisinos y
londinenses sienten la necesidad de establecer un dominio privado para su familia. Así
aparece antes del siglo XIX, la vida privada como el derecho a la soledad, a la reserva,
al aislamiento, recogido en el dicho popular británico My home is my castle228, que pone
de manifiesto el individualismo inglés229.
Las condiciones de vida de labradores y obreros, en el inicio de la revolución
industrial230, excluyen las posibilidades de mantener una intimidad. La literatura de la
227 Ver Pérez Luño, Antonio Enrique: Derechos Humanos, Estado de Derecho y Constitución, Madrid,
Tecnos, 1984. 228 William Pitt pronunció un discurso en el Parlamento inglés en 1763, en el que ponía de manifiesto que
todo hombre en su casa, por humilde y pobre que fuera, en su morada tenía respeto 229 Vid. Caminal Badia, Miquel (coord.): Manual de Ciencia Política, Madrid, Tecnos, 1996. 230 La revolución industrial, desarrollada a finales del siglo XVIII y principios del siglo XIX, surge
primero en Inglaterra y se traslada luego por toda Europa continental y supone el nacimiento del
proletariado urbano, tras el masivo éxodo de los campesinos a las urbes. La ciudad industrial aumentó su
población con el crecimiento natural de sus habitantes y la llegada de este nuevo contingente humano. La
carencia de espacio fue el primer problema que sufrió esta población marginada socialmente, que debía
vivir en huecos muy reducidos sin comodidades mínimas y sin higiene, unido a largas jornadas de trabajo
y bajos salarios. Al problema que padecía este colectivo se le denominó Cuestión social, haciendo alusión
a las carencias e insuficiencias que padecían.
116
época, Dickens, Zola o Benito Pérez Galdós, demuestra las vivencias de las clases
obreras y su contraste con las de las clases privilegiadas231. El triunfo de la burguesía
como clase social, en el Estado liberal, va a exigir y reivindicar la generalización y
democratización de la reserva a la intimidad personal y familiar, así como de otros
derechos ligados a la personalidad que hasta entonces, como hemos visto, eran tan sólo
el privilegio de unos pocos. La emergencia de la burguesía es el fenómeno alrededor del
cual pivota el concepto moderno de intimidad, idea fundamentalmente defendida por los
seguidores de la teoría racionalista.
El concepto de hogar, en su carácter de intimidad, alcanza su cúspide en el Reino
Unido, en la Inglaterra del siglo XIX, cuando la Revolución Industrial desarraiga a la
población rural y la convierte en masa urbana232. Por entonces, la idea de hogar es
sinónimo de refugio. El siglo XIX es el periodo en el que la intimidad, en cuanto
derecho, tiene su mayor desarrollo. Es cuando el concepto de vida privada y el de
intimidad quedan perfilados en la forma conocida por nosotros, a partir de la cual se
pretende dar un paso más, que es la búsqueda de su protección legal233.
En lo que respecta a Francia, Royer-Collard en 1817 se refiere a la vida privada como
protegida por un muro contra los ataques del mundo exterior, es decir, amurallada. Esta
231 Obras tan insignes como Oliver Twist o Grandes Esperanzas, de Charles Dickens, critican la sociedad
del momento con profunda sensibilidad social. Del mismo modo, en el panorama literario español, Benito
Pérez Galdós retrata a la perfección la sociedad del momento, como lo hace en Marianela, una de sus más
conocidas obras literarias. Asimismo, el francés Èmile Zola hace un duro y riguroso análisis de la
sociedad del siglo XIX en obras como Germinal. 232 Canales, Esteban: La Inglaterra victoriana, Madrid, Editorial Akal, 1999, pag.183. 233 Como más adelante se analizará en esta tesis doctoral, es precisamente en el siglo XIX cuándo la
intimidad queda perfilada tal y como la conocemos hoy en día, gracias a los americanos Samuel Warren y
Louis Brandeis.
117
es realmente la primera alusión a la protección que de la vida privada que se da en
Francia234.
A finales del siglo XIX, John Stuart Mill235entiende la autonomía individual como una
derivación de la idea de libertad, basándose en dos puntos fundamentales: “los únicos
aspectos de la conducta humana que entrañan deberes y responsabilidades sociales son
aquellos que afectan a los demás. Los aspectos que sólo conciernen al individuo, como
los relacionados con su mente y su propio cuerpo, le pertenecen con absoluta
independencia”.
Ya en el siglo XX, el creciente y acelerado desarrollo tecnológico que surge a partir de
la segunda mitad del siglo comienza a crear la idea de que la regulación del derecho a la
intimidad comenzaba a ser insuficiente para la protección adecuada de los datos
personales, ante los numerosos riesgos e intromisiones que surgían como consecuencia
del proceso de informatización236.
A día de hoy, el espacio de lo privado ha cambiado. Se puede hablar de un espacio de lo
privado en el siglo XX y otro en el siglo XXI237. La definición y reflexión sobre el
concepto de espacio público y espacio privado hoy en día es necesaria, al haber
evolucionado la tecnología a pasos agigantados abriendo nuevas zonas de actuación y
decisión para el individuo.
234 Vid. Royer-Collard en Urabayen, Miguel: Vida privada e información: un conflicto permanente,
Universidad de Navarra, Pamplona, 1977. 235 Stuart Mill, John.: Sobre la libertad, traducción de J. Sainz Pulido, Madrid, Editorial Orbis, 1985,
págs. 40 y 41. 236 Peña Ortiz, Paola y Achío Gutiérrez, Catalina: El derecho al olvido (tesis doctoral), San José,
Universidad de Costa Rica, 2011, pag.9. 237 De la Cuadra Salcedo, Tomás en el Seminario de la Cátedra Google de Privacidad, Sociedad e
Innovación Privacidad, Innovación y crecimiento económico: el marco regulador como factor de
estímulo de la economía digital, el 8 de noviembre de 2012.
118
Tras la exposición del desarrollo histórico del derecho a la intimidad o de la privacy,
podemos concluir que el ser humano ha intentado ir conquistando con el tiempo
parcelas de intimidad frente a sus semejantes y conciudadanos o frente a la autoridad. A
diferencia de lo que acontecía en la Polis griega, en la actualidad nadie se atrevería a
afirmar que es posible vivir una vida digna y con un mínimo de calidad de vida sin tener
una parcela de intimidad y una separación de espacios entre lo público y lo privado. “En
el siglo XXI y, basándonos en el pensamiento de Benjamin Constant, y muy lejos de lo
que sucedía en la Polis griega, la privacidad va a ser uno de los soportes de la sociedad
democrática”238.
238 Borja Adsuara en el citado Seminario de la Cátedra Google, noviembre de 2012, vaticinaba que en el
S.XXI la privacidad va a ser uno de los soportes de la sociedad democrática.
119
5. Derecho a la intimidad y derecho a la protección de datos de carácter
personal.
5. 1. Derecho a la intimidad: Samuel Warren y Louis Brandeis, la doctrina
y configuración constitucional
A la hora de analizar el origen del derecho al olvido, objeto de esta tesis doctoral, se
detecta una clara conexión con el derecho a la intimidad (The right to privacy). Más
bien es lógico considerar que el derecho al olvido es una derivación o consecuencia del
derecho a la intimidad, al que se dedica este capítulo.
El origen de la palabra intimidad se halla en el vocablo latino intimus, superlativo de
interus, de inter, y el Diccionario de la Real Academia Española (DRAE)239 la define
como “zona espiritual íntima y reservada de una persona o de un grupo, especialmente
de una familia”. Con base en la definición dada por el Diccionario de la Lengua
Española, se extrae la conclusión de que la intimidad se relaciona estrechamente con el
ámbito familiar y doméstico, es decir, ajeno al interés público y, por tanto, reservado.
La diversidad terminológica240 en torno al concepto de intimidad es llamativa. Así los
italianos hablan de riservatezza, en Francia suelen decantarse por la expresión vie
privée, en Alemania privatsphäre, mientras que en los países anglosajones utilizan el
término privacy.
239Diccionario de la Real Academia Española, Vigésimo tercera edición, Madrid, 2014. 240 Estadella Yuste, Olga: op.cit, pag.13.
120
La intimidad, como fenómeno, ha sido estudiada por Ortega y Gasset241, quien distingue
en la misma las esferas de vitalidad, alma y espíritu, y afirma que la intimidad es un
fenómeno, un hecho, no una hipótesis metafísica.
El Congreso de Juristas Nórdicos sobre el Derecho a la Intimidad242 intentó ofrecer una
definición conceptual de intimidad. Atendiendo a las conclusiones de dicho encuentro
de expertos, se hallan apuntes sobre los orígenes del derecho a la intimidad, definiendo
este derecho como el derecho de una persona a ser dejada en paz para vivir su propia
vida con el mínimo de injerencias externas. Resulta interesante la lista que elaboraron
donde recogían las distintas formas en las que se podía lesionar la intimidad,
completando así la definición dada. De esta forma acuden a un concepto de intimidad
basado en un ámbito de libertad, frente a la cual se establecen una serie de prohibiciones
o limitaciones de intromisión243.
El derecho fundamental a la intimidad, a día de hoy, y sin perjuicio de la normativa de
desarrollo del derecho constitucional, se recoge en el ordenamiento jurídico español en
el artículo 18 de la Constitución Española de 1978, encuadrado en el capítulo segundo
(“De los Derechos y Libertades”). Su articulado dice así:
“1. Se garantiza el derecho al honor, intimidad personal y familiar y a la propia
imagen.
241 Ortega y Gasset, José: “Vitalidad, alma y espíritu” en El Espectador, tomo V, Espasa Calpe, 1966,
pag. 64 y ss. 242El Congreso de Juristas Nórdicos sobre el Derecho a la Intimidad fue celebrado en Estocolmo el 22 y
23 de mayo de 1967 y sus conclusiones fueron publicadas en la Gazette du Palais el 26 de julio de ese
mismo año en Paris. 243 http://www.icj.org/wp-content/uploads/1967/09/ICJ-Bulletin-31-1967-spa.pdf
121
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin
consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,
telegráficas y telefónicas, salvo resolución judicial.
4. La Ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus
derechos”.
La enumeración realizada en el artículo 18.3 CE1978 tiene trascendencia, ya que ha
dado lugar a suspicacias abriendo el debate de si se trata de númerus clausus o lista
exhaustiva o, al contrario, es meramente ejemplificativa. En esta línea se manifiesta
César Sempere Rodríguez244.
También en numerosos textos internacionales se recoge el derecho a la intimidad. La
Declaración Universal de Derechos Humanos de 1948245, el Pacto de Derechos Civiles
y Políticos de 1966246, el Convenio para la protección de los Derechos Humanos y las
Libertades Fundamentales de 1950247 contemplan en su articulado el derecho a la
intimidad. En el caso, además, del Convenio de Roma, se establece que los particulares,
244 Sempere Rodríguez, Cesar en Alzaga Villamil, Oscar (Dir): Comentarios a la CE española de 1978,
Tomo II, Madrid, Editoriales de Derecho Reunidas, 1997, pag. 440. 245 El artículo 12 de la DUDH dice así: “Nadie será objeto de intromisiones arbitrarias en su vida
privada, en la de su familia, o en su domicilio o correspondencia, ni de atentados a su honor y
reputación. Toda persona tiene derecho a la protección de la ley contra tales intromisiones y atentados”. 246 En el artículo 17 del Pacto de Derechos Civiles y Políticos de 1966: “Nadie será objeto de
intromisiones ilegales o arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni
de ataques ilegales a su honra y reputación. 2. Toda persona tiene derecho a la protección de la ley
contra esas injerencias o esos ataques”. 247 En el artículo 8 del Convenio firmado en Roma en el ámbito del Consejo de Europa se dice así: “1.
Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su
correspondencia. 2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho
sino en tanto esta injerencia esté prevista por la Ley y constituya una medida que, en una sociedad
democrática, constituya una medida que sea necesaria para la seguridad nacional, la seguridad política,
el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud
o de la moral, o la protección de los derechos y libertades de los demás”.
122
en caso de vulneración del derecho a la intimidad, pueden acudir y pedir la protección
del Tribunal Europeo de Derechos Humanos (TEDH). Esto ha dado lugar a una
jurisprudencia importante que, en España, puede ser aplicada a través del artículo 10.2
CE1978 y que ha servido como base para algunas sentencias importantes del Tribunal
Constitucional español (TC), en esta materia248.
Debido a la propia naturaleza de los derechos fundamentales, el derecho a la intimidad
no es ilimitado, en el sentido de que coexiste y debe coexistir con otros derechos a su
vez fundamentales, como son el derecho a la información y a la libertad de expresión,
garantía básica de un Estado Democrático de Derecho. Ambos derechos deben coexistir
y será necesario acudir a un ejercicio de ponderación de los intereses en juego cuando
haya conflictos entre ellos. Luis Javier Mieres destaca la “capital importancia de una
prensa libre en un sistema democrático”249 pero observa que debe notarse que “la
intimidad es un bien sumamente vulnerable, cuya afectación no se contrarresta con más
discurso, pues quien ve revelada su vida privada queda inerme y la palabra no ayuda a
eliminar una lesión ya producida, y si la toma para desmentir lo divulgado contribuye a
darle publicidad y agrava así el daño”250. La reparación de la vulneración del derecho a
la intimidad, una vez producido el daño, es difícil, pues en línea con lo manifestado por
este autor, un intento de reparación por parte del agraviado podría contribuir a dar más
eco al daño, es decir, se produciría el efecto contrario al pretendido.
Admitiendo el contenido personalista que la Constitución atribuye al artículo 18, habría
que evitar que a partir de estos presupuestos pueda deducirse un trasfondo iusnaturalista
248 Vid STC 110/1984, 114/1984 o 37/1989, entre otras. 249 Mieres Mieres, Luis Javier: Intimidad personal y familiar. Prontuario de jurisprudencia
constitucional, Navarra, Aranzadi, 2002, pag.70. 250 Ibídem.
123
de estos derechos fundamentales. Se trataría más bien de fundamentar la exigibilidad
jurídica en la expresión normativa de la potencialidad democrática de los derechos y
libertades, los cuáles no son más que un acuerdo básico del poder constituyente en base
a un marco axiológico definido por la norma suprema.251
Para J.E Bustos Pueche, “la protección del derecho a la intimidad de la persona es la
novedad jurídica desde la vigencia de la Constitución Española de 1978, en materia de
tutela de los derechos de la personalidad”252. Para este autor, la intimidad personal
encuentra protección en uno de los derechos considerados de primera generación. Por su
parte, el magistrado de la Sala Civil del Tribunal Supremo (TS), Xavier O’Callaghan,
destaca que “en derecho español no hay un solo precedente jurisprudencial anterior a la
Constitución, que proclama la protección personal y familiar en el art.18.1”253.
Por su parte, Carlos Ruiz Miguel apunta que “la CE de 1978 recoge la protección que
las anteriores constituciones españolas brindaban a las manifestaciones clásicas de
intimidad, pero tiene una posición singular en nuestra historia constitucional, al recoger
por primera vez el derecho a la intimidad como tal y en sus manifestaciones más
recientes”254.
251Carrillo López, Marc: “El derecho a la propia imagen del artículo 18.1 CE” en Honor, Intimidad y
propia Imagen, Cuadernos de Derecho Judicial, 35/1993, Consejo General del Poder Judicial, pags. 53-
90. 252 Bustos Pueche, J.E: “Los límites de los derechos de libertad de expresión e información según la
jurisprudencia”, en García San Miguel, L., Estudios sobre el derecho a la intimidad, Alcalá de Henares,
Tecnos, 1992, pags. 145 y 146. 253 O’Callaghan, Xavier: “Honor, intimidad y propia imagen en la jurisprudencia de la Sala 1ª del
Tribunal Supremo”, Cuadernos de Derecho Judicial 35/1993, Consejo General del Poder Judicial, pags.
149 y ss. 254 Ruiz Miguel, Carlos: La configuración constitucional del derecho a la intimidad (tesis doctoral),
Madrid, Universidad Complutense, 1992, pag.73 y ss.
124
Resulta interesante destacar que en el trámite constituyente, el senador Camilo José
Cela propuso una enmienda para la reforma del artículo 18.1: que no se aludiese a
‘intimidad personal y familiar’, por considerarlo redundante, al definirse la intimidad
como una ‘zona espiritual íntima y reservada de una persona o de un grupo,
especialmente de una familia, según el diccionario de la RAE. El senador propuso
asimismo eliminar la referencia a la propia imagen por imprecisa255.
Para José Luis Concepción, en la intimidad del hombre se forja su personalidad, se
desarrolla su humanidad, como consecuencia y como fruto de la libertad para elegir sus
normas de conciencia, sus creencias, su ideología, etc256. Por su parte, y en lo que
respecta a la naturaleza del derecho a la intimidad, Judith Thompson, destaca que “el
derecho a la intimidad no es, en realidad, un derecho independiente, sino que deriva de
otros derechos como el de propiedad, el derecho a no ser observado, etc”257.
Otra definición interesante sobre la intimidad es la ofrecida por Luis García San Miguel,
quien resalta que “la intimidad es el derecho a que ciertos aspectos de nosotros mismos
no sean conocidos por los demás, una especie de derecho al secreto, a que los demás no
sepan lo que somos, lo que sentimos y lo que hacemos”258.
En la forma y con el alcance actual, el derecho a la intimidad tiene su origen en el
derecho anglosajón en 1890. Samuel Warren y Louis Brandeis, juristas
norteamericanos, publicaron el artículo The right to Privacy en la Harvard Law Review,
255 López Díaz, Elvira: El derecho al honor y el derecho a la intimidad, jurisprudencia y doctrina,
Dykinson, 1996, p.26. 256 Vid. Concepción Rodríguez, José Luis: Honor, intimidad e imagen: un análisis jurisprudencial de la
LO 1/1982, Barcelona, Bosch, 1996. 257 Thompson, Judith en Nino, Carlos Santiago: Fundamentos de Derecho constitucional, Buenos Aires,
Editorial Astrea, 2002, pag. 328. 258 García San Miguel, Luis: op.cit, Alcalá de Henares, Madrid, Tecnos, 1992, pag.17.
125
siendo dicho artículo considerado, de forma unánime, el punto de partida sobre la
reflexión del derecho a la intimidad, tal y cómo la entendemos hoy en día.
Efectivamente, es considerada una obra maestra y el origen del reconocimiento del
derecho a la intimidad, del modo en el que lo entendemos en el mundo occidental
actual. Esta obra es de lectura obligatoria para cualquier estudioso del derecho a la
intimidad.259
El motivo por el que dicho artículo fue publicado encuentra su causa en que la Sra
Warren y su marido, abogado dedicado a los negocios, acostumbraba a dar en su casa de
Boston frecuentes fiestas sociales que congregaban a la alta sociedad, captando el
interés de la prensa local, sobre todo del Saturday Evening Gazette, que divulgaba lo
que acontecía en aquellas fiestas. En las crónicas de los periódicos se daban detalles
personales, desagradables, encaminados a infundir en el lector la idea de despilfarro,
derroche o amoralidad de la elevada clase social. No obstante, la gota que colmó el vaso
se sitúa en las informaciones que algunos medios de comunicación publicaron sobre la
fiesta que Warren dió con motivo de la boda de su hija, lo que motivó que se reuniera
con su compañero Brandeis, quien terminó siendo magistrado del Tribunal de EE.UU,
para configurar técnicamente un nuevo derecho: el derecho a la privacy.
Estos dos juristas lograron el reconocimiento de un derecho hasta entonces desconocido
(the right to privacy or the right to be let alone) que parte de la máxima de que el
ciudadano tiene derecho a que la autoridad, prensa o terceros se mantengan alejados de
una esfera que sólo pertenece al individuo. Estos autores sientan las bases técnico-
259 Ver la obra, de lectura obligatoria, Warren S.D y Brandeis L.D: “The right to Privacy”, Harvard Law
Review, vol. IV, nº5, 1890, p. 193 a 219. Traducción al castellano de Benigno Pendás y Pilar Baselga,
bajo el título Derecho a la Intimidad, Madrid, Civitas, 1995. Esta obra se ha tomado como referencia
principal para la elaboración de esta parte del capítulo.
126
jurídicas de la noción de privacy, configurándola como un derecho a la soledad. En su
escrito adoptaron el concepto establecido años antes por el juez Cooley: the right to be
let alone, recogido en su obra The elements of torts, editada en 1873. Este derecho de la
persona se dice que es derecho a la completa inmunidad o derecho a ser dejado solo. 260
Estos juristas, en relación con el derecho a la intimidad, toman como punto de partida el
derecho a la propiedad y, poco a poco, van extendiendo su alcance a terrenos cada vez
más inmateriales y, apoyándose en el derecho de propiedad intelectual, van
configurando el derecho a la privacy, dotándose progresivamente de más autonomía.
Años después, Brandeis, convertido en juez del Tribunal Supremo de EE.UU, participa
en la sentencia Olmstead v. United States261, caso clave en el reconocimiento de la
privacy.
En la concepción de Cooley está presente el principio básico heredado del Derecho
inglés, a man’s house as his own castle o my home is my castle. Según destacan los
autores Warren y Brandeis en el artículo de la revista Harvard Law Review, este
principio fue formulado por William Pitt en 1763 en un conocido discurso que
pronunció en el Parlamento de Inglaterra, invocando la célebre máxima para reivindicar
la protección personal del individuo frente al poder del monarca.
A pesar de que exista, anteriormente, algún tipo de reconocimiento de ciertas
manifestaciones de la intimidad, se considera unánimemente por la doctrina que el
260 . Vid. Cooley, Thomas M: A Treatise on the Constitutional Limitations which rest upon the Legislative
Power of the States of the American Union, quinta edición, Boston, 1883. 261 Sentencia Olmstead v. United States, 277, US 438, relativo a la privacidad y la interceptación de las
llamadas telefónicas. El Tribunal Supremo consideró que la interceptación por los agentes federales sin la
autorización judicial, y posteriormente utilizada como prueba, no violaban ni la Cuarta Enmienda ni la
Quinta Enmienda de la Constitución de EE.UU. Sin embargo, posteriormente, en el caso Katz v. United
States, en 1967, el Supremo de EE.UU decidió en una línea contraria.
127
punto de partida de la reflexión sobre el derecho a la intimidad, tal y como se perfila en
la actualidad, se debe a Samuel D. Warren y Louis Brandeis.262
Tres años más tarde de la publicación del artículo de Warren y Brandeis, un tribunal
americano utilizó por primera vez la expresión acuñada por los dos abogados en el caso
Marks v. Jaffa263, fallado por el Tribunal Supremo de Nueva York. El demandante, un
actor y estudiante de leyes, había visto un retrato suyo publicado en un periódico
propiedad del demandado, formando parte de un concurso de popularidad, al que se
oponía personalmente. La sentencia, estimó la demanda y declaró su derecho a ser
dejado en paz, basándose en el hecho de que ningún periódico o institución tiene
derecho a usar el nombre o la fotografía de nadie sin su consentimiento. Aquí, esta
concepción del derecho a ser dejado en paz liga con nuestro derecho a la propia imagen.
En cuanto a la repercusión doctrinal del artículo de Warren y Brandeis, el concepto de
intimidad pasa a asumir un papel ambivalente. De una parte, se utiliza la idea de
intimidad con intención conservadora, como instrumento para no proporcionar a las
autoridades informaciones personales, patrimoniales y económicas al objeto de eludir la
presión fiscal del Estado. Por otra, las corrientes progresistas, pasaron a utilizar la
intimidad para reaccionar contra la acumulación de datos dirigidos al control de
comportamientos ideológicos con fines discriminatorios264.
La excelente aportación teórica de Warren y Brandeis hace cambiar la idea de que era
necesario el derecho de propiedad como condición indispensable para acceder a la
262Vid. Rebollo Delgado, Lucrecio: op.cit, Madrid, Dykinson, 2005. 263 Caso Marks v Jaffa, Corte Suprema de Nueva York, 290, 1893. 264 Carrillo, Marc: El derecho a no ser molestado (información y vida privada), Navarra, Aranzadi, 2003,
pag. 51.
128
intimidad. A partir de aquí el origen de la privacy no va a estar en la propiedad privada,
sino en un presupuesto de libertades individuales, vinculando la privacy a la libertad
humana. Es decir, se inicia la progresión gradual hacia un proceso de autonomía de la
privacy. En el siglo XX, la privacy va a tener una nueva significación política y jurídica
que la va a confirmar como un derecho autónomo, privacy-personality, abandonado ya
definitivamente el concepto de privacy-property, lo que es confirmado por la
doctrina.265
Al jurista europeo puede resultarle chocante que en 1890 se reconociera de esta forma
un derecho sin antecedentes normativos y sin que sea causa de un conflicto social o sin
que medie un poderoso interés económico, sino que la configuración del nuevo derecho
estuviera tan sólo apoyada en principios generales, en pretensiones personales lógicas y
en la constatación por parte de un particular de una necesidad social.266
Por tanto, podría afirmarse que el Right to Privacy surgió a raíz de una “intromisión o
injerencia periodística en la privacy de un famoso personaje de la vida social y política
norteamericana del siglo pasado (sic) en unos ambientes históricos, sociales, culturales,
étnicos, políticos e incluso de concepción y estructuración tan disímiles en tiempo,
espacio y aún conceptuales de lo que hoy entendemos en líneas generales por privacy o
intimidad”.267
Partiendo de la aportación de Warren y Brandeis, se han articulado teorías en torno al
derecho a la intimidad. Por una parte, la teoría del mosaico, recogida por Madrid
265 Westin Allan F.: Privacy and Freedom, Nueva York, 1970, pags 1004 y ss. 266 Rebollo Delgado, Lucrecio: op.cit, pags 60 y ss. 267 López Díaz, Elvira: El derecho al honor y el derecho a la intimidad, Madrid, Dykinson, 1996, pag.
197 y ss.
129
Conesa268, cuestiona que cualquier vivencia aisladamente considerada tenga valor por sí
misma. Según este autor, sólo llega a alcanzar ese valor en combinación con otras que
funcionarían de modo a como lo hacen las piezas de un mosaico, dando así como fruto
una perspectiva de la vida privada de cada persona atendiendo a sus particulares
circunstancias. Es decir, para este autor, existen datos en principio intrascendentes por
lo que al derecho a la intimidad se refiere, pero que unidos a otros pueden configurar la
personalidad de un individuo “al igual que ocurre con las pequeñas piedras que forman
los mosaicos, que en sí no dicen nada pero que unidas pueden formar conjuntos plenos
de significado”269
Por otra parte, de la jurisprudencia del Tribunal Constitucional alemán, surge la teoría
de las tres esferas: una esfera íntima (Intimsphäre), que se referiría a lo más secreto del
individuo; la esfera privada (Privatsphäre), similar a la privacy anglosajona y similar a
nuestro derecho a la intimidad, conteniendo la vida privada y las relaciones familiares y
personales; y, por último, la esfera individual (Individualsphäre), que hace alusión a
aspectos ligados a la intimidad, pero incluidos dentro de ella, como el honor y la propia
imagen270. El alumbrador de la teoría de las tres esferas o Sphärentheorie fue
Hubmann271. La teoría tuvo una extensa acogida en Europa y EE.UU y, en este último
territorio, Alan Westin272 abanderó esta teoría de las tres esferas, en su caso, con cuatro
niveles que denomina: soledad, relaciones íntimas, anonimato y reserva.
268 Madrid Conesa F.: Derecho a la intimidad, informática y Estado de Derecho, Valencia, Universidad
de Valencia, 1984, pag. 45 y ss. 269 Ibídem. 270 Rebollo Delgado, Lucrecio y Serrano Pérez, Mª Mercedes: Introducción a la Protección de Datos, 2ª
ed., Madrid, Dykinson, 2008, pag.36. Asimismo ver Rebollo Delgado, Lucrecio: El derecho fundamental
a la intimidad, Madrid, Dykinson, 2005. 271 Vid. Hubmann: Das Personlichkeitsrecht, 2ª ed, Böhlau Verlag, Colonia, 1967. 272 Alan Westin fue un profesor de Derecho Público y asuntos gubernamentales de la Universidad de
Columbia, conocido por ser una de las figuras clave del siglo XX en la investigación en materia de
privacidad y fallecido en 2013. Sus investigaciones en la Universidad de Columbia en la década de los 60
destacaron por ser los primeros trabajos significativos en materia de protección de datos y privacidad de
130
Para algunos autores, el principal problema de la teoría de las tres esferas es la
imposibilidad de configurar cada una de ellas como compartimentos estancos, sin
interrelación273. De este modo, Morales Prats pone de manifiesto que estas esferas se
comunican e interrelacionan y pueden pasar a formar parte unas de otras de modo que
constituyen una espiral, en la que por medio del consentimiento de su titular, los
componentes de la zona de secreto pueden pasar a formar parte de las zonas de
confianza, o bien de éstas a la esfera privada274.
Desantes y Soria son dos importantes autores que abanderan la teoría de las tres esferas
en nuestro país. Estos autores destacan que el Tribunal Constitucional español275cita la
esfera de la intimidad pero, rodeándola, está la vida privada, y todo lo que queda fuera
de ella, constituye la vida pública. Los citados autores, para deslindar la intimidad de la
vida privada, apuntan que “el primer rasgo de lo íntimo es su apego al núcleo de la
personalidad”276. Según Desantes, “la intimidad es lo que queda de la piel del hombre
hacia dentro, sentimientos, apetencias, inclinaciones, ideas, etc”277. En línea con esto,
son varios los autores, y asimismo el propio Tribunal Constitucional español, los que
respaldan las diferencias entre intimidad y vida privada278.
los consumidores. Sus dos obras más destacadas fueron en 1967 Privacy and Freedom (referencia clave
para la elaboración de esta tesis doctoral) y Databanks in a free society (1972). 273 Rebollo Delgado, L.: “Derechos de la personalidad y datos personales”, Revista de Derecho Político,
nº 44, Madrid, 1998, pag.161. 274 Morales Prats, F.: La tutela penal de la intimidad: privacy e informática, Barcelona, Destino, 1984,
pag.129. 275 Son numerosas las sentencias del Tribunal Constitucional con referencias a la esfera y el derecho a la
intimidad. Entre otras, ver las siguientes sentencias: STC 119/2001, de 24 de mayo; 186/2000, de 10 de
julio; STC 202/1999, de 8 de noviembre; 157/1994, de 28 de febrero; o 143/1993, de 22 de abril. 276 Desantes Guanter, José María y Soria, Carlos: Los límites de la Información, Madrid, Asociación de la
Prensa de Madrid, 1991, pág. 109. 277 Ibídem. 278 González Gaitano, N.: El deber de respeto a la Intimidad, Pamplona, Universidad de Navarra, 1990,
pag. 128 y ss.
131
Parejo Alfonso279 se hace eco del paso sucesivo de una privacy-property a una privacy-
personality y una privacy-dignity; lo que traerá como consecuencia que “la intimidad
deja de ser encuadrable en el esquema Derecho privado-Derecho público”280. La
vinculación entre libertad y propiedad irá pasando progresivamente a un segundo
plano281, al compás de la incidencia social de la crítica marxista al capitalismo. Como
ejemplo, estaría la propuesta de desfundamentalizar el derecho de propiedad, que según
algún intérprete282 habría encontrado acogida en nuestra Constitución. La libertad se
empareja de modo decidido con la autonomía personal, cuyo respeto había convertido
Kant en pieza decisiva de la ética de la Ilustración. “A ella y a la dignidad humana que
le sirve de fundamento, más que a una privacidad de resonancia patrimonial, se vincula
ahora la protección a la intimidad”283.
Dilucidar el significado de la palabra intimidad no es tarea fácil y, prueba de ello, son
los innumerables intentos por definir la palabra por parte de los estudiosos. Sin
embargo, todas las definiciones que se han dado del término tienen una coincidencia:
encierran un significado de esfera propia e individual donde los demás no tienen cabida.
La noción de intimidad tiene un grado de indeterminación y equivocidad que hace
difícil precisar un contenido, significado y alcance jurídico. Así, Vitalis lo considera un
279 Parejo Alfonso, Luciano José.: “El derecho fundamental a la intimidad y sus restricciones”,
Cuadernos de Derecho Judicial, nº 22, Consejo General del Poder Judicial, 1996, pags. 11 y ss. 280 Ibídem. 281 De Páramo Argüelles, Juan Ramón en Betegón Jerónimo; Laporta, Francisco; De Páramo Juan
Ramón, Prieto Sanchís, Luis., coords.- Constitución y Derechos Fundamentales, Madrid, Centro Estudios
Políticos y Constitucionales, 2004, págs. 202 y 207. 282 Peces-Barba, Gregorio: Derecho positivo de los Derechos Humanos, Madrid, Debate, 1987, pag. 42. 283 Ollero Tassara, Andrés: “De la protección de la intimidad al poder de control sobre los datos
personales: exigencias jurídico-naturales e historicidad en la jurisprudencia constitucional” en Discurso
de recepción del académico de número Andrés Ollero Tassara, Madrid, 2008, pág. 53.
132
“concepto indescifrable”284. Por su parte, Hixson, estima que precisamente se debe a la
asiduidad y amplitud de su empleo el que sea complicado precisar su contenido285.
“El concepto de intimidad, en cierto modo, tiene un sentido negativo de exclusión, de
delimitación del propio terreno. Por tanto, se desprende que hay un cierto matiz
individualista, de protección de la personalidad en cuanto tal”286. No es de extrañar por
ello que el derecho a la intimidad tal y como lo conocemos en la cultura occidental
actual haya nacido en el mundo anglosajón, donde en comparación con los países
romanos o latinos, ha habido una mayor garantía o protección hacia los derechos
individuales frente al Estado, la Autoridad o la comunidad287.
La intimidad, para muchos autores, está ligada a conceptos como autonomía personal,
dignidad humana y desarrollo individual. En definitiva, la intimidad está ligada a la
dignidad de la persona, derecho reconocido en el artículo 10.1 de la Constitución
Española. “La intimidad es el ámbito personal donde cada uno, preservado del mundo
exterior, encuentra las posibilidades de desarrollo y fomento de la personalidad. Es un
ámbito personal, reservado a la curiosidad pública, absolutamente necesario para el
desarrollo humano y donde enraíza su personalidad”.288 No cabe duda de que, desde
cualquier perspectiva de análisis, tanto jurídica, sociológica, como cualquier otra, la
intimidad es considerada una faceta del individuo necesaria para un desarrollo
satisfactorio de la personalidad, con un mínimo de calidad de vida. Asimismo, el
Tribunal Constitucional español, en relación con el derecho a la intimidad, ha
284 Vitalis André, Informatique, pouvoir et libertés, Paris, Económica, 1981, pag.151. 285 Vid. Hixson, R.E, Privacy in a Public Society, Oxford University Press, New York & London, 1987. 286De la Válgoma, María: “Comentario a la LO de protección civil del honor, intimidad y propia imagen”
en Anuarios de Derechos Humanos nº 2, 1983, pag.657. 287 Ibídem. 288Bajo Fernández M. en López Díaz E., op.cit. p. 190 y ss.
133
establecido que se encuentra estrechamente vinculado al derecho a la propia
personalidad y a la dignidad de la persona289 reconocida en el artículo 10.1 de la
Constitución Española290.
Por otra parte, “la tesis de la intimidad como aislamiento y ensimismamiento no es
necesariamente incompatible con sus proyecciones sociales. La dimensión interna y
ensimismada de la intimidad, precisa extrovertirse”291, es decir, tener en cuenta que la
intimidad se ejerce y se desarrolla en el marco de las relaciones sociales. De este modo,
concluye Ortega que “el ser más íntimo de cada hombre está ya informado, modelado
por una determinada sociedad”292, teniendo en cuenta que el concepto de intimidad es
una categoría cultural, histórica y dinámica.
Al analizar el concepto y definición de intimidad desde la perspectiva de su vínculo y
estrecha conexión con el derecho al olvido digital, resulta fundamental detenerse y
hacer hincapié en la intimidad como derecho al autocontrol de la información o a la
autodeterminación informativa. A este respecto, la doctrina se ha ocupado de observar
la privacidad desde el punto de vista del derecho o facultad de control sobre la
información personal. Ya en EE.UU, a partir de la década de los sesenta del pasado
siglo, comenzaron a surgir las tesis que abogaban por el control como una de las
principales características definitorias de la privacy. La privacidad, en cierto modo,
implica el control sobre la información existente sobre nosotros mismos y hacer uso de
289Ver, entre otras, STC 37/89, de 15 de febrero, FJ 7º; STC 231/88, de 2 de diciembre FJ 3º; STC 214/91,
de 11 de noviembre, FJ 1º; STC 115/2000, de 5 de mayo, FJ8; STC 159/2009, de 29 de junio, FJ13; STC
241/2012, de 17 de diciembre, FJ3. 290 El artículo 10.1 de la CE1978 señala: “La dignidad de la persona, los derechos inviolables que le son
inherentes, el libre desarrollo de la personalidad y el respeto a la ley y a los derechos de los demás son
fundamento del orden político y la paz social”. 291 Jiménez de Parga, Manuel en Ollero, Andres, op.cit, pag. 186 y ss. 292 Ortega y Gasset, J.: El hombre y la gente (Volumen VII de las Obras Completas), Madrid, Alianza
Editorial-Revista de Occidente, 1983, p.83.
134
la misma como nosotros queramos, decidiendo qué datos difundir y a quién. “El atributo
básico de un efectivo derecho a la privacidad es la capacidad del individuo para
controlar la circulación de información relativa a él”293.
La doctrina ha trasladado el centro de gravedad o la delimitación del concepto de
intimidad desde la facultad al aislamiento, al poder de control sobre los datos e
informaciones que son relevantes para cada sujeto294. “El derecho a la intimidad trata
siempre de defender facultades de autodeterminación del sujeto, pero no de un sujeto
aislado, irreal y abstracto, producto de una antropología individualista, sino del
ciudadano concreto que ejerce su intimidad en el seno de sus relaciones con los demás
ciudadanos y con el poder público”.
A este respecto, el Tribunal Constitucional español295 hace referencia al denominado
derecho a la autodeterminación informativa, afirmando que “los distintos apartados del
artículo 18 de la Constitución tienen como finalidad principal el respeto a un ámbito de
la vida privada, personal y familiar, que debe quedar excluido del conocimiento ajeno y
de las intromisiones de la tecnología, salvo autorización del interesado”. La sentencia
citada continúa afirmando que “lo que ha ocurrido es que el avance de la tecnología y el
desarrollo de los medios de comunicación de masas, han obligado a extender esa
protección más allá del aseguramiento del domicilio como espacio físico en el que
normalmente se desenvuelve la intimidad, y la correspondencia, que es o puede ser
medio de conocimiento de aspectos de la vida privada”296.
293Medina Guerrero, Manuel: La protección constitucional de la intimidad frente a los medios de
comunicación, Madrid, Tirant lo Blanch, 2005, págs. 33 y ss. 294 Jiménez de Parga en Ollero, Andrés: op.cit, pag.186 y ss. 295 Ver la STC 110/1984, de 26 de noviembre, FJ 3º. 296 Ibídem
135
La privacidad como concepto ligado a la intimidad y a la dignidad de la persona podría
decirse que pertenece a la clase o categoría de derechos ligados a la personalidad o a la
propia esencia del ser humano. Sin nuestra privacidad, perdemos nuestra integridad
como personas297. Al mismo tiempo, los juristas expertos en materia de protección de la
privacidad en EEUU se ven forzados a admitir que el concepto de privacidad es
“embarazosamente difícil de definir”.298 No obstante, pese a las dificultades para acotar
el término y ofrecer una definición, algún autor define el derecho a la privacidad como
“una libertad o poder, legalmente reconocido de un individuo (grupo, asociación, .etc..)
para determinar el alcance con el que otro individuo (grupo, clase, gobierno,…etc) a)
puede obtener o hacer uso de sus ideas, escritos, nombre, gustos u otros rasgos de
identidad, b) obtener o revelar información sobre él o sobre personas sobre las que se es
responsable, o c) invasión física o de otros modos más sutiles en su espacio de vida o
entorno de actividades”299. Si bien es cierto que hay algunos autores más escépticos que
otros, algunos consideran que la privacidad, pese a ser importante y fundamental es un
concepto resbaladizo, en el sentido de que aquello que debe permanecer como privado,
aquello que debe esconderse a los ojos de los otros, parece que difiere mucho de una
sociedad a otra300. No sólo difiere de un país a otro o comparando localizaciones
geográficas distintas sino también difiere en un mismo país o en una misma localización
a lo largo del tiempo. Prueba de ello, y por poner algunos ejemplos, en algunas culturas,
en un momento dado en el tiempo, era habitual, normal y socialmente aceptado defecar
en público en compañía de los demás o mantener relaciones sexuales a la vista de otros.
A título de ejemplo, en Éfeso (actual Turquía) hace dos mil años, los ciudadanos
297Vid. Charles Fried: “Privacy”, Yale Law Journal, vol 77, 475-93, 1968. 298 Beany, William M.: “The right to Privacy and American Law”, Law & Contemporary Problems, vol.
31, 1966, pags. 253 y ss. Disponible en http://scholarship.law.duke.edu/lcp/vol31/iss2/2. 299 Ibídem. 300 Westin, Allan: “The origins of modern claims to Privacy”, en Shoeman, Ferdinand D: Philosophical
Dimensions of Privacy: An Anthology, Cambridge University Press, 1984, pags. 56 y ss.
136
disponían de baños públicos para defecar y eso es algo que el turista de hoy puede
observar visitando las ruinas de esta ciudad. Es decir, la privacidad es subjetiva y
culturalmente dependiente.
Retomando el repaso doctrinal sobre las diferentes definiciones en torno a la intimidad y
privacidad, algún autor considera que “la intimidad abarcaría el ámbito de lo más
próximo a la personalidad individual, de sus manifestaciones espirituales más
inmediatas y de sus sentimientos y afectos compartidos”301, y si tenemos esto en cuenta,
la persona jurídica carecería de intimidad.302 Por su parte, y en relación con las personas
jurídicas, ámbito sobre el que existe un debate abierto y que no se tratará en profundidad
en este tesis, algún jurista estima que, “a la vista del reconocimiento explícito del
derecho al honor de las personas jurídicas, en relación con la inviolabilidad del
domicilio y de la noción subjetiva de información protegida por el derecho a la
intimidad, puede considerarse que las personas jurídicas son titulares de este derecho en
la medida en que ostentan un interés legítimo en la reserva de ciertos datos que les
conciernen”303, aunque el ámbito de protección que les corresponda sea menor al no
poder hacer referencia a la intimidad en su sentido originario o estricto, esto es, referido
a la vida personal y familiar, sólo predicable de las personas físicas.
En España se protege la intimidad, en el sentido de que se otorga un poder de control a
los individuos sobre las informaciones que les afectan. La intimidad no es simplemente
la ausencia de información sobre cada uno en la mente de los demás, sino también el
control que podemos ejercer sobre nuestra propia información personal, lo que se
301 Aznar Gómez Hugo: Sobre la Intimidad, Valencia, Ed. Fundación Universitaria San Pablo CEU, 1996,
pag. 57. 302Ibídem. 303Mieres Mieres, Luis Javier: op.cit, p.43.
137
denomina autodeterminación informativa, estrechamente relacionado con el concepto de
autonomía de la voluntad, decidiendo qué parcela de información queremos compartir
con los demás, así como con quién queremos compartirla. Una de las tesis del discurso
de ingreso en la Real Academia de Ciencias Morales y Políticas del jurista Andrés
Ollero (2008) es que en las sociedades actuales, especialmente en las más avanzadas, se
ha producido una metamorfosis en el derecho a la intimidad. Según destaca Jiménez de
Parga en su discurso de contestación en el citado acto académico, “tal derecho fue
concebido inicialmente como una garantía de soledad y aislamiento, y hoy consiste,
prioritariamente, en el control que cada ciudadano puede ejercer sobre sus datos
personales”304. Así, y en esta misma línea, Jiménez de Parga hace referencia a Pérez
Luño en su discurso de incorporación a la citada Real Academia, leído en 1995, cuyo
título fue Perfiles morales y políticos del Derecho a la intimidad, donde ya hacía
referencia a los nuevos rumbos caracterizadores del Derecho a la intimidad en nuestro
tiempo.
Tras un repaso doctrinal del concepto del derecho a la intimidad, se observa que hay
matices y ligeras diferencias que separan el concepto de intimidad del concepto de
privacidad, siendo el primero un reducto, una parcela reducida o el núcleo o la esencia
de la segunda. “La idea de privacidad implica la posibilidad irrestricta de realizar
acciones privadas, o sea acciones que no dañan a terceros y que, por lo tanto, no son
objeto de calificación por parte de una moral pública como la que el derecho debe
imponer; ellas son acciones que, en todo caso, infringen una moral personal o privada
que evalúa la calidad de carácter o de la vida del agente y, son, por tanto, acciones
privadas por más que se realicen a la luz del día y con amplio conocimiento público. Sin
304 Ver la contestación de Jiménez de Parga al discurso de recepción del académico de número Andrés
Ollero Tassara, en la Real Academia de Ciencias Morales y Políticas (Madrid), 2008.
138
embargo, la intimidad es la esfera de la persona que está exenta del conocimiento
generalizado por parte de los demás”.305 En España, si bien tanto el propio Tribunal
Constitucional como el Tribunal Supremo español apuntan a la diferencia entre vida
privada e intimidad, el Constitucional es más difuso y ambiguo en esta diferenciación
frente al Tribunal Supremo306.
Lo privado no sería sinónimo de individual, sino que lo privado puede observarse desde
dos perspectivas: desde el lado de lo público y desde el lado del individuo.307Desde el
primer punto de vista, lo privado aparece como la esfera de la interioridad y de la
autonomía individual; visto desde el lado del individuo, designa aquello que en el
individuo está volcado hacia el exterior, hacia los otros.
La privacy puede manifestarse en cuatro situaciones básicas: soledad, intimidad
(intimacy), anonimato y reserva308, según apunta Westin, en uno de los textos claves en
materia de privacidad. La soledad y el aislamiento serían dimensiones que se refieren
básicamente al control de la interacción por parte de la persona. La soledad
correspondería a una situación donde hay una falta de contacto con el resto de personas,
pudiendo incluso estar físicamente rodeado de gente pero carecer de interactuación y,
por tanto, estar en soledad. El aislamiento implicaría el distanciamiento con las
personas. Por otra parte, el anonimato y la reserva guardan estrecha relación con la
capacidad para controlar selectivamente la información en situación de interacción. El
anonimato iría referido al estado de una persona a la que no se puede identificar y que
305Nino, Carlos S: Fundamentos de Derecho Constitucional. Análisis filosófico, jurídico y politológico de
la práctica constitucional, Buenos Aires, Ed. Astrea, 1992, pag. 327. 306 Abad Alcalá, Leopoldo: “La lucha por la intimidad en Internet” en La libertad de información:
gobierno y arquitectura de Internet (dir: Corredoira Alfonso, Loreto), Universidad Complutense de
Madrid, 2001, pags 198-205. 307 Vid. Freund, Julian: L’essence du Politique, Paris, Ed. Sirey, 1981 (1ª edición, 1965). 308Westin, Alan F: Privacy and Freedom, Nueva York, Atheneum, 1970, pag. 215.
139
está involucrada en una situación social en la que se desconoce la verdadera filiación del
individuo. En cuanto al concepto de reserva, iría referido al control de una parte de la
información personal de una persona durante una interacción social.
La segunda de estas situaciones, la intimidad, la define Westin en relación con el hecho
de que el individuo actúa como parte de una pequeña unidad que reclama, y está
preparada para ejercer, una segregación corporativa que permite alcanzar una relación
franca, relajada y cerrada entre dos o más individuos, tratándose de una relación de tinte
social.
Westin, además de aludir a las cuatro situaciones básicas en torno a la intimidad, ofrece
la siguiente definición de la misma: “el derecho de los individuos, grupos o
instituciones, a determinar por sí mismos cuándo, cómo y hasta qué punto se puede
comunicar a terceras personas información referida a ellos”309.
Alguna autora ha dicho de la intimidad que se trata de un “concepto superlativo más
intenso que la privacidad, pudiendo ser considerado como una noción psicológica”310.
Podría distinguirse, según esta autora, entre intimidad en sentido estricto y privacidad
en sentido más amplio, como ámbitos diferentes pero consecuentes: lo íntimo sería un
concepto estricto de dimensiones propiamente individuales; y lo privado sería un ámbito
que, abarcando lo íntimo, lo supera. En línea con lo anterior algunos autores han
reivindicado la distinción entre lo íntimo y lo privado no sólo en el plano
309 Ibídem. 310Béjar Merino, Helena: “La génesis de la privacidad en el pensamiento liberal”, Sistema, revista de
ciencias sociales, nº 76, 1987, pag. 59 y ss.
140
antropológico311 sino en el jurídico312. A este respecto, Norberto González Gaitano, en
lo que respecta a la localización de la palabra intimidad, señala que “así como la vida
pública y la vida privada son términos relativos uno de otro, intimidad es un término
absoluto. La vida privada se define por relación a la vida pública y viceversa. Esa
relación es variable en cada cultura y según los momentos históricos la intimidad está al
margen de la dialéctica público-privado, pero a la vez está en la raíz de la posibilidad de
las dos esferas y de su mutua dependencia. Sólo desde la intimidad puede haber vida
privada y vida pública y sólo desde el reconocimiento y protección de su valor absoluto
pueden definirse los ámbitos de las otras dos esferas”313.
También el propio Tribunal Supremo español ha establecido la distinción entre
intimidad y vida privada, destacando que “la esfera privada […] incluye aquel sector de
circunstancias que, sin ser secretas ni de carácter íntimo, merecen sin embargo el
respeto de todos, por ser necesarias para garantizar el normal desenvolvimiento, y la
tranquilidad de los titulares particulares […]”314. Por tanto, se puede deducir que el Alto
Tribunal da un distinto tratamiento a la intimidad y a la vida privada. En la misma línea,
algunos autores315 justifican estas diferencias de forma amplia.
Un sector autorizado de la doctrina considera que podría hablarse de intimidad en
sentido amplio, abarcando también lo privado316.El Tribunal Constitucional ha acogido
también esta postura y afirma que “el derecho constitucional a la intimidad excluye las
311González Gaitano, Norberto: El deber de respeto a la intimidad; información pública y relación social,
Pamplona, Eunsa, 1990, pág. 38 y ss. 312Soria, Carlos: “La información de lo público, lo privado y lo íntimo”, Revista Cuenta y Razón, nº 44 y
45, 1989, pag. 25 y ss. 313 González Gaitano, Norberto: op.cit, pag.76. 314 Ver la sentencia del Tribunal Supremo, de 20 de febrero de 1989 (RJ 1989/1213). 315 Cabezuelo Arenas, Ana: Derecho a la Intimidad, Valencia, Tirant lo Blanch, 1998, pags 18 y ss. 316 Vid. Westin Allan, F: op.cit.
141
intromisiones de los demás en la esfera de la vida privada personal y familiar de los
ciudadanos”317.
En cuanto a la naturaleza jurídica del derecho a la intimidad, algún autor estima que se
trata de “un derecho subjetivo puesto que le corresponden facultades que se ejercen
sobre un objeto interior a la persona y con pretensión de respeto hacia todos los
demás”318. Como características de este derecho, Eduardo Cifuentes señala: “innato, al
configurarse con el comienzo mismo de la persona; necesario, porque no puede faltar
salvo que se desnaturalizara a la persona; vitalicio, por su trayectoria ad vitem; esencial,
al no depender de una adquisición posterior y exterior; inherente, en razón de su
intransmisibilidad; extrapatrimonial, por la imposibilidad de valorarlo en dinero;
relativamente indisponible, puesto que solamente resulta posible consentir temporaria y
parcialmente la disposición; absoluto, por ser oponible erga omnes; privado, en virtud
de que se trata especialmente el problema de la interferencia entre particulares; y
autónomo, en orden a que todas las connotaciones enunciadas lo muestran como un
derecho singular, no identificable más que con los personalísimos, también llamados
derechos de la personalidad, los cuales participan de igual naturaleza jurídica y
caracteres”319.
En la doctrina española y, en lo que respecta al alcance del artículo 18 CE, Martínez
Sospedra destaca que “el objeto de protección del derecho no se corresponde
estrictamente con la vida privada en su integridad, ya que ésta es más amplia que la
propia intimidad, al comprender actividades profesionales, laborales y comerciales.
317Auto del Tribunal Constitucional 221/1990 (FJ 3º). 318Cifuentes, Eduardo: La eficacia de los derechos fundamentales frente a particulares, Madrid, Instituto
de Investigaciones Jurídicas de la UNAM, 1998, pag. 18 y ss. 319 Ibídem.
142
Existe un núcleo duro vital a defender, irreductible, formado por la vida interior y las
manifestaciones más inmediatas y directas de la misma. El derecho a la intimidad
vendría definido principalmente por la facultad de autodisposición del individuo sobre
sí mismo, y por tanto, sobre los asuntos que integran el citado ámbito vital. El
fundamento de esta libertad es la propia dignidad de la persona”320.
Frosini321 y Álvarez-Cienfuegos322 apuntan que la libertad informática es una nueva
fórmula que sustituye al antiguo Right to Privacy en cuanto que no tiene solamente un
significado positivo. Ello consiste no solo en la afirmación de una esfera de privacidad,
sino también en la facultad de acceso, control, rectificación y cancelación de los datos
personales insertos en un banco de datos.
Ruiz-Jiménez destaca que el mundo interior se presenta como “una de las expresiones
diferenciadoras del ser humano”323. Por su parte, Miguel Urabayen reconoce la
necesidad de determinar previamente el contenido del derecho a la intimidad324.
Propone el autor un concepto de intimidad que acoge dos dimensiones diferentes: una
restrictiva, limitada a las manifestaciones más interiores de la persona y otra más amplia
que lo identifica con los aspectos privados o reservados de la persona.
320 Martínez Sospedra, Manuel en Aznar Gómez, Hugo y Vallés Copeiro del Villar, Antonio: op.cit.,
p.129 y ss. 321 Frosini, Vittorio: “La tutela de la privacidad: de la libertad informática al bien jurídico informático”,
Revista del Colegio de Abogados de Buenos Aires, núm. 2, 1989, pag.96. 322Álvarez –Cienfuegos, José María: La defensa de la intimidad de los ciudadanos y la tecnología
informática, Pamplona, Aranzadi, 1999, pag.21. 323 Ruiz-Jimenez, Joaquín: “El derecho a la intimidad”, Cuadernos para el dialogo, núm. 66, 1969, pag.9. 324 Vid. Urabayen, Miguel: Vida privada e información: un conflicto permanente, Pamplona, Eunsa,
1977.
143
Fariñas Mantoni subraya que el derecho a la intimidad “es único en cuanto a su
concepción, pero múltiple y relativo en sus manifestaciones”325. Por su parte, Castán se
refiere expresamente a “los derechos de la esfera secreta de la propia persona”326 y con
esta expresión se alude a determinadas manifestaciones de la intimidad, como el secreto
de la correspondencia o el derecho a la imagen.
Un amplio sector de la doctrina respalda que los avances tecnológicos pueden suponer
una amenaza al derecho a la intimidad, considerando que, en cierto modo, estos avances
tecnológicos multiplican las posibilidades de atentar contra la intimidad o la vida
privada de los sujetos327.
5. 2. Derecho a la protección de datos de carácter personal: la
autodeterminación informativa
Además de estar ligado al derecho a la intimidad, el derecho al olvido está vinculado
también al derecho a la protección de datos. La eventual identificación del derecho a la
protección de datos con el derecho a la intimidad parte de enfoques distintos entre los
autores, que han establecido una cierta similitud entre ambos derechos, aunque con
matices de diferenciación. Etxeberría Guridi apunta que la generalidad de la doctrina
predica la indiscutible naturaleza de derecho fundamental del derecho a la protección de
325 Fariñas Mantoni, Luis María: El derecho a la intimidad, Madrid, Trivium, 1983, p.327. 326 Castán Tobeñas, José: “Los derechos de la personalidad”, R.G.L.J., núm 1-2, 1952, pag. 54 y ss. 327 Una amplia muestra de la jurisprudencia constitucional en esta materia la encontramos en Herrero
Tejedor, Fernando: Legislación y jurisprudencia constitucional sobre la vida privada y la libertad de
expresión, Madrid, Colex, 1998.
144
datos personales328. No obstante, y en lo que respecta a la jurisprudencia del Tribunal
Constitucional español, se observa un importante cambio con las sentencias 290/2000 y
292/2000, de 30 de noviembre, ya que hasta las mismas, la jurisprudencia constitucional
venía amparando el derecho a la protección de datos pero como una manifestación del
derecho a la intimidad y no como un derecho autónomo e independiente.
Algunos autores se han decantado por distintas fórmulas para aludir al derecho a la
protección de datos, utilizando denominaciones como intimidad informática, dimensión
positiva de la intimidad o faceta informática de la intimidad. Así, Carlos Ruiz Miguel
utiliza la expresión “intimidad informática”329 para referirse a este contenido particular
del derecho a la intimidad. Para otros autores como Morales Prats la protección de datos
hace referencia a “aspectos en los que se viene a reconocer el carácter institucional de
garantía, presupuesto del ejercicio de otros derechos constitucionales”330. Sánchez
Bravo advierte que la formulación del nuevo derecho a la protección de datos no está
exenta de cierta polémica, dadas las discrepancias que surgen a la hora de “determinar
su carácter autónomo o su dependencia respecto de valores o de derechos formulados
con anterioridad”331, como el derecho a la intimidad. A este respecto, Sánchez Bravo es
muy claro a la hora de abordar la naturaleza del derecho a la protección de datos, al
destacar que “la intimidad o el libre desarrollo de la personalidad no constituye el objeto
a proteger sino que son el punto de partida que nos introduce en una nueva
dimensión”332.
328 Etxeberría Guridi, José Francisco: La protección de los datos de carácter personal en el ámbito de la
investigación penal, Premio Protección de Datos Personales, AEPD, 1998, pag.42-44. 329 Ruiz Miguel, Carlos: op.cit, pag. 94 y ss. 330 Morales Prats, F: “Protección de la intimidad: delitos e infracciones administrativas” en Cuadernos de
Derecho Judicial, CGPJ, nº 13, 1997, pag. 43-44. 331 Sánchez Bravo, A.: La protección del derecho a la libertad informática en la UE, Universidad de
Sevilla, Secretariado de Publicaciones, 1998, pag. 58 y ss. 332 Ibídem.
145
Por tanto, en España, ha habido cierto debate en torno a la autonomía de la protección
de datos, como un precepto contemplado en el artículo 18 CE 1978. A este respecto,
autores como Marroig Pol y Corripio Gil-Delgado apuntan que “la polémica en la
doctrina española en este campo se centró en determinar si los distintos apartados del
artículo 18 de la Constitución española, o si incluso el propio apartado primero de este
precepto constitucional, deben ser considerados como manifestaciones concretas de un
derecho más amplio que sería el derecho a la intimidad, o si por el contrario, se trata de
derechos dotados de una cierta autonomía respecto del derecho a lo íntimo”333.
Tanto la tesis de la libertad informática, por la que apuesta Pérez Luño334, como la tesis
de la autodeterminación informativa, abanderada por Murillo de la Cueva335, toman la
intimidad como derecho de punto de partida, a partir del cual debe construirse la versión
sobre el fundamento y naturaleza de la protección de datos.
Villaverde Menéndez entiende la protección de datos personales como una vertiente
más del derecho a la intimidad, al subrayar que “no puede confundirse la abstracción
propia de las normas que garantizan derechos fundamentales con una supuesta apertura
de su programa normativo a cualquier contenido jurídico que le venga incorporado por
la concreta dogmática de los derechos fundamentales que el intérprete elija para su
concreción o por la remisión que prescriben normas internacionales o incluso, normas
333 Marroig Pol, L. y Corripio Gil-Delgado, Mª de los Reyes: “El ordenamiento español y la protección de
datos personales en el sector de las telecomunicaciones”, Boletín de información, num. 1930, Ministerio
de Justicia, 1 de diciembre de 2002, pag.8. 334 Pérez Luño, A.E.: Derechos Humanos, Estado de Derecho y Constitución, Madrid, Tecnos, 2005,
pag.318. 335 Murillo de la Cueva, P.: El derecho a la autodeterminación informativa, Madrid, Tecnos, 1990,
pag.45.
146
nacionales infraconstitucionales”336. Según este autor, “una cosa es concretar el
contenido del derecho fundamental y otra cosa es crear nuevos derechos fundamentales
sin tener en cuenta lo prescrito por la propia Constitución […]. El derecho a la
intimidad no se convierte en un derecho frente al cual el legislador pueda ir adhiriendo
nuevos contenidos afectados por la rigidez constitucional”337. Sin embargo, otros, han
superado la tesis reduccionista que considera la protección de datos como una
manifestación de la intimidad, para asumir posturas más acordes con las tesis que
apuntan hacia un objeto más amplio. Dos buenos ejemplos de autores que
evolucionaron hacia una mayor autonomía de la protección de datos con respecto a la
intimidad y, por tanto, su consideración, como nuevo derecho fundamental, son Madrid
Conesa338 y Ortí Vallejo339. Este último autor, destaca que aunque desde un punto de
vista jurídico no hay razones que justifiquen la necesidad de considerar un nuevo
derecho en el ámbito de la protección de datos, no obstante, contempla tal necesidad, al
ser consciente de que “la informática constituye un nuevo poder de dominio social sobre
el individuo”340.
Como anteriormente se ha destacado, lo privado supera a lo íntimo, en el sentido de que
todo lo íntimo es privado pero no todo lo privado es íntimo. Es decir, lo íntimo es
considerado el reducto más protegido de lo privado, la esencia o el núcleo duro de lo
privado. Y los datos personales pertenecen a la esfera de lo privado y, aunque podrían
pertenecer a su vez, en determinados casos, a la esencia de la intimidad, en otras
ocasiones no es así. Es precisamente la posibilidad de un tratamiento masivo de datos,
336 Villaverde Menéndez, Ignacio: “Protección de datos personales, derecho a ser informado y
autodeterminación informativa del individuo. A propósito de la sentencia 254/1993”, Revista Española de
Derecho Constitucional, nº 41, Madrid, 1994, pags. 194 y ss. 337 Ibídem. 338 Madrid Conesa, Fulgencio: op.cit, 1984, pag.36. 339 Ortí Vallejo, Antonio: “Cinco años de la LORTAD”, Madrid, La Ley, 1997, num 4438, pag.2. 340 Ibídem.
147
con independencia de que estos pertenezcan o no a la esfera de la intimidad, y la
consiguiente posibilidad de la elaboración de los llamados perfiles de personalidad
(profiling en su denominación en inglés), lo que en definitiva puede implicar no sólo la
vulneración de la intimidad, sino también la anulación de la propia identidad, en
definitiva, de nuestra dignidad como personas341.
Se puede observar cómo la privacidad se utiliza con distintos significados. Por una parte
como sinónimo y traducción de la privacy anglosajona; como sinónimo de vida privada;
como aquel ámbito que va más allá de la intimidad según la propia Exposición de
Motivos de la derogada LORTAD; o incluso como sinónimo de la intimidad. Desde un
punto de vista etimológico el término privacidad proviene del latin privatus (privado,
particular, propio, individual, personal). No obstante, es utilizado por lo general en
referencia a la traducción inglesa del término privacy, en su acepción de vida privada. Y
precisamente es desde esta perspectiva como el término ha sido incorporado al
diccionario de la Real Academia de la Lengua Española342. A este respecto Herrero-
Tejedor343 apunta que el término privacidad es utilizado frecuentemente por la doctrina
como equivalente castellano de privacy, comprendiendo la total protección de la vida
privada, añadiendo que la privacidad puede utilizarse como término comprensivo del
substrato común de los derechos garantizados por el artículo 18.1 CE 1978. Por su
parte, también en más de una ocasión el Tribunal Constitucional344 ha empleado el
término privacidad en referencia al ámbito de la vida privada. A este respecto ha
destacado que “la intimidad es la columna sustentadora de la libertad, […], ámbitos en
341 Murillo de la Cueva, P.L.: op.cit., pags 177-118. 342 El diccionario de la Real Academia Española define la privacidad como el “ámbito de la vida privada
que se tiene derecho a proteger frente a cualquier intromisión”. 343 Herrero-Tejedor: op.cit, pags.72. 344 Ver las sentencias del Tribunal Constitucional STC 89/1987, fundamento jurídico 2º; STC 142/93,
fundamento jurídico 7º.
148
los que la libertad vital del individuo implica una exigencia de privacidad”345. Está fuera
de dudas la diferencia que el Tribunal Constitucional estableció en la STC 292/2000
entre los derechos fundamentales clásicos del artículo 18.1 CE 1978 y el derecho a la
protección de datos del 18.4 CE 1978346. Para el Alto Tribunal, “el Constituyente quiso
garantizar mediante el actual artículo 18.4 CE no sólo un ámbito de protección
específico sino también más idóneo que el que podrían ofrecer por sí mismos los
derechos fundamentales del honor, intimidad y propia imagen (art. 18.1 CE 1978)”347.
La privacidad y la protección de datos nos lleva a hablar de la autodeterminación
informativa o la facultad de control de los individuos, a la que ya se ha aludido
anteriormente en esta tesis. La doctrina348 sitúa el nacimiento o punto de partida de la
autodeterminación informativa, o al menos la constitucionalización de la misma, en la
República Federal Alemana, con la sentencia sobre la Ley del Censo de Población349.
Según el tribunal alemán, el individuo, en lo que respecta al tratamiento de datos
personales, debe tener una facultad o libertad de decisión que suponga la “posibilidad de
acceder a sus datos personales, que pueda no sólo tener conocimiento de que otros
procesan informaciones relativas a su persona, sino también someter el uso de éstas a un
control, ya que, de lo contrario, se limitará su libertad de decidir por
autodeterminación”350.
345 Ibídem. 346 Ver la STC 29/2013, de 11 de febrero. FJ 6. 347 Ibídem. 348 A este respecto cabe destacar a Martínez Martínez, Ricard: “El derecho fundamental a la protección de
datos: perspectivas” en Revista de Internet, Derecho y Política, nº 5, Universidad Oberta de Catalunya,
agosto 2007, pag. 1. 349 El tribunal constitucional Alemán, en sentencia de 15 de diciembre de 1983, anuló tres preceptos de la
Ley del Censo de Población de ese año, entre ellos los relativos al cotejo de los datos personales del censo
estatal con los de los padrones. Ver el Boletín de Jurisprudencia Constitucional, nº 33, enero, 1984. 350 Ibídem.
149
No cabe duda de que, en lo que respecta a la doctrina española sobre la
autodeterminación informativa, los máximos exponentes de su estudio y reflexión son
Pérez Luño y Murillo de la Cueva, a quienes a lo largo de esta tesis se ha citado en
numerosas ocasiones. Por su parte, Pérez Luño, ha llegado a formular el denominado
habeas data, un derecho necesario en la era informática, como salvaguarda de la
libertad de la persona en la era digital, que se integraría en los denominados derechos de
tercera generación. Para este autor351, el concepto de habeas data se identifica con la
libertad informática y lo define como “un nuevo derecho de autotutela de la propia
identidad informática, o sea, el derecho de controlar (conocer, corregir, quitar o agregar)
los datos personales inscritos en un programa electrónico”352. En definitiva, el habeas
data queda recogido en la legislación española de protección de datos cuando se
reconocen los denominados derechos ARCO (de acceso, rectificación, cancelación y
oposición). La denominada libertad informática es, así, “el derecho a controlar el uso de
los datos insertos en un programa informático y comprende, entre otros aspectos, la
oposición del ciudadano a que determinados datos personales sean utilizados para fines
diferentes de aquel legítimo que justificó su obtención”353. “El derecho fundamental a la
protección de datos personales no trata de impedir el recurso a las nuevas tecnologías
sino de conciliarlo con el respecto a la dignidad de la persona”354.
Superada la jurisprudencia inicial del Tribunal Constitucional, anterior al año 2000, el
derecho a la protección de datos se considera un derecho autónomo e independiente del
derecho a la intimidad. No obstante, tiene muchas semejanzas con el mismo, en cuanto
que deriva de él y protege también la esfera personal y familiar. A igual que en el caso
351 Pérez Luño, A.E.: Manual de informática y Derecho, Barcelona, Ariel, 1996, pag.43. 352 Ibídem. 353Ver la STC 11/1998, de 13 de enero. FJ4º. 354 Troncoso Reigada, Antonio: “La Administración electrónica y la protección de datos personales”,
Revista Jurídica de Castilla y León, nº 16, septiembre 2008, pag. 60.
150
de conflictos del derecho a la intimidad con otros derechos fundamentales o intereses
dignos de protección, en el caso de los conflictos del derecho a la protección de datos de
carácter personal con otros derechos también es necesario recurrir a un ejercicio de
ponderación en búsqueda de respuestas equilibradas que tengan en consideración todos
los derechos e intereses jurídicos en presencia355. El derecho a la protección de datos
otorga un plus de garantías, en cuanto a que permite a los titulares de los datos estar en
poder de disposición y control sobre los mismos. “Ese poder de disposición se hace
efectivo mediante el reconocimiento expreso de los principios de la protección de datos
así como de los derechos de las personas”356.
Los principios de la protección de datos, en nuestra normativa, aparecen regulados en
los artículos 4 y siguientes de la LOPD, en donde se hace mención al principio de
calidad de los mismos, al principio de proporcionalidad, principio de consentimiento e
información al interesado y principio de finalidad. Los denominados derechos ARCO
(acceso, rectificación, cancelación y oposición) son asimismo otra manifestación del
plus de garantía del derecho a la protección de datos frente al derecho a la intimidad.
El artículo 4 de la LOPD define el contenido esencial del principio de calidad de los
datos, que ha de cumplir todo tratamiento, y también contempla los principios de
proporcionalidad y finalidad357.
355 Vid. Troncoso Reigada, Antonio: La protección de datos personales en busca del equilibrio, Valencia,
Tirant lo Blanch, 2010. 356 López García, M.: “Derecho a la información y derecho al olvido en Internet”, La Ley Unión Europea,
nº 17, Julio 2014, Año II, Editorial La Ley-Wolters Kluwer, pag.41 y ss. 357 El artículo 4 LOPD destaca: “1. Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos
en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades
incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará
incompatible el tratamiento posterior de estos con fines históricos, estadísticos o científicos. 3. Los datos
de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación
151
En lo que respecta a los derechos ARCO, éstos están regulados en los artículos 15 y
siguientes de la LOPD. En concreto, el derecho de rectificación y cancelación se regula
en el artículo 16, mientras en el artículo 17 se regula el procedimiento para el ejercicio
del derecho de oposición, acceso, rectificación o cancelación. Estos derechos son una de
las formas más importantes en las que se concreta el poder de disposición y control
sobre los propios datos358, y para su estudio, además de estos artículos de la LOPD, hay
que tener en consideración otras disposiciones normativas359.
Murillo de la Cueva ha definido la autodeterminación informativa como “el control que
a cada uno de nosotros nos corresponde sobre la información que nos concierne
personalmente, sea íntima o no, para preservar de este modo y en último extremo, la
real del afectado. 4. Si los datos de carácter personal registrados resultan ser inexactos, en todo o en
parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados
o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16. 5. Los datos de
carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que
permitan la identificación del interesado durante un período superior al necesario para los fines en base
a los cuáles hubieran sido recabados o registrados. Reglamentariamente, se determinará el
procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de
acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los
datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso,
salvo que sean legalmente cancelados. 7. Se prohíbe la recogida de datos por medios fraudulentos,
desleales o ilícitos”. 358 El artículo 16 LOPD señala: “1. El responsable del tratamiento tendrá la obligación de hacer efectivo
el derecho de rectificación o cancelación del interesado en el plazo de 10 días.
2. Serán rectificados o cancelados en su caso, los datos de carácter personal cuyo tratamiento no se
ajuste a lo dispuesto en la presente Ley, y en particular, cuando tales datos resulten inexactos o
incompletos.
3. La cancelación dará lugar al bloque de los datos, conservándose únicamente para la disposición de
las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades
nacidas del tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo, deberá
procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del
tratamiento deberá notificar la rectificación o cancelación a quien se haya comunicado, en el caso de
que se mantenga el tratamiento por éste último, que deberá también proceder a la cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las
disposiciones aplicables, o en su caso, en las relaciones contractuales entre la persona o entidad
responsable del tratamiento y el interesado” 359 Ver la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación, así como los
artículos 10.2, 19 y 50 de la Ley 12/1989, de 9 de mayo, sobre la Función Pública Estadística. Ver
asimismo la Instrucción 6/2000, de 4 de diciembre, de la Agencia Estatal de la Administración Tributaria,
de ejercicio de los derechos de acceso, rectificación y cancelación en Ficheros Automatizados de la
Administración Tributaria (BOE, 4 de enero de 2001).
152
propia identidad, nuestra dignidad y libertad. En su formulación como derecho, implica
necesariamente poderes que permitan a su titular definir los aspectos de su vida que no
sean públicos, que desea que no se conozcan, así como facultades que le aseguren que
los datos que de su persona manejan terceros informáticamente son exactos, completos
y actuales, y que se han obtenido de modo leal y lícito”360.
Tanto el Tribunal Constitucional361, como la Directiva 95/46/CE, como la LOPD,
acotan el concepto de dato personal afirmando que “se trata de una información relativa
a una persona identificada o identificable, careciendo de relevancia su naturaleza
pública o privada”362. Por su parte, el Convenio 108 del Consejo de Europa para la
protección de las personas con respecto al tratamiento automatizado de datos de carácter
personal también define en la misma línea el concepto de dato de carácter personal363.
Asimismo, la Directiva 95/46CE, en línea con el Convenio 108, destaca que “se
considera identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios
elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social”. Por su parte, el Reglamento de desarrollo de la LOPD364
360 Murillo de la Cueva, P.L.: “Informática y protección de datos personales”, Cuadernos y debates, nº 43,
Madrid, Centro de Estudios Constitucionales, 1993, pag. 32 y ss. 361 Ver, entre otras, la STC 254/1993, de 20 de julio; STC 29/2013, de 11 de febrero. 362 En la misma dirección apunta el Real Decreto 1332/1994, que en su artículo 1 define el carácter de
datos personal como “toda información numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una
persona física identificada o identificable”. Asimismo considera que la identificación del titular de los
datos podrá realizarse mediante “cualquier elemento que permita determinar directa o indirectamente la
identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada”. (Real
Decreto derogado). 363 Ver el artículo 2, relativo a “Definiciones” del Convenio 108, del Consejo de Europa, de 28 de enero
de 1981, para la protección de las personas físicas con respecto al tratamiento automatizado de datos de
carácter personal del Consejo de Europa. Según el Convenio, “datos de carácter personal significa
cualquier información personal relativa a una persona física identificada o identificable (persona
concernida)”. 364 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
153
especifica que “cualquier información” se refiere a “numérica, alfabética, fonográfica,
gráfica, acústica o de cualquier otro tipo”.
Hay algún autor, como el caso de Setzer365, que define el concepto de dato como “una
secuencia de símbolos cuantificados y cuantificables que pueden ser descritos a través
de representaciones formales”366 y algún otro autor se refiere a “bloques de construcción
de la información”367. Así se distingue entre informaciones y datos, de modo que las
informaciones serían los datos procesados, revelando el significado de los datos368. La
distinción fundamental entre información y datos, según apunta Setzer, es que el dato es
puramente sintáctico mientras la información contiene la semántica.
En lo que respecta al adjetivo personal o de carácter personal, acompañando al
sustantivo dato, Aparicio Salom subraya que “si el dato de carácter personal constituye
siempre información relativa a personas físicas, cabe entender que para que sea de
carácter personal es preciso que existan dos elementos: la información y la persona a la
que concierne dicha información”369. De este modo, en el supuesto de que no concurran
las dos circunstancias habrá de entenderse que no se trata de dato de carácter personal.
Por su parte, la sentencia del Tribunal Supremo de 31 de octubre de 2000, clasifica los
datos de carácter personal en varios bloques o apartados: “a) datos de carácter personal
‘strictu sensu’, que son los existenciales que pueden ser asociados a una persona
365 Setzer,Valdemar W.: “Dado, Informaçao, Conhecimento e Competência” en Albuquerque Ludmila:
Estudio comparado del régimen jurídico de los ficheros de solvencia patrimonial y crédito en España,
Italia y Brasil, Granada, Universidad de Granada, 2010, pag.200. 366 Ibídem. 367Rob, Peter y Coronel, Carlos: Sistemas de bases de datos: diseño, implementación y administración,
México, Thomson editores, 2004, pag.7. 368 Ibídem. 369 Aparicio Salom, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal,
Navarra, Aranzadi, 2000, pag. 43.
154
determinada o determinable (nacimiento, muerte, matrimonio, domicilio y análogos),
datos referentes a la actividad profesional, patrimonio, pertenencia a una confesión
religiosa, partido político, las enfermedades, etc; b) la información sobre las
condiciones materiales; c) evaluaciones y apreciaciones que puedan figurar en el
fichero y que hagan referencia al afectado”370.
En resumen, y desde una perspectiva constitucional, el derecho a la protección de datos
está en estrecha relación con el artículo 18 de la Carta Magna, que reconoce el derecho
a la intimidad de las personas, pero también con el artículo 10.1 CE 1978 que contempla
la dignidad de las personas. A este respecto, la propia Agencia Española de Protección
de Datos señala que “la Constitución Española en su artículo 10 reconoce el derecho a
la dignidad de la persona. Por su parte, el artículo 18.4 dispone que la ley limitará el uso
de la informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos. De ambos preceptos deriva el derecho
fundamental a la protección de datos de carácter personal”371.
Asimismo, el derecho a la protección de datos de carácter personal ha sido definido
como autónomo por la sentencia del Tribunal Constitucional 292/2000, de 30 de
noviembre. En desarrollo del artículo 18.4 CE 1978, fue aprobada la LOPD, que es la
norma que traspone al ordenamiento jurídico español la Directiva 95/46/CE de
Protección de Datos.
Por tanto, aunque no de forma explícita, el derecho a la protección de datos está
contemplado en el artículo 18.4 CE 1978. Además, el Tribunal Constitucional español
370 Sentencia del Tribunal Supremo 31 de octubre de 2000, Sala Tercera, nº recurso 6188/1996. 371 Ver la Guía de Protección de Datos, Agencia Española de Protección de Datos, 2004.
155
le ha dado el rango de derecho fundamental y ha admitido el derecho a la protección de
datos como un nuevo derecho, ligado al derecho a la intimidad explícitamente
reconocido como derecho fundamental en la Carta Magna, pero a la vez independiente
del mismo, en la citada sentencia STC 292/2000. Por su parte, la Carta de los Derechos
Fundamentales de la Unión Europea firmada en Niza en el año 2000, lo recoge en el
artículo 8372.
El artículo 16 del Tratado de Funcionamiento de la UE (TFUE)373, en su última
redacción tras la entrada en vigor del Tratado de Lisboa374, proporciona una base sólida
y eficaz para la protección de datos de carácter personal.
El Tribunal Constitucional español ha definido y delimitado el contenido esencial del
derecho a la protección de datos, como un derecho independiente y autónomo en
nuestro sistema constitucional, deslindado del derecho a la intimidad. Según se recoge
en la citada sentencia 292/2000 de 30 de noviembre, y en referencia a la distinción con
el derecho a la intimidad “la peculiaridad de este derecho fundamental a la protección
de datos, respecto de aquel derecho fundamental tan afín como es el de la intimidad,
radica pues, en su distinta fundamentación, lo que apareja por consiguiente, que
372 El artículo 8 de la Carta de Derechos Fundamentales de la UE (18/12/2000, Diario Oficial de la UE)
dice así: “Toda persona tiene derecho a la protección de los datos de carácter personal que la
conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del
consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda
persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El
respeto de estas normas quedará sujeto al control de una autoridad independiente.” 373 El artículo 16 del TFUE dice así: “1. Toda persona tiene derecho a la protección de datos de carácter
personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecerán, con arreglo al
procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del
tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la UE, así como
por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del
Derecho de la UE, y sobre la libre circulación de estos datos. El respeto de dichas normas estará
sometido al control de autoridades independientes. 3. […]” 374 Tratado de Lisboa por el que se modifican el Tratado de la UE y el Tratado Constitutivo de la UE, del
Parlamento Europeo, Consejo y Comisión de la UE, publicado el 17 de diciembre de 2007 y en vigor
desde el 1 de diciembre de 2009.
156
también su objeto y contenido difiere. En esencia, el contenido del derecho fundamental
a la protección de datos, consiste en un poder de disposición y de control sobre los
datos personales que faculta a la persona para decidir cuál de estos datos proporcionar
a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar,
permitiendo también al individuo saber quién posee estos datos personales y para qué,
pudiendo oponerse a esa posesión o uso”375.
Asimismo, esta sentencia del máximo intérprete de los derechos y libertades
fundamentales en España destaca también que “el carácter de derecho fundamental del
derecho a la protección de datos le otorga unas determinadas características, como la de
ser irrenunciable o el hecho de prevalecer sobre otros derechos no fundamentales”.
375 Ver la citada sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, FJ 6º..
157
6. Derecho al olvido
6. 1. El derecho al olvido, la cancelación o la supresión de datos de carácter
personal en Internet
En el ámbito de los derechos fundamentales se han venido identificando una serie de
conflictos. Entre ellos destacan, la clásica colisión entre seguridad y libertad, presente
en muchas de las políticas legislativas tras el 11-S; el conflicto entre la intimidad y el
derecho de defensa y la investigación penal; o el derecho de la sociedad a protegerse
frente a comportamientos que se ha decidido penalizar: la controversia entre el derecho
a expresarnos o incluso a exhibirnos y el derecho a arrepentirnos y a que se olviden
nuestros pecados de juventud376.
Pues bien, el derecho al olvido está íntimamente ligado al derecho al arrepentimiento, a
la reputación, y a borrar de la memoria colectiva digital ciertos datos personales. En los
últimos años, parecía afianzarse la afirmación de que quien no está en Internet no existe.
Sin duda, ello ha contribuido a la expansión de servicios como las redes sociales o los
prestadores de servicios en Internet377. Si bien, “superado este espejismo de notoriedad
otorgado por la presencia de Internet, son cada vez más las voces que reclaman la
necesidad de unos límites y de dotar al ciudadano de mecanismos de garantía de sus
derechos, principalmente cuando se trata de informaciones no difundidas ni reveladas
por ellos”378. “En cierto modo, el propio concepto de red social conlleva una cierta
376 Llaneza, Paloma: “Derechos Fundamentales e Internet”, Revista Telos Cuadernos de Comunicación e
Innovación, Fundación Telefónica. 2010, nº 85, pag.1. 377 Rallo, Artemi: “El derecho al olvido y su protección”, Revista Telos Cuadernos de Comunicación e
innovación, Fundación Telefónica, oct-diciembre 2010, pags.1 a 5. 378 Ibídem.
158
renuncia de los usuarios a su privacidad”379. Prueba de ello, es el incremento de las
reclamaciones de los ciudadanos ante la Agencia Española de Protección de Datos
(AEPD) en defensa de sus derechos, lo que se pone de manifiesto en las últimas
memorias anuales de este organismo, que refleja el número creciente de ciudadanos que
solicitan la tutela de sus derechos de oposición o cancelación respecto a informaciones
publicadas en Internet. Según datos de la Memoria de la AEPD de 2014, se registraron
en ese año más de 12.000 reclamaciones ante el citado organismo (incluyendo todo tipo
de reclamaciones y denuncias en materia de protección de datos), lo que supone un
incremento del 15% con respecto al año anterior. Fundamentalmente, en su mayoría, las
denuncias se centraban en las materias de videovigilancia, contratación fraudulenta,
inclusión en ficheros de morosidad y en materia de recobro de deudas380.
En lo que respecta a las reclamaciones de derecho al olvido frente a buscadores, según
datos ofrecidos en la citada Memoria de 2014, la Audiencia Nacional ha confirmado los
criterios de la AEPD en más de un 93% de los casos. Los efectos de la sentencia del
TJUE, de 13 de mayo de 2014 -caso Mario Costeja y la AEPD v. Google, C-131/12-, se
comentan en detalle en la citada Memoria. De las 120 reclamaciones presentadas frente
a buscadores en 2014, el 83,33% fueron presentadas tras la citada sentencia del tribunal
de la UE con sede en Luxemburgo. En 2014, la Audiencia Nacional dictó 35 sentencias,
y en 24 de ellas, desestimó el recurso de Google. Por su parte, en 136 casos que estaban
pendientes de resolución ante la Audiencia Nacional, se ha producido el desistimiento
del gigante americano. A su vez, en 2015 y hasta la presentación de la citada Memoria
379 Troncoso Reigada, Antonio: “Las redes sociales a la luz de la Propuesta de Reglamento General de
Protección de Datos Personales, Parte I”, Revista de Internet, Derecho y Política, nº 15, UOC, noviembre
2012, pag. 64. 380 Ver la Memoria 2014 de la Agencia Española de Protección de Datos.
https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_06_3
0-ides-idphp.php
159
de la AEPD el pasado 30 de junio de 2015, la Audiencia Nacional había dictado 37
sentencias, confirmando los criterios de la AEPD en 29 casos381.
Con respecto a la última Memoria presentada por el organismo, referente a 2015, ésta
destaca que “mucho han cambiado las circunstancias desde que en 2007 este organismo
recibió las tres primeras reclamaciones de ciudadanos que solicitaban ayuda a la
Agencia para ejercitar el denominado derecho al olvido, para evitar que Google
mostrase determinadas paginas cuando se realizada una búsqueda a través de sus
nombres”382. Asimismo, en esta última Memoria se destaca “el incremento significativo
de las consultas relacionadas con el ejercicio de los derechos de acceso, cancelación,
rectificación y oposición (ARCO), un 45%, con especial incidencia en las relacionadas
con el último de estos derechos, como consecuencia de la sentencia del Tribunal de
Justicia de la UE de 13 de mayo de 2014 […]. Dentro de los procedimientos de tutela de
derechos más destacados de 2015 se pueden señalar los siguientes: derecho de
cancelación frente a Google-accesibilidad de la información a cualquier internauta no
justificada [….]”383·
Con respecto a los datos publicados por Google384, en relación con las solicitudes de
eliminación de información de su motor de búsqueda, desde que la compañía
381 Algunas de las sentencias dictadas por la Audiencia Nacional en 2014, en materia de derecho al olvido
son: R 5236/2014, nº recurso 363/2010, de 2 de diciembre; R 5206/2014, nº recurso 179/2012, de 29 de
diciembre; R 5129/2014, nº recurso 725/2010, de 29 de diciembre; R 5198/2014, nº recurso 661/2009, de
29 de diciembre; R 5203/2014, nº recurso 103/2010, de 29 de diciembre; R 5210/2014, nº recurso
657/2009, de 29 de diciembre. Asimismo, durante 2015, algunas de las sentencias de la Audiencia
Nacional, en materia de derecho al olvido, son: R 240/2015, nº recurso 358/2012, de 9 de junio; R
99/2015, nº de recurso 227/2012, de 5 de febrero; R 104/2015, nº de recurso 565/2010, de 19 de febrero;
o R 97/2015, nº de recurso 45/2013, de 19 de febrero. 382 Memoria de 2015 de la Agencia Española de Protección de Datos. 383 Ibídem. 384 Google publica dos veces al año el denominado Transparency Report con datos sobre las solicitudes
de desindexación de información, por vulneración de la privacidad, derechos de autor o solicitudes
gubernamentales de retirada de información.
http://www.google.com/transparencyreport/removals/europeprivacy/?hl=es
160
implementó un procedimiento para cumplir con la sentencia del TJUE de mayo de
2014, referido al número total de URLs que los usuarios han solicitado a Google que
retire asciende a 1.736.192 URLs, de las cuáles Google ha retirado el 43,2%. Entre los
dominios en los que Google ha retirado más URLs, destacan Facebook.com o
Youtube.com.
El hecho de que el derecho al olvido esté ligado al arrepentimiento o al derecho al
borrado, nos puede llevar a la conclusión de que el derecho al olvido parte de la premisa
de veracidad de los datos. Si una injuria o calumnia implica el insulto, descalificación o
imputación falsa de un delito, el ejercicio del derecho al olvido iría referido al derecho a
eliminar datos de la Red que el interesado considere que le perjudican aunque estos
datos se ajusten a la realidad pasada. Por tanto, podría definirse como el derecho a
equivocarse o a que una equivocación pasada no marque y determine la vida de un
individuo que, por definición, no es otra cosa que un proceso evolutivo, una secuencia
de aciertos y errores, siempre en proceso de conformación, de cambio y de evolución
constante. “La existencia humana es la manifestación más acusada del devenir, porque
el hombre no está hecho, sino que se hace a sí mismo, y no puede suspender su
autocreación ni un instante”385.
La realidad a la que nos hemos tenido que enfrentar ha sido la necesidad de aplicar una
normativa que fue pensada cuando el desarrollo de Internet era incipiente, a la situación
actual que nos ofrecen las nuevas tecnologías con el uso generalizado y masivo de
385 Fernández de la Mora, Gonzalo: La envidia igualitaria, Barcelona, Editorial Áltera, 2012, pág. 252.
161
Internet, lo que ha venido planteando, tal y como denomina Guerrero Zaplana “graves
situaciones de fricción”386.
En un amplio abanico de cambios sociales incentivados por la innovación tecnológica,
destaca la conversión de la frágil memoria humana en una potente y poderosa memoria
digital, según destaca Viktor Mayer-Schönberger, uno de los máximos referentes y
principales defensores del derecho al olvido387. Este autor recalca que con la ayuda de la
tecnología y la difusión, “olvidar se ha convertido en la excepción a la regla, por
defecto, que no es otra que el recuerdo”388. Mayer-Schönberger ha estudiado
recientemente el fenómeno del recuerdo en la Era digital y destaca que tan importante es
para los humanos la habilidad del recuerdo como la de olvidar. De hecho, Mayer-
Schönberger es considerado el pensador líder de la idea del derecho a borrar los datos
personales y someter el uso de la información personal a límites temporales389.
En este sentido, Mayer-Schönberger apunta que “como humanos no viajamos a través
del tiempo de un modo ignorante. Con la capacidad del recuerdo somos capaces de
comparar, aprender y experimentar el tiempo como un cambio. Igualmente importante
es la habilidad para olvidar, para deshacernos de las cadenas del pasado y vivir en el
presente”390. Para este investigador, por tanto, la relación entre recuerdo y olvido ha
estado clara durante miles de años pero ahora se ha invertido. El recuerdo ha venido
siendo costoso y difícil y por ello la regla por defecto era el olvido y los humanos tenían
386 Guerrero Zaplana, José: “Aproximación al Derecho al olvido en el nuevo Reglamento de Protección de
Datos”, Thomson Reuters, Lex Nova blogs. http://publico.blogs.lexnova.es/2012/07/17/aproximacion-al-
derecho-al-olvido-en-el-nuevo-reglamento-de-proteccion-de-datos/. 387 El libro Delete: the virtue of forgetting in the digital age, Princeton University Press, 2009, del
profesor Victor Mayer-Schönberger es un referente para toda la parte de derecho al olvido, que se ha
leído de forma exhaustiva para la elaboración de esta tesis. 388 Mayer-Schönberger, Viktor: Delete […] op.cit, p.49. 389 Vid. Schwarz, Paul: “The EU-US Privacy Collision: A turn to Institutions and Procedures”, Harvard
Law Review, 2012, vol.126, nº 7 mayo 2013. 390 Mayer-Schönberger, Viktor, op.cit, pag.198.
162
que elegir deliberadamente aquello que debían recordar. Sin embargo, hoy en día se ha
producido una inversión del balance o de la relación entre olvido y recuerdo. En la Era
digital, por primera vez en la historia humana, recordar es más fácil y barato que
olvidar391. Al finalizar la Segunda Guerra Mundial, se aceleró un proceso caracterizado
por la acumulación de capitales, de poder tecnológico y de investigación. Si se
considera que estos avances permitieron también un flujo constante de información
entre diversas partes del mundo, comenzamos a encontrar tanto los aspectos positivos
como los perjudiciales del término globalización392.
Asimismo Mayer-Schönberger resalta que el olvido desempeña un rol muy importante
en la función humana, en la toma de decisiones, ya que permite la generalización y la
abstracción sin quedarse anclado en las experiencias individuales393. Para él, gracias al
olvido podemos aceptar que los humanos, como todo en la vida, cambian y evolucionan
con el tiempo. Para este autor, de algún modo el recuerdo digital nos amenaza como
individuos y como sociedad, en lo relativo a nuestra capacidad para aprender, razonar y
actuar en el tiempo, así como también nos expone a la potencialmente devastadora
sobrerreacción humana ante nuestro pasado.
La reflexión filosófica sobre el olvido ha sido incluso llevada a la gran pantalla hace
unos años. A fin de cuentas, en numerosas ocasiones a través del cine se reflejan
muchas de las inquietudes que afectan a la sociedad. Ganador del premio Óscar 2005 al
391 Mayer-Schönberger, Viktor: op.cit, pag.48 y ss. 392 Vid. Fernández Delpech, Horacio: Protección de datos-Derecho al olvido, Universidad de El
Salvador, 2008, pag.3. 393 Mayer-Schönberger, Viktor: op.cit, pag.12.
163
mejor guion original, el filme Eternal Sunshine of the spotless mind394 (‘¡Olvídate de
mí!’ en su traducción al castellano) es una película donde se trata el polémico tema ético
y filosófico del derecho del individuo a gestionar sus recuerdos y a poder borrar todos
aquéllos no deseados.
La idea del olvido forzado o el olvido no como un derecho del individuo sino como una
práctica realizada por los poderosos al servicio de unos intereses de Estado o de partido,
nos lleva a rememorar algunos momentos de la historia. A este respecto y a título de
ejemplo, en la época estalinista de la URSS existió la famosa purga de las fotos. Se trata
de una ejemplar prueba de manipulación fotográfica395, con las fotos tomadas en aquel
famoso mitin de 1917 cuando Lenin ordenó trucar todas aquellas en las que figuraba
con Trotsky. Igualmente, pocos años después el propio Stalin ordenó borrar de la
memoria y para siempre a Nikolai Yezhov, en la única foto en la que ambos posaron
juntos, a orillas del Moscova396.
El derecho al olvido o a empezar de cero es práctica normal en muchos órdenes
jurídicos, desde una perspectiva y dimensión redentora, como ocurre en ámbitos como
el penitenciario, escolar, administrativo, político, etc. En el campo fiscal o tributario
también se encuentran manifestaciones de este derecho397.
Se conoce como derecho al olvido a “un interés jurídicamente protegido de los
ciudadanos que consiste en lograr efectivamente que sus datos personales no sean
394 La película estadounidense fue dirigida por Michel Gondry y protagonizada por Jim Carrey y Kate
Winslet. Además del Óscar al Mejor Guión Original y BAFTA al Mejor Montaje, recibió otros 33
premios. 395 Moratalla, José Ramón: “El derecho al olvido”, Artículos y recursos empresariales Microsoft, 2011.
http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=112. 396 Ibídem. 397 Ibídem.
164
localizados por los buscadores en la Red”398. De este modo, si un ciudadano ve cómo
datos que fueron publicados lícitamente en el pasado, podrían perjudicarle
objetivamente en la actualidad y a estos datos se puede acceder fácilmente a través de
Internet, aparece un derecho, , que le permitiría oponerse a que tales datos continúen a
disposición de terceros que quieran conocer lo que hizo.
Tras una primera aproximación al concepto de derecho al olvido, se ve claramente la
contradicción entre derechos y principios generales del ordenamiento jurídico. De un
lado está el derecho a la intimidad, secuencia del derecho a la dignidad de la persona, y
específicamente de la protección frente a la informática. De otro lado, se encuentra el
principio de transparencia, el de legalidad y los derechos de información, además de
otros derechos o intereses que pueden entrar en juego como la libertad de empresa, el
necesario impulso de la innovación y el desarrollo tecnológico. Una vez más, y como
siempre que entran en conflicto derechos fundamentales, hay que hacer un ejercicio de
ponderación de los intereses en juego o, como dirían los anglosajones, un balancing
test.
El derecho al olvido implica o podría implicar potencialmente un fuerte conflicto con
las fuertes protecciones de la Primera Enmienda399 de los Estados Unidos, por lo que
398 Salcines, Sergio y Soriano, José Eugenio: “Derecho al olvido”, Newsletter noviembre 2011, Lupicinio
Abogados, pag.1. 399 La Primera Enmienda a la Constitución de EE.UU es uno de los derechos reconocidos en la
denominada Carta de Derechos de EE.UU o Bill of rights, del que forman parte las diez primeras
enmiendas a la Constitución. Según la misma, “el Congreso no hará ley alguna con respecto a la adopción
de una religión o prohibiendo el libre ejercicio de dichas actividades; o que coarte la libertad de expresión
o de la prensa, el derecho del pueblo a reunirse pacíficamente, y para solicitar al Gobierno la reparación
de agravios”. En la interpretación de esta enmienda, los tribunales han fallado que no sólo incumbe al
Poder Legislativo del Congreso, sino que también incluye al Poder Ejecutivo y al Poder Judicial. El
Tribunal Supremo de EE.UU ha fallado que la cláusula del due procedure (decimocuarta enmienda)
corrige las limitaciones de la primera enmienda de la Constitución de EE.UU, haciendo que la prohibición
de elaborar leyes que coarten la libertad de las personas recaiga también sobre los Estados que conforman
el país así como sobre los gobiernos locales dentro de dichos Estados.
165
algunos expertos se muestran escépticos con este nuevo derecho o consideran poco
viable que logre ser un derecho globalmente reconocido más allá de las fronteras de la
Unión Europea400. Además, nunca podría tratarse de un derecho absoluto sino relativo o
sujeto a límites, al entrar en conflicto con ciertos derechos fundamentales como la
libertad de expresión e información o con valores tan esenciales en una sociedad
democrática avanzada como el libre mercado y el necesario crecimiento económico o el
impulso a la innovación tecnológica.
Las críticas en torno a este nuevo derecho no son pocas. Los detractores de este derecho
básicamente utilizan el argumento de la amenaza que supondría para la innovación
tecnológica. De este modo, Vinton Cerf, el creador del protocolo TCP/IP, afirmó en
2012 en la presentación del Museo Life Online en el Reino Unido, que el derecho al
olvido puede suponer una amenaza para la web. “El derecho al olvido es imposible de
lograr, debido a que copiar información que está en Internet, a las computadoras, y
volver a subirla, es demasiado fácil. Nuestro mundo tiene ya clara la idea de que una
vez que algo se hace público, por ejemplo un libro o una revista, no puede ser retractado
fácilmente. Esto también debería aplicarse al mundo digital”401. Este experto destaca
que el derecho al olvido apunta a permitir que los ciudadanos eliminen información
específica sobre ellos de los buscadores o de toda la Red. Para él, sin embargo, la
regulación no ha sido bien definida debido a la enorme dificultad técnica de
implementar algo como eso, además de las consecuencias legales que tendría. A este
respecto, Cerf establece una analogía y compara el borrado de datos en Internet con
quitar los libros de las estanterías de los ciudadanos. En su opinión, “el problema se
400 Schwartz, Paul: op.cit., disponible en
http://www.harvardlawreview.org/symposium/papers2012/schwartz.pdf 401 Vint Cerf en la presentación del museo Life Online en Reino Unido, en 2012, hizo estas afirmaciones
recogidas por la prensa en http://www.telegraph.co.uk/technology/news/9173449/Vint-Cerf-attacks-
European-internet-policy.html.
166
resolverá con el tiempo, ya que las personas están aprendiendo a comportarse mejor en
la Red y a pensarlo dos veces, antes de subir información”402. Es decir, este experto
aboga por la solución vía educacional y no tanto por una solución dada a través de
normas restrictivas o prohibitivas.
La reforma europea en materia de protección de datos que ha sido recientemente
aprobada “coloca a los ciudadanos en una posición de control sobre sus datos”, lo que
según ha destacado la ex comisaria de Justicia de la UE, Viviane Reding, es importante
“no sólo porque se trata de un derecho fundamental y un valor constitucional sino
también porque tiene sentido desde un punto de vista económico” destacó Reding en la
Cumbre anual de Euroclouds en 2012. La reforma regulatoria europea en materia de
protección de datos, que contempla el derecho al olvido, comenzará a aplicarse en mayo
de 2018.
Entre los argumentos utilizados por los detractores o los no partidarios del derecho al
olvido, además de la libertad de expresión e información que imperan en toda sociedad
democrática, están los referentes al falseamiento de la historia. A este respecto, algún
autor se cuestiona hasta qué punto la noción del respeto a la privacidad puede
extenderse al ocultamiento de información a petición de la parte interesada en que no se
conozcan hechos y acontecimientos de los que fue protagonista y que en su día fueron
públicos a través del BOE o de los medios de comunicación, simplemente porque
carecen ya de relevancia, cuando, en realidad, es porque no convienen a sus actuales
intereses. “Tal pretensión puede ser además de opuesta a los derechos humanos
402 Ibídem.
167
felizmente reconocidos en todos los países democráticos. En todo caso, tal pretensión es
opuesta al interés de la historia”.403
Aunque quede poco tiempo para mayo de 2018, el derecho al olvido no está reconocido
como tal aún en un texto normativo vigente y en aplicación, pero sí se puede afirmar
que sus bases ya han sido perfiladas con la aprobación y entrada en vigor del RGPD. El
artículo 17 del RGPD lo regula ampliamente. En la actual normativa española, la
LOPD, que es la norma de transposición al ordenamiento español de la Directiva
95/46/CE, no se recoge un derecho al olvido como tal, sino que lo más parecido al
mismo en la actual norma española, como ya se ha dicho, son los denominados
derechos ARCO. Sin embargo, tanto la norma española como la propia Directiva de la
que la primera deriva, no estaban pensadas ni diseñadas para el entorno digital ni para
Internet, ni dan una solución a la problemática relativa a la privacidad en entornos
digitales. Precisamente porque la democratización en el uso de la Red y el hecho de que
a día de hoy haya más de 3.000 millones de personas en el planeta conectadas a Internet
es algo sobrevenido y no se contaba con ello en el momento en el que se adoptó la
Directiva 95/46/CE.
El fundamento general del derecho al olvido reside en el respeto al principio del
consentimiento para el tratamiento. Además, con base en el principio de finalidad, los
datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la
403 Así se manifiesta Milagros del Corral en un artículo de opinión publicado en el ABC, el 28 de abril de
2012, destacando que un reconocimiento del derecho al olvido falsearía la historia. La autora es asesora
de organismos internacionales y fue directora de la Biblioteca Nacional de España.
http://sevilla.abc.es/historico-opinion/index.asp?ff=20120428&idn=1502726688681.
168
finalidad para la cual hubieran sido recabados y precisamente esto constituye la base
legal para la cancelación de datos personales en Internet404.
Precisamente a través del derecho al olvido regulado en el RGPD, tal y como está
contemplado en el mismo, cualquier web o red social que almacene datos de los
ciudadanos estará obligada a eliminarlos a petición del interesado y a abstenerse de
darles más difusión. En conclusión, el derecho al olvido contempla la garantía de
privacidad, reforzando el derecho de cancelación de datos de las personas en la Red. A
través de la inclusión del derecho al olvido en el RGPD se busca establecer un marco
más sólido y coherente, que otorgue a las personas el control de sus propios datos,
reforzando la confianza en los mismos y la seguridad jurídica405. La reforma del marco
regulatorio europeo de protección de datos, a través del RGPD se halla en la línea de dar
el protagonismo a la persona, dueña de sus datos e intimidad. En definitiva, de que sean
las personas quienes tengan el control sobre sus datos. Como decía George Orwell en su
novela ‘1984’, ‘quién controla el pasado, controla el futuro, y quien controla el presente,
controla el pasado’.406
El texto literal del artículo 17 de la Propuesta de Reglamento General de Protección de
Datos de enero de 2012, del “derecho al olvido y la supresión” dice así:
“1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos
personales que le conciernen y se abstenga de darles más difusión, especialmente en lo que
404 Bacaria, Jordi: “El derecho al olvido digital: la eliminación de datos personales de Internet”,
Economist & Jurist, Vol.20, nº 158, 2012, pags. 12 a 20. 405 Ivars, José J.: “Propuesta de Reglamento Europeo de Protección de Datos: especial atención al
Derecho al olvido”, en Diariojurídico.com. http://www.diariojuridico.com/opinion/propuesta-reglamento-
europeo-proteccion-datos-especial-atencion-al-derecho-al-olvido/. 406 Vid. Orwell George: 1984, The Penguin complete novels of George Orwell, Harmondsworth, Penguin,
ed. 1984.
169
respecta a los datos personales proporcionados por el interesado siendo niño, cuando concurra
alguna de las circunstancias siguientes:
a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o
tratados;
b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con
lo dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación
autorizado y no existe otro fundamento jurídico para el tratamiento de los datos;
c) el interesado se opone al tratamiento de datos personales con arreglo a lo dispuesto en
el artículo 19;
d) el tratamiento de datos no es conforme con el presente Reglamento por otros motivos.
2. Cuando el responsable del tratamiento contemplado en el apartado 1 haya hecho públicos
los datos personales, adoptará todas las medidas razonables, incluidas medidas técnicas, en lo
que respecta a los datos de cuya publicación sea responsable, con miras a informar a los
terceros que estén tratando dichos datos de que un interesado les solicita que supriman
cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. Cuando el
responsable del tratamiento haya autorizado a un tercero a publicar datos personales, será
considerado responsable de esa publicación.
3. El responsable del tratamiento procederá a la supresión sin demora, salvo en la medida en
que la conservación de los datos personales sea necesaria:
a) para el ejercicio del derecho a la libertad de expresión de conformidad con lo
dispuesto en el artículo 80;
b) por motivos de interés público en el ámbito de la salud pública de conformidad con lo
dispuesto en el artículo 81;
c) con fines de investigación histórica, estadística y científica de conformidad con lo
dispuesto en el artículo 83;
d) para el cumplimiento de una obligación legal de conservar los datos personales
impuesta por el Derecho de la Unión o por la legislación de un Estado miembro a la que
esté sujeto el responsable del tratamiento; las legislaciones de los Estados miembros
deberán perseguir un objetivo de interés público, respetar la esencia del derecho a la
protección de datos personales y ser proporcionales a la finalidad legítima perseguida;
170
e) en los casos contemplados en el apartado 4.
4. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento
de datos personales cuando:
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del
tratamiento verificar la exactitud de los datos
b) el responsable del tratamiento ya no necesite los datos personales para la realización
de su misión, pero estos deban conservarse a efectos probatorios;
c) el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar
la limitación de su uso;
d) el interesado solicite la transmisión de los datos personales a otro sistema de
tratamiento automatizado de conformidad con lo dispuesto en el artículo 18, apartado 2.
5. Con excepción de su conservación, los datos personales contemplados en el apartado 4 solo
podrán ser objeto de tratamiento a efectos probatorios, o con el consentimiento del interesado,
o con miras a la protección de los derechos de otra persona física o jurídica o en pos de un
objetivo de interés público.
6. Cuando el tratamiento de datos personales esté limitado de conformidad con lo dispuesto en
el apartado 4, el responsable del tratamiento informará al interesado antes de levantar la
limitación al tratamiento.
7. El responsable del tratamiento implementará mecanismos para garantizar que se respetan
los plazos fijados para la supresión de datos personales y/o para el examen periódico de la
necesidad de conservar los datos.
8. Cuando se hayan suprimido datos, el responsable del tratamiento no someterá dichos datos
personales a ninguna otra forma de tratamiento.
9. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo
dispuesto en el artículo 86, a fin de especificar:
a) los criterios y requisitos relativos a la aplicación del apartado 1 en sectores y
situaciones específicos de tratamiento de datos;
b) las condiciones para la supresión de enlaces, copias o réplicas de datos personales
procedentes de servicios de comunicación accesibles al público a que se refiere el
apartado 2;
171
c) los criterios y condiciones para limitar el tratamiento de datos personales
contemplados en el apartado 4.”
En el texto aprobado en marzo de 2014 por el Parlamento Europeo (PE), el artículo 17
sufrió algunas variaciones en su redacción. El primer cambio es que en el texto
aprobado por la Comisión en su Propuesta de 2012, el derecho al olvido se contemplaba
como derecho al olvido y la supresión. Por su parte, el Parlamento Europeo407 pasa a
denominarlo simplemente derecho a la supresión. El artículo 17 quedó, en el texto
aprobado por el Parlamento en marzo de 2014, de la siguiente manera408:
“1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos
personales que le conciernen y se abstenga de darles más difusión, especialmente en los que
respecta y, en relación con terceros, a que estos supriman todos los enlaces a los datos
personales, proporcionados por el interesado siendo niño, copias o reproducciones de los
mismos, cuando concurra alguna de las circunstancias siguientes:
a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o
tratados;
b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con
lo dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación
autorizado y no existe otro fundamento jurídico para el tratamiento de los datos;
c) el interesado se opone al tratamiento de datos personales con arreglo a lo dispuesto en el
artículo 19;
d) c bis), un tribunal o una autoridad reguladora con sede en la Unión ha dictaminado de
forma definitiva e irrevocable que han de suprimirse los datos de que se trate;
e) el tratamiento de los datosno es conforme con el presente Reglamento por otros
407 El Parlamento Europeo aprobó en primera lectura su resolución el 12 de marzo de 2014. Ver en
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-
0212+0+DOC+XML+V0//ES. 408 En negrita se destacan los cambios incorporados en la resolución del PE de 2014 con respecto a la
Propuesta de la CE de 2012. Para el caso de que se trate de un cambio de eliminación, se destaca tachado.
172
motivoshan sido tratados ilícitamente.
1bis. La aplicación del apartado 1 dependerá de la capacidad del responsable del tratamiento
para comprobar que es el interesado quien solicita la supresión de los datos.
2. Cuando el responsable del tratamiento contemplado en el apartado 1 haya hecho públicos
los datos personales sin una justificación basada en el artículo 6, apartado 1, adoptará todas
las medidas razonables, incluidas medidas técnicas, en lo que respecta apara que los
datoscuya publicación sea responsable, con miras a informar a los terceros que estén
tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos
datos personales, o cualquier copia o réplica de los mismossean suprimidos, también por
terceros, sin perjuicio de lo dispuesto en el artículo 77. Cuando sea posible, el responsable del
tratamientohaya autorizado a un tercero a publicar datos personales, será considerado
responsable de esa publicacióninformará al interesado de las medidas tomadas por los
terceros en cuestión.
3. El responsable del tratamiento procederá y, en su caso, el tercero procederán a la supresión
sin demora, salvo en la medida en que la conservación de los datos personales sea necesaria:
a) para el ejercicio del derecho a la libertad de expresión de conformidad con lo dispuesto
en el artículo 80;
b) por motivos de interés público en el ámbito de la salud pública de conformidad con lo
dispuesto en el artículo 81;
c) con fines de investigación histórica, estadística y científica de conformidad con lo
dispuesto
d) para el cumplimiento de una obligación legal de conservar los datos personales impuesta
por el Derecho la legislación de la Unión o por la legislación de un Estado miembro a la
que esté sujeto el responsable del tratamiento; las legislaciones de los Estados miembros
deberán perseguir un objetivo de interés público, respetarla esencia del derecho a la
protección de datos personales y ser proporcionales a la finalidad legítima perseguida;
e) en los casos contemplados en el apartado 4. en el artículo 83;
4. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento
de datos personales, de forma que no sean objeto de las operaciones normales de acceso y
tratamiento y no puedan volver a modificarse, cuando:
173
a) el interesado impugne su exactitud, durante un plazo que permita al responsable del
tratamiento verificar la exactitud de los datos;
b) el responsable ya no necesite los datos personales para la realización de su misión,
pero estos deban conservarse a efectos probatorios;
c) el tratamiento sea lícito y el interesado se oponga a su supresión y solicite en su lugar
la limitación de su uso;
c bis) un tribunal o una autoridad reguladora con sede en la Unión haya dictaminado
de forma definitiva e irrevocable que ha de limitarse el tratamiento de los datos de que
se trate;
d) el interesado solicite la transmisión de los datos personales a otro sistema de
tratamiento automatizado de conformidad con lo dispuesto en el artículo 18, apartado
215, apartado 2 bis;
d bis) el tipo determinado de tecnología de conservación de los datos no permita su supresión,
siempre que dicha tecnología se hubiese puesto en práctica antes de la entrada en vigor del
presente Reglamento.
5. Con excepción de su conservación, los datos personales contemplados en el apartado 4 sólo
podrán ser objeto de tratamiento a efectos probatorios, o con el consentimiento del interesado,
o con miras a la protección de los derechos de otra persona física o jurídica o en pos de un
objetivo de interés público.
6. Cuando el tratamiento de los datos personales esté limitado de conformidad con lo dispuesto
en el apartado 4, el responsable del tratamiento informará al interesado antes de levantar la
limitación al tratamiento.
7. El responsable del tratamiento implementará mecanismos para garantizar que se respetan
los plazos fijados para la supresión de datos personales y/o para el examen periódico de la
necesidad de conservar los datos.
8. Cuando se hayan suprimido datos, el responsable del tratamiento no someterá dichos datos
personales a ninguna otra forma de tratamiento.
8 bis. El responsable del tratamiento implementará mecanismos para garantizar que se
respetan los plazos fijados para la supresión de los datos personales, así como para el
examen periódico de la necesidad de conservar los datos.
174
9. La Comisión estará facultada, tras haber solicitado un dictamen al Consejo Europeo de
Protección de Datos, para adoptar actos delegados, de conformidad con lo dispuesto en el
artículo 86, a fin de especificar:
a) los criterios y requisitos relativos a la aplicación del apartado 1 en sectores y
situaciones específicos de tratamiento de datos;
b) las condiciones para la supresión de enlaces, copias o réplicas de datos personales
procedentes de servicios de comunicación accesibles al público a que se refiere el
apartado 2;
c) los criterios y condiciones para limitar el tratamiento de datos personales
contemplados en el apartado 4.
En el texto aprobado por el Consejo de Ministros de Justicia e Interior de la UE, el
pasado 15 de junio409, el artículo 17 quedó de la siguiente manera y volviendo a
denominarse “derecho a la supresión y al olvido”: (texto literal en inglés)410
“1. The (…) controller shall have the obligation to erase personal data without undue delay,
especially in relation to personal data which are collected when the data subject was a child,
and the data subjet shall have the right to obtain from the controller the erasure of personal
data concerning him or her without undue delay where one of the following grounds applies:
a) the data are no longer necessary in relation to the purposes for which they were collected
or otherwise processed;
b) the data subject withdraws consent on which the processing is based according to point
(a) of Article 6 (1) or point (a) of Article 9(2)and (…)there is no other legal ground for
the processing of the data;
c) the data subject objects to the processing of personal data pursuant to Article 19 (1)
409 El Consejo de ministros de Justicia y Asuntos de Interior de la UE aprobó el pasado 15 de junio el
texto que servirá como base para las negociaciones a tres bandas (trílogo) para la aprobación final del
Reglamento. La aprobación del texto contó con el rechazo de Austria y Eslovenia. 410 Entre paréntesis “(…)” se destaca lo que ha sido eliminado en el texto del Consejo y destacado en
negrita las novedades en el texto aprobado por el Consejo el 15 de junio de 2015 con respecto a la
Propuesta de la CE de 2012.
175
and there are no overriding legitimate grounds for the processing or the data subject
objects to the processing of personal data pursuant to Article 19(2); d) the data have
been unlawfully processed; e) the data have to be erased for compliance with a legal
obligation to which the controller is subject;
1 a The data subject shall have also the right to obtain from the controller the erasure of
personal data concerning him or her, without undue delay, if the data have been collected in
relation to the offering of information society services referred to in Article 8 (1).
(…)
2. (…)
2 a Where the controller(…) has made the personal data public and is obliged pursuant to
paragraph 1 to erase the data, the controller, taking account of available technology and the
cost of implementation, shall take (…) reasonable steps, including technical measures, (…) to
inform controllers which are processing the data, that the data subject has requested the
erasure by such controllers of any links to, or copy or replication of that personal data.
3. Paragraphs 1, 1 a and 2 a shall not apply to the extent that (…)processing of the personal
data is necessary:
a. For excersiging the right of freedom of expression and information;
b. For compliance with a legal obligation which requires processing of personal data by
Union or Member State law to which the controller is subject or for the performance of a
task carried out in the public interest or in the exercise of official authority vested in the
controller;
c. For reasons of public interest in the área of public health in accordance with
Article 9 (2) (h) and (hb) as well as Article 9 (4);
d. for archiving purposes in the public interest or for scientific, statistical and historical
(…) purposes in accordance with Article 83;
e. (…)
f. (…)
g. for the establishment, exercise or defence of legal claims.
[…]”
176
Si bien hasta la Propuesta de Reglamento europeo de Protección de Datos no se había
regulado el derecho al olvido, algunos autores apuntan que la Directiva 95/46/CE ya
venía contemplándolo si bien no explícitamente como derecho al olvido. “Hasta cierto
punto la Directiva de protección de datos existente, de 1995, ya incluye el derecho al
olvido en Europa, aunque no se recoja de forma explícita”411. Implícitamente, se
consigue un efecto similar mediante dos mecanismos importantes recogidos en la
Directiva: el principio de la proporcionalidad y los derechos de los sujetos. A este
respecto, el principio de proporcionalidad está presente en toda la Directiva 95/46/CE, y
en relación con el aspecto temporal del derecho al olvido queda afirmado casi de forma
clara en el artículo 6.1 e) de la Directiva412: “los datos personales serán conservados en
una forma que permita la identificación de los interesados durante un período no
superior al necesario para los fines para los que fueron recogidos o para los que se
traten ulteriormente”. Asimismo, el artículo 6.1. d) de la Directiva especifica además
que, “los datos inexactos o incompletos, con respecto a los fines para los que fueron
recogidos, o para los que fueron tratados posteriormente serán suprimidos o
rectificados”.
Es decir, estas normas del artículo 6 de la Directiva exigen a los responsables del
tratamiento de los datos personales que borren dichos datos si ya no se necesitan para
los fines legítimos del tratamiento de datos. “Efectivamente esta obligación puede
considerarse de manera que cree un derecho pasivo a ser olvidado, en forma de una
obligación de justificación para los responsables de los datos: si ya no pueden demostrar
un motivo legítimo por el que se mantengan los datos personales, entonces deberían
411 Graux, H., Ausloos, J. y Valcke, P.: “El derecho al olvido en la Era de Internet” en el estudio El debate
sobre la privacidad y la seguridad en la Red: regulación y mercados, Editorial Ariel, Fundación
Telefónica, 2010, pag. 107 y ss. 412 Ibídem.
177
eliminarlos”413. No obstante, en la práctica, este derecho pasivo no debería
sobreestimarse. En la práctica, tiene muy poca aplicación. Por tanto, aunque el sistema
legal actual europeo establece varios principios y derechos sólidos que sustentan un
“derecho diluido a ser olvidado”414, las disposiciones específicas contienen puntos de
flaqueza que dificultan su efectividad en la práctica. Entre estos, se encuentran, en
particular, su ineficacia parcial cuando se da el consentimiento y el amplio margen de
apreciación que se deja a los responsables del tratamiento por medio de la dependencia
en los fines especificados.
Para Napoleón Xanthoulis, la redacción del artículo 17 de la Propuesta de RGPD era
“ambigua y vaga”415, por lo que en el caso de mantenerse la imprecisión en la redacción
de este artículo, según este autor sería necesario que el Tribunal de Justicia de la UE se
vaya encargando de determinar el alcance y sustancia del derecho al olvido y su relación
con otros derechos fundamentales. A lo largo de la tramitación de la norma, el artículo
17 tampoco ha variado de forma sustancial y es necesario que a través del WP29 así
como por vía jurisprudencial se aclaren algunos aspectos, como puede ser el relativo a
cómo, en la práctica, se articulará la obligación de notificación al resto de responsables
del tratamiento que estén tratando los datos, de la solicitud de derecho al olvido del
titular de los datos.
Un sector de la doctrina considera que, en lo que respecta al reconocimiento del derecho
al olvido digital, es importante plantearse la siguiente cuestión: ¿Cuándo un interés se
transforma en un derecho exigible a terceros?, o dicho con otras palabras, ¿Cuándo un
413 Ibídem. 414 Ibídem. 415 Xanthoulis, Napoleón: “The right to oblivion in the information age: a human-rights based approach”,
US-China Law Review, Vol. 10:84, California (EE.UU), 2013, pag.91 y ss.
178
interés personal tiene el peso suficiente para transformarse en deberes de otros para el
respeto y garantía de dichos intereses?416 La diferencia fundamental entre un derecho y
un mero interés en el que podría basarse un derecho es el hecho de que el contenido de
un derecho (particularmente un derecho humano) es también el contenido de un
correspondiente deber. En relación con el derecho al olvido, resulta clave acotar cuándo
y en qué circunstancias puede invocarse este derecho, ya que lo más probable es que un
individuo no sea informado sobre la existencia del uso de determinados datos en la Red
antes de que el daño haya sido efectivamente causado417.
Finalmente, el pasado 15 de diciembre de 2015, llegadas al final las negociaciones del
trílogo418, el artículo 17 que regula el derecho al olvido queda finalmente redactado en
el texto consolidado en los siguientes términos (texto literal en inglés):
“Right to erasure (right to be forgotten). 1. The data subject shall have the right to obtain from
the controller the erasure of personal data concerning him or her without undue delay and the
controller shall have the obligation to erase personal data without undue delay where one of
the following grounds applies:
a) The data are no longer necessary in the relation to the purposes for which they were
collected or otherwise processed;
b) The data subject withdraws consent on which the processing is based according to
point (a) of Article 6 (1), or point (a) of Article 9 (2), and where there is no other
legal groung for the processing of the data.
c) The data subject objects to the processing of personal data pusuant to Article 19 (1)
and there are no overriding legitimate grounds for processing, or the data subject
416 Koops, Bert Jaap: “Forgetting footprints, shunning shadows: A critical analysis of the right to be
forgotten in Big Data practice”, 2011 en Xanthoulis Napoleón, op.cit, pag.91 y ss. 417 Ibídem. 418 Las negociaciones del trílogo hacen referencia a las negociaciones que se producen a tres bandas, entre
la Comisión Europea, el Consejo de la UE y el Parlamento Europeo para la aprobación final del texto
normativo.
179
objects to the processing of personal data pursuant to Article 19 (2).
d) They have been unlawfully processed
e) The data have to be erased for compliance with a legal obligation in Union or
Member State law to which the controller is subject
f) The data have been collected in relation to the offering of information society services
referred to in Article 8 (1).
1. (a) (…)
2. (…)
2.a. Where the controller has made the personal data public and is obliged pursuant to
paragraph 1 to erase the data, the controller, taking account of available technology and the
cost of implementation, shall take reasonable steps, including technical measures, to informe
controllers which are processing the data, that the data subject has requested the erasure by
such controllers of any links to, or copy or replication of that personal data.
3. Paragraphs 1 and 2 shall not apply to the extent that processing of personal data is
necessary
a) for exercising the right of freedom of expression and information
b) for compliance with a legal obligation which requires processing of personal data by
Union or Member State law to which the controller is subject or for the performance of a
task carried out in the public interest or in the exercise of official authority vested in the
controller
c) for reasons of public interest in the area of public health in accordance with Article
9(2) (h) and (hb) as well as Article 9 (4)
d) for archiving purposes in the public interest or scientific and historical research
purposes or statistical purposes in accordance with Article 83 (1) in so far as the right
referred to in parragraph1 is likely to render impossible or seriously impair the
achievement ot the archiving purposes in the public interest, or the scientific and
historical research purposes or the statistical purposes.
e) for the establishment, exercise or defence of legal claims
4. (…)
5. (…)
180
6. (…)
7. (…)
8. (…)
9. (…)”
El RGPD 679/2016, de 27 de abril de 2016, se publicó en el Diario Oficial de la UE
(DOUE) el pasado 4 de mayo de 2016, quedando el artículo 17, derecho a la supresión
(el derecho al olvido) redactado en los siguientes términos:
“1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento, la
supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación
indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron
recogidos o tratados de otro modo;
b) El interesado retire el consentimiento en que se basa el tratamiento de conformidad con el
artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) y este no se base en otro
fundamento jurídico;
c) El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no
prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al
tratamiento con arreglo al artículo 21, apartado 2;
d) Los datos personales hayan sido tratados ilícitamente;
e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal
establecida en el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento;
f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad
de la información mencionados en el artículo 8, apartado 1.
2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en
el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la
tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas
181
técnicas, con miras a informar a los responsables que estén tratando los datos personales de la
solicitud del interesado de supresión de cualquier enlace a estos datos personales, o cualquier
copia o réplica de los mismos.
3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:
a) para ejercer el derecho a la libertad de expresión e información
b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos
impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al
responsable del tratamiento, o para el cumplimiento de una misión realizada en interés
público o en el ejercicio de poderes públicos conferidos al responsable.
c) por razones de interés público en el ámbito de la salud pública de conformidad con el
artículo 9, apartado 2, letras h) e i) y apartado 3;
d) con fines de archivo en interés público, fines de investigación científica o histórica o fines
estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho
indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los
objetivos de dicho tratamiento, o
e) para la formulación, el ejercicio o la defensa de reclamaciones”
Tras la publicación del Reglamento en el boletín oficial de la UE, comienza a contar el
plazo de dos años hasta que comience a ser de aplicación el Reglamento y sustituya a la
Directiva 95/46/CE, lo que se producirá en mayo de 2018.
Por su parte, el considerando 6 del RGPD señala que “la rápida evolución tecnológica y
la globalización han planteado nuevos retos para la protección de datos personales. La
magnitud de la recogida y del intercambio de datos personales ha aumentado de forma
significativa […]. Las personas físicas difunden un volumen cada vez mayor de
información personal a escala mundial […]”. Y, por su parte, el considerando 39 del
Reglamento destaca que “los datos personales deben ser adecuados, pertinentes y
limitados a lo necesario para los fines para los que sean tratados. Ellos requiere, en
182
particular, garantizar que se limite a un mínimo estricto para su conservación […] y
deben tomarse todas las medidas razonables para garantizar que se rectifiquen o
supriman los datos personales que sean inexactos”.
Además, el considerando 65 del RGPD afirma que “los interesados deben tener derecho
a que se rectifiquen los datos personales que les conciernen y un derecho al olvido si la
retención de tales datos infringe el Derecho de la UE, o de los Estados miembros
aplicable al responsable del tratamiento. En particular, los interesados deben tener
derecho a que sus datos se supriman y dejen de tratarse si ya no son necesarios para
los fines para los que fueron recogidos o tratados de otro modo, si los interesados han
retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos
personales que les conciernen, o si el tratamiento de sus datos personales incumple de
otro modo el presente reglamento”. Asimismo, continúa señalando el considerando
citado que “este derecho es pertinente, en particular, si el interesado dio el
consentimiento siendo un niño, no siendo plenamente consciente de los riesgos que
implicaba el tratamiento”.
De la lectura del artículo 17, en su versión finalmente aprobada y publicada en el DOUE
se puede observar que la denominación finalmente elegida ha sido la de derecho a la
supresión y, entre paréntesis, se incluye la referencia al derecho al olvido. Esta
denominación final refuerza la idea de que el derecho al olvido deriva de la propia
evolución de los clásicos derechos de acceso, rectificación, cancelación y oposición. No
en balde han sido numerosas las críticas a la denominación de derecho al olvido,
considerando que ésta no encaja con el contenido concreto del derecho en cuestión419.
419 Pazos Castro, Ricardo: “El mal llamado derecho al olvido en la era de Internet”, Boletín del Ministerio
de Justicia núm. 2183, Noviembre 2015, Año LXIX, p.40.
183
Por otra parte, el derecho al olvido contemplado en el artículo 17 del RGPD está en
estrecha conexión con los principios de calidad del dato, finalidad y proporcionalidad.
De hecho, el derecho al olvido actuaría como un instrumento que persigue el efectivo
cumplimiento del principio de finalidad, que exige que los datos sólo puedan utilizarse
para la finalidad concreta para la que fueron registrados y, una vez que ya no son
necesarios para tal efecto, se produciría su cancelación420. También, en el texto del
artículo 17 se contempla la obligación de notificar a otros responsables del tratamiento
que estén tratando los datos de la solicitud del sujeto y de la obligación de suprimir toda
réplica o copia. Ya el propio considerando 66 del RGPD señala “a fin de reforzar el
derecho al olvido en el entorno en línea, el derecho de supresión debe ampliarse de tal
forma que el responsable del tratamiento que haya hecho públicos datos personales
esté obligado a indicar a los responsables de tratamiento que supriman todo enlace a
ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe
tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su
disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado
a los responsables que estén tratando datos personales”.
Aunque no se recoja en la literalidad del artículo, se puede deducir que para cumplir con
la obligación de tomar medidas razonables teniendo en cuenta la tecnología y medidas
técnicas, y con el fin de informar a otros responsables del tratamiento que estén tratando
los datos, cabría entender que la utilización de protocolos robot.txt (códigos de
exclusión) es un mecanismo perfectamente válido para dar cumplimiento a dicha
420 Castellano, Pere Simón: “El derecho al olvido en el Universo 2.0”, Revista Bid, Universidad de
Barcelona, núm. 28, junio 2012.
184
obligación. Además, al respecto, ha habido varios pronunciamientos recientes que
avalan el uso de los códigos de exclusión421.
Por todo ello, desde un punto de vista práctico, el RGPD contempla un derecho al
olvido de modo que reconoce un derecho de los interesados a que sus datos sean
suprimidos por el responsable de tratamiento en determinadas circunstancias y salvo
que se den otros supuestos contemplados en el ámbito de las excepciones a este
derecho. Además, se incorpora una obligación de informar a otros responsables que
estén tratando los datos para que tomen las medidas oportunas.
6. 2. Caso Mario Costeja y AEPD v. Google (C-131/12)*422
El 13 de mayo de 2014 el Tribunal de Justicia de la UE dictaba la sentencia en el asunto
Mario Costeja y AEDP v. Google (C-131/12) que tiene por objeto una petición de
decisión prejudicial planteada por la Audiencia Nacional sobre la interpretación de la
Directiva 95/46/CE de protección de datos personales. Dicho fallo da respuesta a la
controvertida cuestión del derecho al olvido o cancelación de datos en Internet y, más
en concreto, en los motores de búsqueda. El fallo, aunque genera dudas conceptuales y
de aplicación jurídica, sienta las bases para resolver los conflictos que sobre esta materia
se puedan generar, avalando la aplicación extraterritorial de la citada Directiva.
Asimismo considera que el motor de búsqueda realiza un tratamiento de datos
421 Ver la sentencia de la Sala de lo Civil, del Tribunal Supremo, de 15 de octubre de 2015, núm.
Resolución 545/2015. 422 * Para la elaboración de este bloque de la tesis, sobre el análisis de esta sentencia del TJUE, se ha
tomado como referencia fundamental, el siguiente artículo jurisprudencial publicado por la doctoranda:
Álvarez Caro, María: “Reflexiones sobre la sentencia del TJUE en el asunto ‘Mario Costeja’ (C -131/12)
sobre derecho al olvido”, Revista Española de Derecho Europeo, Civitas Thomson Reuters Aranzadi, nº
51, 2014.
185
personales y es responsable del mismo, a la vez que reconoce el derecho al olvido del
titular de los datos, en el sentido de que éste se pueda dirigir al buscador para que
elimine dichos datos en determinados casos y con independencia de que éstos
permanezcan en la web de origen.
La sentencia referida del Tribunal Europeo de Justicia de la UE del 13 de mayo de
2014, que resuelve la cuestión prejudicial planteada por la Audiencia Nacional, en el
Asunto C-131/12, en el procedimiento entre Google Spain S.L, Google Inc contra la
Agencia Española de Protección de Datos (AEPD) y Mario Costeja González, da una
respuesta al derecho al olvido. El fallo del Tribunal de Luxemburgo ofrece así unas
directrices que necesariamente han de seguir los Estados miembros de la UE a la hora
de resolver los casos que se planteen y ofrece asimismo las bases y líneas para la
regulación del derecho al olvido en el RGPD. Este fallo judicial podría calificarse, si no
como la sentencia más importante en materia de protección de datos en la historia del
TJUE, sin duda, como una de los más trascendentales en dicho ámbito. La sentencia
cierra un caso mediático y polémico sobre el que han corrido ríos de tinta en periódicos
y revistas jurídicas especializadas. Sin embargo, aunque el caso se ha cerrado, es ahora
cuando se abre una nueva etapa, donde habrá que ver cómo se va ejerciendo en la
práctica el derecho al olvido y cómo se va perfilando el futuro con respecto al derecho
al olvido.
Como primera reflexión, quisiera insistir, en que no se puede extrapolar este fallo
judicial para ofrecer la misma solución a cualquier supuesto sobre derecho al olvido, ni
para afirmar, generalizando, que existe un derecho al olvido, absoluto, de todos los
ciudadanos, que estos pueden ejercer frente a un buscador ante informaciones que les
186
desagraden. La sentencia dista mucho de amparar la existencia de un derecho absoluto
al olvido, sino que contempla un derecho lleno de matices y condicionantes de alcance
general y particular. El fallo judicial resuelve un caso concreto, con unas determinadas
características, e insiste, en su argumentación, en que habrá que ir resolviendo, caso por
caso, para ver donde prima más el derecho al acceso a la información por parte del
internauta y, donde, la privacidad del sujeto. Asimismo, afirma que la Directiva
95/46/CE, de protección de datos personales de las personas físicas, ha de interpretarse
desde arriba, en el sentido de que ha de interpretarse a la luz del artículo 8 de la Carta de
Derechos Fundamentales de la UE423.
Es un fallo judicial que podría suponer, en parte, replantearse las reglas del juego en
Internet, y que más allá de a Google, podrá afectar a otros agentes de la Red. Pone en
cuestión el régimen de exención de responsabilidad del contenido de terceros que aplica
a los prestadores de servicios de la sociedad de la información424. Asimismo, y
precisamente por tratarse de una solución para un supuesto concreto, el fallo deja las
puertas abiertas a cuestiones relacionadas con el derecho al olvido para las que este caso
no da una solución, planteándose interrogantes y quedando algunas cuestiones en el
aire, a las que se hará referencia a lo largo de este capítulo.
La sentencia tiene su origen en una cuestión prejudicial planteada por la Audiencia
Nacional al órgano encargado de interpretar el Derecho comunitario, con arreglo al
423 El artículo 8 de la Carta de Derechos Fundamentales de la UE dice así: “1. Toda persona tiene
derechos a la protección de datos de carácter personal que le conciernan.2. Estos datos se tratarán de
modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de
otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos
que le conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de
una autoridad independiente”. 424Ver la Directiva 2000/31/CE de Comercio Electrónico, así como la norma de transposición al derecho
interno español; la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)
34/2002, de 11 de julio.
187
artículo 267 del Tratado de Funcionamiento de la UE (TFUE)425, que contempla este
tipo de recurso por órganos judiciales de los Estados miembros cuando se tienen dudas
de cómo interpretar el Derecho comunitario426. Las dudas se referían, en concreto, al
artículo 2, letras b) y d), artículo 4, apartado 1, letras a) y c), artículo 12 letra b) y
artículo 14 párrafo primero, letra a), de la citada Directiva, así como a la interpretación
del artículo 8 de la Carta de los Derechos Fundamentales de la UE427.
425 El artículo 267 del TFUE señala: “El Tribunal de Justicia de la Unión Europea será competente para
pronunciarse con carácter prejudicial: sobre la interpretación de los tratados; sobre la validez o
interpretación de los actos adoptados por las instituciones, órganos u organismos de la Unión. Cuando
se planee una cuestión de esta naturaleza ante un órgano jurisdiccional de uno de los Estados Miembro,
dicho órgano podrá pedir al Tribunal, que se pronuncie sobre la misma, si estima necesaria una decisión
al respecto para poder emitir su fallo. Cuando se plantee una cuestión de este tipo en un asunto
pendiente ante un órgano jurisdiccional nacional, cuyas decisiones no sean susceptibles de ulterior
recurso judicial de Derecho interno, dicho órgano estará obligado a someter la cuestión al Tribunal.
Cuando se plantee una cuestión de este tipo en un asunto pendiente ante un órgano jurisdiccional
nacional en relación con una persona privada de libertad, el Tribunal de Justicia de la Unión Europea se
pronunciará con la mayor brevedad”. 426La Audiencia Nacional plantea el auto el 27 de febrero de 2012, teniendo entrada en el TJUE el 9 de
marzo. 427 Artículo 2, letra b, Directiva 95/46/CE: “tratamiento de datos personales es cualquier operación o
conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos
personales, como la recogida, registro, organización, conservación, elaboración o modificación,
extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que
facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción”. El
apartado d) del dictado artículo destaca: “responsable del tratamiento es la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los
fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del
tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias,
el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el
Derecho nacional o comunitario”. El artículo 4.1 señala: “Los Estados Miembros aplicarán las
disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo
tratamiento de datos personales cuando: a) el tratamiento sea efectuado en el marco de las actividades de
un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo
responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar
las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones
previstas por el Derecho nacional aplicable, b) […], c) el responsable del tratamiento no esté establecido
en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios,
automatizados o no, situados en el territorio de dicho Estado miembro, salvo en el caso de que dichos
medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea”. El artículo
12, letra b) señala: “Derecho de acceso. Los Estados miembros garantizarán a todos los interesados el
derecho de obtener del responsable del tratamiento: en su caso, la rectificación, la supresión o el bloqueo
de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a
causa del carácter incompleto o inexacto de los datos; .Por su parte, el artículo 14.1.a) de la citada
Directiva destaca, en relación con el derecho de oposición del interesado, que “Los Estados miembros
reconocerán al interesado el derecho a oponerse, al menos, en los casos contemplados en las letras e) y f)
del artículo 7 en cualquier momento y por razones legítimas propias de su situación particular, a que los
datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra
cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable, no podrá referirse ya a
estos datos”.
188
El caso se plantea en el marco de un litigio entre, por un lado, a Google Inc y Google
Spain S.L y, por otro, el ciudadano español Mario Costeja y la autoridad de protección
de datos española. Con respecto a la norma sobre la cual la Audiencia Nacional tiene
dudas interpretativas, como ya se ha dicho, se trata de la Directiva 95/46/CE, del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, una norma que data ya de una época en la que Internet no es
lo que era hoy en día y, desde luego, no está pensada para mucha de la problemática que
se plantea en la actualidad en materia de protección de datos. De hecho, tal y como
señaló el Abogado General Niilo Jääskinen en sus conclusiones428, “cuando la Comisión
Europea elaboró la propuesta de Directiva, en 1990, Internet, en el sentido actual de
World Wide Web, no existía, ni tampoco existían motores de búsqueda”. Por ello, en el
ámbito de la UE se ha decidido actualizar la normativa aplicable en esta materia, desde
que en enero de 2012 la Comisión Europa aprobó la Propuesta de Reglamento Europeo
de Protección de Datos429.
Para contextualizar el caso objeto del litigio, y antes de entrar a abordar la
argumentación de la sentencia, se hará un breve repaso de los hechos. El comienzo se
remonta al 5 de marzo de 2010, cuando el ciudadano Mario Costeja presenta una
reclamación ante la AEPD contra La Vanguardia Ediciones SL, empresa que publica un
periódico de gran difusión en Cataluña, y contra Google Spain y Google Inc, para
ejercer un derecho de cancelación de los datos publicados relacionados con un anuncio
428 Ver las conclusiones del abogado general Niilo Jääskinen relacionadas con este caso y presentadas el
pasado 25 de junio de 2013. 429 En octubre de 2013, el Comité LIBE (Comisión de Libertades Civiles, Justicia y Asuntos de Interior)
del Parlamento Europeo emitió un informe emitiendo su posición con respecto al borrador de Reglamento
Europeo de Protección de Datos, incluyendo algunas modificaciones con respecto al texto original de la
CE. Posteriormente, en marzo de 2014, la Eurocámara respalda en primera lectura el paquete legislativo
de Protección de Datos, con 621 votos a favor, 10 en contra y 22 abstenciones.
189
de subasta de un inmueble por deudas a la Seguridad Social de 1998. La reclamación
del señor Costeja se basaba en que cuando un internauta introducía su nombre y
apellidos en el motor de búsqueda, el internauta obtenía, como resultado, vínculos hacia
dos páginas del periódico mencionado, del año 1998, en las que figuraba un anuncio de
subasta de inmuebles relacionada con un embargo por deudas a la Seguridad Social,
deudas que el ciudadano en cuestión ya había saldado tiempo atrás. El afectado, titular
de los datos, acude primero tanto al medio de comunicación como al buscador y pide la
retirada de los datos en cuestión. Ninguno de los dos accede a su petición, por lo que el
afectado acude a la AEPD. Por su parte, la AEPD430 considera en su resolución de julio
de 2010 que La Vanguardia no está obligada a cancelar los datos al haber sido éstos
publicados con una justificación legítima, al haber sido ordenada la publicación por el
Ministerio de Trabajo y Asuntos Sociales con el fin de dar la mayor publicidad a la
subasta. Al contrario, obliga a Google a proceder a cancelar o borrar los datos de su
buscador. El gigante tecnológico plantea un recurso ante la Audiencia Nacional, y éste
órgano judicial, ante las dudas sobre la interpretación de la Directiva 95/46/CE, plantea
una cuestión prejudicial ante el TJUE. La Audiencia Nacional pregunta tres cuestiones
prejudiciales al Tribunal de Luxemburgo431. Ya antes de la sentencia del TJUE del 13
430 El 30 de julio de 2010, mediante resolución, la AEPD desestimó la reclamación en la medida en que se
refería a La Vanguardia, al considerar que la publicación que ésta había llevado a cabo estaba legalmente
justificada, mientras que estima la reclamación en lo que respecta a Google Inc. y Google Spain, al
considerarlos responsables del tratamiento y sometidos a la Directiva europea. 431 Las tres cuestiones prejudiciales que plantea la Audiencia Nacional son: 1) ¿Por lo que respecta a la
aplicación territorial de la Directiva 95/46 y, consiguientemente de la normativa española de protección
de datos: a) Debe interpretarse que existe un ‘establecimiento’, en los términos descritos en el art.4.1.a)
de la Directiva 95/46 cuando concurra alguno o algunos de los siguientes supuestos: i) cuando la empresa
proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la
promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes del
Estado o, ii) cuando la empresa matriz designa una filial ubicada en ese Estado miembro como su
representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos
de los clientes que contrataron publicidad con dicha empresa o, iii) cuando la oficina o filial establecida
en un Estado miembro traslada a la empresa matriz, radicada fuera de la UE, las solicitudes y
requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el
respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?,
b) ¿Debe interpretarse el artículo 4.1.c de la Directiva 95/46 en el sentido de que existe un recurso a
medios situados en el territorio de dicho Estado miembro? i) cuando un buscador utilice arañas o robots
190
de mayo de 2014, el abogado general del TJUE, Niilo Jääskinen, dicta sus conclusiones
generales –en todo caso no vinculantes-, el pasado 25 de junio de 2013, unas
conclusiones que, aunque con algunos puntos en común, como en lo que respecta a la
aplicación extraterritorial de la Directiva 95/46/CE, difieren notablemente de la línea
que finalmente siguió la sentencia432.
Sobre la pregunta de si hay o no un tratamiento de datos personales por parte de Google
Inc, la Directiva, en concreto el artículo 2.b) deja claro que un tratamiento es “cualquier
operación o conjunto de operaciones, efectuadas o no mediante procedimientos
automatizados, y aplicadas a datos personales, como la recogida, registro,
para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado
miembro o ii) cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y
los resultados en función del idioma de ese Estado miembro?; c) ¿puede considerarse como un recurso a
medios, en los términos del art. 4.1.c de la Directiva, el almacenamiento de la información temporal
indexada por los buscadores en Internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede
entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde
almacena estos índices alegando razones competitivas?, d) Con independencia a la respuesta a las
preguntas anteriores y especialmente en el caso de que se considerase por el Tribunal de Justicia de la UE
que no concurren los criterios de conexión previstos en el art.4 de la Directiva 95/46: ¿debe aplicarse la
Directiva 95/46 a la luz del art.8 de la Carta en el país miembro donde se localice el centro de gravedad
del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Union?. 2) Por lo
que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la Directiva
95/46/CE: a) en relación con la actividad (de Google Search), como proveedor de contenidos, consistente
en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática,
almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de
preferencia cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse
una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el
artículo 2.b) de la Directiva 95/46?; b) en caso de que la respuesta anterior fuera afirmativa y siempre en
relación con una actividad como la ya descrita, ¿Debe interpretarse el artículo 2.d de la Directiva 95/46 en
el sentido de considerar que la empresa que gestiona (Google Search) es “responsable del tratamiento” de
los datos personales contenidos en las páginas web que indexa?; c) En el caso de que la respuesta anterior
fuera afirmativa: ¿Puede la AEPD tutelando los derechos contenidos en el artículo 12.b y 14.a) de la
Directiva 95/46, requerir directamente a (Google Search) para exigirle la retirada de sus índices de una
información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en
la que se ubica la información?; d) en el caso de que la respuesta a esta última pregunta fuera afirmativa,
¿se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene
esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?; 3)
Respecto al alcance del derecho de cancelación y oposición en relación con el derecho al olvido se
plantea la siguiente pregunta: ¿debe interpretarse que los derechos de supresión y bloqueo de los datos,
regulados en el art.12 b) y el de oposición, regulado en el art.14.a) de la Directiva 95/46 comprenden que
el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información
referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma
no sea conocida por los internautas cuando considere que pueda perjudicarle o desea que sea olvidada,
aunque se trate de una información publicada lícitamente por terceros? 432 Las conclusiones del abogado general, Niilo Jääskinen, se pueden ver en el siguiente enlace:
http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=ES
191
organización, conservación, elaboración o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite
el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o
destrucción”. Para el Tribunal, queda claro que la actividad de un motor de búsqueda
proveedor de contenido, en la medida en que encuentra información publicada o puesta
en Internet por terceros, la indexa de forma automática, la almacena temporalmente y,
por último, la pone a disposición de los internautas según un orden de preferencia
determinado e implica un tratamiento de datos personales cuando la información los
contiene.
En mi opinión, se podría afirmar claramente que hay un tratamiento de datos personales
por parte del buscador, tomando como base la sentencia Lindqvist433, aunque en este
caso se hiciera referencia a datos en una página web y no a datos en un buscador y no
tuviese nada que ver con la actividad de indexación. Según esta sentencia, la conducta
que consiste en que el titular de una página web haga referencia en su web a datos
personales, implica un tratamiento de datos personales. Aunque no trataba sobre
buscadores sí abordaba la cuestión de datos personales en Internet.
La sentencia del TJUE del 13 de mayo de 2014 claramente subraya que el buscador, una
vez explora Internet de forma automatizada, constante y sistemática, en busca de la
información que allí se publica, el gestor de un motor de búsqueda recoge tales datos
que extrae, registra y organiza posteriormente en el marco de sus programas de
indexación, conserva en sus servidores y, en su caso comunica y facilita el acceso a sus
usuarios en forma de listas de resultados de sus búsquedas. Tal y como destaca el TJUE,
433Ver la sentencia Lindqvist, del TJUE, C-101/01, EU:C:2003-596, apdo 25).
192
estas operaciones, que están recogidas “de forma explícita e incondicional” en el
artículo 2 letra b) de la Directiva, deben calificarse de tratamiento en el sentido de dicha
disposición.
El TJUE ha sido muy riguroso y acertado con esta argumentación, cuando además,
insiste en que es irrelevante que el gestor del motor de búsqueda también realice las
mismas operaciones con otros tipos de información y no distinga entre éstos y los datos
personales. Y asimismo es irrelevante que esas operaciones vayan referidas sólo a
informaciones ya publicadas por los medios de comunicación. En cualquier caso, sigue
siendo un tratamiento de datos y tampoco contradice esta afirmación el hecho de que los
datos hayan sido previamente publicados en Internet. Por su parte, el abogado Jääskinen
también consideró que había un tratamiento de datos personales por parte del motor de
búsqueda, llegando a destacar en sus conclusiones que el hecho de si Google realiza o
no un tratamiento de datos no requiere para él demasiada discusión y resulta algo obvio.
El hecho de que Google no edite y transforme el contenido sino que lo indexe, como un
mensajero, intermediario o transmisor, no impide la existencia de un tratamiento de
datos personales conforme a la Directiva 95/46/CE. Sin embargo, hay un punto
importante de divergencia entre la sentencia y las conclusiones del Abogado General,
que es precisamente el hecho de que Google no diferencia entre datos personales y datos
no personales, que unido al hecho de que se trate de un proceso automático basado en
un algoritmo y sin intervención humana, no siendo Google consciente de la existencia
de datos personales en sus resultados de búsqueda lleva, en parte, a Jääskinen a concluir
que Google no es responsable del tratamiento de datos personales que realiza. Así, el
hecho de que su labor como buscador en Internet sea una labor intermediaria, debe tener
un reflejo en la atribución de responsabilidad.
193
El considerando 19 de la Directiva dice así: “Considerando que el establecimiento en el
territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad,
mediante una instalación estable; que la forma jurídica de dicho establecimiento sea
una simple sucursal o una empresa filial con personalidad jurídica, no es un factor
determinante al respecto […]”. Con respecto a cómo interpretar el artículo 4 de la
Directiva sobre el derecho nacional aplicable, el TJUE considera que la normativa
europea le es aplicable amparándose en el art. 4.1 apartado a) de la Directiva que dice
así: “Los Estados miembro aplicarán las disposiciones nacionales que hayan aprobado,
para la aplicación de la presente Directiva a todo tratamiento de datos personales
cuando: a) el tratamiento sea efectuado en el marco de las actividades de un
establecimiento del responsable del tratamiento en el territorio del Estado miembro.
Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios
Estados miembros deberá adoptar las medidas necesarias para garantizar que cada
uno de dichos establecimientos cumple las obligaciones previstas por el derecho
nacional aplicable. b)…[…]”434.
La Audiencia Nacional se pregunta, con carácter principal, sobre el concepto de
establecimiento, en el sentido del citado artículo de la Directiva, y sobre el recurso a
medios situados en el territorio de dicho Estado miembro. El TJUE considera que se
cumple con ello, en el sentido de que el tratamiento es efectuado en el marco de las
actividades de un establecimiento del responsable en el territorio del Estado miembro.
Ante la pregunta de si debe considerarse que existe un establecimiento a los efectos del
art. 4.1 a) de la Directiva, cuando la empresa proveedora del motor de búsqueda crea en
434 Art. 4 Directiva 95/46/CE.
194
un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios
publicitarios del buscador que dirige su actividad a los habitantes de ese Estado, el
Tribunal entiende que sí. Por ello, no entra a valorar si puede considerarse que existe
establecimiento ante los otros dos supuestos que plantea la pregunta: a) cuando la
empresa matriz designa una filial ubicada en ese Estado miembro como su representante
y responsable del tratamiento de dos ficheros concretos que guardan relación con los
datos de los clientes que contrataron publicidad con dicha empresa o b) cuando la
oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada
fuera de la UE, las solicitudes y requerimientos que le dirigen tanto los afectados como
las autoridades competentes, en relación con el respeto al derecho de protección de
datos, aun cuando dicha colaboración se realice de forma voluntaria. El Tribunal
considera que el tratamiento de datos realizado por Google se encuadra en el marco de
la actividad de un establecimiento del buscador y, por tanto, no entra a valorar los otros
supuestos planteados.
Si bien se puede argumentar que el buscador utiliza un algoritmo para la búsqueda
solicitada, trabajando de forma automática y sin intervención humana, no diferenciando
entre datos personales de personas físicas y datos que no entran en esta categoría, no es
menos cierto que la actividad publicitaria que se lleva a cabo en el buscador, y de la que
la compañía obtiene una nada desdeñable cantidad de ingresos publicitarios, está
intrínsecamente ligada al marco de actividad del buscador, en la medida en que los
términos, parámetros o palabras que se utilicen en las búsquedas van a influir en la
publicidad mostrada en el buscador. Es decir, los hábitos de navegación de los usuarios
del buscador son utilizados para servir un tipo de publicidad u otro y, para dar con esos
hábitos de navegación, se utiliza información y datos, que en algunos casos supone
195
información de índole económica, social, permiten establecer perfiles de personalidad o
hábitos de consumo y, son por tanto, en ocasiones, datos de carácter sensible. La
publicidad en el buscador –medio a través del cual Google obtiene ingresos-y la propia
actividad automática del buscador de localizar la información solicitada, están
intrínsecamente ligadas.
Con respecto a si es aplicable a Google la normativa europea -la Directiva 95/46/CE-,
por una parte, está la relación que Google, en concreto Google Spain, tiene con sus
clientes, las empresas anunciantes que, sin duda, está sometida a la legislación española
de protección de datos y a la Directiva, porque Google trata datos personales de
empleados de dichas empresas que se anuncian en el buscador y que son la fuente de
ingresos principal para la compañía. Y, por otra parte, está el debate sobre si Google ha
de cumplir con la Directiva en lo que respecta a la propia actividad del buscador, debate
que tanto el Abogado General del TJUE como el propio Tribunal de Luxemburgo dan
por zanjado. Ambos son coincidentes y consideran que Google Inc debe someterse a la
normativa comunitaria. Y, por tanto, una conclusión relevante de la sentencia es la
extraterritorialidad de la aplicación de la Directiva 95/46/CE, considerando que ésta
puede ser aplicable a empresas de fuera de la UE.
El Tribunal encuadra correctamente el tratamiento de datos personales en el marco de
actividad del buscador. Y, por tanto, y dado que se cumpliría el requisito del artículo 4.1
a), no se entra a valorar las otras preguntas sobre otros supuestos en los que se podría
tener la consideración de establecimiento en los otros supuestos que la Audiencia
Nacional plantea.
196
¿Cuándo podemos considerar que hay un tratamiento de datos personales en el marco de
la actividad del establecimiento del responsable del tratamiento en un Estado miembro?
El TJUE destaca que la actividad de promoción y venta de espacios publicitarios, de la
que Google Spain es responsable para España, constituye la parte esencial de la
actividad comercial del grupo Google, y puede considerarse que está estrechamente
vinculada a Google Search o al buscador de Google, que se gestiona directamente desde
EE.UU, por Google Inc. El TJUE resalta aquí que hay un vínculo indisociable entre la
actividad del motor de búsqueda gestionado por Google Inc. y la de Google Spain y, por
ello, esta última debe considerarse un establecimiento de aquélla. Aquí, y con respecto a
este punto, el TJUE acude acertadamente al considerando 19 de la Directiva, resaltando
que éste considerando alude a la necesidad de que haya un establecimiento estable, sin
importar si se trata de una simple sucursal o una filial con personalidad jurídica. En este
caso, no cabe duda de que Google se dedica a una actividad real y efectiva mediante un
establecimiento estable que, además tiene la categoría de filial de Google Inc. en
territorio español, con personalidad jurídica propia.
El argumento que utiliza Google para defender que Google Spain no trata los datos sino
que lo hace Google Inc, al ser responsable o gestor del buscador, pierde fuerza al tener
en cuenta la diferencia de significado entre la preposición por y la preposición en
cuando el TJUE acertadamente insiste en que “como subrayaron el Gobierno español y
la Comisión, en el artículo 4. 1 a) de la Directiva 95/46, no se exige que el tratamiento
de datos controvertido sea realizado por el propio establecimiento en cuestión, sino que
“se realice en el marco de las actividades de éste”435. Por ello, es irrelevante que el
tratamiento lo realice Google Inc si se realiza en el marco de las actividades del
435Ver apartado 52 de la STJUE de 13 de mayo de 2014.
197
establecimiento de Google Spain. Es importante, además, recordar, que esta expresión
no puede ser objeto de una interpretación restrictiva436.
Según se destaca en la sentencia del pasado 13 de mayo de 2014, “dado que las
actividades relativas a los espacios publicitarios constituyen el medio para que el
motor de búsqueda en cuestión sea económicamente rentable y, dado que este motor es,
al mismo tiempo, el medio que permite realizar las mencionadas actividades, […]”437,
debemos considerar que se realiza un tratamiento de datos personales en el marco de las
actividades de un establecimiento del responsable de dicho tratamiento en el territorio
de un Estado miembro, cuando el gestor de un motor de búsqueda crea en un Estado
miembro una sucursal o filial, cuyo objetivo es promocionar y vender espacios
publicitarios propuestos por el mencionado motor, como es el caso de Google Spain, y
que dirige, además su actividad, a los habitantes de ese Estado miembro”438. Asimismo,
el TJUE apunta que, en la medida en que se cumple el primero de los tres requisitos
mencionados por el tribunal remitente, no entra a valorar los otros dos. Queda claro que
es aplicable a Google Inc la Directiva 95/46/CE y que realiza un tratamiento de datos en
el marco de la actividad de un establecimiento situado en la UE. La aplicación
extraterritorial de la Directiva es un importante hito en lo referente a tratamientos de
datos llevados a cabo fuera de la UE, lo que asimismo refuerza el art. 3 del RGPD,
donde se recoge la aplicación extraterritorial para determinados supuestos439.
436 Ver el apartado 53 de la sentencia en la que se hace referencia a la imposibilidad de interpretación
restrictiva, según la sentencia de L’Oreal y otros-C324/09, EU:C: 2011: 474, apdo 62 y 63. 437 Apartado 60 de la STJUE de 13 de mayo de 2014. 438 Ibídem. 439Piñar Mañas, José Luis, «Aplicación extraterritorial de la Directiva 95/46/CE sobre protección de datos
y derecho al olvido frente a los motores de búsqueda. Comentario rápido a la Sentencia del Tribunal de
Justicia de la Unión Europea de 13 de mayo de 2014, Caso GOOGLE», Revista IURIS (LA LEY -
Wolters Kluwer), núm. 215, 1ª quincena de junio de 2014, págs. 20 a 23.
198
En lo que respecta a si Google es responsable del tratamiento, aquí resulta interesante
hacer una comparación entre la opinión del Abogado General y la sentencia del TJUE,
pues difieren de manera sustancial. Según la Directiva, “el responsable del tratamiento
es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo
que sólo o conjuntamente con otro determine los fines y los medios del tratamiento de
los datos personales; en caso de que los fines y los medios del tratamiento estén
determinados por disposiciones legislativas o reglamentarias nacionales o
comunitarias, el responsable del tratamiento o los criterios específicos para su
nombramiento podrían ser fijados por el Derecho nacional o comunitario”440.
Por su parte, el Abogado General Jääskinen entendió en 2013 que Google sí realiza un
tratamiento de datos, partiendo del concepto amplio de tratamiento que ha realizado la
Directiva441, en su artículo 2. Letra b). Es más, en su argumentación, el Abogado
General insiste de manera reiterada en que no requiere demasiada discusión el hecho de
si Google realiza o no un tratamiento, siendo algo obvio y evidente. Sin embargo, el
Abogado General consideraba que Google no era responsable de dicho tratamiento,
desde el momento en que no distinguía entre datos personales y datos que no tienen esta
condición y operaba de forma automática y sin intervención humana. Asimismo,
argumentaba que Google no indexaba las informaciones en las que el editor web
hubiese utilizado los protocolos de exclusión o códigos robot.txt y, por tanto, era esta
fuente de origen la que debía utilizar esos protocolos conocidos por la industria, para el
caso de que esa información publicada no debiera de permanecer publicada. El
440 Ver el artículo 2 de la Directiva 95/46/CE. 441 Se entiende por tratamiento de datos de carácter personal según la Directiva 95/46/CE, “cualquier
operación o conjunto de operaciones efectuadas o no mediante procedimientos automatizados, y
aplicadas a datos personales como la recogida, registro, organización, conservación, elaboración o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra
forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o
destrucción”.
199
Abogado General Jääskinen considera que la Directiva 2000/31/CE de Comercio
Electrónico (transpuesta al ordenamiento jurídico español a través de la Ley de
Servicios de la Sociedad de la Información y Comercio Electrónico, LSSI), no es
aplicable al motor de búsqueda Google, porque para el internauta el servicio de
búsqueda del motor de Google es gratuito. En mi opinión, y ateniéndonos a la
literalidad de la Directiva, no necesariamente el prestador de servicios de la sociedad de
la información debe ofrecer el servicio de forma remunerada, sino que, en la citada
Directiva de comercio electrónico, se utiliza la expresión “normalmente
remunerada”442, con lo que se estaría dejando abierta la posibilidad de que el servicio se
preste de forma gratuita, a distancia, y que suponga una actividad económica para el
prestador del servicio, por lo que, considero que podría ser aplicable, al gestor de
motor de búsqueda de Google, la citada Directiva y la LSSI española que contemplan la
exención de responsabilidad del intermediario con respecto al contenido de terceros que
aloja, salvo conocimiento efectivo. En cualquier caso, y con independencia de que sea o
no sea aplicable la Directiva, el Abogado General Jääskinen estima que, por analogía,
debe aplicarse dicha exención de responsabilidad y el intermediario, el gestor del motor
de búsqueda, no debe ser responsable del contenido del editor web si no hay una
resolución administrativa o judicial que indique la ilicitud, inadecuación o inexactitud
del contenido- en este caso de los datos personales- y si al mismo tiempo, en la página
web de origen se borra ese contenido. Pues bien, esta pregunta sobre el alcance de la
responsabilidad es la que, en función de cuál sea la respuesta, va a determinar si existe o
no un derecho al olvido en el sentido de poder dirigirse al buscador para la eliminación
de contenido.
442 Ver el ámbito de aplicación de la Directiva 2000/31/CE y la definición de prestador de servicios de la
sociedad de la información.
200
Conviene analizar la finalidad perseguida con el derecho de cancelación de datos en
Internet: el titular de los datos debe tener control de los mismos y debe poder
cancelarlos cuando resulten inadecuados, excesivos o no pertinentes. El dato
controvertido, objeto de este caso, fue obtenido en 1998 y publicado en un periódico
con una finalidad determinada, que era dar publicidad a la subasta para obtener el mayor
número de licitadores posible, por orden del Ministerio de Trabajo y Asuntos Sociales.
La legitimidad de la publicación en origen era ésta. ¿Se podría decir que ese interés
legítimo o la finalidad con la que los datos fueron publicados a día de hoy permanecen?
La única justificación para que ese dato permanezca a día de hoy en la fuente de origen
es la legítima existencia de hemerotecas digitales para poder acceder vía online a
informaciones que fueron publicadas hace años en el periódico. Por tanto, se basaría en
un interés legítimo del editor web. Las hemerotecas digitales de los periódicos cumplen
una finalidad necesaria en todo lo que es la investigación periodística e histórica; pero,
no se puede poner en duda, que la existencia de Internet y de buscadores como Google,
amplifica y pone a disposición de una gran cantidad de personas, de modo cuasi
automático, toda esa información de los periódicos online. Y precisamente por esto, la
finalidad de la hemeroteca digital, que no es otra que ser un pequeño recopilatorio de la
historia para ser utilizado con fines de consulta o investigación, puede pervertirse y
permitir un uso de la información en Internet con otros fines que claramente pueden
atentar contra la intimidad, honor o privacidad de las personas.
Lo que pretendo explicar con la reflexión anterior es poner de manifiesto que Internet
o un buscador como Google es, a fin de cuentas, mucho más invasivo y amenazante
para la privacidad y la protección de datos que una hemeroteca de un periódico, por las
propias características de Internet, en el sentido de que permite llegar a un gran número
201
de personas, fácilmente, y casi en tiempo real. Sin embargo, debemos de tener en cuenta
las características del medio del que hablamos, Internet y los prestadores de servicios de
la sociedad de la información intermediarios, que, según la normativa que les aplica
están exentos de responsabilidad con respecto a los contenidos de terceros que alojan.
Tras una lectura de la sentencia, la primera reflexión que podríamos hacer es cuestionar
la compatibilidad del fallo judicial con el Derecho comunitario, en concreto con la
propia Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico
(LSSI) y con la Directiva 2000/31/CE de Comercio Electrónico. Cierto es que aquí, en
esta normativa, se hace referencia al conocimiento efectivo como una excepción a esta
exención de responsabilidad, pero supone un elemento de incertidumbre y arbitrariedad
llegar a extender el concepto de conocimiento efectivo, de manera que la propia
reclamación del titular afectado , en todo caso, suponga un conocimiento efectivo de la
ilicitud, inexactitud o inadecuación del contenido alojado, sin necesidad de que deba
mediar la resolución de un órgano administrativo o judicial o, al menos, en el caso que
nos ocupa, sin que el editor web o fuente de origen deba proceder asimismo a la
eliminación de los datos.
A mi juicio, el proveedor de servicios de motores de búsqueda en Internet no puede
cumplir de forma aislada con las obligaciones del responsable del tratamiento
establecidas en los artículos 6, 7 y 8 de la Directiva en relación con los datos personales
contenidos en páginas web fuente alojadas en servidores de terceros. El derecho al
olvido puede llegar a ser ineficaz. Si lo verdaderamente pretendido es la cancelación de
los datos en Internet, el hecho de hacer única y exclusivamente responsable a un
prestador de servicios de la sociedad de la información, puede resultar un procedimiento
ineficaz para el fin pretendido, al poder seguir estando esa información accesible desde
202
la web de origen, así como desde otros buscadores. Aunque la cuota de mercado de
Google, como buscador, sea muy elevada, hay unos cuantos buscadores en el mercado,
así como otro tipo de páginas webs, blogs o redes sociales, en que se podría seguir
haciendo referencia a la información y, en algunos casos, dar con la misma utilizando el
nombre y apellidos de una persona como parámetro de búsqueda, igual que en el
supuesto planteado. Asimismo hay que tener en cuenta que este caso concreto plantea la
búsqueda utilizando como parámetros sólo el nombre y apellidos de la persona, con lo
que otros supuestos quedarían, en principio, fuera. En resumen, hay que recordar que
este caso trata sobre un supuesto muy concreto, en el que la búsqueda de la información
en Google se hace utilizando el nombre y apellidos de una persona como parámetro de
búsqueda y hay otros supuestos de búsqueda de información bajo otros parámetros que
aquí no se analizan.
Aunque quizá la expresión no sea la más adecuada, da la impresión de que en la
resolución de este caso concreto, se trata de una forma un tanto privilegiada al medio de
comunicación, considerando que el buscador debe proceder a eliminar de sus resultados
de búsqueda, en determinados casos, una información, con independencia de que en la
web de origen (versión online del periódico) permanezca. Descargar toda la ira en el
buscador de Google no es la mejor opción, o al menos, la más eficaz. Si existen medios
para evitar la indexación y pueden ser utilizados por la web de origen, dar cabida a la
utilización de estos, lograría mejor la finalidad pretendida. La sentencia del TJUE del 13
de mayo de 2014, cuando ofrece argumentos para atribuir la responsabilidad al gestor
del motor de búsqueda y lo considera responsable del tratamiento de los datos - ver el
apartado 34- destaca que para lograr una protección eficaz y completa de los interesados
no se puede excluir de esta disposición al gestor de un motor de búsqueda, por lo que en
203
la Directiva se ofrece una definición amplia de responsable del tratamiento.
Precisamente por este argumento, considero que el hecho de no otorgar ningún tipo de
responsabilidad al editor web impide el logro del objetivo de la disposición –artículo 2
letra d), imposibilitando una protección eficaz y completa, ya que se podría seguir
accediendo a la información por otras vías. Si existen medios para evitar la indexación y
pueden ser utilizados por la web de origen, dar cabida a la utilización de éstos como
modo para evitar la indexación, sería más apropiado desde el punto de vista de lograr la
finalidad pretendida con el ejercicio del derecho al olvido: lograr la cancelación de esos
datos en Internet. A fin de cuentas, no hay que olvidar que Google no es Internet. Hay
más agentes que operan en la Red.
De esta manera, y suponiendo que el medio de comunicación tuviese que utilizar los
protocolos de exclusión, todos tendrían que seguir las instrucciones de no indexación
que daría la web de origen y, desde luego, el procedimiento sería mucho más efectivo.
Asimismo, y frente al argumento de que hay una base legal para la publicación en
origen, nada tengo que objetar a ese punto; pero sin embargo, el TJUE deja abierta la
vía a considerar que una información que en su día fue publicada sobre una base legal
pueda cuestionarse pasado un tiempo, en el sentido de no ser legítima su indexación ,
dado que la razón de la publicación en origen (que, en el caso que nos ocupa era dar la
mayor publicidad en una subasta, por orden de un órgano administrativo, para la
concurrencia de un mayor número de licitadores) ya no existe y, precisamente, la
indexación y el fácil acceso masivo a esa información en Internet, suponen un atentado
contra la protección de datos del titular. Son datos irrelevantes para el conocimiento
público y acaecidos largo tiempo atrás, con lo cual, ¿cabe preguntarse si debemos de
someter la información a una fecha de caducidad? o dicho de otra forma, nos
204
preguntamos si algo que fue publicado sobre una base legítima, puede con el transcurso
del tiempo, dejar de tener legitimidad. Con respecto a este punto, resulta interesante leer
a Victor Mayer-Schönberger443, quien plantea precisamente el concepto de la caducidad
de la información y defiende vehementemente el olvido como una función humana “tan
importante, o más si cabe, que el recuerdo”444.
El apartado 93 de la sentencia destaca que “incluso un tratamiento inicialmente lícito de
datos exactos, puede devenir con el tiempo, incompatible con dicha Directiva cuando
estos datos ya no sean necesarios en relación con los fines para los que se recogieron o
trataron. Este es el caso, en particular, cuando son inadecuados, no pertinentes o ya no
pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”.
La sentencia del TJUE apunta literalmente que, en efecto, respecto al hecho de que los
editores web dispongan de protocolos “no archive”, “no index” o códigos de exclusión,
“esta circunstancia no modifica el hecho de que el gestor determina los fines y los
medios de este tratamiento. Además, aun suponiendo que dicha facultad de los editores
de los sitios de Internet signifique que estos determinen conjuntamente con dicho gestor
los medios del mencionado tratamiento, tal afirmación no elimina en modo alguno la
responsabilidad del gestor, ya que el artículo 2. Letra d) de la Directiva prevé
expresamente que esta determinación pueda realizarse “sólo o conjuntamente con
otros”445. Considero que, sobre todo desde un punto de vista de eficacia y logro del fin
pretendido, hubiera sido más acertado considerar que la responsabilidad es conjunta y
que Google puede estar obligado a borrar la información en determinados casos pero, a
su vez, el editor web, en determinados casos también, tenga que estar obligado a previa
443 Victor Mayer-Schönberger: op.cit, pag. 16 y ss. 444 Ibídem. 445 Artículo 2, letra d), de la Directiva 95/46/CE.
205
o simultáneamente incluir protocolos de exclusión para evitar la indexación. No parece
descabellado plantearse si la responsabilidad de este tratamiento podría ser una
responsabilidad conjunta entre el gestor del motor de búsqueda y el editor web.
Google Inc y Google Spain utilizaban como argumento que el editor web era quien
disponía de los medios más eficaces y menos restrictivos para hacer que la información
fuese inaccesible. Para una mayor eficacia y logro del fin pretendido, comparto que el
editor web debería incorporar las medidas para evitar la indexación de la información,
ya que, de ser únicamente Google search quien borre la información, esos datos dejarían
de estar disponibles en el buscador de Google en territorio europeo, pero, sin embargo,
se seguiría pudiendo acceder a los mismos desde otros buscadores y sitios web, así
como desde fuera del territorio de la UE. En el apartado 84 de la sentencia se reconoce
que “habida cuenta de la facilidad con la que la información publicada en un sitio de
Internet puede ser copiada en otros sitios y de que los responsables de su publicación
no están siempre sujetos al Derecho de la UE, no podría llevarse a cabo una protección
eficaz y completa de los interesados si éstos debieran obtener con carácter previo o en
paralelo la eliminación de la información que les afecta de los editores de los sitios de
Internet”446.
Precisamente y por esa misma razón no se puede llevar a cabo una protección eficaz y
completa si la información sigue permaneciendo en la página web de origen o puede ser
indexada por otros buscadores.
446 Apartado 84 de la sentencia.
206
A tenor del artículo 6 de la Directiva 95/46/CE, “1. Los Estados miembros dispondrán
que los datos personales sean: a) tratados de manera leal y lícita; b) recogidos con
fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera
incompatible con dichos fines; no se considerará incompatible el tratamiento posterior
de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados
miembros establezcan las garantías oportunas; c) adecuados, pertinentes y no
excesivos con relación a los fines para los que se recaben y para los que se traten
posteriormente; d) exactos y, cuando sea necesario, actualizados; deberán tomarse
todas las medidas razonables para que los datos inexactos o incompletos , con respecto
a los fines para los que fueron recogidos o para los que fueron tratados posteriormente
sean suprimidos o rectificados; e) conservados en una forma que permita la
identificación de los interesados durante un período no superior al necesario para los
fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados
miembros establecerán las garantías apropiadas para los datos personales archivados
por un período más largo del mencionado, con fines históricos estadísticos o
científicos”. Y, en este marco, el responsable del tratamiento debe adoptar todas las
medidas razonables para que los datos que no responden a los requisitos de esta
disposición sean suprimidos o rectificados. Entre las medidas razonables, en mi opinión,
cabe que el buscador de Google se vea obligado a eliminar los datos pero, para
suprimirlos de Internet, la medida más efectiva, insisto, es que el propio editor web en
donde los datos se publicaron en origen, incorpore los mencionados protocolos de
exclusión. ¿Qué ocurriría si el mercado no lo tuviese tan copado Google search y se
repartiese de otra manera la presencia o el uso de buscadores en Internet en España?
Pues que un titular afectado se dirigiría a un buscador determinado, que podría verse
obligado a borrar los datos, pero esos mismos datos seguirían accesibles desde otros
207
buscadores o webs y si el titular tuviese que ir, buscador por buscador, reclamando sus
derechos, llegaría a ser un procedimiento muy costoso e ineficaz para el ciudadano, lo
que podría ser claramente mejorado si, desde un principio, el editor web incorpora los
citados códigos de exclusión.
Los códigos de exclusión, conocidos también como protocolos robot.txt son
herramientas para evitar que ciertos programas informáticos que analizan sitios web
agreguen información. Son herramientas de uso frecuente por los motores de búsqueda,
para categorizar archivos de los sitios web y utilizados también por los editores web
(webmasters) para corregir o filtrar el código fuente. El protocolo de exclusión de
robots.txt hace referencia a una serie de estándares web que regulan el comportamiento
de los robots o arañas y la indexación de los motores de búsqueda. Más concretamente,
se puede utilizar el archivo robot.txt para lo siguiente: a) evitar que ciertas páginas y
directorios de una página web sean accesibles a los buscadores, b) bloquear el acceso a
archivos de código o utilidades, c) impedir la indexación de contenido duplicado en un
sitio web, como copias de prueba o versiones para imprimir, d) indicar la localización
del sitemap o mapa del sitio en XML.447
La propia esencia de los derechos fundamentales nos transmite que se trata de derechos
no absolutos que pueden entrar a su vez en conflicto con otros derechos de igual rango y
que el conflicto entre derechos de esta índole, siempre demanda un ejercicio de
ponderación de los intereses en conflicto, para la búsqueda de un punto de equilibrio448.
447 https://support.google.com/webmasters/answer/6062608?hl=es 448A este respecto, ver cómo se ha venido siempre resolviendo el conflicto entre derecho a la información
o libertad de expresión y derecho a la intimidad, honor y propia imagen en los medios de comunicación.
208
El artículo 7 de la Directiva permite el tratamiento de los datos cuando es necesario para
la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el
tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el
interés o los derechos y libertades fundamentales del interesado. De este modo, la
sentencia destaca que se precisa de una ponderación de los derechos e intereses en liza.
El TJUE en esta sentencia deja claro que el derecho del titular de los datos afectado está
por encima del interés económico del gestor del motor de búsqueda, y en general,
aunque hay que ver caso por caso, por encima del derecho del internauta al acceso a la
información. Según el Tribunal, el mero interés económico del gestor del motor de
búsqueda no justifica la injerencia en los derechos del interesado. La sentencia destaca
que, sin embargo, “en la medida en que la supresión de vínculos de la lista de
resultados podría en función de la información de que se trate, tener repercusiones en
el interés legítimo de los internautas potencialmente interesados en tener acceso a la
información en cuestión, es preciso buscar en situaciones como las del litigio, un justo
equilibrio”449.
El artículo 12.b) de la Directiva habla de la obligación de los Estados miembros de
garantizar a todos los interesados el derecho a obtener de los responsables del
tratamiento, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no
se ajuste a las disposiciones de la Directiva. En particular, alude al carácter incompleto
o inexacto de los datos. Como observación, sin duda, un dato referido al carácter
moroso de una persona que ya ha saldado sus deudas hace más de 15 años, y además,
ofrecido de forma descontextualizada, es inexacto. Esta materia sobre la protección de
449 Apartado 81 de la sentencia.
209
datos, y más en concreto sobre el caso que nos ocupa y que es la base de este fallo
judicial, aborda el conflicto entre el derecho al acceso a la información, a la libertad de
información y de expresión y el derecho a la protección de datos. No obstante, y a
diferencia de las conclusiones del Abogado General, en la sentencia del TJUE no se
hace ninguna referencia expresa al derecho a la información y libertad de expresión,
sino al interés económico del gestor del motor de búsqueda y al interés legítimo del
internauta en acceder a la información.
El derecho a la protección de datos entra en conflicto o puede entrar en conflicto con
otros derechos e intereses, como por ejemplo, con la innovación, el desarrollo
tecnológico o la seguridad. Además, y como ya se ha mencionado, más allá de tratarse
de una cuestión sobre un conflicto entre derechos e intereses, la cuestión que tratamos
también afecta de lleno a los prestadores de servicios de la sociedad de la información
como, en este caso, por ejemplo, un buscador en Internet, e invita a reflexionar sobre el
encaje de esta sentencia con la condición de intermediario neutral de un buscador.
Si partimos de la base de que el derecho a la protección de datos tiene el carácter de
derecho fundamental –un derecho autónomo, independiente del derecho a la intimidad
aunque derive del mismo450-, lo lógico es que la resolución de conflictos que se puedan
plantear entre éste y otro derecho, que también puede que sea fundamental, como en el
caso de que entre en conflicto con el derecho a la información, se produzca dentro de lo
que es un ejercicio de ponderación de los derechos, la búsqueda de un punto de
equilibrio o un balancing test como dirían los anglosajones. Por tanto, no ha de
sorprender el hecho de que el TJUE haya resuelto en la línea de que el buscador –el
450Ver las sentencias del Tribunal Constitucional, STC 292/2000, de 30 de noviembre y 290/2000, de 30
de noviembre.
210
prestador de servicios de la sociedad de la información, que considera responsable del
tratamiento de los datos- debe hacer una ponderación de los intereses en juego, yendo
caso por caso, para ver cuándo debe primar el acceso a la información por parte del
internauta y cuándo el derecho a la protección de datos de un ciudadano afectado. El
TJUE subraya la necesidad de analizar las circunstancias del caso concreto sin que haya
una respuesta generalizada.
La actividad informativa de los medios de comunicación, en ocasiones, puede colisionar
con otros derechos, como por ejemplo, con el derecho al honor, intimidad y propia
imagen de los ciudadanos. Por ello, los periódicos y otros medios ya vienen haciendo
ese ejercicio de ponderación de los derechos en conflicto para decidir si una
determinada información está amparada por el derecho a la información y libertad de
expresión o, por el contrario, no reúne los requisitos para estar amparada por ese
derecho constitucional y de rango fundamental. Los periódicos son empresas privadas
que vienen estando obligadas a hacer esa valoración todos los días cuando deciden si
algo reúne los requisitos para ser noticia y poder quedar al amparo del artículo 20 de la
Constitución Española451. Sin embargo, y aunque tanto un prestador de servicios de la
sociedad de la información como un medio de comunicación sean ambos empresas
privadas, un buscador como Google, tiene un estatus jurídico diferente al de un medio
451El artículo 20 de la Constitución Española de 1978 dice así: “1. Se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, las ideas, opiniones, mediante la palabra, el escrito
o cualquier otro medio de reproducción. b) a la producción y creación literaria, artística y científica. c) a
la libertad de cátedra. d) a comunicar o recibir libremente información veraz por cualquier medio de
difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de
estas libertades. 2. El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura
previa. 3. La Ley regulará la organización y el control parlamentario de los medios de comunicación
social dependientes del Estado o de cualquier ente público y garantizará el acceso a dichos medios de los
grupos sociales y políticos significativos, respetando el pluralismo de la sociedad y de las diversas
lenguas de España.4. Estas libertades tienen su límite en el respeto a los derechos reconocidos en este
Título, en los preceptos de las leyes que lo desarrollen, y especialmente, en el derecho al honor, la
intimidad y la propia imagen, y a la protección de la juventud y de la infancia. 5. Sólo podrá acordarse el
secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial”.
211
de comunicación en su condición de prestador de servicios de la sociedad de la
información.
En concreto en el artículo 16 de la LSSI se hace referencia a la exención de
responsabilidad de los prestadores de servicios de la sociedad de la información de
alojamiento o almacenamiento de datos y, en concreto, en el artículo 17452 se hace
referencia a la exención de responsabilidad de los buscadores.
Por tanto, según la Ley de Servicios de la Sociedad de la Información y del Comercio
Electrónico, Ley 34/2002, de 11 de julio (LSSI) que traspone al ordenamiento jurídico
español la Directiva 2000/31/CE de Comercio Electrónico, un buscador no sería
responsable del contenido que aloja, en su condición de mero intermediario, salvo que
tenga conocimiento efectivo de la ilicitud del contenido. Este fallo judicial, obliga a
hacer una reflexión sobre la posible contradicción entre un derecho al olvido que
obligue a Google a borrar datos sin una resolución administrativa o judicial de por
medio, dada la exención de responsabilidad que contempla la Directiva de Comercio
Electrónico. No obstante, se debe tener en cuenta que la LSSI habla de conocimiento
efectivo de la ilicitud del contenido y, en el caso que nos ocupa de esta sentencia del
TJUE de 13 de mayo de 2014, no se trataba de contenido ilícito, pues la publicación de
452El artículo 17 de la LSSICE dice así: “1. Los prestadores de servicios de la sociedad de la información
que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda
de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus
servicios, siempre que: a) no tengan conocimiento efectivo de que la actividad o la información a la que
remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de
indemnización o b) si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace
correspondiente. Se entenderá que el prestador de servicios tiene el conocimiento efectivo al que se
refiere el apartado a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su
retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión y
el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y
retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios
de conocimiento efectivo que pudieran establecerse. 2 La exención de responsabilidad establecida en el
apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya
localización de facilite actúe bajo la dirección, autoridad o control del prestador que facilite la
localización de esos contenidos”.
212
la información por parte del editor web o fuente de origen (en este caso el periódico La
Vanguardia) estaba amparada por la Ley. Más que contenido ilícito, en este caso sería
contenido inexacto, inadecuado o desproporcionado.
Por otra parte, la sentencia equipara a Google con un medio de comunicación (cuando
no lo es) obligándole a hacer una ponderación de los intereses en conflicto, una
ponderación de derechos y ver cuál prima más, ofreciendo sólo el criterio de la
condición de personaje público o interés público de la información453. Google no es un
medio de comunicación que cree contenido. Tampoco es un órgano administrativo ni
judicial, entes más propios para decidir sobre materias que afectan a derechos
fundamentales.
Al fin y al cabo, la labor de ponderación de intereses tiene claras semejanzas con la
labor que tienen que hacer los medios de comunicación todos los días para valorar si
una información es o no noticia, si está amparada por el derecho a la información y
tiene interés público y, por tanto debe ser publicada. El conflicto principal que se
plantea cuando se trata de medios de comunicación no es con la protección de datos
sino con la intimidad, el honor o propia imagen, pues en numerosos conflictos en los
que están implicados los medios de comunicación, el problema surge por la falta de
veracidad de la información. Aquí resulta importante señalar el deber de diligencia; que
el periodista o medio está amparado por lo que se conoce como haber actuado con
diligencia, contrastando las debidas fuentes y demás, aunque luego resulte que no es
453 Ver el apartado 81 de la sentencia, que destaca que el punto de equilibrio entre los intereses o derechos
en conflicto puede depender “en supuestos específicos, de la naturaleza de la información de que se trate
y del carácter sensible para la vida privada de la persona afectada y del interés público en disponer de esta
información, que puede variar, en particular, en función del papel que esta persona desempeñe en la vida
pública”.
213
verdad lo publicado454. No obstante, en ocasiones, los conflictos en los medios surgen
por publicar algo que vulnera la intimidad aunque sea verdad.
La obligación de ponderar los intereses en conflicto a la que la sentencia obliga a
Google cual si fuera un medio de comunicación, es decir, a tener que realizar un juicio
de valor, caso por caso, para ver cuándo prima el derecho de los internautas al acceso a
la información y cuándo el derecho a la protección de datos del ciudadano afectado,
coloca a Google en la delicada posición de tener que decidir sobre cuestiones altamente
sensibles relativas a derechos fundamentales, ofreciendo sólo unos criterios muy
genéricos para resolver dichos conflictos, criterios que son muy generales y poco
precisos. En concreto, dice que se utilizará como criterio para decidir cómo resolver el
conflicto de derechos, la relevancia en la vida pública del afectado, o si la información
es de interés público. En mi opinión, son criterios poco precisos que dan pie a la
interpretación, y realmente la casuística puede ser muy variada y compleja. Sin
embargo, y en contra de algunas interpretaciones de esta sentencia que han venido a
considerar que el fallo supone un varapalo para el gigante tecnológico, si bien le quita la
razón en el litigio concreto, está otorgando a Google un amplio poder al permitirle
decidir sobre cuestiones delicadas relacionadas con el ámbito de los derechos
fundamentales.
Cabe destacar que se observan ciertas semejanzas entre cómo se resuelve el conflicto
sobre si una información debe o no ser publicada por un medio de comunicación, con la
labor de ponderación a la que Google está obligado a partir de esta sentencia. Sin
embargo, cuando un tribunal considera que una información carece de interés público
454 Ver, ente otras, la STC 6/1988, de 21 de enero, FJ 6º; STC 51/1989, de 22 de febrero; STC 190/1992,
de 16 de noviembre; STC 123/93; STC 136/1994, de 9 de mayo.
214
para ser publicada por un periódico, ¿acaso no se está impidiendo a todos los medios de
comunicación dicha publicación? Es decir, que no se permitiría a un medio publicarla y
a otro no, ya que si se considera que es irrelevante para el conocimiento público, ningún
medio de comunicación tendría legitimidad para publicarlo. Sin embargo, considerando
que sólo Google debe proceder al borrado de los datos, no tiene mucho sentido justificar
el borrado alegando que carece de interés público, mientras que se permita que tales
datos permanezcan en la web de origen o, peor aún, mientras estén accesibles a través
de otros buscadores de Internet. Si carece de interés público, debería carecer de dicho
interés para todos los buscadores y la única manera de asegurar la no indexación por
ningún buscador es la toma de medidas simultáneas o previas por parte del editor web,
incorporando los protocolos de exclusión, de modo que aunque se pueda acceder a los
datos desde la propia página del editor web, no se permita la indexación por ningún
buscador.
Esta sentencia sobre derecho al olvido marca un hito en la historia de la jurisprudencia
del Tribunal de Justicia de la UE en materia de derecho de protección de datos
personales. Ha marcado, sin duda, un antes y un después y sienta las bases para ir
resolviendo los casos que en relación con el derecho al olvido se planteen en los
distintos Estados miembros. No obstante, no son pocas las dudas que generan. Por una
parte, este supuesto es un caso muy concreto de búsqueda de información en el
buscador de Google a partir del nombre y apellidos de una persona. ¿Qué ocurre si se
hace la búsqueda a través de un cargo y del cargo se puede deducir que hace alusión a
una persona determinada? Para este y otros supuestos de búsqueda de información bajo
otros parámetros de búsqueda diferentes al nombre y apellidos, la sentencia no ofrece
respuesta.
215
¿En qué medida se logrará la efectividad del derecho o el fin pretendido si se sigue
pudiendo acceder a la información desde fuera de la UE, desde otros buscadores o desde
la propia página web de origen? Son bastantes las preguntas en torno al derecho al
olvido que aún permanecen sin respuesta clara. Los ciudadanos pueden no saber dónde
están sus datos como consecuencia de que Google tenga que borrarlos y puedan seguir
siendo indexados por otros buscadores. Si, por el contrario, se utilizase la vía de que
también se pueda acudir ante la fuente de origen para dar satisfacción a las demandas de
los ciudadanos para ejercitar el derecho al olvido y fuese ante esta fuente de origen ante
quien debieran ejercitarlo en primera instancia, habría un mayor control por parte del
ciudadano, ya que se evita el hecho de que esa misma información pueda aparecer en
otros lugares. Aun con la amplia cuota de mercado de Google, eliminar un dato del
buscador de Google no es eliminar un dato de Internet. Asimismo la sentencia está
personalizada en Google pero, ¿qué ocurre con un buscador de un medio de
comunicación, por ejemplo, una hemeroteca online? Esto es una pregunta a la que la
sentencia no da respuesta. Google no es Internet, Google no edita contenido, no
interpreta los datos ni introduce juicios de valor ni es un medio de comunicación.
Asimismo, ¿qué ocurre con respecto a los blogs o redes sociales que puedan hacerse eco
de los datos que permanecen en la web de origen?, ¿se podría llegar a ejercer el derecho
al olvido frente a blogs o redes sociales u otros prestadores de servicios de la sociedad
de la información diferentes a los motores de búsqueda? Estas son preguntas a las que la
sentencia analizada no da una respuesta.
Asimismo a Google se le otorga un amplio margen de interpretación para valorar
cuándo debe primar un derecho y cuando otro derecho o interés, ofreciendo sólo dos
216
criterios muy generales e imprecisos. Habrá que ir viendo cómo se van resolviendo en la
práctica las peticiones de derecho al olvido, abriéndose ahora una nueva etapa en la
interpretación y aplicación de esta sentencia, así como en la aplicación del derecho al
olvido con base en el RGPD, cuando comience a aplicarse a partir de mayo de 2018.
Tras conocerse el fallo del TJUE, Google formó un Comité de expertos para valorar las
cuestiones sobre derecho al olvido y habilitó un formulario para canalizar las peticiones
relativas al derecho al olvido.
Esta sentencia del TJUE, como se ha explicado, deriva de una cuestión prejudicial
planteada por la Audiencia Nacional española. Por su parte, este órgano judicial español
dictó sentencia el pasado 29 de diciembre de 2014, publicada el 23 de enero de 2015455,
resolviendo el recurso pendiente planteado por Google ante la resolución de la AEPD.
La Sala de lo Contencioso-Administrativo dictó esta sentencia, desestimando el recurso
planteado por Google frente a la resolución de la AEPD456. En esta sentencia, la
Audiencia Nacional afirma con rotundidad que no cabe duda de que el motor de
búsqueda realiza un tratamiento de datos de carácter personal con su servicio de
búsquedas cuando un usuario final le solicita una búsqueda y la plataforma le ofrece
unos resultados. A este respecto, el FJ 6º apunta: “Ninguna duda cabe de que la
actividad del motor de búsqueda como proveedor de contenido debe calificarse de
tratamiento de datos personales”457. Asimismo apunta que “un motor de búsqueda es
un intermediario de la sociedad de la información que, conforme a la sentencia del
TJUE de 13 de mayo de 2014, cuando realiza una actividad consistente en localizar
información publicada o incluida en Internet por terceros relativa a personas físicas,
455 Sentencia de la Sección 1ª, Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 29 de
diciembre de 2014, nº recurso 725/2010 (ponente: Ilmo. Sr. D. Fernando de Mateo Menéndez). 456 Resolución del director de la AEPD de 30 de julio de 2010. 457 Sentencia de la Sección 1ª, Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 29 de
diciembre de 2014, nº recurso 725/2010, FJ 6º.
217
indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a
disposición de los internautas según un orden de preferencia, efectúa un tratamiento de
datos personales sometido a la normativa de protección de datos (Directiva 95/46/CE),
siendo el gestor del motor de búsqueda el responsable de dicho tratamiento”458.
En lo que respecta al ámbito territorial de la norma, la Audiencia Nacional señala que
(FJ7º) se trata de una cuestión que ha quedado claramente resuelta en la sentencia del
TJUE de 13 de mayo de 2014. En este sentido insiste en que, en base a la sentencia del
TJUE, queda claro que “Google Spain S.L constituye un establecimiento de los
referidos en el artículo 4.1.a) de la Directiva 95/46/CE, por constituir una instalación
estable en España dotada de personalidad jurídica propia y tratarse de una filial de
Google Inc. en territorio español, y realizarse el tratamiento de datos en el marco de
las actividades de Google Spain S.L, que está destinado a la promoción y venta en
España de los espacios publicitarios del motor de búsqueda, que sirven para
rentabilizar el servicio propuesto por el motor”459.
Asimismo la sentencia de la Audiencia Nacional, y pese a tratarse de un argumento ex
novo y extemporáneo, dedica algunas consideraciones (FJ 11º) al argumento esgrimido
por Google (de forma extemporánea con base en el Derecho procesal aplicable) relativo
a la vulneración de la libertad de empresa recogida en el artículo 38 de la Constitución
española460. Y, en este sentido, destaca que el derecho a la libertad de empresa no es
458 Ibídem. 459 FJ7º de la citada sentencia de la Audiencia Nacional, Sala Tercera de 29 de diciembre de 2014. 460 El artículo 38 de la CE 1978 dice así: “Se reconoce la libertad de empresa en el marco de la economía
de mercado. Los poderes públicos garantizan y protegen su ejercicio y la defensa de la productividad, de
acuerdo con las exigencias de la economía general, y en su caso, de la planificación”.
218
absoluto461 y que, además, no puede ceder ante él el derecho a la protección de datos.
Aplicando la doctrina del Tribunal Constitucional, “el derecho a la libertad de empresa
no puede justificar una violación del derecho a la protección de datos (regulado en la
sección 1ª del Capítulo 2º de la Constitución) cuando resulta que el derecho a la
libertad de empresa se contempla en la sección 2ª y no goza de la misma protección
reforzada que menciona el artículo 53.2. de la Constitución”462.
En lo que respecta a la ponderación del interés en juego y a cómo se resuelve el
conflicto entre derechos fundamentales, resulta recomendable la lectura del fundamento
jurídico duodécimo de la comentada sentencia de la Audiencia Nacional. Aquí se
destaca que, “el objeto del derecho fundamental a la protección de datos no se reduce
sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no
íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos […]”463.
El objeto del derecho a la protección de datos no es sólo la intimidad individual
protegida en el artículo 18.1 de la Constitución Española, sino también los datos de
carácter personal. Por consiguiente, también alcanza a aquellos datos personales
públicos que, por el hecho de ser accesibles al conocimiento de cualquiera no escapan al
poder de disposición del afectado porque así lo garantiza su derecho a la protección de
datos, tal y como se destaca en la analizada sentencia de la Audiencia Nacional de 29 de
diciembre de 2014.
461 La Audiencia Nacional hace referencia a la doctrina del Tribunal Constitucional (STC 18/2011, de 5
de julio o 135/2012, de 19 de junio) entre otras. En concreto, en estas dos sentencias mencionadas del TC
se dice que “el derecho a la libertad de empresa no es absoluto e incondicionado sino limitado por la
regulación que, de las distintas actividades empresariales en concreto, puedan establecer los poderes
públicos, limitaciones que han de venir establecidas por la ley, respetando, en todo caso, el contenido
esencial del derecho”. 462 Ver el FJ 11 de la sentencia de la Audiencia Nacional de 29 de diciembre de 2014. 463 Ver el FJ 12 de la sentencia de la Audiencia Nacional de 29 de diciembre de 2014.
219
Asimismo, esta sentencia de diciembre de 2014 también dedica algunas consideraciones
a la libertad de expresión e información. A este respecto destaca que al igual que sucede
con los restantes derechos fundamentales, el ejercicio del derecho a la libertad de
expresión, está sometido a límites que el Tribunal Constitucional ha ido perfilando
progresivamente. Así, no ampara la presencia de frases o expresiones injuriosas,
ultrajantes y ofensivas sin relación con las ideas o expresiones y, por tanto, innecesarias
a este propósito, ni protege la divulgación de hechos que no son sino simples rumores,
invenciones o insinuaciones carentes de fundamento, ni tampoco reconoce un
pretendido derecho al insulto. Una vez más recurre a la jurisprudencia del Tribunal
Constitucional, al afirmar que la protección de derechos constitucionales, como el
derecho a la intimidad o protección de datos de carácter personal, entre otros, se ve
debilitada “frente a las libertades de información y expresión cuando se ejerciten en
conexión con asuntos que son de interés general, por las materias a las que se refieren
y por las personas que en ellos intervienen y, contribuyan, en consecuencia, a la
formación de la opinión pública, como ocurre cuando afectan a personas públicas, que
ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública,
obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la
personalidad resulten afectados por opiniones o informaciones de interés general”464.
Por todo ello, la Audiencia Nacional, en lo que respecta a la ponderación de intereses en
conflicto concluye que debe ponerse de manifiesto que la libertad de información, en
principio, se encuentra satisfecha por su subsistencia en la fuente, es decir, en el sitio
web donde se publica la información por el editor. Cuestión distinta es si cabe apreciar
la existencia de un interés del público en encontrar la información, en relación con la
464 Ver las STC 107/1988, de 8 de junio; STC 20/2002, de 28 de enero; STC 160/2003, de 15 de
septiembre; STC 151/2004, de 20 de septiembre y 9/2007, de 15 de enero, a las que se hace referencia en
la citada sentencia de la Audiencia Nacional de 29 de diciembre de 2014.
220
cual se ejercita el derecho de oposición, en una búsqueda que esté basada en el nombre
del afectado y que deba prevalecer sobre el derecho a la protección de datos personales
de éste.
Finalmente, y por todo lo anterior, la Audiencia Nacional desestima el recurso
contencioso-administrativo interpuesto por Google frente a la resolución dictada por la
AEPD, en la que cual se instaba a Google a que adoptase las medidas necesarias para
retirar los datos de su índice e imposibilitase el acceso futuro a los mismos. La
Audiencia Nacional, por tanto, desestima el recurso del gigante tecnológico y concluye
que la obligación impuesta por la resolución recurrida debe interpretarse en el sentido
de que se deben adoptar las medidas necesarias para retirar o eliminar de la lista de
resultados, obtenida tras una búsqueda efectuada a partir del nombre del reclamante, los
vínculos a las páginas web objeto de reclamación.
6. 3. Guidelines del Grupo de Trabajo del Artículo 29 (WP29) sobre la
interpretación de la sentencia del TJUE en el asunto C-131/12
Unos meses después de conocerse la sentencia del TJUE de 13 de mayo de 2014, el
WP29 emitió unas directrices (Guidelines)465 sobre cómo interpretar dicha sentencia,
publicadas en noviembre de ese mismo año, que sirven de ayuda a las agencias de
protección de datos de los distintos países de la UE para saber cómo tienen que
interpretar los distintos criterios facilitados en la sentencia, para decidir si procede o no
la desindexación. Al tratarse de un documento emitido por el órgano integrado por las
autoridades de protección de datos de los distintos Estados miembros, además del
465 Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google
Spain and Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, C-
131/12”, de 26 de Noviembre de 2014.
221
Supervisor Europeo de Protección de Datos y de la Comisión Europea, sin duda, tiene
un elevado valor doctrinal y son textos que los tribunales y el legislador suelen tener
muy en cuenta.
El primero de los puntos analizados en el documento del WP29 es el papel de los
motores de búsqueda en Internet como responsables del tratamiento. A este respecto, el
documento destaca que el buscador en Internet realiza un tratamiento de datos de
carácter personal en el sentido del artículo 2 de la Directiva 95/46/CE. Al respecto,
destaca que la base legal para dicho tratamiento se encuentra en el artículo 7.f) de la
citada Directiva 95/46/CE, que hace referencia al legítimo interés del motor de
búsqueda en el tratamiento de los datos. Asimismo, apunta que la sentencia deja claro
que el tratamiento que lleva a cabo el buscador, en su propio contexto de motor de
búsqueda, es distinto del tratamiento efectuado por editores o websites de terceros. Las
Guidelines destacan que no sólo se trata de distintos tratamientos sino que también su
impacto en la privacidad es muy diferente. A este respecto cabe destacar el efecto
amplificador con respecto a la información que muestra, que tiene un motor de
búsqueda con una cuota de mercado, como es el caso de Google, que alcanza
aproximadamente el 80%. Por tanto, no cabe duda de que el impacto en la privacidad es
mucho mayor cuando una información aparece en los primeros lugares en los resultados
de un motor de búsqueda cuando se intenta acceder a ella utilizando como parámetros
de búsqueda el nombre y apellidos del protagonista de la información que cuando dicha
información está tan sólo disponible en la fuente de origen pero no se accede a la misma
a través de motores de búsqueda utilizando como parámetro de búsqueda el nombre y
apellidos del titular de los datos.
222
Un punto relevante que abordan las directrices o Guidelines del WP29 es que, en su
opinión, el impacto de la desindexación en el derecho al acceso a la información,
derecho a la información o libertad de expresión es mínimo, habida cuenta del ejercicio
de ponderación de intereses y derechos en juego que las autoridades de protección de
datos deberán realizar y, también, el propio motor de búsqueda. Es decir, el Grupo del
Artículo 29 considera que el impacto es mínimo, ya que cuando se dé la circunstancia
de que se trata de un personaje público y la información en cuestión sea de interés
público, primará el derecho al acceso a la información. Entre los argumentos que da el
WP 29 para justificar ese mínimo impacto en el derecho de acceso a la información y en
la libertad de expresión está el hecho de que aunque el motor de búsqueda desindexe
determinada información, ésta sigue encontrándose disponible en la fuente de origen y
puede seguir accediéndose a la misma en ese mismo buscador con otros parámetros de
búsqueda diferentes al nombre y apellidos de la persona. Por tanto, la desindexación
hace referencia a los resultados de la búsqueda concreta y no a cualquier vía dentro de
Google para llegar a la información.
En este punto, resulta de vital importancia, además, distinguir entre el derecho a la
información y el derecho de acceso a la información. Y el motor de búsqueda en
Internet no se encuentra en la misma posición que un editor o medio de comunicación.
Este último posibilita el derecho a la información mientras que el primero permite el
acceso a la información, tal y como se destaca en el documento del WP29. Con respecto
al ejercicio de ponderación de intereses al que la sentencia del TJUE alude, el WP29
apunta que es importante recalcar que dicha ponderación de derechos e intereses en
juego no la debe hacer siempre el gestor del motor de búsqueda, en todos los casos en
los que lleva a cabo un tratamiento de datos de carácter personal como consecuencia de
223
la propia actividad de búsqueda, sino que sólo deberá realizarlo en aquéllos casos en los
que los individuos titulares de los datos afectados hayan ejercitado su derecho ante
dicho motor de búsqueda. Por tanto, tal y como aclaran las Guidelines, el motor de
búsqueda no debe llevar a cabo siempre ese balancing test, sino sólo cuando se lo
reclamen.
A la hora de analizar los intereses en juego, el WP29 recalca que el interés del gestor del
motor de búsqueda es económico pero, por otro lado, también debe tenerse en cuenta el
derecho del internauta a acceder y localizar la información, algo que precisamente
posibilitan los motores de búsqueda en Internet. A este respecto, debe ser tenido en
cuenta el derecho a la libertad de expresión e información, entendido como el derecho a
recibir y transmitir ideas e informaciones, recogido en el artículo 11 de la Carta Europea
de Derechos Fundamentales466.
Por otra parte, el WP29 afirma que la sentencia del TJUE deja claro que no es necesario
acudir ni previa ni simultáneamente a la fuente de origen para pedirle que retire la
información o que utilice los protocolos de no indexación. Sin embargo, esto no obsta a
que, en ocasiones, el titular de los datos considere que, dadas las circunstancias del caso,
pueda ser mejor para sus intereses acudir primero a la fuente de origen para pedir la
retirada de la información. De hecho, no cabe duda de que, en caso de que dicha
petición de retirada de la información ante la fuente de origen, fuese exitosa para el
titular de los datos, los efectos de borrado serían mucho mayores que una desindexación
por un motor de búsqueda. Si la fuente de origen retira la información, ésta desaparece
466 El artículo 11 de la CDFUE señala: “1. Toda persona tiene derecho a la libertad de expresión. Este
derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin
que pueda haber injerencias de autoridades públicas y sin consideración de fronteras. 2. Se respetan la
libertad de los medios de comunicación y su pluralismo”.
224
y, como consecuencia, tampoco será indexada por ningún motor de búsqueda puesto
que ha desaparecido.
En cuanto a la información que debe facilitar el sujeto que pide al motor de búsqueda el
borrado de determinada información, el WP29 afirma que es necesario que el buscador
tenga toda la información necesaria sobre el contexto de la información para valorar
todas las circunstancias del caso concreto. A este respecto apunta que el titular de los
datos debe proporcionar las razones o motivos por los que quiere que no se permita el
acceso a dicha información en el motor de búsqueda, a partir de su nombre y apellidos
como parámetro de búsqueda. No obstante, en este sentido las Guidelines apuntan que
habrá que respetar el principio de proporcionalidad y que dichos requerimientos de
información que implanten los motores de búsqueda, han de ser acordes con las
respectivas legislaciones nacionales de protección de datos467.
Del mismo modo que el titular de los datos debe facilitar información relativa a su
identidad, los URL (Uniform Resource Locator)468 específicos que pretende desindexar
y las motivaciones para dicha desindexación, las autoridades de protección de datos
europeas señalan que el motor de búsqueda debe dar asimismo sus razones y
explicaciones, para el caso de que deniegue la desindexación, así como informar al
titular de los datos que le asiste el derecho a recurrir dicha decisión del buscador ante
los órganos administrativos (autoridad de protección de datos nacional) o los tribunales.
467 Ver el punto 14 de las Guidelines del GT29, donde se destaca (en inglés): “search engines must follow
national data protection laws with regard to the requirements for making a request for the timeframes
and contents of the answers. In particular, when a data subject requests delisting, some form of
identification may be demanded by the data controller, but again, in line with what national laws
consider necessary and proportionate in order to verify the identity of the applicant in the context of the
request. …[…]” 468 URL (Uniform Resource Locator) hace referencia a la secuencia de caracteres que sigue un estándar y
que permite denominar recursos dentro del entorno de Internet para que puedan ser localizados. Hace
referencia a la dirección de la página web concreta para localizar un determinado contenido.
225
Un bloque interesante e importante de las Guidelines del WP29 es el referente al
alcance de la sentencia del TJUE de 13 de mayo de 2014. En este sentido, el WP29
pone de manifiesto que, el fallo judicial del Tribunal de Luxemburgo va referido
concretamente a la desindexación en un motor de búsqueda, sin embargo, deja la puerta
abierta a que la desindexación o eliminación de un enlace pueda producirse en otros
servicios de la sociedad de la información diferentes al motor de búsqueda. Éste, sin
duda, es un punto importante, que deja la puerta abierta a la desindexación de
información, o lo que viene a ser lo mismo, a la eliminación de enlaces, en otros
prestadores de servicios de la sociedad de la información, como puede ser, en general,
un marketplace, tienda online o ecommerce, un blog o una red social. No obstante, el
WP29 también afirma que el derecho al olvido reconocido en la sentencia no es
aplicable a motores de búsqueda con campo de acción restringido, es decir, aquellas
búsquedas cuyo campo de búsqueda esté acotado y no sea universal en toda la Red, lo
cual dejaría fuera del alcance a muchos prestadores de servicios de la sociedad de la
información469. Por ejemplo, el buscador de la hemeroteca online de un periódico es un
ejemplo de buscador con campo de acción restringido, pues sólo busca dentro del
periódico en cuestión y no en toda la Red. Asimismo se resalta que, aunque en el
artículo 8 de la Carta Fundamental de Derechos Humanos de la UE se atribuya el
derecho a la protección de datos de carácter personal a toda persona, en la práctica las
autoridades de protección de datos pondrán el foco en aquellas reclamaciones en las que
exista un vínculo entre el titular de los datos y la UE, como por ejemplo, cuando se trate
de un ciudadano o residente en un Estado miembro de la UE.
469 A este respecto, resulta clave la lectura del punto 17 a 21 de las Guidelines del GT29: “17. The ruling
is specifically address to generalist search engines, but that does not mean that it cannot be applied to
other intermediaries”. The rights may be exercised whenever the conditions established in the ruling are
met”.
226
Asimismo un punto relevante que merece ser analizado con detenimiento es el alcance
de la decisión de desindexación del motor de búsqueda: si la desindexación debe
limitarse sólo a dominios europeos o extenderse globalmente a todos los dominios para
una mayor eficacia del derecho. En relación con este punto, además, chocan
frontalmente las Guidelines del WP29 con el informe del Grupo de expertos
independiente de Google470, que posteriormente se analizará en profundidad. Sobre este
punto, el WP29 destaca que una interpretación adecuada de la sentencia es aquella que
permite la protección efectiva de los sujetos titulares de los datos, una protección contra
la diseminación y accesibilidad universal a información personal que posibilitan los
motores de búsqueda en Internet cuando la búsqueda se realiza en base al nombre de
una persona. Asimismo apunta que, aunque las soluciones concretas puedan variar en
función de la estructura y diseño específico de cada motor de búsqueda, siempre se debe
ofrecer una solución que permita dicha protección efectiva del individuo sin sortear la
normativa comunitaria de protección de datos. A este respecto, el WP29 destaca que
“limitar la desindexación a los dominios europeos bajo el pretexto de que los usuarios
suelen acceder a la información en buscadores a través de sus dominios nacionales no
puede ser considerado suficiente para garantizar satisfactoriamente los derechos de los
titulares de los datos de acuerdo con la sentencia. En la práctica la desindexación debe
ser efectiva en todos los dominios relevantes, incluyendo el .com”471.
470 Ver el informe del grupo de expertos independiente de Google sobre la sentencia del TJUE, de 13 de
mayo, sobre derecho al olvido en https://www.google.com/advisorycouncil/
471 Ver el punto 20, en la página 9 de las Guidelines del GT 29, donde se señala literalmente: “although
concrete solutions may vary depending on the internal organization and structure of search engines de-
listing decisions must be implemented in a way that guarantees the effective and complete protection of
these rights and that EU law cannot be easily circunvented. In that sense, limiting de-listing to EU
domains, on the grounds that users tend to access search engines via their national domains cannot be
considered a sufficient means to satisfactorily guarantee the righst of data subjects acoording to the
judgement. In practice, this means that in any case de-listing should also be effective an all relevant
domains, including .com”.
227
En lo que respecta a la posibilidad de informar a la fuente de origen (webmaster), de la
desindexación llevada a cabo, el WP29 considera que no existe una base legal para
comunicar, de forma sistemática, al editor web, cada vez que el motor de búsqueda
desindexa, a petición del titular de los datos, una información originalmente publicada
por el editor web472. Sin embargo, el WP 29 sí considera que, en algunos supuestos
especialmente complejos, puede ser legítimo que los motores de búsqueda contacten
con los webmasters o editor web, es decir, la fuente original, antes de tomar la decisión
de desindexación. Asimismo el WP29 anima a los motores de búsqueda a que hagan
públicos sus criterios de desindexación y a facilitar estadísticas de desindexación, algo
que Google ya está haciendo.
Precisamente, en lo relativo a los criterios de desindexación, el WP29 destaca que las
autoridades de protección de datos deberán valorar todos los criterios de forma
conjunta, no siendo ningún criterio determinante per se. Además, destaca que el derecho
al olvido, en el contexto de la sentencia del TJUE, es aplicable a las búsquedas en
motores de búsqueda tomando como parámetro de búsqueda el nombre y apellidos de
una persona pero, no obstante, insiste el WP29 que engloba pseudónimos o apodos si
estos identifican claramente a una persona.
En lo relativo al criterio del rol de la persona, si ésta desempeña o no un rol en la vida
pública o es considerada una persona pública, el WP29 destaca que el TJUE ha hecho
una excepción al considerar que no se deben desindexar informaciones si éstas se
472 A este respecto, el punto 23 del WP29 destaca: “search engines managers should not as a general
practice inform the webmasters of the pages affected by the de-listing of the fact that some webpages
cannot be acceded from the search engine in response to specific queries. Such a communication has no
legal basis under EU data protection law”.
228
refieren a personas que desempeñan un rol en la vida pública (people who play a role in
public life).
No obstante, y según reconoce el propio grupo en el que están integradas las autoridades
de protección de datos de los Estados miembros de la UE, no está claro qué perfiles
engloba el concepto de persona que desempeña un rol en la vida pública. Sin embargo,
el WP29, “a título de ejemplo, destaca que los políticos, hombres de negocio o
miembros de profesiones reguladas, generalmente desempeñan un rol en la vida
pública”. En relación con el acceso a la información que involucra a personas con este
perfil público, el WP29 estima que existe un interés del público al acceso de la
información sobre personas públicas si se trata de información relevante para dicho rol
público o actividades públicas473. Por otra parte, además de personas que desempeñen
un rol en la vida pública, el WP29 se refiere al subgrupo de personas públicas (public
figure en su denominación en inglés) y destaca que, en general, alude a personas que
debido a sus funciones y compromisos tienen cierto grado de exposición mediática.
Cabe preguntarse, por tanto, si el derecho al olvido no es un derecho que asista a las
personas con un rol en la vida pública. Con respecto a este punto, y teniendo en cuenta
la evolución del propio derecho al olvido, que viene y deriva del derecho a la intimidad
y es una manifestación del derecho a la protección de datos de carácter personal,
conviene hacer un repaso de cómo ha venido interpretando la jurisprudencia el derecho
473 Ver la pregunta y respuesta nº 2, pag. 13 de las Guidelines del WP29, relativas a los criterios de
desindexación. Literalmente se destaca “It is not posible to establish with certainty the type of role in
public life an individual must have to justify public access to information about them via a search result.
However, by way of illustration, polititians, senior public officials, business-people and members of the
(regulated) professions can usually be considered to fulfill a role in public life. There is an argument in
favour of the public being able to search for information relevant to their public roles and activities”.
229
a la intimidad de las personas con proyección pública en su confrontación con el
derecho a la información y libertad de expresión.
Con respecto a en qué medida son titulares de un derecho a la intimidad las personas
que desempeñan un rol en la vida pública, una de las sentencias más destacadas del
Tribunal Europeo de Derechos Humanos es la sentencia Von Hannover V. Alemania474.
La sentencia del Tribunal de Estrasburgo considera que hay que diferenciar la
información que contribuye al debate sobre temas de interés público en un Estado de
Derecho democrático, de aquel tipo de información que no contribuye a dicho debate.
Asimismo hace referencia a un nuevo género informativo, el infoteinment, a medio
camino entre el entretenimiento y la información. Según los fundamentos de hecho de
esta sentencia, se trataba de la publicación de fotografías y artículos que hacen
referencia a la vida privada de la princesa Carolina de Mónaco y que no contribuían a
un debate de interés general para la sociedad.
En los asuntos relativos a la protección de la vida privada y la libertad de expresión, en
el Tribunal Europeo de Derechos Humanos, siempre se ha hecho hincapié en la
contribución de la información al debate de interés general475.
El TEDH deja claro en esta sentencia Von Hannover v. Alemania476 que “conviene
efectuar una distinción fundamental entre un reportaje que relata unos hechos, incluso
controvertidos, que pueden contribuir a un debate en una sociedad democrática,
referentes a personalidades políticas en el ejercicio de sus funciones oficiales, por
474 Sentencia del TEDH, Sección 3ª, de fecha 24 de junio de 2004, Von Hannover v. Alemania. 475 A este respecto ver las sentencias News Verlags GMBH & CoKG v. Austria, núm.31457/1996,
(TEDH, 2000, 2), ap. 52 y ss; sentencia Tammer contra Estonia, TEDH, de 6 de febrero de 2001. 476 Ver asimismo la sentencia Observer y The Guardian c. Reino Unido, de 26 de noviembre de 1991
(TEDH, 1991, 51).
230
ejemplo, y un reportaje sobre los detalles de la vida privada de una persona que,
además, como en este caso, no desempeña dichas funciones. Si bien en el primer caso
la prensa juega su rol esencial de perro guardián en una democracia contribuyendo a
comunicar ideas e informaciones sobre cuestiones de interés público, no sucede lo
mismo en lo segundo”477.
Uno de los criterios de ponderación más utilizados por el Tribunal Constitucional en el
análisis de la libertad de expresión y de información es la condición de las personas
implicadas. Los denominados personajes públicos deben soportar que sus actuaciones se
vean sometidas al escrutinio de la opinión pública478. El personaje público deberá
tolerar, en consecuencia, las críticas dirigidas a su labor como tal, incluso cuando estas
puedan ser especialmente molestas o hirientes, sin que pueda esgrimir inmunidad o
privilegio, teniendo además más medios que cualquier particular para defenderse
públicamente479.
Tanto la jurisprudencia europea del TEDH como la española coinciden en la necesidad
de exigir que las informaciones cumplan los requisitos de veracidad e interés público, a
fin de que puedan ser consideradas prevalentes en caso de conflicto con otro derecho
fundamental. El fin último del derecho a comunicar información es crear una opinión
pública libre y, para ello, las noticias han de cumplir estos dos requisitos480. Por su
477 Sentencia del TEDH, Von Hannover v. Alemania, de 24 de junio de 2004. 478 STC 148/2001, de 27 de junio. 479 Ver las sentencias STC 104/1986, de 17 de julio; STC 85/1992, de 8 de junio; STC 19/1996, de 12 de
febrero; STC 240/1997; STC 1/1998, de 12 de enero. Ver asimismo la sentencia del TEDH caso Sunday
Times, de 26 de abril de 1979, STEDH caso Lingens, de 8 de julio de 1986; STEDH caso Schwabe, de 28
de agosto de 1992; STEDH caso Praeger y Oberschlick, de 26 de abril de 1995; STEDH caso Tolstoy
Milosavski, de 13 de julio de 1995; STEDH caso Worm de 29 de agosto de 1997; STEDH caso Fressoz y
Roire de 21 de junio de 1999. 480 Serrano Maíllo, Isabel: “El derecho a la libertad de expresión en la jurisprudencia del Tribunal
Europeo de Derechos Humanos: dos casos españoles”, Teoría y Realidad Constitucional, nº 28, 2011,
pag.586.
231
parte, el concepto de interés público no es fácil de determinar481. Por su parte, Nuñéz
Ladeveze considera que es de interés público aquella información que “procede de la
objetivación de las relaciones políticas y de la interacción social”482. Asimismo, en
torno al concepto de interés público destaca este autor que el interés público “emana de
la condición política de la persona en cuanto forma parte de una comunidad en la que
los intereses individuales han de adaptarse a un interés común […]. y éste interés
público es distinto del interés del público por acontecimientos que genéricamente
conmueven a la mayoría de las personas generalmente por motivos psicológicos”483.
Asimismo, el WP29 hace referencia a la Resolución 1165 (1998) de la Asamblea
Parlamentaria del Consejo de Europa484 sobre el derecho a la intimidad, que ofrece una
posible definición de persona o figura pública.
Por otra parte, el WP29 en su documento dedica un espacio a la posibilidad de que el
titular de los datos sea un menor485. A este respecto destaca que, por regla general, las
autoridades de protección de datos serán partidarias de la desindexación cuando la
información afecta a un menor. En este sentido destaca que el mejor interés del menor
debe ser tenido siempre en consideración y a este respecto hace referencia al artículo 24
de la Carta Fundamental de Derechos Humanos de la UE486.
481 Muñoz Machado, S.: Libertad de prensa y procesos por difamación, Barcelona, Ariel, 1998, pag.152. 482 Núñez Ladeveze, L.: El lenguaje de los media, Madrid, Pirámide, 1979, pags. 76 a 84. 483 Núnez Ladeveze, L.: Manual de Periodismo, Barcelona, Ariel, 1991, pag.40. 484 La citada Resolución apunta, en relación con el concepto de public figure: “it states that public figures
are persons holding public office and/or using public resources and, more broadly speaking, all those
who play a role in public life, whether in politics, economy, the arts, the social sphere, sport or any other
domain”. 485 A este respecto resulta interesante ver el formulario creado por Google para ejercitar el derecho al
olvido, en donde se ofrece la posibilidad de que un adulto, padre o tutor, solicite la desindexación de
información relativa a un menor, en nombre de ese menor.
https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=es 486 El artículo 24 de la Carta Fundamental de Derechos Humanos de la UE dice: “1. Los menores tienen
derecho a la protección y a los cuidados necesarios para su bienestar. Podrán expresar su opinión
libremente. Ésta será tenida en cuenta en relación con los asuntos que les afecten, en función de su edad
232
En relación con los apuntes que realiza el WP29 con respecto a la precisión o
adecuación de la información o datos, las Guidelines destacan que hay que diferenciar
entre la información que hace referencia a hechos o datos fácticos, y aquella que es
opinión. A este respecto apunta que las autoridades de protección de datos darán más
prioridad a los asuntos relacionados con hechos fácticos que con opiniones, en el
sentido de que los primeros podrán terminar en la desindexación con mucha más
frecuencia que en el caso de juicios de valor u opiniones. Asimismo apunta que en
aquellos casos en los que la precisión o adecuación de los datos o información esté
dilucidándose, sub iudice o con una investigación policial abierta, el WP29 apunta que
las autoridades de protección de datos podrán elegir no intervenir hasta que el proceso
judicial o la investigación policial concluya.
Con respecto al criterio temporal o en relación con el peso que se debe dar al hecho de
que la información o datos publicados hagan referencia a hechos acaecidos largo tiempo
atrás, en conexión con lo ya plasmado en la sentencia de 13 de mayo de 2014 del TJUE,
el WP29 apunta que, por regla general, las informaciones antiguas en el tiempo tendrán
un menor interés general en ser indexadas por buscadores que aquellas informaciones
recientes en el tiempo. No obstante, la sentencia no determina qué se entiende por
información antigua en el tiempo ni cuántos años se consideran que son muchos en el
tiempo como para considerar que una información está desfasada y, por tanto, es
inadecuada o desproporcionada. A este respecto, y a título de ejemplo, el WP29 ofrece
el dato de que una información publicada hace 15 años o relacionada con un hecho
y su madurez. 2. En todos los actos relativos a los menores llevados a cabo por autoridades públicas o
instituciones privadas, el interés superior del menor constituirá una consideración primordial. 3. Todo
menor tiene derecho a mantener de forma periódica relaciones personales y contactos directos con su
padre y con su madre, salvo si son contrarios a sus intereses.”
233
acaecido hace tres lustros es menos relevante para el interés general que una
información de hace un año.
Por otra parte, el WP29 insiste en que la información relacionada con la vida
profesional de un sujeto es más proclive a ser información de interés general, y por
tanto, quedar justificada su indexación, mientras que la información no relacionada con
la vida profesional sino con aspectos de la vida privada, normalmente, implica que no
esté justificado el acceso a la información, a través de buscadores en Internet en base al
nombre y apellidos de una persona, por razones de interés público.
Asimismo el grupo de trabajo que reúne a las autoridades de los Estados miembros de la
UE hace hincapié en explicar que su ámbito de actuación es el de la protección de datos
de carácter personal, y por tanto, las autoridades de protección de datos de la UE deben
entrar a valorar peticiones de desindexación en aquellos supuestos en los que
posiblemente haya habido una vulneración de la legislación de protección de datos. Sin
embargo, cuando la información que se pretende desindexar está relacionada con
ofensas criminales, injurias o calumnias o graves insultos vejatorios, el WP29 insiste en
que deben entrar en juego otras autoridades, judiciales y policiales, y dar entrada al
orden jurisdiccional civil y/o penal, según los supuestos, sin perjuicio de que las
autoridades de protección de datos valoren la posible vulneración de la normativa de
protección de datos de carácter personal. Además, las Guidelines aluden a los datos
especialmente sensibles -vida sexual, salud, ideología, etc- afirmando que en estos
supuestos existe un interés preponderante en la desindexación. También se destaca que
no es necesario demostrar el perjuicio de la indexación de la información o, dicho de
otra manera, no es necesario que el titular de los datos, para solicitar la desindexación,
234
considere que la información le es perjudicial. Sin embargo, dicho perjuicio será un
elemento de peso a tener en cuenta a la hora de valorar la desindexación, del mismo
modo que en aquellos supuestos en los que a través de la indexación de la información
en motores de búsqueda, se pone al sujeto en una posición de riesgo. Es decir, en los
casos en los que exista un riesgo para el individuo, las autoridades de protección de
datos considerarán que está justificada la desindexación.
Con respecto a cómo interpretar el hecho de que la información tenga como soporte un
medio de comunicación o la haya publicado un periodista, el WP29 considera que dicha
condición tiene un peso importante para inclinar la balanza a favor de la indexación. No
obstante, no es una condición o situación que pueda valorarse de forma aislada, sino que
hay que ponerla en contexto y valorar asimismo otras circunstancias del supuesto
concreto, ya que, como ya se ha explicado en el momento del análisis de la sentencia, el
TJUE en el fallo del caso Mario Costeja y la AEPD v. Google deja muy claro que se
está ante dos tratamientos de datos diferenciados, en el sentido de que un tratamiento de
datos de carácter personal es el que realiza el medio de comunicación en donde se
publica la información en origen y, otro tratamiento diferente, es el que realiza el gestor
del motor de búsqueda en Internet, al ofrecer una lista de resultados con enlaces
diversos a informaciones, tras realizar una búsqueda utilizando como parámetros de
búsqueda el nombre y apellidos de una persona.
Con respecto a la desindexación de información relacionada con ofensas criminales, las
Guidelines del WP29 remiten a las legislaciones nacionales correspondientes, en el
sentido de que afirman que las autoridades de protección de datos de los Estados
miembros de la UE deberán valorar, caso por caso, la adecuación con la correspondiente
235
legislación nacional. Asimismo, menciona una regla general: la información sobre
ofensas menores acaecidas largo tiempo atrás son más propensas a la desindexación que
informaciones relacionadas con ofensas criminales graves que han tenido lugar en un
momento más reciente en el tiempo. No obstante, y como ya veremos en otro capítulo
de esta tesis doctoral487, en la protección de datos de carácter personal y, en general, en
todo lo relacionado con la innovación, privacidad y regulación digital-, hay que tener en
cuenta las diferencias en las distintas legislaciones nacionales. A este respecto cabe
destacar la legislación alemana, según la cual todo delincuente condenado, por grave
que haya sido el delito, siempre que haya cumplido su condena y, por tanto, pagado su
deuda con la sociedad, tiene derecho a la intimidad, en el sentido de que no tiene por
qué soportar la publicación de informaciones sobre los hechos delictivos por los que ya
ha cumplido condena488.
En relación con la legislación alemana, resulta interesante destacar la jurisprudencia del
Tribunal Constitucional Federal alemán sobre el alcance de la protección constitucional
del derecho general a la personalidad (artículo 2.1 de la Ley Fundamental de Bonn),
dentro del cual junto a otros derechos de la personalidad, se reconoce un derecho a
controlar la presentación de uno mismo ante la sociedad489. Para el Tribunal alemán490,
“si bien los medios pueden informar sobre hechos de relevancia penal y sobre las
personas que han participado en ellos, la protección del derecho a la personalidad
impide que éstos puedan, más allá de la noticia sobre hechos de actualidad, divulgar
487 Ver el capítulo 7 de esta tesis doctoral sobre las diferencias entre EE.UU y la UE en lo que respecta al
derecho a la privacidad, intimidad, protección de datos personales y libertades informativas. 488 Ver el caso Wolfgang Werlé y Manfred Lauber, Tribunal de Justicia de Hamburgo, 18 de enero de
2008. 489 Mieres Mieres, Luis Javier: “El derecho al olvido digital”, Documento de trabajo 186/2014, Fundación
Alternativas, 2014, pag.16. 490 Ver la sentencia del Tribunal Federal Constitucional alemán, caso Lebach, sentencia de 5 de junio de
1973, BVerfG 35,202.
236
informaciones sin límite de tiempo sobre la persona condenada y su esfera privada”.491
Lo contrario, implicaría imponer una nueva sanción social, por lo que la doctrina
alemana considera que debe ampararse el interés del recurrente en reinsertarse en la
sociedad tras el cumplimiento de la pena.
6. 4. Formulario online habilitado por Google para la solicitud de
desindexación
Poco tiempo después de conocerse la sentencia del TJUE que resolvió el caso C-131/12,
del 13 de mayo de 2014, Google creó su formulario online492 para que las personas
físicas que quisieran solicitar la desindexación de información en el motor de búsqueda,
tuvieran un medio fácil, cómodo y sencillo, para realizar la solicitud. Casi al mismo
tiempo, el gigante tecnológico comenzaba a recibir miles de solicitudes de
desindexación en los distintos Estados miembros de la UE, relacionados con las más
variadas temáticas.
La denominación que Google eligió para su formulario online para la solicitud de
desindexación de información es Solicitud de retirada de resultados de búsqueda en
virtud de la normativa de protección de datos europea. Al entrar en el formulario
habilitado por Google, lo primero que aparece es la propia denominación del
formulario, seguida de unos antecedentes, en los que se hace mención a la sentencia del
caso Costeja y AEPD v. Google, destacando que es un fallo jurisprudencial por el que la
491 Miéres Miéres, Luis Javier: “El derecho al olvido digital”, Documento de trabajo 186/2014,
Fundación Alternativas, 2014, pag.17. 492 Ver el formulario online de Google para el ejercicio del derecho al olvido en
https://support.google.com/legal/contact/lr_eudpa?product=websearch#
237
compañía se ve obligada a habilitar un medio para permitir la solicitud de retirada de
información en la lista de resultados de búsqueda del buscador.
En los antecedentes del formulario, Google explica que realizará una ponderación entre
el derecho a la privacidad de los usuarios y los derechos del público a conocer y
distribuir información, para lo cual, afirma que, tendrá en cuenta, si la información es
obsoleta así como el interés público de la información. Asimismo, expresa que Google
podrá negarse a retirar determinada información sobre estafas financieras, condenas
penales, comportamiento público de funcionarios del Gobierno o negligencia
profesional.
Por otra parte, solicita una serie de información a la persona que rellene el formulario,
mucha de la cual está marcada con un asterisco por tratarse de información obligatoria.
Entre la información obligatoria a proporcionar, figura: nombre con el que se realiza la
búsqueda, país de la UE cuya legislación aplica a la solicitud, dirección de correo
electrónico a la que enviar la información relativa a la solicitud, DNI u otro documento
que acredite la identidad del solicitante, URL de los resultados que se quiere retirar, así
como los motivos por los que se desea eliminar dicha información. A este respecto,
Google expresamente destaca que, “si su solicitud hace referencia a más de un resultado
indique la URL de cada resultado y explique los motivos por los que la inclusión de ese
resultado en los resultados de búsqueda resulta irrelevante, obsoleta o inaceptable de
cualquier otro modo”493. Asimismo insiste en que “sin esta información, no podemos
procesar su reclamación”494. Es decir, la compañía deja claro que para que ésta pueda
procesar la solicitud de retirada de información, es necesario que se proporcionen los
493 Ver el citado formulario de Google. 494 https://support.google.com/legal/contact/lr_eudpa?product=websearch#
238
motivos por los cuales se desea retirar dicho enlace. Además, es obligatorio firmar con
el nombre completo del solicitante, así como indicar la fecha de la solicitud.
Además, en relación con la identificación del solicitante a través de un documento
identificativo, se destaca que no es necesario que sea el documento oficial –en España
denominado Documento Nacional de Identidad o DNI- sino, que serviría cualquier otro
documento donde la identificación de la persona fuese clara sin que, según señala la
compañía americana, sea necesario que se vea el documento íntegro ni sea necesario
facilitar una fotografía, salvo que la información que se pretenda retirar incluya una
fotografía.
Asimismo, existe la posibilidad de que otra persona, distinta de la interesada o titular de
los datos, realice la solicitud. Por ejemplo, un padre o tutor con respecto a un menor o
un abogado con respecto a su cliente. En ese caso, es necesario declarar el tipo de
relación que une al representante con el representado y, además, es necesario declarar,
marcando una casilla a tal efecto, que se cuenta con la debida autorización para actuar
en nombre de esa persona. Para el caso de que el solicitante actúe en nombre de sí
mismo, es decir, para eliminar información que a él mismo afecta, habría que marcar
casilla declarando ser la persona afectada por la información en cuestión.
239
6.5. Informe del Consejo Asesor de Google sobre el Derecho al olvido
Tras publicarse la sentencia del caso C-131/12 del TJUE, del pasado 13 de mayo de
2014, Google decide crear un grupo independiente de expertos495, para que le ayude a
interpretar los criterios dados por el Tribunal en la sentencia. El objetivo, por tanto, de
la creación de este grupo, es obtener asesoramiento sobre los principios que la compañía
tecnológica debe aplicar para resolver, caso por caso, las solicitudes de retirada de
información en el buscador. El pasado 6 de febrero de 2015, el Grupo de expertos
independiente de Google emitió su informe final496, estableciendo una serie de
conclusiones que, en algunos puntos, no son coincidentes con las alcanzadas por el
WP29 en sus Guidelines de noviembre de 2014. Con respecto al formulario online
habilitado por Google, el grupo de expertos independiente de Google concluyó que era
necesario incluir determinadas mejoras, tanto en el propio formulario como mejoras
procedimentales.
Para la preparación de sus conclusiones, el grupo de expertos, además de haber
realizado un tour por siete ciudades europeas497, recabando información y opiniones de
expertos en la materia, utilizó diversos canales para obtener datos que le ayudasen a
alcanzar las conclusiones de su informe final. De este modo, se habilitó un canal online
495 Los expertos miembros del grupo son: Luciano Floridi, profesor de Filosofía y Ética de la Información
de la Universidad de Oxford; Silvie Kauffman, directora editorial de Le Monde; Lidia Kolucka-Zuk,
directora de Trust for Civil Society en Europa Central y del Este; Frank La Rue, relator especial de las
Naciones Unidas para la Promoción y Protección del derecho a la libertad de opinión y expresión; Sabine
Leutheusser-Schnarrenberger, ex ministra federal de Justicia de Alemania; José Luis Piñar, catedrático de
Derecho Administrativo en la Universidad San Pablo CEU y ex director de la Agencia Española de
Protección de Datos; Peggy Valcke; profesora de Derecho en la Universidad de Lovaina; y Jimmy Wales,
fundador de la Fundación Wikipedia. 496 Ver el informe final del Grupo de expertos independiente de Google en
https://drive.google.com/a/google.com/file/d/0B1UgZshetMd4cEI3SjlvV0hNbDA/view?pli=1 497 Las fechas y ciudades visitadas en 2014 por el Grupo de expertos independiente de Google son:
Madrid, el 9 de septiembre; Roma, 10 de septiembre; Paris, 25 de septiembre; Varsovia, 30 de
septiembre; Berlín, 14 de octubre; Londres, 16 de octubre; Bruselas, 14 de noviembre.
240
para que internautas o, en general, los ciudadanos que quisieran compartir sus
conocimientos u opinión en la materia, pudieran enviar Papers, documentación o
cualquier aportación que pudiera resultar de interés para las deliberaciones del grupo de
expertos. Asimismo, tal y cómo figura en el apéndice que acompaña al informe, se
tuvieron en cuenta los comentarios individuales que, a título particular, manifestaron los
miembros del grupo de expertos, transcripciones de consultas públicas, la jurisprudencia
del Tribunal Europeo de Derechos Humanos, las Policy Guidelines de grupos
editoriales o informativos, así como las comentadas Guidelines del WP29 de 2014.
El Grupo de expertos independiente de Google alcanzó una serie de conclusiones que
analizaremos en las próximas líneas. Con respecto al alcance de la decisión de
desindexación de Google, uno de los puntos más relevantes, existe una evidente
contradicción entre las Guidelines del WP29 y el informe de este grupo de expertos.
Mientras las autoridades de protección de datos europeas consideran que la decisión de
desindexación del motor de búsqueda en Internet no debe circunscribirse a los dominios
europeos, sino que debe producir sus efectos en todos los dominios, incluido el .com, el
grupo de expertos independiente de Google cree que la decisión de desindexación debe
limitarse a los dominios europeos. Al respecto, en el informe del grupo de expertos de
Google se destaca que la sentencia del TJUE de 13 de mayo de 2014 no es precisa con
respecto al alcance geográfico de la desindexación o a qué versiones del buscador debe
aplicar. De este modo, Google eligió aplicar, en principio, la desindexación a los
dominios europeos, lo cual no está exento de polémica498. El Grupo de expertos
independiente de Google, en su informe, apunta que, según fuentes de la propia
498 La CNIL francesa (órgano homólogo a la Agencia Española de Protección de Datos) aboga por la
aplicación global de la desindexación a todos los dominios y un Tribunal de París ya ha pedido la
desindexación también en los dominios '.com.http://www.derechoolvido.es/francia-presiona-a-google-
para-una-aplicacion-global-del-derecho-al-olvido/
241
compañía con sede en Mountain View, el 95% de las peticiones de búsquedas que se
producen en Europa proceden de versiones locales del buscador (‘.es’, ‘de, ‘fr’, ‘it’, etc)
y, además es práctica habitual que a los usuarios que utilizan en Europa el .com se les
redirija de manera automática a una versión local. Por ello, en opinión de este grupo de
expertos, se produce una protección de los derechos de los usuarios si, por regla general,
la desindexación se limita a los dominios europeos. Asimismo, considera que es un
asunto de soberanía territorial y podría entrar en conflicto con otros derechos protegidos
fuera de las fronteras de la UE relacionados con el acceso a la información, aunque
pueda suponer mayor protección de los derechos de los usuarios en la UE. A este
respecto destaca (literal en inglés): “In considering whether to apply a delisting to
versions of search targeted at users outside of Europe, including globally, we
acknowledge that doing so may ensure more absolute protection of a data subjec’s
rights. However it is the conclusión of the majority that there are competing interests
that outweight the additional protection afforded to the data subject…[..]. These
considerations are bolstered by the legal principle of proportionality and
extraterritoriality in application of European Law”499.
Si bien en un principio Google, en línea con la opinión del grupo de expertos
independiente de Google, venía sólo aplicando la desindexación a los dominios
provenientes de un país de la UE (.co.uk, .fr,.es, .de), posteriormente, en febrero de
2016, la compañía tecnológica anunció la ampliación de su política de desindexación a
todos los dominios, siempre que se acceda desde la UE500.
499 Informe del Grupo de expertos independiente de Google sobre derecho al olvido, de febrero de 2015.
Punto 5.4., pag.18. 500 https://r3d.mx/2016/02/12/google-ampliara-su-politica-de-derecho-al-olvido-a-todos-sus-dominios-
accesados-desde-europa/
242
Otro punto interesante del informe del Grupo de expertos es el relativo a la
conveniencia, en su opinión, de habilitar mecanismos para que la parte que se pueda ver
afectada por la decisión de Google de aceptar una solicitud de derecho al olvido y
proceder a la desindexación (por ejemplo, intereses del editor que se puedan ver
dañados), pueda recurrir dicha decisión. Es decir, de algún modo, estos expertos echan
de menos que sólo el titular de los datos pueda recurrir ante una autoridad de control o
ante los tribunales y, sin embargo, la otra parte afectada por una decisión de
desindexación, no tenga ningún mecanismo de recurso. En este sentido, se destaca en el
citado informe que “data subjects can challenge delisting decisions before either their
local DPAs or Courts. Because delisting affects the rights and interests of publishers,
many experts suggested, and we agree that publishers should have means to challenge
improper delistings before a DPA or a simlar public authority”501.
Asimismo, y en relación con las divergencias entre el WP29 y el Grupo de expertos
independiente de Google, no son coincidentes las opiniones en lo relativo a la
notificación a la fuente de origen sobre la decisión de desindexación. Mientras el WP29
estima que no existe una base legal para dicha notificación, el grupo de expertos
independiente de Google cree que en ocasiones, en casos complejos, incluso es
recomendable y aconsejable dicha notificación de un modo previo, de modo que pueda
ayudar al motor de búsqueda a tomar la decisión.
El grupo de expertos analiza también cómo debe interpretarse el factor tiempo502 o qué
criterios deben seguirse para determinar la condición de personaje público de un
individuo y cómo ambas cuestiones interactúan. Así, destaca que la sentencia del TJUE
501 Ibídem. 502 Ver el punto 4.4 del citado informe del grupo de expertos independiente de Google.
243
hacía referencia a que con el transcurso del tiempo el interés público de determinados
hechos puede decaer. Con respecto a este punto, el grupo de expertos considera que será
necesario asimismo ponerlo en relación con el tipo de información de que se trate. En
este sentido, apunta que ante crímenes contra la humanidad o hechos delictivos graves,
el transcurso del tiempo no justificaría la desindexación. Para el grupo de expertos, el
factor tiempo tiene que ponerse en relación asimismo con el rol en la vida pública de la
persona en cuestión.
Precisamente, y en relación con este punto del rol público del titular de los datos, el
grupo de expertos distingue tres categorías de sujetos: a) personas con roles claros en la
vida pública (políticos, CEOs, celebrities, líderes religiosos, estrellas deportivas o
artistas), b) personas sin un papel en la vida pública y c) personas con un papel público
limitado o circunscrito a un contexto concreto (determinados empleados públicos,
directores de colegios o personas que desempeñan un rol público debido a su profesión).
En lo que respecta a la primera de las categorías de personas señaladas en el párrafo
anterior, el grupo de expertos considera que hay una alta probabilidad de que el interés
general y el derecho al acceso a la información prevalezcan. Al contrario, en las
solicitudes de desindexación referentes a sujetos incluidos en la segunda de las
categorías señaladas, hay una mayor probabilidad de que sean aceptadas. Y en lo que
respecta a la última de las categorías, el grupo de expertos apunta que dependerá
fundamentalmente del contexto y contenido de la información en cuestión.
En lo relativo a la naturaleza de la información, en el punto 4.2, el grupo de expertos
ofrece, por un lado, tipos de información en los que el interés del individuo en la
244
protección de sus datos debe pesar más que el interés del público en acceder a la
información. A su vez, ofrece, por otro lado, tipos de información en los que se presume
justamente lo contrario, es decir, que pesaría más el derecho de los internautas al acceso
a la información frente a la protección de datos del sujeto.
Dentro del primer tipo de información comentada, el grupo de expertos destaca:
informaciones relacionadas con la vida íntima o sexual del individuo; información
personal financiera; datos de contacto o de identificación; información considerada
sensible según la normativa europea de protección de datos (con matices para los
personajes públicos); información privada sobre menores; información falsa, que
implica una errónea asociación o pone al individuo en riesgo de daños; o información
que aparezca en formato vídeo o mostrando la imagen de la persona, que pueda hacer
prevalecer los intereses del individuo.
Dentro del segundo tipo de información, es decir, aquella en la que prevalecería más un
interés en acceder a la misma, estarían las siguientes categorías: información relevante
para el compromiso ciudadano, debate político o gobernanza; información relevante
para el debate filosófico o religioso; información relacionada con salud pública y
protección de los consumidores; información relacionada con actividad delictiva o
criminal; información que contribuya al debate sobre materias de interés general;
información fáctica y verdadera; información histórica; e información científica o
relacionada con la expresión artística.
En el informe del grupo de expertos se pueden leer asimismo las opiniones disidentes o
particulares de algunos de sus miembros, las respuestas a las consultas públicas, así
245
como el listado de expertos que fueron escuchados en cada ciudad del Tour, además de
ideas alternativas y propuestas técnicas que recibieron durante el proceso de consultas.
En lo relativo a opiniones disidentes o compartidas sólo por algunos miembros del
Consejo o grupo de expertos, cabe destacar lo referente a la sección referente a
información relevante para el discurso filosófico o religioso. Al respecto, Piñar Mañas y
Kolucka-Zuk manifestaron que hubiese sido mejor no incluir esta sección o, al menos,
en el informe debería constar que este tipo de datos sobre aspectos religiosos o
filosóficos son datos sensibles. Asimismo, ambos expertos consideraron que, “en el
caso de que el sujeto objeto de parodia fuese un ciudadano anónimo y no una persona
pública, no debía apreciarse el elemento de interés público”503.
6. 6. Sentencia del Tribunal Supremo, de 15 de octubre de 2015: rechazo del
derecho al olvido en hemerotecas digitales de los medios de comunicación
Poco más de un año después de que el TJUE dictase la sentencia del caso Mario Costeja
y AEPD v. Google, la Sala de lo Civil del Tribunal Supremo, en sentencia de 15 de
octubre de 2015504, resolvió un interesante caso relacionado con el derecho al olvido y
las hemerotecas digitales de los medios de comunicación.
503 Ver la página 23 del informe donde se recogen las opiniones particulares de José Luis Piñar Mañas y
Lidia Kolucka-Zuk. Ambos autores destacan (literal en inglés): “On page 6, in point 4.2.2: (2)
Information relevant to religious or philosophical discourse: we believe it would have been better not to
include this section. In any event, and at least in this case the report should reference the fact that the
data on religious or philosophical beliefs are sensitive data, as was underlined above in point 4.2.1. […]
On page 7, in point 4.2.2: (8), our view the only time in which a data subject portrayed as artistic parody
weighs in favor of public interest is when the data subject is a public figure. We do not believe that a
parody of a “normal person”, who may be identified on the basis of his or her name, should be
considered of general public interest”. 504 Sentencia del Tribunal Supremo, Sala de lo Civil, de 15 de octubre de 2015, nº de recurso 2772/2013.
Ver en
246
El caso hace referencia a informaciones que habían sido publicadas en el diario El País,
en los años 80, relacionadas con el consumo, dependencia y tráfico de drogas, por
ciudadanos que, en la actualidad, llevaban una vida normal y plenamente reinsertada en
la sociedad, por lo que ejercitaban su derecho al olvido o cancelación de datos, en este
caso, ante el periódico en cuestión. Cabe destacar que ya la propia Agencia Española de
Protección de Datos, la legislación vigente de protección de datos así como la
legislación civil relativa a la protección del honor, intimidad y propia imagen, siempre
han contemplado la posibilidad de acudir en primera instancia a la fuente de origen (y
no al buscador en Internet) para solicitar la cancelación de datos personales o, en su
caso, ante informaciones que atenten contra el honor, una rectificación o reparación del
daño. Tras la propia sentencia del TJUE de 13 de mayo de 2014 que avaló la existencia
de un derecho al olvido, en el sentido de un derecho a dirigirse al motor de búsqueda
para que desindexe determinada información sin necesidad de acudir previa o
simultáneamente a la fuente de origen, nada impedía tampoco la decisión del afectado
de acudir en primer lugar a la fuente de origen.
Precisamente, la sentencia del Tribunal Supremo de octubre de 2015, viene a alinearse
más con las conclusiones del Abogado General del TJUE Niilo Jääskinen que con la
propia sentencia del TJUE de mayo de 2014, cuando afirma que, en determinados casos,
los medios de comunicación están obligados a incorporar los protocolos de no
indexación robot.txt. En relación con este punto, la sentencia del Supremo afirma que
aunque la sentencia del TJUE del caso Mario Costeja y AEPD v. Google analizó la
responsabilidad de los gestores de motores de búsqueda por el tratamiento de datos
http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=749488
9&links=derecho%20al%20olvido&optimize=20151019&publicinterface=true
247
personales contenidos en páginas web cuyos vínculos aparecían en las listas de
resultados de dichos buscadores cuando se utilizaba el nombre y apellidos como
parámetro de búsqueda, “ello no significa que los editores de las páginas web no tengan
la condición de responsables del tratamiento de esos datos personales, con los
consiguientes deberes de respetar el principio de calidad de datos y atender el ejercicio
de los derechos que la normativa de protección de datos otorga a los afectados […]”505.
Según este fallo jurisprudencial del Alto Tribunal español, los medios de comunicación
tienen la consideración de responsables del tratamiento de los datos de carácter personal
contenidos en sus páginas web. A este respecto, destaca la sentencia del Tribunal
Supremo –cita la sentencia del TJUE de 6 de noviembre de 2003 del caso Lindqvist y la
sentencia del TJUE de 13 de mayo de 2014 del caso Mario Costeja- que “el editor de
una página web en la que se incluyen datos personales realiza un tratamiento de datos
personales y como tal es responsable de que dicho tratamiento de datos respete las
exigencias de la normativa que lo regula, en concreto de las derivadas del principio de
calidad de los datos”506.
Asimismo, el TS, citando la jurisprudencia del TEDH, distingue la función informadora
que juegan los medios en la emisión de noticias actuales, calificándola de primaria y la
distinguen del rol que desempeñan cuando gestionan y publican una hemeroteca digital.
A esta última función la califican de secundaria y entiende que aquí, y en base a la
jurisprudencia del TEDH, los Estados miembros tienen más margen de apreciación para
ordenar medidas de restricción de las hemerotecas. En este sentido resalta que “la
función que cumple la prensa en una sociedad democrática cuando informa sobre
505 FJ 5º de la citada sentencia. 506 Ibídem.
248
sucesos actuales y cuando ofrece al público sus hemerotecas es distinta y debe tratarse
de modo diferente. Así lo ha hecho el TEDH, que ha considerado que “mientras la
actividad de los medios de comunicación cuando transmiten noticias de actualidad es la
función principal de la prensa en una democracia (la de actuar como perro guardián
según este tribunal), el mantenimiento y puesta a disposición del público de las
hemerotecas digitales con archivos que contienen noticias que ya se han publicado, ha
de considerarse como una función secundaria, en la que el margen de apreciación del
que disponen los Estados para lograr el equilibrio entre derechos es mayor, puesto que
el ejercicio de la libertad de información puede considerarse menos intenso”507.
Al igual que lo hizo el TJUE en la sentencia del caso Mario Costeja y AEPD v. Google,
la analizada sentencia del Tribunal Supremo de 2015 afirma que hay que tener en
consideración el factor tiempo, de modo que una información publicada con una base
legal hace años, con el paso del tiempo pueda perder el interés público que legitimó en
su día la publicación. A su vez, alude a la necesaria ponderación de derechos en juego,
del mismo modo que lo hacía la sentencia del Tribunal de Luxemburgo de 2014. “El
problema no es que el tratamiento de los datos sea inveraz, sino que pueda no ser
adecuado a la finalidad con la que los datos personales fueron recogidos y tratados
inicialmente. El factor tiempo tiene una importancia fundamental en esta cuestión,
puesto que el tratamiento de los datos personales debe cumplir con los principios de
calidad de datos, no sólo en el momento en que son recogidos e inicialmente tratados,
sino durante todo momento. El tratamiento de datos, además, inicialmente pudo ser
adecuado a la finalidad que lo justificaba pero puede devenir con el transcurso del
tiempo inadecuado para esa finalidad, y el daño que cause en derechos de la
507 Ver el FJ 6º de la citada sentencia.
249
personalidad como el honor y la intimidad, puede ser desproporcionado en relación al
derecho que ampara el tratamiento de datos”508, destaca la Sala Primera del TS.
Por otro lado, este fallo jurisprudencial del Supremo hace interesantes reflexiones en
torno al concepto de interés público. Al respecto, señala que el interés público no puede
confundirse con el cotilleo o la maledicencia, distinguiendo así el interés público del
interés del público, siendo el primero aquel que permite “formarse una opinión fundada
sobre asuntos con trascendencia para el funcionamiento de una sociedad
democrática”509. A su vez, distingue entre persona pública y aquélla que no lo es,
considerando que el primer tipo de personas tiene que soportar mayores injerencias que
las segundas en su vida privada y, para ellas, el factor tiempo no tiene el mismo peso.
Esta sentencia resulta relevante por varios aspectos. Primero, una conclusión o
interpretación obvia de esta sentencia es que los medios de comunicación no están
obligados a eliminar ni a tomar medidas para que se eliminen datos de las hemerotecas
digitales. Es decir, no cabe el ejercicio del derecho al olvido en las hemerotecas
digitales de los medios de comunicación (en los buscadores internos de dichos medios),
ya que entraría en clara contradicción con el derecho a la libertad de información
contemplado en el artículo 10 del CEDH. En línea con este punto, la Sala también
exime a los medios de comunicación que gestionan hemerotecas, de tener que tomar
medidas técnicas tendentes a desindexar los datos de carácter personal de los buscadores
internos. El TEDH ha declarado que las hemerotecas digitales entran en el ámbito de
protección del artículo 10 CEDH510.
508 FJ 6º de la sentencia citada. 509 Ibídem. 510 Ver la sentencia del TEDH, de 10 de marzo de 2009, caso Times Newspaper Ltd-núms 1 y 2 c. Reino
Unido, y la sentencia del TEDH, de 16 de julio de 2003, caso Wegrzynowski y Smolczewski c. Polonia, en
250
Por otra parte, esta sentencia del Supremo entra en cierta contradicción con la sentencia
del TJUE de mayo de 2014, al considerar que los medios de comunicación están
obligados a incorporar los protocolos de no indexación en determinadas circunstancias
cuando haya transcurrido tiempo que implique que no se respete el principio de calidad
de los datos (cuando no se trate de una persona con relevancia pública y no tenga interés
público la noticia). La sentencia que resuelve el caso Mario Costeja y AEPD v. Google,
pasó por alto y obvió en todo momento esta posibilidad de inserción de estos protocolos
no index por parte de los medios de comunicación, a lo que sí había aludido con rigor el
Abogado General del TJUE en sus conclusiones de junio de 2013. Ni en la sentencia del
TJUE de 13 de mayo de 2014, ni en las Guidelines del WP29 que interpretan la
sentencia se habla en ningún momento de la vía de la desindexación por los medios de
comunicación o fuente de origen a través de la utilización de los protocolos robot.txt.
Ahora bien, la opción de acudir al medio de comunicación o fuente origen es una opción
que siempre ha existido y que, por otra parte, ha sido la opción defendida por el
Abogado General del TJUE Niilos Jääskinen en sus conclusiones. Por otra parte, el
propio WP29 en sus Guidelines de noviembre de 2014 insistía en que la sentencia del
TJUE iba en todo caso referida a motores de búsqueda sin campo de acción restringido,
lo que implica dejar fuera a los motores de búsqueda de hemerotecas digitales que,
obviamente, tienen un campo de búsqueda restringido al propio medio de comunicación
al que pertenecen.
las que se afirma que los archivos de Internet suponen una importante contribución para conservar y
mantener noticias e información disponibles, pues constituyen una fuente importante para la educación y
la investigación histórica, sobre todo porque son fácilmente accesibles al público y son generalmente
gratuitos.
251
Considero que, en línea con lo ya expuesto en esta tesis doctoral en el capítulo relativo
al análisis de la sentencia del caso Mario Costeja y AEPD v. Google, este reciente fallo
del Supremo se alinea con las conclusiones del Abogado General y cabe preguntarse si
en el tratamiento de datos realizado por el motor de búsqueda de Google ante búsquedas
solicitadas por los internautas, debe ser el medio de comunicación (o fuente de origen)
también corresponsable del tratamiento o incluso el único responsable del tratamiento
realizado por el motor de búsqueda en relación con las búsquedas solicitadas por los
internautas y que enlazan a medios de comunicación o páginas web donde se encuentra
la información en origen. Además, surge la pregunta siguiente: ¿se debe obligar a un
motor de búsqueda a desindexar cuando a un medio de comunicación, la sentencia del
TJUE no le obliga a incorporar los protocolos de exclusión, robot.txt? En mi opinión, no
resulta la opción más acertada, ni mucho menos la más eficaz, el tratar de diferente
manera al motor de búsqueda y al medio de comunicación. Si una información carece
ya de interés público, debería de carecer de dicho interés para todo buscador o cualquier
tercero que pretenda enlazar a esa información.
Cabe asimismo hacer alguna reflexión en torno a la Ley Orgánica 2/1984 del derecho a
la rectificación511 y, más en concreto, de las diferencias entre el derecho a la
rectificación que se regula en la normativa de protección de datos y del que se
contempla en esta norma de 1984512. Una importante diferencia entre el derecho a la
rectificación y el derecho al olvido contemplado en la normativa de protección de datos
y el regulado en la L.O 2/1984, es que el primero faculta a las personas físicas y no a las
jurídicas a modificar los datos inexactos o incompletos que están siendo tratados por un
responsable de fichero. En realidad, esta facultad que tiene el titular de los datos es uno
511 Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación. 512 Para un mayor conocimiento sobre el derecho de rectificación ver la obra de Abad Alcalá, Leopoldo:
“el derecho de rectificación”, Derecho de la información, Ariel, 2003, pags. 397-420.
252
de los instrumentos que pone a su disposición la normativa con el fin de garantizar la
autodeterminación informativa. Por su parte, el derecho de rectificación regulado en la
L.O 2/1984513 se debe contextualizar en un momento en el que el protagonista no era el
entorno digital, sino el analógico, donde unos pocos grandes grupos empresariales
tenían el control de los medios de comunicación y, por ende, el control de los medios a
los que los ciudadanos accedían para formarse una opinión fundada sobre temas de
actualidad y de interés público. Este derecho está al alcance tanto de personas físicas
como jurídicas y consiste en la posibilidad de aportar una nueva visión de los hechos
divulgados por un medio de comunicación social.
El Tribunal Constitucional514 ha destacado que el ejercicio del derecho a la rectificación
de la información publicada en un medio de comunicación social, a diferencia del
derecho de protección de datos, garantiza por un lado que se proteja el derecho al honor
de la persona afectada y, por otro, que el derecho de información pueda salir reforzado,
al permitir la ampliación del contenido de la noticia, a través del contraste de versiones
contrapuestas. “La rectificación queda conformada, ante todo, como un derecho de la
persona aludida a ejercer su propia tutela, un derecho reaccional de tutela del honor, o
de bienes personalísimos asociados a la dignidad, al reconocimiento social o a la
autoestima frente a informaciones que incidan en la forma en que una persona es
presentada o expuesta ante la opinión pública. […] Pero junto a ese carácter, la
rectificación opera como un complemento de la información que se ofrece a la opinión
pública, mediante la aportación de una ‘contraversión’ sobre hechos en los que el
sujeto ha sido implicado por la noticia difundida por un medio de comunicación. La
513 El art.1 de la LO 2/1984, reguladora del derecho de rectificación señala: “Toda persona, natural o
jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación
social, de hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio”. 514 STC 99/2011 de 20 de junio de 2011 del Tribunal Constitucional (FJ 4º).
253
relevancia pública del espacio informativo en el que queda comprometida la formación
de la opinión, justifica la acogida de versiones que permitan el contraste de
informaciones en ese mismo espacio mediante la aportación de datos por quién se ve
implicado en alusiones que considera inciertas y lesivas de su reputación. Por ello, si
bien el derecho de rectificación constituye un derecho autónomo del tutela del propio
patrimonio moral, a la vez opera como instrumento de contraste informativo que
supone un ‘complemento de la garantía de libre formación de la opinión […]”515.
Por otra parte, la LO 2/1984 establece un plazo de siete días naturales posteriores a la
publicación o difusión de la información para poder ejercer el derecho de rectificación
ante el director del medio de comunicación. En un entorno digital, en el que la
información permanece de forma indefinida, esos siete días naturales se quedan cortos.
Por último, otro punto muy interesante que pone de manifiesto esta sentencia del
Tribunal Supremo es que la tradicional legislación civil del honor, intimidad y propia
imagen –esta es la legislación con la que se ha venido solucionando los habituales
conflictos entre derecho a la información y derecho a la intimidad-podría bastar, al
menos en muchos casos en los que el contexto es el de los medios de comunicación,
para resolver los problemas derivados del derecho al olvido, sin necesidad de haber
encajado este derecho en el ámbito del Derecho administrativo y la protección de datos
de carácter personal y haber hecho del gestor del motor de búsqueda –plataforma
prestadora de servicio de la sociedad de la información, intermediaria-un juez. De
hecho, en la gran mayoría de los casos, lo que realmente se pretende eliminar no son
datos personales sin más, sino información, lo que implica que nos situaríamos en el
515 Ibídem.
254
clásico conflicto entre información y privacidad. Como ya se ha explicado con
anterioridad en esta tesis, datos e información no son lo mismo.
255
7. La privacidad en Internet en un mundo global: EE.UU versus Europa
Las diferencias entre el sistema en EE.UU y el europeo –y más en concreto el español-
son palpables y tienen fundamentalmente su explicación en la distinta base del Derecho
y del sistema judicial en ambos territorios: el common law, derecho de corte anglosajón
-basado en el precedente-, frente al derecho continental donde la legislación tiene un
mayor peso. Europa y, en concreto, España, junto con otros países europeos como
Francia, tiene una de las legislaciones más restrictivas y protectoras en materia de
privacidad. Ahora, con la nueva normativa europea de protección de datos, se persigue
un marco regulador único europeo, con un Reglamento, que por su propia naturaleza, es
directamente aplicable en los 28 Estados miembros, a diferencia de una Directiva que
necesitaría normativa interna de transposición al ordenamiento jurídico español.
No obstante, pese a los esfuerzos de armonización y unificación normativa a nivel
comunitario, existe en Europa una preocupación relativa sobre si, pese a tener una de las
regulaciones más protectoras, ésta vaya a ser desbordada por la existencia de un mundo
globalizado516. Si Internet es global y universal, al igual que lo son muchos de los
negocios basados en la infraestructura de Internet, lógico sería perseguir o buscar un
tratamiento a nivel mundial en materia de privacidad o, al menos reducir las diferencias
regulatorias. A día de hoy, las diferencias existentes en el sistema jurídico en EE.UU y
en Europa dificultan este tratamiento universal o global de la materia, al margen de los
problemas derivados de la soberanía territorial de los Estados.
516 Así se manifestaba el ex ministro Tomás de la Cuadra Salcedo en el citado seminario organizado por la
Cátedra Google el 8 de noviembre de 2012.
256
Para la elaboración de esta tesis se hace necesario exponer el sistema de los Estados
Unidos, teniendo en cuenta que el origen del derecho a la intimidad y privacidad, tal y
como lo conocemos hoy en día en el mundo occidental, se sitúa precisamente en EE.UU
a finales del siglo XIX. Por supuesto, esa necesidad se agudiza si tenemos en cuenta que
precisamente en Estados Unidos es donde hay un mayor avance tecnológico.
Anteriormente hemos mencionado que el concepto o lo que entendemos por privacidad,
o más específicamente, lo que debe quedar protegido bajo el paraguas de la intimidad,
no es idéntico en todas y cada una de las zonas geográficas del planeta, en todas y cada
una de las culturas y, por supuesto varía a lo largo del tiempo. Antes comentamos
algunas de las prácticas de culturas ancestrales en las que era corriente realizar en
público actos que hoy en día la gran mayoría de humanos realizan en privado. Dejando
de lado las prácticas exóticas de culturas ancestrales, las diferencias en torno a lo que
debe quedar protegido bajo la esfera de la privacidad difiere sensiblemente en la cultura
estadounidense frente a la europea, siendo ambas, culturas modernas occidentales. De
hecho, “estamos en medio de significativos conflictos en materia de privacidad entre
Europa y Estados Unidos, conflictos que reflejan las diferentes sensibilidades en torno a
qué es lo que debe de permanecer en privado”517.
Ni la Constitución Federal de EE.UU de 1787 ni sus enmiendas reconocen
expresamente un right to privacy. Sin embargo, el Tribunal Supremo de EE.UU lo ha
venido reconociendo en su jurisprudencia. Es decir, la privacy no es un derecho
fundamental reconocido por su Constitución, a diferencia de la libertad de expresión,
recogida en su primera enmienda a la Constitución Federal de EE.UU (First
517 Whitman, James Q.: op.cit, pág.1155.
257
Amendment)518. Por ello, se puede afirmar que el derecho a la privacidad o intimidad, en
EE.UU ha sido creado y perfilado por la jurisprudencia.
No obstante, de forma implícita, en varias enmiendas de la Constitución de EE.UU se
reconocen aspectos del derecho a la intimidad y privacidad. Así, se considera que el
right to privacy está implícito en la libertad de asociación reconocido en la primera
enmienda; en la cuarta enmienda en la que se establecen límites a los registros y
requisas físicas y electrónicas, no pudiendo estos ser arbitrarios519; en la quinta
enmienda, que reconoce el derecho a la no incriminación personal y a no revelar datos
personales520; en la novena enmienda en la que se contempla la reserva de derechos del
518 La primera enmienda a la Constitucion de EEUU señala (literal en inglés): “Congress shall make no
law respecting an establishment of religión, or prohibiting the free exercise thereof; or abridging the
freedom of speech, or of the press; or the right of the people peaceably to assemble and to petition the
government for a redress of grievances”. En su traducción al castellano, sería: “El Congreso no podrá
hacer ninguna ley con respecto al establecimiento de la religión, ni prohibiendo la libre práctica de la
misma; ni limitando la libertad de expresión, ni de prensa, ni el derecho a la asamblea pacífica de las
personas, ni solicitar al gobierno una compensación de agravios”. 519 La cuarta enmienda a la Constitución de EEUU señala (literal en inglés): “The right of the people to be
secure in their persons, houses, papers, and effects, against unreasonable searches and seizures shall not
be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and
particularly describing the place to be searched, and the persons or things to be seized”. En su traducción
al castellano sería: “El derecho de los habitantes de que sus personas, domicilios, papeles y efectos se
hallen a salvo de pesquisas y aprehensiones arbitrarias será inviolable, y no se expedirán al efecto
mandamientos que no se apoyen en un motivo verosímil, estén corroborados mediante juramento o
protesta y describan con particularidad el lugar que deba ser registrado y las personas o cosas que han
de ser detenidas o embargadas”. 520 La quinta enmienda a la Constitución de EEUU señala (literal en inglés): “No person shall be held to
answer for a capital, or otherwise infamous crime, unless on a presentment or indictment of a grand jury,
except in cases arising in the land or naval forces, or in the militia, when in actual service in time of war
or public danger; nor shall any person be subject for the same offence to be twice put in jeopardy of life
or limb; nor shall be compelled in any criminal case to be a witness against himself, not be deprived of
life, libery, or poverty, without due process of law; nor shall private property be taken for public issue,
without just compensation”. En su traducción al castellano, sería: “Nadie estará obligado a responder de
un delito castigado con la pena capital o con otra infamante si un gran jurado no lo denuncia o acusa, a
excepción de los casos que se presenten en las fuerzas de mar o tierra o en la milicia nacional cuando se
encuentre en servicio efectivo en tiempo de guerra o peligro público; tampoco se pondrá a persona
alguna dos veces en peligro de perder la vida o algún miembro con motivo del mismo delito; ni se le
forzará a declarar contra sí misma en ningún juicio criminal; ni se le privará de la vida, la libertad o la
propiedad sin el debido proceso legal; ni se ocupará su propiedad privada para uso público sin una justa
indeminización”.
258
pueblo521; y en la decimocuarta enmienda en la que se reconoce el derecho a un due
procedure522.
En EE.UU se aprecia más que en Europa la preeminencia de la propiedad, no sólo de lo
material, sino también de todo lo concerniente a la persona, por lo que “no resulta difícil
comprender que el ámbito de la intimidad fuera concebido como una esfera en la que
sólo cada persona puede decidir si permite o no a los demás participar de su
conocimiento, de modo que la facultad principal consiste en algo negativo-excluir-, y no
en llevar a cabo determinadas acciones o en controlar determinados datos”523. Es decir,
en EE.UU la privacidad gira más en torno a la exclusión de terceros de ámbitos que se
entienden reservados al titular del derecho524.
Uno de los juristas posteriores a la guerra civil norteamericana más influyentes, Thomas
M. Cooley, afirmaba en la primera edición de su tratado de Derecho Constitucional A
Treatise on the Constitutional Limitations which rest upon the Legislative Power of the
States of the American Union (1883), que las garantías de la tercera, cuarta y quinta
enmiendas constituyen vehículos de protección de la esfera individual, señalando que la
521 La novena enmienda a la Constitución de EE.UU señala (literal en inglés): “The enumeration in the
Constitution, of certain rights, shall not be construed to deny or disparage others retained by the
people”. En su traducción al castellano: “La enumeración en la constitución de ciertos derechos no ha de
interpretarse como que niega o menosprecia otros que retiene el pueblo”. 522 La decimocuarta enmienda señala (literal en inglés): “Section 1. All persons born or naturalized in
the United States, and subject to the jurisdiction thereof, are citizens of the United States and of the State
wherein they reside. No state shall make or enforce any law which shall abridge the privileges or
inmunities of citizens of the United States; nor shall any state deprive any person of life, liberty or
poverty, without due process of law; nor deny to any person within its jurisdiction the equal protection of
the laws. […]”. En su traducción al castellano: “Sección 1. Toda persona nacida o naturalizada en los
Estados Unidos, y sujeta a su jurisdicción, es ciudadana de los Estados Unidos y del Estado en que
resida. Ningún Estado podrá crear o implementar leyes que limiten los privilegios o inmunidades de los
ciudadanos de los Estados Unidos; tampoco podrá ningún Estado privar a una persona de su vida,
libertad o propiedad sin un debido proceso legal; ni negar a una persona alguna dentro de su
jurisdicción la protección legal igualitaria […]”. 523 Megías Quirós, José Justo: “Privacidad e Internet: intimidad, comunicaciones y datos personales”, en
Anuario de Derechos Humanos, nº 3,2002, pag. 522. 524 Ballesteros, Jesús: Postmodernidad: decadencia o resistencia, Tecnos, Madrid, 1989, pag. 56 y ss.
259
máxima del common law de a man’s house as his castle, que garantiza la inmunidad del
ciudadano en su domicilio frente a la acción del Gobierno y la protección de su persona,
propiedad y documentación personal, formaba parte del Derecho constitucional
norteamericano a través de la cláusula de la cuarta enmienda que prohíbe registros y
requisas injustificadas de personas y domicilios525. Incluso Cooley establecía una
especie de bisagra de privacidad que ensambla la cuarta y quinta enmienda, afirmando
que no es admisible invadir la esfera del domicilio con el sólo propósito de obtener
evidencias frente a su titular. Asimismo este juez afirmaba que el derecho del individuo
a protegerse frente a invasiones de su esfera privada alcanza tanto frente a la intromisión
ilegal de agentes del Gobierno como frente a la curiosidad lasciva del público en
general526.
Pocos años más tarde, en 1886, el Tribunal Supremo de EE.UU acogió la
argumentación de Cooley en el caso Boyd v. United States527, considerando que la
aprehensión de documentos privados, previo requerimiento, y su utilización como
evidencia probatoria es contrario a la cuarta y quinta enmienda. Así al expresar la
opinión del tribunal, el juez Bradley retoma la máxima inglesa a man’s home as his
castle para declarar the sanctity of a man’s home and the privacies of life, conectando
por primera vez las garantías de la cuarta y quinta enmiendas frente a la invasión
gubernamental en el ámbito privado para obtener información reservada de la persona a
525 Cooley, Thomas: A Treatise on the Constitutional limitations whith rest upon the legislative power of
the Amercian Union, 5ª edición, Boston, Little, Brown and Company, 1883, pag.45 y ss. 526 Saldaña, María Nieves: “El derecho a la privacidad en los Estados Unidos: aproximación diacrónica a
los intereses constitucionales en juego”, Teoría y Realidad Constitucional, nº 28, 2011, pag.283. 527 Boyd v. United States, 232 US, 383, (1886).
260
través del registro ilegal de su domicilio, al objeto de utilizarla como evidencia contra
ella528.
Durante la primera mitad del siglo XX, el Tribunal Supremo de EE.UU adoptó una
protección muy literal de las garantías frente a registros arbitrarios exigiéndose una
efectiva intrusión física en los domicilios, documentos y efectos personales. Frente a
esta protección estrictamente material de las garantías relacionadas con la privacidad e
intimidad, se opuso el juez Louis Brandeis en su célebre voto discrepante del caso
Olmstead v. United States (1928)529, defendiendo los mismos argumentos que había
avanzado treinta y ocho años antes en el ensayo The right to privacy. En este caso, el
Tribunal resolvió un caso sobre registros y escuchas telefónicas por agentes del
Gobierno, relativas a actividades comerciales sospechosas de violar las normas sobre
importación, almacenamiento y venta de bebidas alcohólicas. La mayoría de los
miembros del Tribunal consideraron que, dado que no había habido un registro sobre
cosas materiales (casa, persona, documentos, etc), sino que la evidencia había sido
obtenida a través de escuchas telefónicas, no se había producido una vulneración de la
privacidad. Sin embargo, Brandeis expresó su opinión discrepante530 y manifestó su
preocupación por los avances tecnológicos, especialmente aquellos que podían
528 El juez Bradley destaca en la citada sentencia, en relación con la protección de la cuarta enmienda
(literal en inglés): “It does not requiere acual entry upon premises and search for and seizure of papers to
constitute an unreasonable search and seizure within the meaning of the fourth Amendment”. 529 Olmstead v. United States, 277 US 438, 465, 466, (1928). 530 En su opinión discrepante en el caso Olmstead v. United States, Brandeis destacó: “Siempre que una
línea telefónica está intervenida, la privacidad de las personas que hablan en ambos extremos de ella es
invadida y todas sus conversaciones sobre cualquier tema, por muy íntimas, confidenciales o privilegiadas
que sean, pueden ser escuchadas por otros […]. Los autores de nuestra, constitución se propusieron
garantizar las condiciones propicias para la búsqueda de la felicidad. Reconocieron la importancia del
carácter espiritual del hombre, sus sentimientos y su intelecto. Sabían que en las cosas materiales sólo se
puede hallar una parte del dolor, el placer y las satisfacciones de la vida. Trataron de proteger a los
estadounidenses de sus creencias, ideas, emociones y sensaciones. Otorgaron frente al Gobierno el
derecho a ser dejado solo-el más completo de los derechos, y el más apreciado por el hombre civilizado.
Para proteger ese derecho, toda intrusión no justificable del Gobierno en la vida privada del individuo,
cualquiera que sean los medios empleados, debe considerarse una violación de la Cuarta Enmienda. Y la
utilización como prueba en un proceso penal de hechos averiguados por esa intrusión debe considerarse
una violación de la Quinta Enmienda”.
261
interceptar las comunicaciones por cable. Brandeis denuncia la potencial invasión
estatal de la privacidad por avanzados dispositivos de reproducción o grabación,
argumentando que el descubrimiento o invención de mecanismos más sutiles y los
avances tecnológicos, en general, suponen un peligro para la protección de la intimidad,
algo que dejó plasmado para la posteridad en su voto discrepante en el caso Olmstead v.
United States. Brandeis recondujo el derecho a la intimidad a la inviolabilidad del
domicilio de las enmiendas cuarta y quinta, formulando de esta manera el que llamó el
derecho más valorado por los hombres civilizados, es decir derecho a que lo dejen a
uno en paz (right to be let alone), adelantándose así a lo que sería posteriormente un
claro y asumido aspecto de los derechos de la personalidad531.
Hasta la década de los sesenta no se inicia una jurisprudencia más favorable y más
abierta en la protección de la privacidad e intimidad, ya que hasta la fecha, la
jurisprudencia mayoritaria se decantaba por considerar violación de la privacidad o
intimidad cuando había una violación física de documentos, domicilio o persona.
(invasión material o physical trespass). En 1967, el Tribunal Supremo afirma en
Camara v. Municipal Court532que el propósito básico de la cuarta enmienda es
salvaguardar la privacidad y seguridad de las personas frente a intrusiones arbitrarias de
funcionarios gubernamentales533. En junio de ese mismo año, en Berger v. New York534,
el Tribunal declaró inconstitucional por violación de la cuarta enmienda una ley de
Nueva York que autorizaba la grabación de comunicaciones secretas por agentes
encubiertos, por períodos de hasta sesenta días, afirmando que las conversaciones
531 Cámara Villar, Gregorio: Votos particulares y Derechos Fundamentales en la práctica del Tribunal
Constitucional Español (1981-1991), Madrid, Ministerio de Justicia, Secretaria General Técnica, 1993,
pag.39. 532 Camara v. Municipal Court, 387 US 523, 528, 1967. 533 En la sentencia Camara v. Municipal Court se destaca (literal en inglés): “Except in certain carefully
defined classes of cases, a search without proper consent is “unreasonable” unless it has been authorized
by a valid search warrant”. 534 Berger v. New York, 388 US, 41, 1967.
262
estaban protegidas por la Cuarta Enmienda y que el uso de artefactos electrónicos para
incautarlas no determinan que fuesen registros constitucionalmente admisibles. El
registro por parte del Gobierno de una señal electrónica intangible durante su
transmisión también queda dentro del ámbito de la Cuarta Enmienda, por tanto, siendo
aplicable a una comunicación por teléfono en el contexto de una escucha telefónica535.
Hasta finales de 1967, el Tribunal Supremo no admitió definitivamente la interpretación
de la cuarta enmienda defendida por Brandeis en Olmstead v. United States. El Tribunal
Supremo de EE.UU afirmó en Katz v. United States536 que el espionaje electrónico
constituye registro en el sentido de la Cuarta Enmienda, cuyo propósito es proteger a las
personas y no simplemente los lugares, amparando constitucionalmente la privacidad en
el marco de la Cuarta Enmienda. Con respecto a la sentencia Katz v. United States,
algún autor ha destacado que “abre paso a una concepción más espiritualista basada en
la tutela de la privacy desligándola, al menos en parte, del modelo propietario”537.
A partir de entonces, la jurisprudencia norteamericana ha venido reconociendo una
expectativa razonable de privacidad garantizada por la Cuarta Enmienda, en los diversos
supuestos de acciones policiales dirigidas a la prevención y detección de actividades
criminales, y así como en relación con los datos bancarios individuales, como en el caso
United States v. Miller538. En este último caso, el Tribunal Supremo de EE.UU negó
eficacia a la Cuarta Enmienda, pues la información bancaria que se solicitaba a los
535 Ver el documento Registro y confiscación de ordenadores y obtención de pruebas electrónicas en
investigación criminal, Sección de Delitos Informáticos y Propiedad Intelectual, División de Delitos,
Ministerio de Justicia de EE.UU, junio 2002. http://www.poderjudicial.es/cgpj/es/Temas/e-
Justicia/Registro-y-confiscacion-de-ordenadores-y-obtencion-de-pruebas-electronicas-en-investigacion-
criminal 536 Katz v. United States, 389 US, 347, (1967). 537 Martínez, Ricard: “Privacidad, Estados Unidos y España: tan lejos, tan cerca”, Revista TELOS
Cuadernos de Comunicación e Innovación, Fundación Telefónica, Febrero-Mayo 2014, pag.4. 538 United States v. Miller, 425 US, 435, (1976)
263
bancos no era privada o referente a personas físicas sino que era información de una
empresa539. Más adelante, el Tribunal Supremo sostuvo en Kyllo v. United States540, que
la utilización de un escáner localizado en un lugar público, que capta imágenes térmicas
del interior de una vivienda para vigilar la radiación del calor del domicilio de una
persona sospechosa de cultivar marihuana, constituye un registro en el sentido de la
Cuarta Enmienda, afirmando que en la santidad del hogar cualquier aspecto reservado
de la persona está incluido en la esfera de su privacidad. En este caso, “la Corte
Suprema concluyó que la obtención de imágenes a través de rastreo térmico en la
habitación de ciudadanos corresponde a una ventaja inadmisible de la Fiscalía que no
consulta la Cuarta Enmienda y, en consecuencia, dicha técnica requiere de orden
judicial”541. En este caso, la Fiscalía obtuvo imágenes térmicas del techo y las paredes
interiores de una casa en la que las irradiaciones eran más intensas que en el resto del
inmueble. Los agentes tenían sospechas de que Kyllo cultivaba plantas de marihuana en
el interior de su casa y por ello requería iluminación especial en los lugares de
sembradío para que las plantas pudieran realizar la fotosíntesis y guardaran una
temperatura adecuada para su crecimiento. Con estas imágenes, se solicitó la orden
judicial de allanamiento y registro que, a la postre, confirmó las sospechas de los
agentes. Sin embargo, Kyllo llevó su asunto hasta la Corte Suprema, que definió el
asunto como vulneración de la Cuarta Enmienda”542.
539 Planas i Silva, Carlota: “Cookies cloudy, cooked Google: ¡Al loro, bibliotecas en la Nube!”, Ibersid
Revista de Sistemas de Información y Documentación, nº 6, Zaragoza, 2012, pags. 31 y ss. 540 Kyllo v. United States, 533 US, 27 (2001). 541 Guerrero Peralta, Óscar Julián: “La expectativa razonable de intimidad y el derecho fundamental a la
intimidad en el proceso penal”, Derecho Penal y Criminología, vol.32 nº 92, Universidad Nacional de
Colombia, Octubre 2011, pag.67. 542 Blitz, Marc Jonathan: “Video surveillance and the Constitution of Public Space: Figtting the Fourth
Amendment to a World that Tracks Imagen and Identity”, Texas Law Review, vol. 82, 2004, nº 6, pags.
1350 y ss.
264
Desde Katz v. United States se ha venido generando una extensa y vacilante
jurisprudencia, que supedita el concepto de ‘expectativa razonable de privacidad’ a las
cambiantes mayorías del Tribunal, que pueden ampliar o restringir su alcance hasta
vaciarlo de contenido. De ahí la generalizada crítica de la doctrina mayoritaria
norteamericana que viene denunciando la progresiva reducción del ámbito de protección
de la Cuarta Enmienda543.
Aunque durante más de la mitad del siglo XX, el Tribunal Supremo de EE.UU ha
venido señalando expresamente como intereses protegidos por la Cuarta Enmienda la
libertad individual, la integridad personal, la inviolabilidad de la persona, la dignidad de
la persona, e incluso, el derecho a la libertad de movimientos, sin embargo, desde Katz
v. United States el interés central de la Cuarta Enmienda ha sido la protección de la
privacidad individual, de aquellos ámbitos de la esfera privada que tienden a preservar
esos intereses de secreto, santuario, soledad individual frente a la ilegítima intromisión
estatal, que han fundamentado su protección constitucional y están implícitos en la
centenaria formulación del derecho a la privacidad como the right to be let alone544.
La década de los sesenta presenta un giro importante en la jurisprudencia
norteamericana relativa a la privacidad545. Precisamente hasta los sesenta el
reconocimiento constitucional del derecho a la privacidad había girado en torno a la
protección de la Cuarta Enmienda, en los registros arbitrarios personales y
domiciliarios. Es a mediados de los sesenta, cuando se produce un giro importante en la
jurisprudencia norteamericana, al reconocer un derecho fundamental a la privacidad en
543 Clancy, Th.k.: “What does the fourth Ammendment protect: property, privacy or security”, Wake
Forest Law Review, vol.33, 2009, pags. 307-370. 544 Saldaña, María Nieves.: op.cit, pag.289. 545 Ibídem.
265
la toma de decisiones de especial relevancia para el desenvolvimiento de la personalidad
individual, implícito en el ‘concepto de libertad’. El Tribunal Supremo ha venido
reconociendo que el due process of law (decimocuarta enmienda) ampara el derecho a
casarse, tener hijos y decidir sobre su educación, el derecho a la privacidad marital y al
uso de anticonceptivos, derecho a la orientación sexual, prácticas homosexuales
consentidas en el ámbito privado, al aborto, derecho a rechazar un tratamiento médico o
a decidir sobre la propia muerte546.
Una de las sentencias que mejor refleja la primacía de la Primera Enmienda en EE.UU,
en su conflicto con el derecho a la intimidad, es la del caso Florida Star (1989)547. Este
caso hace referencia a la publicación por parte de un periódico del nombre de una
víctima de una violación, habiéndose obtenido esa información a través de un informe
policial. Si bien en una primera instancia se reconoció la responsabilidad del medio de
comunicación y el derecho de la víctima a ser indemnizada, en el recurso de apelación
la Corte Suprema de EE.UU revocó la sentencia de instancia y afirmó que es
inconstitucional imponer una sanción o condena a un periódico por publicar
información pública y veraz, si esta información ya ha sido dada a conocer por la
Administración y si no se ha accedido a la misma de un modo ilegal. “La Corte
interpretó el término significado público con extrema amplitud, enfocándose en el
contenido general del problema (crimen violento) en vez de en la naturaleza de la
información en sí misma (el nombre de la víctima) y la importancia de transmitir la
546 Entre otras sentencias, ver Cruzan v. Director Missouri Department of Health, 497 US 261 (1990). En
ella, el Tribunal Supremo de EE.UU reconoció la existencia de un derecho a morir pero enfatizó que tal
derecho no deriva de un derecho constitucionalmente protegido a la intimidad (privacy), sino del derecho
a la autonomía individual firmemente asentado en el Common law y confirmado en la cláusula del due
process of law de la Decimocuarta enmienda a la Constitución. Ver asimismo la sentencia Roe v.Wade
410 US 113 (1973) en relación con el derecho al aborto bajo el amparo de la Decimocuarta enmienda. 547 Caso Florida Star v. B.J. F, 491 US, 524, (1989).
266
historia informativa”548. “Como tal, la Corte señaló que, de lo contrario la información
privada se convierte legítimamente en un valor informativo cuando contiene una
conexión -sin importar cuán atenuada- al asunto de interés público”549.
Un argumento que relativiza el alcance absoluto de la primera enmienda a la
Constitución de Estados Unidos, es que ésta “no se aprobó para garantizar la libertad de
los ciudadanos frente al Congreso, sino para distinguir las competencias de la
Federación frente a los Estados miembros. Es decir, que prohibía regular la libertad de
expresión al Congreso pero no a las cámaras legislativas de los Estados miembros”550.
“No se puede decir, con base en la primera enmienda, que la libertad de expresión es
más amplia en Estados Unidos que en Europa, al menos hasta 1925, aunque sí a partir
de esta última fecha”551. Asimismo, otro argumento que relativiza el carácter absoluto
de la primera enmienda en sus primeros estadios, “deriva de los tipos penales y civiles
heredados del common law, y agravados a menudo por el legislador, que amordazaban
la libertad de expresión estableciendo para los autores de escritos o afirmaciones
tendenciosas importantes sanciones”552.
En 1925, con la sentencia Gitlow v. People of New York553, el Tribunal Supremo decide
configurar el derecho a la libertad de expresión y la libertad de prensa como un derecho
fundamental oponible a los Estados. Más tarde en el tiempo, nos hallamos con una
sentencia clave en la jurisprudencia del Tribunal de EE.UU sobre la materia, que es la
548 Abril, Patricia S. y Pizarro, Eugenio: “La intimidad europea frente a la privacidad americana: una
visión comparativa del derecho al olvido”, InDret Revista para el análisis del Derecho, vol. 1, Barcelona,
enero 2014, pag. 23. 549 Ibídem. 550 Tenorio Sánchez, Pedro J.: “La libertad de Comunicación en Estados Unidos y en Europa”, ReDCE,
año 10, nº 19, enero-junio 2013, pag. 282. 551 Ibídem. 552 Tenorio Sánchez, Pedro J.: op.cit, pag.279. 553 Sentencia del Tribunal Supremo de EE.UU, Gitlow v. People of New York, 286 US 652 (1925).
267
referente al caso New York Times Co v. Sullivan554 (1964). En ella, el Tribunal
fundamenta que la libertad de prensa no se pierde por la falsedad o el contenido
injuriante de la publicación, ya que lo contrario daría lugar a la autocensura. Por tanto,
ante la publicación de datos ofensivos para un funcionario público, la responsabilidad
del medio periodístico quedaba condicionada a que el funcionario afectado acreditara la
malicia, que la noticia había sido publicada a sabiendas de que era falsa o con notoria
preocupación acerca de su veracidad. El Tribunal Supremo de EE.UU revocó la
sentencia de instancia en este caso y fijó una postura, que defiende que los errores en la
comunicación de informaciones no se pueden evitar y ha de probarse la intención de
difamar así como la falta de veracidad. De esto modo, el Tribunal Supremo de EE.UU
otorgaba a la prensa un rol de ‘perro guardián’ de la información, que ha sido reflejado
posteriormente por la jurisprudencia del TEDH en la sentencia Goodwin c. Reino
Unido555, entre otras.
En cuanto a jurisprudencia reciente en EE.UU sobre libertades informativas, cabe
destacar la sentencia del Tribunal del distrito de Oregón de 2014 en el caso Obsidian
Finance Group, LLc v. Cox556, en la que por primera vez se consideró que un blogger
tiene las mismas protecciones en relación con las libertades informativas que un
periodista tradicional, por lo que no podría ser responsable por difamación salvo por
falta de diligencia.
En lo que respecta al concepto de interés público y sus límites en Estados Unidos, cabe
realizar algunas reflexiones, puesto que si bien no se cuestiona la supremacía de la
554 Sentencia del Tribunal Supremo de EE.UU, New York Times Co v. Sullivan, 376 US 254 (1964). 555 Sentencia del TEDH Goodwin c. Reino Unido, de 11 de julio de 2002. 556 Sentencia del Tribunal del Distrito de Oregón, Obsidian Finance Group, LLC and Kevin D. Padrick v.
Crystal Cox, de 11 de enero de 2014.
268
primera enmienda de la Constitución de EE.UUn en su aplicación por los tribunales,
existen ciertos límites. Así, en el caso Dun & Bradstreet Inc. v. Greenmoss Builders557
se consideró que un informe crediticio que contenía el dato de una condena por robo
acaecida hacía 24 años, el perdón subsiguiente y el borrado de esa condena de los
registros estatales violaba el espíritu de la Fair Credit Reporting Act (FCRA). En este
fallo, la Corte Suprema de EE.UU declaró que no todas las expresiones gozan de la
misma protección constitucional, siendo ésta máxima en relación con el debate político
y menor en el lenguaje comercial, donde se admiten más restricciones558. En este caso
la Corte Suprema consideró que un informe erróneo sobre la quiebra de una persona,
efectuado por una agencia de crédito a cinco de sus subscriptores, no era un asunto de
interés público, por lo que podía ser considerado como una difamación559. Por otra
parte, el caso Melvin v. Reid560(1931) introdujo el right to privacy en el common law del
Estado de California. La actora Gabrielle Darley había ejercido la prostitución y había
estado involucrada como imputada en un juicio por homicidio. Tiempo después se casa
con un hombre, de apellido Melvin, y comienza a llevar una vida digna y respetable con
nuevos amigos y conocidos que desconocen su pasado. Según la Corte Suprema de
California, “any person living a life of rectitude has that right to happiness which
includes a freedom from unnecessary attacks on his character, social standing or
reputation”561 (texto literal en inglés). La película The Red Kimono562, narra la
verdadera historia de la mujer. En este caso el Tribunal consideró que, aun cuando se
estaba revelando un dato verdadero, el uso innecesario del nombre de la actora y la
557 Dun & Bradstreet Inc. V. Greenmoss Builders 472 US 749 (1985). 558 Botero, C., Jaramillo J.F. y Uprimny R.: “Libertad de información, democracia y control judicial:
jurisprudencia constitucional colombiana en perspectiva comparada”, Anuario de Derecho constitucional
latinoamericano, Ed. Ciedla, Konrad, Adenauer Stiftung, Buenos Aires, Argentina, 2000, pag.301 y ss. 559 Ibídem. 560 Melvin v. Reid, Court of Appeal of California, 112 Cal. App. 285, 28 Febrero 1931. 561 Ibídem. 562The Red Kimono, película producida por Dorothy Davenport, protagonizada por Priscilla Bonner, en
1925.
269
revelación de su pasado a sus nuevos amigos y asociados introdujo un elemento que, en
sí mismo, era una transgresión a su derecho a la privacidad, concluyendo que el uso y
difusión de un dato verdadero puede atentar contra la intimidad del individuo si ese dato
no hace referencia a la actualidad. Sin embargo, ha habido sentencias que contradicen
este fallo dando una mayor relevancia a la Primera Enmienda y a libertad de expresión y
de prensa en ella consagrada563. No obstante, el Estado de California es uno de los
Estados que más ha desarrollado el derecho a la privacidad.
La Privacy Act (1974)564 fue una de las primeras protecciones contra un uso inadecuado
de los datos personales por parte del Gobierno, pero su alcance es limitado, ya que sólo
se aplica al procesamiento de datos por parte del Gobierno Federal, y no se aplica a los
gobiernos estatales ni al sector privado565. En su Exposición de Motivos, se afirma que
el creciente uso de ordenadores y de una tecnología compleja de la información, si bien
es esencial para el buen funcionamiento del Gobierno Federal, ha aumentado
considerablemente el detrimento que para la privacidad individual puede derivarse de
cualquier captación, conservación uso y difusión de información personal,
proclamándose el derecho a la privacidad como un derecho personal protegido por la
563 Ver, entre otras la sentencia Time Inc. v. Hill, 385 US 374 (NY 1967) o la sentencia Sidis v. F-R Pub.
Corp., 113 F. 2d 806 (1940) 564 La Privacy Act, aprobada en EE.UU en 1974, establece normas para la protección de datos en poder
del Estado. Su objeto es regular la obtención y el uso de la información personal dentro del sector
público. 565 En la Privacy act se destaca (literal en inglés): Congressional findigs (Secc. 2) “The Congress finds
that: (1) the privacy of an individual is directly affected by the collection, maintenance, use and
dissemination of personal information by Federal agencies; (2) the increasing use of computers and
sophisticated information technology, while essential to the efficient operations of the Government, has
greatly magnified the harm to individual privacy that can occur from any collection, maintenance, use or
dissemintation of personal information; (3) the opportunities for an individual to secure employment,
insurance and credit, and his right to due process, and other legal protections are endangered by the
misuse of certain information systems; 4) the right to privacy is a persona and fundamental right
protected by the Constitution of the United States; and (5) in order to protect the privacy of individuals
identified in information systems mantained by Federal agencies, it is necessary and proper for the
Congress to regulate the collection, maintenance, use and dissemination of information by such
agencies.” Ver la Privacy Act en https://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/STATUTE-88-
Pg1896.pdf
270
Constitución de Estados Unidos, que exige una adecuada regulación del tratamiento de
la información personal por las agencias y órganos federales.
Además de la importancia del reconocimiento del derecho a la privacidad como un
derecho personal, a través de la Privacy Act, -derecho que debe ser protegido-, y de la
necesidad de que la información personal que tratan organismos federales esté
adecuadamente regulada, un concepto que adquiere una fuerza relevante en el derecho
de EE.UU es el de Informational Privacy, clave en la sociedad de la información y del
conocimiento de principios del siglo XXI. Este concepto enlaza con la visión del
derecho a la privacidad como poder de controlar el flujo de información personal, como
un proceso de autodeterminación personal566. A fin de cuentas el proceso de
autodeterminación personal está intrínsecamente ligado a los procesos de comunicación
y participativos en los que interviene el individuo.
Otra definición interesante del concepto de Informational Privacy es aquella que la
define como la capacidad de la persona de controlar el flujo de información que le
concierne, como una capacidad esencial para el establecimiento de relaciones sociales y
el mantenimiento de la libertad personal que, con el auge de las nuevas tecnologías se
ha visto amenazada o limitada567. Miller analiza especialmente “los riesgos que afectan
al control de flujo de datos personales en el tratamiento automatizado del entorno
informático. En un entorno informático, el poder de control sobre el flujo de
información personal puede verse afectado fundamentalmente por dos situaciones: en
primer lugar, por la difusión de los datos personales a una audiencia mayor a la
consentida por el sujeto originariamente, lo que constituiría un supuesto de ausencia de
566 Fried, C.: “Privacy”, Yale Law Journal, vol.77, nº 3, 1968, pags. 475-493. 567 Miller, Arthur.: The assault on privacy: computers, databanks and dossiers, University of Michigan
Press, 1971, pag.26.
271
control de acceso; y en segundo término, por la introducción de incorrecciones en los
datos personales informatizados, generándose una impresión errónea de la conducta o
comportamiento real del sujeto en aquellos a los que la información fuese expuesta, lo
que constituiría un supuesto de ausencia de control sobre la exactitud de los datos”568.
Westin ha sido otro de los autores americanos que ha estudiado en profundidad la
Informational Privacy569. Realmente este concepto, que equivaldría en España a la
denominada autodeterminación informativa, ha sido ampliamente estudiado por
numerosos autores americanos570.
El Congreso de EE.UU ha aprobado numerosas disposiciones legislativas con el objeto
de regular eventuales invasiones de la “Informational Privacy”. Es a partir de 1974
cuando estas disposiciones se hacen más prolijas. La Privacy Act de 1974 modifica la
Freedom of Information Act (FOIA) de 1966. Modificada en diversas ocasiones, ésta
última regula con carácter general el acceso de los ciudadanos a la información
disponible en los archivos y registros públicos de las Agencias federales, eximiendo al
Gobierno de hacer públicos sus archivos cuando esto suponga una injustificada invasión
en la información personal571.
568 Miller, Arthur en Saldaña, María Nieves: “La protección de la privacidad en la sociedad tecnológica:
el derecho constitucional a la privacidad de la información personal en los Estados Unidos”, Araucaria
vol. 9 nº 18, Universidad de Sevilla, 2007, pag.99. 569 Westin, Alan F.: Privacy and Freedom, Ateneum, Nueva York, 1967. 570 Algunos de los más relevantes autores americanos que han estudiado la Informational Privacy son:
Cate, Fred H: Privacy in the Information Age, Brookings Institution Press, Washington DC, 1997. Ver
también Kang, Jerry: “Information Privacy in Cyberspace Transactions, Stanford Law Review, vol.50,
1998. Ver asimismo Froomkin, Michael: “The Death of Privacy?”, Stanford Law Review, vol.52, 2000.
Ver Schwartz, Paul: “Internet, Privacy and the State, Connecticut Law Review, vol.32, 2000. 571 Schwartz, Paul: “Privacy and participation: personal information and public sector regulation in the
United States, Iowa Law Review, vol. 80, 1995, págs. 553 y ss.
272
Se han ido promulgando numerosas disposiciones normativas en diversas materias. En
el ámbito de los servicios financieros; la Right to Financial Privacy Act (RFPA) de
1978; la Financial Services Modernization Act (1999), Fair and Accurate Credit
Transactions Act (FACTA) de 2003; en el ámbito de los datos médicos, Health
Insurance Portability and Accountability Act (HIPPA) de 1996, la Genetic Information
Nondiscrimination Act (GINA) de 2008. En el sector de las comunicaciones
electrónicas, la Electronic Communication Privay Act (ECPA) de 1986, Children’s
Online Privacy Protection Act (COPPA) de 1998, la E-Government Act de 2002. La
información personal de los usuarios de teléfonos se protege en la Telephone
Consumers Protection Act (TCPA) de 1991; los registros relativos al alquiler o compra
de vídeos en la Video Privacy Protection Act (VPPA) de 1988; la información contenida
en los registros de vehículos a motor en la Driver’s Privacy Protection Act (DPPA) de
1994; o la protección de la información de los usuarios de servicios por cable, en el
ámbito de las comunicaciones electrónicas, en la Cable Communications Policy Act
(CCPA).
El Tribunal Supremo de EE.UU acuñó el término o concepto del balancing test en
relación con la informational privacy -lo que sería adaptado al derecho español como la
ponderación de intereses en conflicto- y que podría definirse como la ponderación de
bienes jurídicos en conflicto, es decir, el interés individual en mantener la reserva de la
información personal frente al interés en su divulgación. Cada vez cobra mayor
relevancia garantizar espacios efectivos de privacidad frente a la injerencia estatal,
especialmente tras la legislación antiterrorista aprobada por EE.UU; la USA Patriot
Act572 (USAPA) de octubre de 2001 así como las reformas legislativas a las que ésta ha
572 Esta normativa fue aprobada el 26 de octubre de 2001 con una abrumadora mayoría tanto en la Cámara
de representantes como en el Senado americano después de los atentados del 11-S. El objetivo de esta ley
273
dado lugar. Esta ley, por tanto, fue promulgada como consecuencia de los ataques
terroristas del 11-S, como una medida para proteger la seguridad nacional, permitiendo
al Gobierno el acceso a información.
Dicha norma supone una “clara limitación del derecho a la intimidad personal y
familiar, así como al secreto de las comunicaciones de cualquier persona que se
encuentre en EE.UU, dado que, basándose en esta ley, el Gobierno Federal tiene plenos
poderes para intervenir cualquier tipo de comunicación interna o externa, de correo
electrónico, conversación telefónica, ya sean mensajes de voz o texto, los históricos de
navegación web, así como consultas de los principales buscadores en Internet”573.
Debido a los recortes en los derechos fundamentales que esta ley implicó, tuvo
inicialmente un rechazo por gran parte de la sociedad americana574.
Para los europeos, de hecho, “muchas veces resulta obvio que los americanos no
entienden para nada las demandas imperativas de privacidad”575. Por ejemplo, la
investigación en el caso Monica Lewinsky576, con sus numerosos disclousures, llevó a
es ampliar la capacidad de control del Estado con el fin de combatir el terrorismo. Gracias a esta ley se
promulgaron delitos y se endurecieron las penas por delitos de terrorismo. Sin embargo, diversos
organismos y organizaciones de Derechos Humanos han criticado esta ley por suponer restricciones a las
libertades y garantías constitucionales que ha implicado para ciudadanos estadounidenses y extranjeros.
La USA Patriot Act es un acrónico siendo el texto completo de la norma Uniting and Strenthening
America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001. 573 Ver Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes
sociales online, Observatorio de la Seguridad de la Información, Febrero 2009, pag.72. Disponible en
https://observatorio.iti.upv.es/media/managed_files/2009/02/13/estudio_intecoaepd_privacidad_redes_soc
iales_def.pdf 574 Gilbert, Ellen D.: “Confidentially speaking: American Libraries and the USA Patriot Act”, Library
Philosophy and Practice, vol.8, nº 1, University of Nebraska, 2005, pag.1. 575 Whitman, J.Q.: op.cit, pag. 1155. 576 El conocido caso Monica Lewinsky en 1998, también conocido como el escándolo Lewinsky o
Monicagate, hace referencia al escándalo sexual en el que se vio implicado el ex presidente de EE.UU
Bill Clinton y la entonces becaria de la Casa Blanca Monica Lewinsky. El citado caso planteó dudas y un
debate sobre lo público y lo privado y dónde se encuentra el límite entre ambos. Culminó con el
impeachment al ex presidente, quien terminó reconociendo la “relación inapropiada” con la becaria. Llegó
a formularse una acusación penal contra Clinton por un delito de perjurio. Tras conocerse el escándalo, el
8 de octubre de 1998, el Congreso de EE.UU votó 258 votos frente a 176 a favor del proceso de
destitución. Meses después, Clinton reconoció haber mantenido un “comportamiento físico inapropiado”,
274
muchos europeos a esa conclusión577. Muchos de los aspectos que los franceses o los
alemanes protegen con recelo, para los americanos son trivialidades del comportamiento
del día a día578. América es un lugar donde entre desconocidos pronto se comparte
información acerca de actividades privadas de una forma difícil de imaginar para los
europeos nórdicos o los asiáticos579. Por ejemplo, algún autor apunta a la costumbre
americana de hablar sobre salarios, algo que los europeos ven embarazoso580.
El hecho de que existan notorias diferencias de enfoque entre el sistema norteamericano
y el europeo en lo que respecta a la privacidad aleja también las posiciones con respecto
al derecho al olvido digital entre EE.UU y Europa. Según el profesor de Derecho de la
Universidad de Georgetown, Franz Werro, “el derecho a la privacidad está yendo por
muy diferentes caminos en Europa y EE.UU”581. En opinión de este jurista de origen
suizo, Europa ve la necesidad de hacer una ponderación o balance entre la libertad de
expresión y el derecho a saber, y el derecho individual a la privacidad y dignidad,
conceptos muy sólidos y arraigados en la legislación europea. La perspectiva europea en
torno a la privacidad fue tomando forma basándose en el modo en el que la información
era recogida y usada en contra de los individuos bajo regímenes dictatoriales como los
de Franco, Hitler o los sistemas comunistas.
aunque negó haber cometido perjurio. El 12 de febrero de 1999, la Cámara alta declaró a Clinton “no
culpable” del delito de perjurio por 55 votos frente a 45. 577 Vid. Lassaussois, Jacques: “Procès Clinton: “Où va la Justice Americaine?”, Gazzete du Palais, 18 de
Marzo de 1998. 578 Abril, Patricia S. y Pizarro, E.: “La intimidad europea frente a la privacidad Americana: una vision
compartida del derecho al olvido”, InDret Revista para el Análisis del Derecho, Universidad Pompeu
Fabra, enero 2014, pag.8. 579Whitman, J.Q: op.cit, pag.1155 y ss. 580Ibídem. 581 Werro, F.: “The right to inform v. the right to be forgotten: a transatlantic crash”, Liablility in the third
Millenium, Research Paper, nº 2, Georgetown University Law Center, Mayo 2009, pag.s 287-300.
275
Por ejemplo, en Alemania, Wolfgang Werlé y Manfred Lauber, quienes se hicieron
conocidos por matar a un actor alemán en 1990, demandaron a la Wikipedia582 por
realizar una entrada a su pasado criminal. Las leyes de privacidad alemanas permiten la
supresión de la identidad criminal en las informaciones una vez que los individuos
hayan pagado su deuda con la sociedad. El abogado de Werlé y Lauber argumentó que
los criminales tienen también un derecho a la privacidad y un derecho a ser dejados en
paz. Los alemanes, de hecho, han invocado el concepto de personalidad de una forma
frecuente mientras los americanos lo han hecho con el concepto de libertad. Y, con
respecto a la libertad, mientras los americanos veían la libertad como algo opuesto a la
tiranía, los alemanes del siglo XIX frecuentemente pensaban en ella como algo opuesto
fundamentalmente al determinismo. Según recuerda este autor, en Alemania, ser libre
significaba no ser libre del control gubernamental ni ser libre para implicarse en
transacciones bancarias, sino que significaba ejercitar la libre voluntad583. De hecho,
esta idea de libre autodeterminación es tan antigua como Leibniz o incluso Erasmo, o
incluso podría afirmarse que sus fuentes subyacen irremediablemente en el humanismo
cristiano. Los teutones van más allá, e incluso en Alemania las empresas tienen
derechos de la personalidad, en el sentido de que se las protege contra usos de los logos
o slogans que sean de carácter humillante. Cabe destacar a este respecto que en la Ley
Fundamental de Bonn las personas jurídicas tienen reconocidos los derechos
fundamentales584.
582 En enero de 2008 la Corte de Hamburgo respaldó los derechos de la personalidad de Werlé que bajo la
Ley alemana incluía remover su nombre de la cobertura informativa. 583 Whitman, J.Q: op.cit, pags. 1164 y ss. 584 Vid. López-Jurado Escribano, Francisco de Borja: “La doctrina del Tribunal Federal Constitucional
alemán sobre los derechos fundamentales de las personas jurídico-públicas: su influencia sobre nuestra
jurisprudencia constitucional”, Revista de Administración Pública, nº 125, 1991.
276
La protección que se otorga a la privacidad en EE.UU, tanto con respecto a las figuras
públicas o personajes públicos como con respecto a la información sobre historiales
criminales es más débil en EE.UU que en Europa585.
El desarrollo de un derecho al olvido digital en EE.UU, a diferencia de en Europa, no
deriva de una ponderación de intereses en conflicto o balancing test entre dos derechos
constitucionalmente reconocidos y que se encuentran al mismo nivel. Esta es la
diferencia principal entre ambos sistemas, norteamericano y europeo586. Como antes se
ha explicado, en Europa, y en concreto en España, tanto la libertad de expresión e
información como el derecho a la intimidad son dos derechos del mismo rango y
condición, ambos derechos fundamentales reconocidos en la Constitución de 1978. Sin
embargo, tal y como se ha visto, el derecho a la privacidad en EE.UU se recoge de
forma implícita en varias de las enmiendas de su Constitución pero no hay
explícitamente reconocido un derecho a la privacidad, como tal, en su Carta Magna.
Asimismo, existen notorias divergencias en lo relativo al enfoque de protección de la
privacidad del consumidor a ambos lados del Atlántico. Los europeos constantemente
se quejan de que los americanos no aceptan la importancia de proteger la privacidad del
consumidor587. Estas tensiones no han hecho más que crecer tras el 11-S588. Este tipo de
tensión se ha estado palpando durante las negociaciones del TTIP (Acuerdo
Transatlántico de Comercio e Inversiones) entre EE.UU y la UE, que persigue un
objetivo de crear un área comercial de 800 millones de consumidores. Asimismo, en el
ámbito de las transferencias internacionales de datos personales entre ambos territorios
585 Strahilevitz, L.J.: “Towards a positive theory of Privacy Law”, Harvard Law Review, vol.113, nº 1,
2013, pag.3 y ss. 586 Werro, Franz: op.cit, pags 287-300. 587 Salbu, S.R, 2002, y Scheer D, 2003, en Whitman: op.cit, pags. 1164 y ss. 588 Gola, P, 2001, y Klug, C, 2002, en Whitman: op.cit, pags. 1164 y ss.
277
dichas diferencias han hecho mella, hasta el punto de que recientemente el TJUE589
anuló la Decisión 520/2000/CE de Puerto Seguro (Safe Harbour)590, por la que se
reconocía que el sistema Safe Harbour para las transferencias de datos personales de la
UE a EEUU garantizaba un nivel de protección adecuado. El TJUE consideró que, en la
medida en que las autoridades americanas podían acceder a los datos personales por
motivos de seguridad, sin existir límites y condiciones claras, el sistema Safe Harbour
vulneraba el artículo 8 de la Carta de Derechos Fundamentales de la UE. Fue
precisamente, a partir de los ataques terroristas del 11-S cuando en el binomio
privacidad v. seguridad, los americanos empezaron a inclinar más la balanza hacia el
segundo, considerando que la seguridad nacional era una preocupación máxima por la
que velar y que había que garantizarla a toda costa.
Después de meses (casi un año) de incertidumbre tras la anulación de la Decisión de
Puerto Seguro, finalmente la UE y EE.UU han logrado alcanzar un acuerdo en julio de
2016 para crear un marco para las transferencias internacionales de datos personales de
la UE a EEUU, que se ha conocido con el nombre de Privacy Shield (Escudo de
privacidad)591 y al que las empresas norteamericanas pueden adherirse desde el pasado
1 de agosto de 2016. Éste puede ser considerado como un ejemplo del acercamiento
reciente entre la UE y EE.UU para reducir el espacio que les separa en lo que respecta a
la protección de la privacidad y su marco regulatorio. Sin duda, la aprobación y entrada
en vigor de Privacy Shield contribuye a la fluidez de las transferencias internacionales
de datos de la UE a EEUU. Del mismo modo, la US Consumer Privacy Bill of Rights
589 Ver la sentencia del TJUE, de 6 de octubre de 2015, caso Schrems, C -362/14. 590 Decisión 520/2000/CE, de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE
del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios
de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes,
publicadas por el Departamento de Comercio de EE.UU, DO 215 de 28 de agosto de 2000. 591 El 12 de julio de 2016 la Comisión Europea aprobó la Decisión de adecuación de Privacy Shield
(Commission implementing decision pursuant to Directive 95/46/CE of the European Parliament and of
the Council on the adequacy of the protection provided by the EU-US Privacy Shield).
278
Act592 (2015), supone otro ejemplo de acercamiento regulatorio reciente entre la UE y la
EE.UU, puesto que el principio de accountability o de rendición de cuentas
contemplado en el RGPD 679/2016 o las evaluaciones de impacto de privacidad
(privacy impact assessments), ya se contemplaban en esta ley de Estados Unidos.
En lo que respecta a la perspectiva o visión en el continente europeo, para los
ciudadanos europeos, el derecho a la privacidad tiene categoría de derecho fundamental
recogido en el artículo 8 de la Convención Europea de Derechos Humanos (CEDH),
protegiendo el derecho al respeto de la vida privada y familiar. Asimismo, se recoge en
el artículo 8 de la Carta de Derechos Fundamentales de la UE, lo que obliga a que las
normas de Derecho de la UE respeten el contenido esencial de este artículo593.
En la redacción y los trabajos preparatorios del artículo 8 CEDH594 se muestra una
clara influencia del artículo 12 de la Declaración Universal de Derechos Humanos
(DUDH)595 en el que se afirma que nadie puede ser objeto de injerencias en su vida
privada o de ataques a su honra y reputación. La relevancia del CEDH se manifiesta en
el hecho de que están legitimados para instar un procedimiento de demanda no sólo los
diferentes Estados Miembros, sino también los particulares, en caso de que un Estado
592 https://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015-discussion-
draft.pdf 593 Nieto Garrido, Eva: “Los derechos a una buena administración, de acceso a los documentos y a la
protección de datos de carácter personal (arts. 8, 41 y 42 de la CDFUE)” en García Roca, J. y Fernández
Sánchez P.A Integración europea a través de los derechos fundamentales: de un sistema binario a otro
integrado, Madrid, CEPC, 2009, pags. 411 y ss. 594 El artículo 8 de la Convención Europea de Derechos Humanos (CEDH), de 1950, dice así: “Derecho
al respeto a la vida privada y familiar: 1. Toda persona tiene derecho al respeto de su vida privada y
familiar, de su domicilio y de su correspondencia. 2. No podrá haber injerencia de la autoridad pública
en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y
constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la
seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la
protección de la salud o de la moral, o la protección de los derechos y libertades de los demás”. 595 El artículo 12 de la Declaración Universal de Derechos Humanos (1948) dice así: “Nadie será objeto
de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de
ataques a su honra y reputación. Toda persona tiene derecho a la protección de la ley contra tales
injerencias o ataques”.
279
haya violado alguno de los derechos que protege el Convenio. Este amparo contrasta
con el que brinda la ONU, donde los particulares no tienen atribuida legitimación para
demandar596.
El Tribunal Europeo de Derechos Humanos (TEDH), órgano supervisor del CEDH, ha
reconocido en varias ocasiones y de modo expreso el amplio abanico de
manifestaciones de la vida privada protegidas por el artículo 8 CEDH. Siguiendo la
fórmula más reiterada por el TEDH y que constituye lo más parecido a una definición
jurisprudencial del contenido del derecho, el artículo 8 del CEDH protege un “derecho a
la identidad y desarrollo personal y el derecho a establecer y desarrollar relaciones con
otros seres humanos y el mundo exterior”.597
El TEDH tiene una importante jurisprudencia sobre el derecho a libertad de expresión y
sus límites, entre los que se encuentra el derecho a la intimidad. Sin embargo, hasta hace
relativamente poco tiempo, sólo se refería al derecho al honor entre todos los límites598.
De un primer análisis del artículo 8 del CEDH, y en un ejercicio de comparación con la
redacción del artículo 18 de la CE1978, algún autor destaca la mayor amplitud en el
CEDH de algunos conceptos equivalentes, como es el caso de vida familiar en relación
con el concepto equivalente de intimidad familiar”599.
596 Vid. Bel Mallén, Ignacio y Corredoira, Loreto y Alfonso (dirs): Derecho de la información: el
ejercicio del derecho a la información y su jurisprudencia, Centro de Estudios Políticos y
Constitucionales, Madrid, 2015. 597 Ver la sentencia del TEDH Bensaid v. Reino Unido, de 6 de febrero de 2001. 598 Fayos Gardó, Antonio: “Los derechos a la intimidad y a la propia imagen: un análisis de la
jurisprudencia española, británica y del TEDH”, InDret Revista para el análisis del Derecho, 4/2007,
Barcelona, octubre 2007, pag.5. 599 Moliner Vicente, Celia: “Intimidad y vida familiar. La mayor amplitud del concepto ‘vida familiar’
sobre el de ‘intimidad familiar’ de nuestra Constitución”, Diario La Ley, nº 8316, Sección Tribuna, 22 de
mayo de 2014, Editorial La Ley, pag.5.
280
En lo que respecta a los posibles conflictos entre el derecho a la intimidad y otros
derechos fundamentales con los que el primero puede entrar en colisión, el TEDH, en su
jurisprudencia, ha realizado “algunas afirmaciones de interés como que las personas
públicas deben soportar una crítica más incisiva, reduciéndose el círculo protegido de su
reputación, o que el conocimiento de ciertas conductas de los personajes políticos puede
estar justificada en orden a juzgar su aptitud para las funciones públicas, o que los
límites de la libertad de prensa deben ser entendidos de forma muy estricta cuando la
controversia nace de la manifestación de ideas políticas o de la difusión de
informaciones de interés general o, entre otras, sobre la necesaria relación de
proporcionalidad entre la medida restrictiva o sancionadora adoptada y su (legítima)
finalidad en una sociedad democrática”. A este respecto, cabe destacar relevantes
sentencias del TEDH, como las dictadas en el caso Lingens600, el caso Al Fayed601, o el
caso Schwabe602, donde se pone de manifiesto el menor círculo protegido de reputación
que tienen los políticos, hombres de negocios conocidos o altos funcionarios públicos,
respectivamente.
Hacer un estudio del CEDH y de la doctrina de su órgano supervisor en lo que respecta
al derecho a la intimidad requiere dedicar especial atención a una importante sentencia
que debe ser citada en cualquier análisis que se haga sobre la materia, que es el caso
Von Hannover c. Alemania o caso Carolina de Mónaco. El Tribunal Constitucional
Federal Alemán dictó sentencia el 15 de diciembre de 1999, sentencia resolutoria de un
recurso de amparo formulado por Carolina de Mónaco y sostuvo la cobertura
constitucional de las formas de comunicación cada vez más frecuentes que conjugan
tanto el elemento del entretenimiento como el informativo, el infoteinment, y además,
600 STEDH, de 8 de julio de 1986, Lingens c. Austria. 601 STEDH, de 4 de diciembre de 1995, Fayed c. Reino Unido. 602 STEDH, de 28 de agosto de 1992, Schwabe c. Austria.
281
hizo extensiva esa cobertura constitucional al entretenimiento, argumentando que a éste
“no puede negarse de antemano su relación con la formación de la opinión pública”. El
Tribunal Constitucional Federal Alemán continua argumentando que, en lo que respecta
a los personajes de notoriedad pública, el tribunal admite que dicha opinión pública
pueda tener un “interés legítimo en saber si tales personas, que a menudo son
considerados ídolos o modelos, armonizan de forma convincente su comportamiento
funcional y personal”, justificando que en determinadas circunstancias sea lícita y
constitucional la difusión de imágenes que muestren cómo se comporta en general en
público, al margen de su correspondiente función. Resulta más que evidente que, en este
caso, el Tribunal Constitucional Federal Alemán, tomó una línea jurisprudencial
partidaria de favorecer la difusión de datos sobre personajes públicos.
Sin embargo, el caso Carolina de Mónaco llegó a instancias del TEDH, que acabó
condenando al Estado alemán y adoptó una postura más restrictiva en la sentencia de 24
de junio de 2004, von Hannover c. Alemania. En esta sentencia el TEDH advierte de la
necesidad de distinguir entre informar sobre hechos aptos para contribuir a un debate en
una sociedad democrática relativos a políticos en el ejercicio de sus funciones, a pesar
de que estos puedan ser controvertidos, e informar sobre datos relativos a la vida
privada de personas que, no ejercitando funciones oficiales, están en el punto de mira
por tener notoriedad y fama. El TEDH manifiesta que mientras en el primer caso los
medios de comunicación cumplen su papel fundamental de ‘guardianes’ en una
sociedad democrática, al contribuir a comunicar información e ideas sobre asuntos de
interés público, en el segundo supuesto no desempeña este rol, sino que más bien,
contribuye a saciar la curiosidad morbosa del lector. Aunque el público tiene un derecho
a ser informado, que constituye un derecho esencial en una democracia que, en ciertas
282
circunstancias especiales, puede incluso extenderse a aspectos de la vida privada de los
personajes públicos, particularmente cuando estén afectados políticos, aquí no se da este
caso. Según el TEDH, aquí no incide en la esfera del debate público o político porque
las fotografías publicadas y los comentarios que las acompañaban se referían
exclusivamente a detalles de la vida privada de la demandante.
La mencionada sentencia del TEDH revela que han de primar más los hechos que las
personas que los protagonizan. En la resolución de las colisiones entre el derecho a la
información y el derecho a la intimidad es prioritario que los hechos contribuyan al
debate público frente a que las personas que los protagonizan tengan la condición de
personaje público. En la sentencia Von Hannover c. Alemania, la condición de persona
pública pasa a un segundo plano, si bien se excluye el caso de los políticos, de tal modo
que el protagonismo en la resolución de conflictos lo tiene el examen de si los hechos
divulgados son aptos o no para contribuir a un debate en una sociedad democrática.
El TEDH en numerosas sentencias ha protegido la vida privada en sus diversas facetas.
En la doctrina del órgano supervisor del CEDH se observa la diversidad de aspectos que
pueden vincularse a la noción de vida privada. En la sentencia Niemitz c. Alemania, de
16 diciembre de 1992, el TEDH estableció que “no considera posible ni necesario
ofrecer una definición exhaustiva de la noción de vida privada. Sin embargo, sería
demasiado restrictivo limitar la noción a un círculo interior en el que el individuo puede
desarrollar su propia vida personal como él elija y excluir, por completo de él al mundo
exterior no integrado en ese círculo. El respeto de la vida privada debe también, hasta
283
cierto punto, englobar el derecho a establecer y desarrollar relaciones con otros seres
humanos”603.
El TEDH ha venido manejando un concepto de vida privada en el que han quedado
incluidos aspectos referentes a la vida, identidad sexual, integridad física y moral,
confidencialidad de datos sobre la salud, elección del propio nombre, garantía frente al
almacenamiento, registro y comunicación de datos personales, entre otras cuestiones, si
bien es imprescindible que se aprecie un nexo o vínculo directo inmediato entre las
medidas buscadas por el demandante y su vida privada y familiar, por lo que el TEDH
ha ido fijando ciertos límites a la extensión conceptual del derecho a desarrollar la vida
privada. La sentencia del TEDH Botta c. Italia, de 24 de febrero de 1998, es un buen
ejemplo de resolución del tribunal en la que se pone de manifiesto los diferentes
aspectos de la vida privada que protege el Convenio, así como de los límites a la
extensión conceptual de la noción de vida privada604.
“La estructura normativa de los derechos reconocidos en el artículo 8 CEDH es
ciertamente singular en el contexto del Convenio. […]. El artículo 8 no reconoce el
derecho a la vida privada y familiar como tal –a diferencia del artículo 18.1 CE- sino el
derecho al respeto de la vida privada y familiar. […]. Esto ha sido interpretado por
algunos autores como la voluntad de otorgar a los Estados cierta libertad para la
regulación de la vida privada y familiar”605.
603 Sentencia de TEDH, Niemitz c. Alemania, de 16 de diciembre de 1992. 604 Con respecto a la jurisprudencia del TEDH, resulta clave la obra de Lasagabaster Herrarte, I. (dir),
Convenio Europeo de Derechos Humanos, comentario sistemático, Madrid, Thomson Civitas, 2004. 605 Arzoz Santisteban, Xavier: “Artículo 8. Derecho al respeto de la vida privada y familiar” en
Lasagabaster Herrarte Iñaki: Convenio Europeo de Derechos Humanos, comentario sistemático, Madrid,
Thomson Civitas, 2004, pag. 254.
284
Con respecto al concepto de vida privada que se recoge en el artículo 8 del CEDH, el
propio TEDH ha advertido en numerosas ocasiones la amplitud de significado de dicho
concepto606, destacando (literal en inglés) que “private life is a broad term not
susceptible to exhaustive definition”607. Según el TEDH, el concepto de vida privada
debe ser interpretado a la luz de las condiciones actuales, al ser el CEDH un instrumento
vivo608.
De acuerdo con la fórmula reiterada por el TEDH y que supone lo más cercano a una
definición jurisprudencial del contenido del derecho, el artículo 8 del Convenio protege:
“un derecho a la identidad y al desarrollo personal, y el derecho a establecer y
desarrollar relaciones con otros seres humanos y el mundo exterior y puede incluir
actividades de naturaleza profesional o comercial. Existe, por tanto, una zona de
interacción de la persona con otras, incluso en un ámbito público, que puede incluirse
dentro de la noción de vida privada”609.
El CEDH proscribe la intervención de toda autoridad pública, salvo que esté prevista
por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para
la seguridad pública o nacional, el bienestar económico del país, la defensa del orden y
la prevención del delito, la protección de la salud o la moral o la protección de los
derechos o libertades de los demás. Es a la Administración a quien incumbe la carga de
probar que la restricción se encuentra justificada y amparada en el elenco de
limitaciones. La redacción del artículo 8 del Convenio conduce a pensar que estamos
606 STEDH, de 16 de diciembre de 1997, Raninen c. Finlandia, apdo 63. 607 Ibídem. 608 STEDH, de 9 de octubre de 1979, Airey v. Irlanda, apdo 26. 609 STEDH, de 6 de febrero de 2001, Bensaid c. Reino Unido, apdo 47.
285
ante un reconocimiento amplio del derecho a la intimidad, tratándose del derecho del
ciudadano a no ser molestado en el ámbito vital de su privacidad e intimidad.
No obstante, existen muy pocas sentencias donde el objeto de la cuestión sea el derecho
a la intimidad. Sin embargo, los pronunciamientos del TEDH donde entran en conflicto
la libertad de expresión e información y el derecho al honor, son más numerosos. El
TEDH brinda su protección garantizando la confidencialidad sobre los datos de salud,
otorgando una garantía protectora frente al almacenamiento, registro y comunicación de
datos personales. Por otra parte, es a la Administración a quien le incumbe la carga de
probar que la restricción o injerencia se encuentra justificada. Es decir, que las
excepciones a la prohibición de injerencias han de interpretarse de manera restrictiva
ante casos de conflicto o duda. En las sentencias del TEDH, caso Golder de 21 de
febrero de 1975610, y el caso Klass de 6 de septiembre de 1978611 se pone de relieve este
punto con respecto a las restricciones e injerencias.
Por su parte, el CEDH recoge el derecho a la libertad de expresión en el artículo 10. La
libertad de expresión en el CEDH no está configurada como un derecho inderogable. El
artículo 15 del CEDH612 permite que un Estado firmante derogue las obligaciones de la
Convención en caso de guerra u otros peligros amenazantes, siendo dichos derechos
610 Sentencia del TEDH Golder c. Reino Unido, de 21 de febrero de 1975. 611 Sentencia del TEDH Klass c. Alemania, de 6 de septiembre de 1978. 612 El artículo 15 CEDH dice así: “Derogación en caso de estado de urgencia.-“1. En caso de guerra o de
otro peligro público que amenace la vida de la nación, cualquier Alta Parte Contratante podrá tomar
medidas que deroguen las obligaciones previstas en el presente Convenio en la medida estricta en que lo
exija la situación, y supuesto que tales medidas no estén en contradicción con las otras obligaciones que
dimanan del derecho internacional. 2. La disposición precedente no autoriza ninguna derogación del
artículo 2, salvo para el caso de muertes resultantes de actos lícitos de guerra, y a los artículos 3, 4
(párrafo 1) y 7. 3. Toda Alta Parte Contratante que ejerza este derecho de derogación tendrá plenamente
informado al Secretario General del Consejo de Europa de la fecha en que esas medidas hayan dejado
de estar en vigor y las disposiciones del Convenio vuelvan a tener plena aplicación”.
286
inderogables el núcleo duro del CEDH, del que no forma parte el artículo 10613.La
Convención garantiza la libertad de expresión a todas las personas, sin hacer ningún
tipo de distinción en base a distintos factores como, por ejemplo, si se trata de una
persona física o de una jurídica.
El CEDH establece una diferenciación entre la opinión y la información, reconociendo
esa dualidad de la libertad de expresión y distinguiendo, por tanto, entre la
manifestación de hechos y la de juicios de valor. La jurisprudencia del TEDH habla de
un concepto amplio de libertad de expresión, que abarcaría la libertad de opinión y la de
información. En cuanto a la libertad de opinión, de manifestación de ideas,
pensamientos y juicios de valor, no se trata de un derecho absoluto. Ante supuestos
dudosos, el TEDH ha optado por resolver reconociendo el carácter de juicios de valor
de expresiones que aluden a pasado fascista, por ejemplo, o a campañas racistas en
referencia a un partido político o a un ministro614.
En cuanto a la libertad de información como parte de la libertad de expresión del
artículo 10 CEDH, también el TEDH ha venido exigiendo que se cumplan los requisitos
de veracidad y de ser un asunto de interés público. La jurisprudencia del TEDH se
revela como protectora de la prensa y de los periodistas, beneficiándose éstos, en cierto
613 El artículo 10 CEDH dice así: “Libertad de expresión-1. Toda persona tiene derecho a la libertad de
expresión. Este derecho comprenderá la libertad de opinión y la libertad de recibir o comunicar
informaciones o ideas, sin que pueda haber injerencias de autoridades públicas y sin consideración de
fronteras. El presente artículo no impide que los Estados sometan a las empresas de radiodifusión, de
cinematografía o de televisión a un régimen de autorización previa. 2. El ejercicio de estas libertades,
que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones,
restricciones o sanciones previstas por la ley, que constituyan medidas necesarias, en una sociedad
democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del
orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o
de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la
autoridad y la imparcialidad del poder judicial”. 614 Lazcano Brotons, Iñigo: “Artículo 10. Libertad de expresión”, en Lasagabaster Herrarte, Iñaki,
Convenio Europeo de Derechos Humanos, Comentario Sistemático, Madrid, Civitas, 2004, pag. 356 y ss.
287
modo, de un estatuto jurídico reforzado, en relación a la libertad de expresión general.
El artículo 10 CEDH protege el derecho y deber de los periodistas a comunicar
información veraz sobre cuestiones de interés público, desde el momento en que dicha
información se difunde de buena fe, tomando como base hechos exactos y ofreciendo
informaciones fiables y precisas, cumpliendo con la ética y deontología profesional. El
Tribunal Constitucional español ha hecho referencia en diversas sentencias a la prueba
de la diligencia debida en la búsqueda de la certeza615. En este sentido, todo profesional
tiene la presunción de actuar con un auténtico animus informandi, pero será necesario
exigirle una actitud de búsqueda de la verdad e incluso, cuando sea posible, que haya
conseguido pruebas que justifiquen la veracidad de la información616.
En líneas generales, el TEDH establece su doctrina sobre las relaciones libertad de
expresión/derechos de la personalidad, partiendo de las siguientes premisas: la libertad
de expresión no es un derecho absoluto, sino que está sujeta a diversos límites. Los
derechos de la personalidad también deben ser objeto de protección preferente y es
deseable una armónica coexistencia entre una y otros.
En el ejercicio de la libertad de expresión suele distinguirse entre la manifestación de
hechos y la de juicios de valor. La jurisprudencia del TEDH utiliza como conceptos
diferenciados los de libertad de expresión, que afectaría a ideas y opiniones, y la libertad
de información, que se referiría a hechos617.
615 Ver la STC 6/1998 y la STC 105/1990. 616 Cremades, Javier: “La exigencia de veracidad como límite a la libertad informativa”, Estudios de
Derecho Público en homenaje a Juan José Ruiz Rico, Tecnos, Madrid, 1997, pag.598 y ss. 617 Lazcano Brotons, Iñigo: “Artículo 10 Libertad de expresión”, en Lasagabaster Herrarte, Iñaki: op.cit,
Madrid, Civitas, 2004, pag 370.
288
Con respecto al ámbito que queda delimitado por el interés público, el TEDH puntualiza
que los límites de la crítica admisible son más amplios frente a un político, en su
cualidad de personaje público, que frente a un simple particular, principio que aún es
más contundente si las críticas se dirigen contra el propio Gobierno. El TEDH ha
considerado que no puede situarse en el mismo nivel la tolerancia exigible a un
miembro del Gobierno y la exigible a un experto designado por éste para la realización
de una actividad de investigación sobre un tema de interés público618.
El asunto Lingens v. Austria619 tiene su origen en una serie de artículos publicados por
el periodista Lingens en el que se criticaba al Canciller Kreisky. En esta sentencia, el
TEDH tras reiterar que la libertad de expresión también abarca las ideas, opiniones e
informaciones no favorables, también concluye que “los límites de la crítica permitida
son más amplios en relación a un político considerado como tal que cuando se trata de
un mero particular; el primero, a diferencia del segundo, se expone inevitablemente y
deliberadamente a una fiscalización atenta de sus actos y gestos, tanto por los
periodistas como por la multitud de ciudadanos, y por ello, tiene que mostrarse más
tolerante”620.
Otro elemento característico del correcto ejercicio de la libertad de información es la
veracidad de los hechos objeto de difusión. La publicación de artículos verídicos y que
describan acontecimientos reales, no obstante, puede ser prohibida en ciertos casos. La
obligación de respetar la vida privada de un tercero, o el deber de observar la
confidencialidad de ciertas informaciones comerciales constituyen ejemplos de ello. A
618 Sentencia del TEDH, Nielsen y Johnsen v. Noruega, de 25 de noviembre de 1989. 619 Sentencia del TEDH Lingens v. Austria, de 8 de julio de 1986. 620 Vid.Torres-Dulce Lifante, E.: “La libertad de expresión en la jurisprudencia del Tribunal Europeo de
Derechos Humanos”, Cuadernos de Derecho Judicial, CGPJ, Madrid, 1993.
289
este respecto, resulta fundamental hacer mención a la sentencia del TEDH Mark Itern
Verlag de 20 de noviembre de 1989621.
En lo que respecta a la jurisprudencia del TEDH relacionada con la autodeterminación
informativa y derecho de protección de datos de carácter personal, resultan de interés las
sentencias Ammann contra Suiza, de 16 de febrero de 2000622, así como Rotaru contra
Rumanía, de 4 de mayo de 2000623. En ambas sentencias, el TEDH destaca que el
término de vida privada no debería interpretarse restrictivamente y ninguna razón de
principio permite excluir las actividades profesionales del ámbito de la vida privada, así
como las actividades empresariales, emails, correspondencia producida en la esfera
mercantil y profesional.
También resulta imprescindible hacer un repaso de la doctrina del Tribunal de Justicia
de la UE (TJUE) en su interpretación de la Directiva 95/46/CE. Hay dos sentencias que
sobremanera destacan en la copiosa jurisprudencia y resultan clave en lo que respecta al
tratamiento de datos personales a través de Internet. En concreto, se trata de la sentencia
de 6 de noviembre de 2003, as. C-101/01 Lindqvist, y la sentencia de 20 de mayo de
2003 en los asuntos acumulados C-465/00, C-138/01 y C-139/01 Österreichischer
Rundfunk. Estas dos sentencias contienen pronunciamientos importantes en relación con
las exigencias interpretativas derivadas de la vinculación de las reglas sobre el
tratamiento de datos personales con las libertades fundamentales y el derecho a la
intimidad, así como sobre la aplicación de las reglas comunitarias sobre protección de
datos personales a la difusión de informaciones a través de Internet. En la sentencia de
621 Sentencia del TEDH, Mark Itern Verlag Gmbh y Klaus Beermann v. Alemania, de 20 de noviembre de
1989, apdo 35. 622 Sentencia del TEDH, Amann contra Suiza, de 16 de febrero de 2000. 623 Sentencia del TEDH, Rotaru contra Rumanía, de 4 de mayo de 2000.
290
20 de mayo de 2003, se afirma que la recogida de datos sobre los ingresos salariales de
una persona está comprendido en el ámbito de aplicación del artículo 8 del CEDH.
Aspecto clave en la sentencia Lindqvist son las consecuencias de la consideración como
tratamiento de datos, de la inclusión de ciertas informaciones personales en una página
de Internet. Aquí el TJUE afirmó que la actividad del responsable de una página de
Internet, dedicado a recoger ciertas informaciones personales para incluirlo en sus
páginas de Internet y ponerlas por este medio a disposición de terceros, sí constituye
tratamiento de datos personales. Cuestión más delicada, sin embargo, resulta en la
práctica determinar cuándo ese tipo de tratamientos pueden ser legítimos, en particular,
cuando se vinculen con el ejercicio del derecho fundamental a la libertad de
información o de expresión.
En el contenido de la citada sentencia del TJUE de 20 de mayo de 2003 destaca un
elemento de la interpretación de la Directiva 95/46/CE, que es decisivo en su impacto
práctico, en particular como consecuencia de la expansión del empleo de las redes
digitales con fines no sólo comerciales, sino con todo tipo de fines personales. El TJUE
aclara que la Directiva no se limita únicamente a situaciones que presenten un vínculo
efectivo con la libre circulación entre Estados miembros.
Con respecto a la sentencia Lindqvist, conviene hacer dos consideraciones. Por una
parte, la primera cuestión planteada al TJUE en realidad no ofrecía dudas a la luz de la
Directiva 95/46/CE. La acusada en el proceso de origen argumentaba que no constituye
tratamiento de datos la inclusión de éstos en el contenido de una página de Internet y su
difusión a través de este medio, sino que resulta precisa alguna actividad adicional,
291
como la inserción de los datos como palabra clave o metatags entre los elementos de
hipertexto de la página web que facilita la inclusión de ésta en directorios y en listas de
resultados de buscadores; pero es claro que el concepto de tratamiento de datos de la
Directiva es mucho más amplio. La noción de tratamiento de datos que emplea la
Directiva comprende “cualquier operación o conjunto de operaciones, efectuadas o no
mediante procedimientos automatizados, y aplicadas a datos personales, como la
recogida, registro, organización, conservación, elaboración o modificación, extracción,
consulta, utilización, comunicación por transmisión…[…]”624.
Por lo tanto, resulta plenamente acorde con este concepto la conclusión del TJUE en el
sentido de que la actividad del responsable de una página de Internet, dedicado a
recoger ciertas informaciones personales para incluirlo en sus páginas de Internet y
ponerlas por este medio a disposición de terceros, sí constituye tratamiento de datos
personales.
Cuestión más delicada es determinar en la práctica cuándo ese tipo de tratamientos
pueden ser legítimos, en particular, en la medida en que se vinculen con el ejercicio del
derecho fundamental a la información y expresión. Esta era una de las cuestiones que se
planteaba en el caso Lindqvist, y el TJUE señaló que corresponde a los órganos
jurisdiccionales de los Estados miembros garantizar el justo equilibrio entre los
derechos e intereses en juego. En realidad, el margen de apreciación reservado a los
Estados miembros en la concreción de ciertos aspectos de la Directiva y las diferencias
entre los Estados miembros en lo relativo al alcance de ciertos derechos fundamentales
624 Ver el artículo 2 de la Directiva 95/46/CE.
292
limitan excesivamente el alcance de la uniformización jurídica sobre el particular a
escala comunitaria.
Resultan clave, desde la perspectiva comunitaria, el enfoque y contenido de los
documentos elaborados por el WP29 de la Directiva 95/46/CE. En particular, el
documento Privacidad en Internet: enfoque comunitario integrado de la protección de
datos en línea, de 21 de noviembre de 2000, y en su Recomendación relativa a
determinados requisitos mínimos para la recogida de datos personales en la Unión
Europea, de 17 de mayo de 2001, así como el documento Recomendaciones al sector
del comercio electrónico, elaboradas por la AEPD en el año 2001.
La cuestión planteada en el caso Lindqvist sobre si la mera difusión de datos personales
a través de páginas de Internet es, con carácter general, susceptible de dar lugar a una
transferencia internacional de datos personales merece para el TJUE una respuesta
negativa. Importa destacar que tales transferencias son objeto de importantes
restricciones específicas en los artículos 25 y 26 de la Directiva, cuando el país de
destino no tiene un nivel de protección equivalente al de la Unión Europea. Sin
embargo, en las alegaciones ante el TJUE en este asunto, la Comisión sostuvo que “la
introducción de datos personales en una página web, con ayuda de un ordenador, de
modo que dichos datos, resultan accesibles a nacionales de países terceros, constituye
una transferencia de datos en el sentido de la Directiva 95/46”625. En todo caso, se trata
de una cuestión en la que, ante una ausencia de definición de transferencia en la
Directiva, parecía no existir una respuesta uniforme y segura en las legislaciones de los
diferentes Estados miembros.
625 Ver las alegaciones de la Comisión ante el TJUE en el caso Lindqvist.
293
Como argumento práctico, el TJUE pone de relieve que si la Directiva se interpretara en
el sentido de que existe una transferencia de datos a un país tercero cada vez que se
publican datos personales en una página web, como consecuencia del alcance global de
Internet, el régimen especial previsto en los artículos 25 y 26 de la Directiva626 se
convertiría en la práctica en un régimen de aplicación general a las actividades de
Internet, de manera que los Estados miembros estarían obligados a impedir cualquier
difusión de los datos personales en Internet. Ello como consecuencia de que la mayoría
de los países de la comunidad internacional no garantiza un nivel de protección
626 Dentro del Capítulo IV de la Directiva, relativo a la transferencia internacional de datos personales, el
artículo 25 dice así: “Principios. 1. Los Estados Miembros dispondrán que la transferencia a un país
tercero de datos personales que sean objeto de tratamiento con posterioridad a su transferencia,
únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho
nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de
que se trate garantice un nivel de protección adecuado. 2. El carácter adecuado del nivel de protección
que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una
transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la
naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país
de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país
tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos
países. 3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que
consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2. 4.
Cuando la Comisión compruebe con arreglo a lo establecido en el apartado 2 del artículo 31, que un
tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo,
los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos
personales al tercer país de que se trate. 5. La Comisión iniciará en el momento oportuno las
negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en
aplicación del apartado 4. 6. La Comisión podrá hacer constar de conformidad con el procedimiento
previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado
de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus
compromisos internacionales ..[…].Por su parte, el artículo 26 hace referencia a las excepciones y, en
sentido, destaca: “1. No obstante, lo dispuesto en el artículo 25, salvo disposición contraria del derecho
nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una
transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado
con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando: a) el interesado haya
dado su consentimiento inequívocamente a la transferencia prevista, b) la transferencia sea necesaria
para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución
de medidas precontractuales tomadas a petición del interesado o, c) la transferencia sea necesaria para
la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el
responsable del tratamiento y un tercero, o, d) la transferencia sea necesaria o legalmente exigida para
la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un
derecho en un procedimiento judicial o e) la transferencia sea necesaria para la salvaguardia del interés
vital del interesado o, f) la transferencia tenga lugar desde un registro público que, en virtud de
disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté
abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés
legítimo, siempre que se cumplan en cada caso particular, las condiciones que establece la ley para la
consulta. 2. Sin perjuicio de […]”.
294
adecuado conforme a los estándares comunitarios. No obstante, hay excepciones a la
prohibición de transferencia, como la obtención del consentimiento inequívoco del
afectado que podrían contribuir a matizar en parte ese planteamiento.
La protección europea de los datos del consumidor es un buen reflejo de las diferencias
de puntos de vista entre Europa y Estados Unidos627. A este respecto, los europeos han
condenado el tráfico de los datos de consumidores, de modo que los abogados en
Europa creen que hay una violación seria potencial de los derechos de privacidad de los
consumidores si los mercados pueden comprar datos sobre sus preferencias de
consumo628. La Directiva 95/46/CE en materia de Protección de Datos así lo contempla
en su articulado. Sin embargo, para los americanos esta potencial violación del derecho
a la privacidad resulta difícil de entender, argumentando que después de todo hay un
beneficio en el tráfico de datos de los consumidores. Para ellos, si los mercados pueden
acceder más fácilmente a las preferencias del consumidor, pueden proporcionar bienes y
servicios personalizados, basados en las preferencias y gustos de consumidor. Es decir,
que el tráfico de datos de los consumidores baja los costes de búsqueda de preferencias
y facilita que oferta y demanda casen en la compraventa de bienes y servicios. La
recolección de datos de los consumidores sólo está permitida en Europa en supuestos
concretos y limitados, bajo consentimiento de la persona afectada y bajo supervisión.
Por el contrario, en EE.UU están más predispuestos a tolerar la autorregulación por
parte de la industria y también se perciben diferencias en el distinto enfoque que se le da
a los derechos sobre la imagen o publicidad sobre uno mismo. A este respecto, mientras
627 Tradicionalmente las diferencias entre EE.UU y Europa en lo referente a la protección del consumidor
han sido notorias. No obstante, y pese a las históricas divergencias, en la actualidad, EE.UU y Europa
llevan inmersos en las negociaciones para alcanzar un acuerdo comercial histórico, un pacto de libre
comercio muy ambicioso entre ambos lados del Atlántico, que juntos suman la mitad del PIB mundial y
representan un tercio de los flujos mundiales de comercio. Las diferentes normas técnicas, los distintos
estándares de seguridad y distintas regulaciones de competencia son realidades que están presentes en
estas negociaciones del acuerdo comercial. 628 Whitman, James Q.: op.cit, pag.1192.
295
los americanos ven la imagen como una cuestión relacionada con la propiedad, para los
europeos está vinculada con el honor. Al fin y al cabo, podría decirse que los
americanos son más pragmáticos o, incluso, mercantilistas que los europeos.
No obstante, y a pesar de todas estas diferencias entre EE.UU y Europa en torno a la
privacidad, no quiere decir que los europeos basen sus postulados sobre la privacidad en
su consideración de la existencia de verdades morales universales en las que no se basan
los americanos. La protección a la privacidad en Europa es tal porque “viven en
sociedades que se han formado bajo un determinado tipo de expectativas culturales y un
determinado tipo de ideales igualitarios”629. En América, fundamentalmente la
privacidad se protege frente al Estado o frente a las potenciales invasiones del Gobierno.
Es decir, se percibe, por un lado, un interés europeo en la dignidad personal amenazado
fundamentalmente por los medios de comunicación y, por otro lado, un interés
americano en la libertad, amenazado principalmente por el Gobierno y la autoridad. A
ambos lados del Atlántico, estos valores están fundados en ideales sociopolíticos
profundamente enraizados, que datan de finales del siglo XVIII. En cualquier caso, se
trata de diferencias relativas y no absolutas. Es más, incluso no hay nada que impida
una convivencia entre ambas formas de protección de la privacidad, frente al Estado y
frente al mercado o la prensa. Por otra parte, la privacidad no es un producto de la
lógica matemática, ni un producto de la experiencia o de la satisfacción de necesidades
que son compartidas por todas las sociedades modernas, en el sentido de que no es un
concepto universal y atemporal, sino relativo en el tiempo y en el espacio geográfico.
629 Whitman, James Q.: op.cit, pag.1161 y ss.
296
Tras haber hecho en este capítulo de la tesis doctoral una exposición del sistema de
protección del derecho a la privacidad en EE.UU, por un lado, y por otro, en Europa, si
se tiene en cuenta que en EE.UU la privacidad no tiene categoría de derecho
fundamental, podría llegarse a la conclusión de que la protección de la privacidad es
más débil al otro lado del Atlántico. Sin embargo, algún autor se posiciona en contra de
esta teoría y este es el caso de James Q. Whitman, a quien se hace referencia en
abundantes ocasiones a lo largo de este capítulo de la tesis. Al respecto, este autor
defiende con vehemencia que cualquier persona que haya vivido en EE.UU sabe que los
americanos pueden estar tan obsesionados con su privacidad y atados a ella como los
europeos, y pone como ejemplo el caso Roe v. Wade630 o el caso Lawrence v. Texas631,
ambos ante el Tribunal Supremo de EE.UU. “Es simplemente falso decir que la
privacidad no importa para los americanos”632. La noción de la privacidad asociada a la
dignidad es, no obstante, para gran parte de la doctrina, la noción prevalente en el
continente europeo. Así, los países europeos siguen de una u otra forma esta noción
centrada en la protección de la dignidad humana, y consecuentemente, la entienden
como un derecho inherente a la personalidad633.
Pese a todas las diferencias a ambos lados del Atlántico anteriormente expuestas, en los
últimos años se está produciendo un acercamiento de posiciones. En este sentido,
EE.UU se está aproximando a la perspectiva europea y la hegemonía absoluta de la
Primera Enmienda de la Constitución de EE.UU está perdiendo peso específico en
favor del balancing test o ponderación de intereses en conflicto, aproximándose, por
630 Roe v. Wade 410 US, 113 (1973). 631 Lawrence v. Texas (02-102) 539 US 558 (2003). 632 Whitman, James Q.: op.cit, pag.1158. 633 Abril, Patricia S. y Pizarro Moreno E.: “La intimidad europea frente a la privacidad americana”,
InDret 1/2014, Barcelona, Enero 2014, p.8 y ss.
297
tanto, el enfoque americano a la perspectiva europea634. Según algún sector de la
doctrina, en vez de colisión o conflicto entre EE.UU y la UE “deberíamos empezar a
hablar de convergencia hacia una nueva regulación de la privacidad en EE.UU”635,
como, por ejemplo, se observa en algunas ramas del Derecho como en lo relativo al
copyright y al fair use. En febrero de 2012, el Consumer Privacy Bill of rights en
EE.UU636 otorga un marco de protección de la privacidad de los consumidores,
realzando el valor de la privacidad en una sociedad democrática avanzada. Esta
iniciativa pretende abordar los controles de la UE en la materia poniendo el foco en la
autorregulación, la participación voluntaria y la arquitectura tecnológica, centrándose en
los datos en un contexto comercial. Esta iniciativa de Obama fue un intento modesto de
regular la recolección de datos personales y su uso637. En este sentido, la
Administración Obama propuso un conjunto de líneas de actuación entre las que se
incluyen el desarrollo de la Carta de Derechos de los Consumidores, el desarrollo de
códigos de conducta o autorregulación, el impulso del cumplimiento de los códigos o la
necesidad del reconocimiento mutuo de los marcos de privacidad en el contexto
internacional.
En el preámbulo del citado texto de la Administración Obama se destaca (texto literal en
ingles): “One thing should be clear, even though we live in a world in which we share
personal information more freely than in the past, we must reject the conclusion that
privacy is an outmoded value. It has been at the heart of our democracy from its
inception, and we need it now more than ever”. Asimismo, en este texto se puede
634 Ver Peltz-Steele, Richard J.: “The new American Privacy”, Georgetown Journal of International Law,
Vol. 44, nº 2, 2013. 635 Peltz-Steele, R.J.: op.cit, pag.410. 636 Consumer Data Privacy in a Networked World: A framework for protecting privacy and promoting
innovation in the global digital economy de febrero de 2012, Administración Obama.
https://www.whitehouse.gov/sites/default/files/privacy-final.pdf 637 Peltz-Steele, R.J: op.cit.
298
observar cómo en EE.UU la privacidad se liga también con la dignidad de la persona y
no sólo con la libertad. En este sentido se destaca, en las conclusiones del citad texto,
que: “The United States is committed to protecting privacy. It is an element of
individual dignity and an aspect of participation in a democratic society. To an
increasing extent, privacy protections have become critical, to the information-based
economy. Stronger consumer data privacy protections will buttress the trust that is
necessary to promote the full economic, social, and political uses of networked
technologies. The increasing quantities of personal data that these technologies subject
to collection, use and disclosure have fuelled innovation and significant social benefits.
We can preserve these benefits while also ensuring that our consumer data privacy
policy better reflects the value that Americans place and bolters trust in the Internet and
other networked technologies”638.
Por su parte, la US Consumer Privacy Bill of Righst de 2015, y al igual que el texto de
2012, identifica siete principios clave para la salvaguarda de la privacidad y datos
personales: transparencia; control individual; respeto por el contexto; finalidad;
seguridad; acceso y exactitud; y accountability.
La adaptación del marco vigente para dar respuesta a nuevas tecnologías como el Big
Data es una preocupación común tanto en EE.UU como en la UE. Recientemente, la
Federal Trade Commission639 (FTC por sus siglas en inglés) publicó un Paper sobre Big
Data, donde reflexionaba sobre el rol de la analítica de datos como herramienta de
638 Consumer Data Privacy in a Networked …[…], pag.45. 639 La denominada Federal Trade Commission es el organismo, que tiene naturaleza de agencia
independiente, homólogo a nuestra Agencia Española de Protección de Datos, que se encarga de velar en
EE.UU por el respeto a la privacidad en las prácticas comerciales y publicitarias de las empresas. Este
organismo creado en 1914 trabaja para prevenir las prácticas engañosas, fraudulentas y desleales en el
mercado, en protección del consumidor.
299
inclusión o exclusión640, haciendo un repaso de las oportunidades y beneficios del Big
Data pero también de sus riesgos, como el riesgo para la privacidad o la discriminación.
En el marco de las negociaciones que desde enero de 2014 se han llevado a cabo para la
renovación del acuerdo para las transferencias internacionales de datos Safe Habour
Agreement641, una de las mayores inquietudes ha sido cómo se va a acomodar este
acuerdo al desarrollo de las tecnologías de Big Data y a la creciente capacidad de
almacenamiento de datos de los dispositivos electrónicos642.
Cuando en su día se aprobó la Directiva 95/46/CE, ello provocó cierto recelo en las
empresas de EE.UU, dado que la falta de una legislación sobre protección de datos
comprehensiva en EE.UU, conducía a pensar que las empresas estadounidenses estarían
limitadas en cuanto a su capacidad tanto para servir a los consumidores en la UE como
para adquirir información sobre ellos643. Esta preocupación condujo a que en 1998 el
Departamento de Comercio de EE.UU comenzara negociaciones con la UE para ver el
modo de fijar unos estándares de protección satisfactorios. El acuerdo Safe Harbour fue
derogado por el TJUE y, en su lugar, se ha aprobado el acuerdo Privacy Shield, que es
una prueba más del esfuerzo por acercar posiciones a ambos lados del Atlántico en
torno a la protección de la privacidad, aunque no estuvo exento de largas e, incluso
tensas negociaciones que se dilataron durante meses. Haber dilatado “por más tiempo
640 Big Data, a tool for inclusion or exclusión?: understanding the issues, FTC, enero 2016. 641 Ver la Decision 2000/520/UE, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de
puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes
publicadas por el Departamento de Comercio de EE.UU. Ver asimismo
http://www.export.gov/safeharbor/eu/eg_main_018365.asp. 642 Ver la sentencia relativa al caso Digital Rights Ireland, del TJUE, de 8 de abril de 2014, a través de la
cual se anula la Directiva europea de retención de datos de 2006, al considerar que no se cumple con el
principio de proporcionalidad y, en general, con lo dispuesto en el artículo 52 de la Carta de Derechos
Fundamentales de la UE en donde se exige una serie de requisitos y garantías para la limitación de los
derechos de carácter fundamental. 643 Sunosky James, T.: Privacy online: A primer on the European Union’s Directive and United States
Safe Harbour Privacy Principles en Soma, Jhon T. et al, “An analysis of the US Bilateral Agreements
between Transnational Trading Groups: The US/EU Ecommerce privacu Safe Harbour”, Texas
International Law Journal, vol. 39, 2008, pag.194.
300
un acuerdo que es necesario e inevitable, en el sentido de que cualquier otro escenario
será inconcebible, por las importantes implicaciones negativas que tendría en muchas
áreas”644, se hubiese traducido “en perjuicios para todas las partes y podría llegar a
convertirse en un obstáculo para las relaciones comerciales, tener impacto en la
innovación, así como tener consecuencias a la hora de garantizar la protección de datos
personales y la privacidad”645.
En definitiva, y después de lo expuesto en este capítulo, “la protección de la privacidad
de los ciudadanos es una máxima y un valor esencial a ambos lados del Atlántico, y
aunque tenga que convivir con otros intereses a veces contrapuestos, es un valor
fundamental tanto en EE.UU como en Europa, pese a que los mecanismos, instrumentos
y procedimientos para garantizarlo sean divergentes”646.
644 Álvarez Caro, M. y Recio Gayo, M.: “Hacia un acuerdo Safe Harbour renovado para la transferencia
internacional de datos entre EE.UU y la UE”, Working Papers on European Law and Regional
Integration, Instituto de Derecho Europeo e Integración Regional (WP IDEIR, nº 25), Cátedra Jean
Monnet, Universidad Complutense de Madrid, 2015, p.25. 645 Ibídem. 646 Álvarez Caro, María: Derecho al olvido en Internet: el nuevo paradigma de la privacidad en la Era
digital, Colección Derecho de las Nuevas Tecnologías, Madrid, Editorial Reus, 2015, pag. 105.
301
8. Reglamento General de Protección de Datos
8. 1. Una Directiva 95/46/CE ya obsoleta. Hacia un Reglamento europeo de
Protección de Datos: antecedentes del Reglamento
La Directiva 95/46/CE647 de protección de datos es una norma de la que ha emanado
nuestra LOPD así como el resto de normativas que tienen su origen en esta Directiva y
que trasponen la misma a los distintos Estados miembros de la UE. Esta Directiva fue
adoptada con un propósito doble. Por una parte, la defensa del derecho fundamental a la
protección de datos y, por otra, la garantía de la libre circulación de estos datos entre los
Estados miembros. Asimismo, la adopción de la citada Directiva fue acompañada de la
Decisión Marco 2008/977/JAI648, como instrumento general de la UE para la protección
de datos personales tratados en el marco de la cooperación policial y judicial en materia
penal.
El intercambio de datos e información en la Red ha crecido de modo exponencial, desde
que se aprobó la citada Directiva y, sin duda, se han presentado nuevos retos a los
cuales esta normativa no da respuesta. A título de ejemplo, la Computación en la nube o
Cloud Computing, las complejas transferencias internacionales de datos, las plataformas
digitales de intercambio social como pueden ser las redes sociales, las plataformas de la
llamada economía colaborativa o los modelos de negocio asociados al Big Data, son
ejemplos de nuevos modelos de negocio nacidos en los últimos años y, para los cuáles
647 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la
protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos. 648Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de
datos personales tratados en el marco de la cooperación policial y judicial en materia penal, DO L 350 de
30 de diciembre de 2008, p.60.
302
la Directiva de 1995 no está preparada. Tal y como consta en la Propuesta de la
Comisión Europea de Reglamento de Protección de Datos de la UE, de 25 enero de
2012, “la rápida evolución tecnológica ha supuesto nuevos retos para la protección de
los datos personales. Se ha incrementado enormemente la magnitud del intercambio y
la recogida de datos. La tecnología permite que tanto las empresas privadas como las
autoridades públicas utilicen datos personales en una escala sin precedentes a la hora
de desarrollar sus actividades. Las personas físicas difunden un volumen cada vez
mayor de información personal a escala mundial. La tecnología ha transformado tanto
la economía como la vida social”649.
Por estas razones de obsolescencia y falta de adecuación, la Comisión Europea llegó a
la conclusión hace unos años de que había una necesidad de adaptar la normativa de
protección de datos personales de las personas físicas a la realidad imperante de la Era
digital del siglo XXI. En este capítulo analizaremos la Propuesta de Reglamento de
Protección de Datos de la UE, elaborada por la Comisión Europea, de fecha 25 de enero
de 2012, así como los antecedentes que dieron lugar a la misma. Esta normativa aún no
ha comenzado a aplicarse y ha tenido un largo proceso de tramitación, en el que en
numerosas ocasiones se ha atascado y ha ido acumulando cierto retraso. Finalmente, el
pasado 15 de diciembre de 2015, el Parlamento Europeo y el Consejo alcanzaron un
acuerdo con respecto al texto definitivo, que fue respaldado por la Comisión LIBE
(Libertades Civiles, Justicia y Asuntos de Interior) del Parlamento Europeo. Dos días
después, fue aprobado el RGPD por el Pleno del Parlamento Europeo y se publicó el
pasado 4 de mayo de 2016 en el Diario Oficial de la UE650. No obstante, tras su
aprobación hay un período transitorio de dos años hasta que comience a ser aplicable, a
649 Ver la Exposición de Motivos de la Propuesta de la Comisión Europea Reglamento de Protección de
Datos de la UE, de 25 de enero de 2012, pag.1. 650 http://www.consilium.europa.eu/es/press/press-releases/2015/12/18-data-protection/
303
contar desde la fecha de entrada en vigor del RGPD, que se produjo a los veinte días de
la publicación en el Diario Oficial de la UE. Por tanto, el RGPD comienza a aplicarse el
25 de mayo de 2018.
Comenzamos analizando los antecedentes que dieron lugar a la Propuesta que en este
bloque de la tesis analizamos. El Consejo Europeo invitó a la Comisión Europea a
evaluar el funcionamiento de los instrumentos de la UE en materia de protección de
datos y a presentar, en caso de considerarse oportuno y necesario, iniciativas tanto de
carácter legislativo como no legislativo651. Asimismo, el Parlamento Europeo, en su
Resolución sobre el Programa de Estocolmo652, acogió favorablemente un régimen
general de protección de datos en el ámbito comunitario y, entre otras cosas, abogó por
la revisión de la Decisión Marco.
El punto 16, en el bloque denominado Una Europa de los Derechos, de la citada
resolución del Parlamento Europeo, destaca que el PE “considera que una protección y
una promoción eficaces de los derechos fundamentales constituyen la base de la
democracia en Europa y son consideraciones previas para la consolidación del Espacio
de Libertad, Seguridad y Justicia; cree, firmemente, por lo tanto, que incumbe al
Consejo y a la Comisión la responsabilidad de proponer activamente medidas para
promover los derechos fundamentales;". Asimismo, en el punto 82 de la Resolución,
centrados en la protección de datos y seguridad, el PE señala lo siguiente: “la creciente
importancia de Internet y destaca que su carácter abierto y global exige unas normas
mundiales que garanticen la protección de datos, la seguridad y la libertad de
651 Ver Programa de Estocolmo-una Europa abierta y segura que sirva y proteja al ciudadano, DO C
115, de 4 de mayo de 2010, pag.1. 652 La citada Resolución fue adoptada el 25 de noviembre de 2009, bajo la denominación Un espacio de
libertad, seguridad y justicia al servicio de los ciudadanos-Programa de Estocolmo.
304
expresión; pide al Consejo y la Comisión que tomen la iniciativa para crear una
plataforma mundial para la elaboración de dichas normas, considera de suma
importancia fijar límites estrictos y definir y regular claramente los casos en que una
empresa privada de Internet puede ser obligada a comunicar datos a las autoridades
gubernamentales y garantizar que el uso de esos datos por dichas autoridades
gubernamentales esté sujeto a las más estrictas normas en materia de protección de
datos”.
En relación con el principio de la privacidad desde el diseño (privacy by design), que
hace referencia a la necesidad de que la perspectiva de la privacidad sea tenida en
cuenta desde un origen, cada vez que se diseña un producto o sistema nuevo, de modo
que se analice el impacto que pueda tener en los individuos en lo que respecta a la
privacidad, el punto 84 de la Resolución, el Parlamento Europeo apunta que es
necesario “integrar en todas las políticas la protección de datos personales y de la vida
privada a la hora de desarrollar tecnologías y crear sistemas de información a gran
escala”653.
Otro de los puntos relevantes destacados por el Parlamento Europeo en la citada
resolución de 2009, es el relativo al perfilado (profiling), al que se hace referencia en el
punto 88 del documento. A este respecto, el PE expresa su preocupación “por la
práctica cada vez más extendida de la elaboración de perfiles basada en el uso de
técnicas de extracción de datos y recopilación generalizada de datos pertenecientes a
ciudadanos inocentes con fines preventivos y policiales; recuerda la importancia de que
las acciones encaminadas a hacer cumplir la ley se basen en el respeto de los derechos
653 Ver punto 84 de la ya citada Resolución del Parlamento Europeo de 25 de noviembre de 2009.
305
humanos, desde el principio de la presunción de inocencia, derecho a la intimidad y
protección de datos. Asimismo, el Parlamento Europeo celebra, en la citada resolución,
que “en el Programa de Estocolmo se haya resaltado la importancia de la tecnología
en el contexto de la protección efectiva de los datos personales y la vida privada”.
La Comisión Europea publicó, en noviembre de 2010, la Comunicación Un enfoque
global de la protección de datos personales de la UE654. En este texto se destaca que la
Comisión Europea realizó un examen del marco jurídico actual, con una conferencia de
alto nivel en mayo de 2009, seguida de una consulta pública hasta finales de 2009.
Asimismo, también la propia CE llevó a cabo diversos estudios655. Entre los estudios
llevados a cabo por la CE destaca el denominado Comparative study on different
approaches to new privacy challenges in particular in light of technological
developments, publicado en enero de 2010, un estudio cuyo objeto era identificar los
retos para la protección de datos de carácter personal derivados de fenómenos sociales y
técnicos como:
Internet.
La globalización.
La ubicuidad creciente de los datos personales y de su recogida.
El poder creciente y la capacidad de las computadoras de procesamiento de
datos personales así como de otros dispositivos.
654 Ver la Comunicación de la Comisión Europa, al Parlamento Europeo, al Consejo, Comité Económico
y Social Europeo y Comité de las Regiones, Enfoque global de la protección de datos personales,
noviembre 2010. 655 Ver el estudio de la Comisión Europea: Study on the economic benefits of privacy enhancing
technologies. 2010. Ver asimismo el estudio Comparative study on different approaches to new privacy
challenges, in particular in the light of technological developments, enero 2010.
306
Nuevas tecnologías especiales como RFID, biometría, reconocimiento facial,
etc.
Aumento del uso de datos personales para propósitos diferentes para los que
originalmente fueron recabados.
Seguridad nacional, ciberseguridad y lucha contra el cibercrimen organizado.
Asimismo, y además de identificar estos retos, el objeto del citado estudio era realizar
un informe con un análisis comparativo de las respuestas que los diferentes regímenes
regulatorios así como sistemas no regulatorios (dentro y fuera de la UE) ofrecían para
estos retos. Por otra parte, dicho informe valoraría si la Directiva 95/46/CE de
protección de datos todavía ofrecía una protección adecuada o, sin embargo, debía ser
enmendada o revisada para dar una respuesta adecuada a los nuevos retos. En las
conclusiones del citado estudio656, se destaca que el derecho de protección de datos en
la Unión Europea, debe continuar apoyándose en los principios básicos y en los criterios
marcados por la Directiva 95/46/CE. La aplicación de estos estándares amplios es
necesario revisarla, pero en sí mismos, los principios no necesitan revisión para dar
respuesta a los nuevos retos ya que reflejan lo contemplado en las constituciones
nacionales, así como en la Convención Europea de Derechos Humanos y en la Carta de
Derechos Fundamentales de la UE y los estándares de derechos humanos, que deben ser
fuertemente reafirmados.
656 Ver página 21 del estudio de la Comisión Europa Comparative study on different approaches to new
privacy challenges in particular in light of technological developments, enero 2010. En las conclusiones
del estudio se destaca que: “Data Protection Law in the EU […] can and should continue to rest on the
basic data protection principles and criteria set out in Directiva 95/46/CE. The application of these
broad standards needs to be clarified, but they themselves do not require major revisión in order to meet
the new challenges. On the contrary, they reflect European and national constitutional human rights
standards of the kind just mentioned that need to be strongly reaffirmed”
307
La citada Comunicación destaca que los resultados obtenidos tras dicha investigación
confirman que los principios fundamentales de la Directiva 95/46/CE continúan siendo
perfectamente válidos y “conviene preservar su neutralidad desde el punto de vista
tecnológico”. No obstante, se detectaron problemas cuya resolución supone retos
específicos. La Comunicación de la CE de 2010, destaca que se trata en especial de lo
siguiente:
Abordar el impacto de las nuevas tecnologías.
Reforzar la dimensión de mercado interior de la protección de datos.
Hacer frente a la globalización y mejorar las transferencias internacionales de
datos.
Consolidar las disposiciones institucionales para la aplicación efectiva de las
normas de protección de datos.
Mejorar la coherencia del marco jurídico que regula la protección de datos.
La propia Exposición de motivos de la Propuesta de la CE de Reglamento Europeo de
Protección de Datos destaca que “generar confianza en el entorno en línea es esencial
para el desarrollo económico”. La falta de confianza hace que los consumidores vacilen
a la hora de adquirir productos en línea y adoptar nuevos servicios, con lo que se corre
el riesgo de que se ralentice el desarrollo de usos innovadores de las nuevas tecnologías.
La protección de datos personales desempeña, por tanto, una función esencial en la
Agenda Digital para Europa657 y más concretamente en la Estrategia Europa 2020.
657http://ec.europa.eu/digital-agenda/
308
La Agenda Digital Europea658 es uno de los siete pilares de la Estrategia Europa
2020659, que fija los objetivos para el crecimiento de la UE para 2020. La Agenda
Digital aborda cómo sacar un mejor provecho del potencial de las tecnologías de la
Comunicación e Información (ICT) para impulsar la innovación, el crecimiento
económico y el progreso. El principal objetivo de la Agenda Digital es desarrollar un
Mercado Único Digital para lograr un crecimiento inteligente, sostenible e inclusivo en
la UE. A su vez, la Agenda Digital está formada por siete pilares o bloques:
1. Lograr un Mercado Único Digital.
2. Mejorar la interoperabilidad y los estándares.
3. Fortalecer la confianza online y la seguridad.
4. Promover un acceso universal a Internet rápido y ultrarrápido.
5. Invertir en investigación e innovación.
6. Promover la alfabetización digital, skills o capacidades e inclusión.
7. Lograr beneficios derivados de las ICT para la sociedad de la UE.
En la Comunicación de la CE Agenda Digital para Europa, se señala que son
obstáculos que dificultan la Agenda Digital “la fragmentación de los mercados
digitales, falta de interoperabilidad, incremento de la ciberdelincuencia y el riesgo de
escasa confianza en las redes, ausencia de inversión en las redes, insuficiencia de los
esfuerzos de investigación e innovación, carencias en la alfabetización y capacitación
digitales, así como la pérdida de oportunidades para afrontar los retos sociales”. Por
ello, el objetivo de la Agenda es “trazar un rumbo que permita maximizar el potencial
658 Comunicación de la Comisión Europa, al Parlamento Europeo, al Consejo Europeo, al Comité de las
Regiones y al Comité Económico y Social Agenda Digital para Europa, de 19 de mayo de 2010. 659http://ec.europa.eu/europe2020/index_es.htm
309
de las TIC y, en particular, de Internet como soporte esencial de la actividad
económica y social: para hacer negocios, trabajar, jugar, comunicarse, y expresarse en
libertad”.
En lo que respecta a los documentos del WP29, destaca, entre otros, el dictamen El
futuro de la intimidad660. En este documento, el WP29 destaca que pese a los nuevos
retos en el ámbito de la protección de datos, los principios recogidos en la Directiva
95/46/CE siguen siendo perfectamente válidos, siendo necesaria una mejor aplicación
de los mismos. Al respecto, el WP 29 señala (literal en inglés). “the main principles of
data protection are still valid despite these important challenges. The level of data
protection in the EU can benefit from a better application of the existing data protection
principles in practice. This does not mean that no legislative change is needed”.
Tal y como se destacaba en la Exposición de Motivos de la Propuesta de Reglamento
General de Protección de Datos de la Comisión Europea, de 25 de enero de 2012, la
iniciativa legislativa del RGPD es consecuencia de una amplia consulta sobre la
revisión del marco jurídico vigente en materia de protección de datos de carácter
personal, consulta que se prolongó durante más de dos años, incluyendo una
conferencia de alto nivel, celebrada en mayo de 2009, y dos fases de consulta pública:
660 Dictamen del Grupo de Trabajo del Artículo 29, El futuro de la intimidad, (2009, WP 168). Ver
asimismo, otros documentos del WP29, como el dictamen sobre los conceptos de responsable y
encargado del tratamiento (1/2010, WP 169); dictamen sobre publicidad comportamental en línea
(2/2010, WP 171); dictamen sobre el principio de consentimiento (15/2011, WP 187); dictamen sobre
elprincipio de la obligación de rendir cuentas (3/2010, WP 173) y dictamen sobre la legislación
aplicable (8/2010, WP 179).
310
Del 9 de julio al 31 de diciembre de 2009, la Consulta sobre el marco jurídico
para el derecho fundamental a la protección de datos de carácter personal661.
Del 4 de noviembre de 2010 al 15 de enero de 2011, la Consulta sobre el
enfoque global de la Comisión sobre la protección de datos de carácter
personal en la Unión Europea662.
Asimismo, y como un antecedente importante al RGPD, cabe hacer referencia a la
encuesta o Eurobarómetro llevado a cabo a finales de 2010 y publicado en junio de
2011663. Dicha encuesta confirma que aunque la mayoría de usuarios europeos de
Internet se sienten responsables ellos mismos de la salvaguarda de sus datos personales,
“casi todos los europeos -un 90%- están a favor de una igual protección con los mismos
derechos en toda la UE”664. Además, “el 70% de europeos está preocupado por el
hecho de que los datos personales que tienen de ellos las compañías puedan ser usados
para un propósito distinto para el cual fueron recogidos”665. Por otra parte, y en lo que
respecta al derecho al olvido, “una clara mayoría-un 75%- de europeos quieren eliminar
datos personales de las websites cuando así lo decidan”666.
661 La CE recibió 168 respuestas, 127 de personas físicas, organizaciones y asociaciones empresariales, y
12 de autoridades públicas. http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. 662 La CE recibió 305 respuestas, de las cuales 54 procedían de ciudadanos, 31 de autoridades públicas y
220 de organizaciones privadas, especialmente de asociaciones empresariales y organizaciones no
gubernamentales. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. 663 Eurobarómetro especial (EB) 359, Data Protection and Electronic Identity in the EU, 2011 664 Ibídem. 665 Ibídem. 666 Según el Eurobarómetro 2011 (cita textual según el texto original en inglés): “As regards the right to
be forgotten, a clear majority (75%) want to delete personal information on a website whenever they
decide to do so”.
311
En junio de 2015, en pleno proceso de tramitación del RGPD, se publicó el
Eurobarómetro de la CE sobre protección de datos personales667, que actualiza las
inquietudes o la percepción de los ciudadanos europeos en materia de protección de
datos. En esta encuesta se destaca que “dos tercios de los europeos cree que es
importante poder transferir información personal desde un proveedor de servicios a
otro”668. Además, según el eurobarómetro sólo un 15% se siente en pleno control de sus
datos personales. Por otra parte, se refuerza la idea de que es necesario un mismo nivel
de protección en toda la UE. En este sentido, “una gran mayoría de europeos demanda
homogeneidad legislativa y armonización en los 28 Estados miembros. De hecho, un
89% cree que es necesario un mismo nivel de protección en toda la UE, con
independencia del lugar donde se ubique la entidad que está tratando los datos”669.
Como parte del proceso de toma de decisiones de la CE, y de conformidad con su
política de legislar mejor, la CE realizó una evaluación de impacto (impact assesment en
su denominación en inglés) de distintas posibilidades de actuación670. La evaluación de
impacto se basó en tres objetivos estratégicos:
Mejorar la dimensión de mercado interior de la protección de datos.
Hacer más efectivo el ejercicio de los derechos de protección de datos por los
ciudadanos.
667 Eurobarómetro de la CE sobre Protección de Datos de carácter personal, 24 junio 2015.
http://ec.europa.eu/justice/newsroom/data-protection/news/240615_en.htm 668 Ibídem. 669 Ibídem. 670 Ver página 5 de la Propuesta de la CE de Reglamento de Protección de Datos de carácter personal, de
25 de enero de 2012. http://ec.europa.eu/justice/data-
protection/document/review2012/com_2012_11_es.pdf
312
Crear un marco general y coherente que abarque todos los ámbitos de
competencia de la UE, incluida la cooperación policial y judicial en materia
penal.
Asimismo, se evaluaron tres opciones de actuación. La primera, consistía en la
introducción de mínimas enmiendas legislativas y el uso de comunicaciones
interpretativas y medidas de apoyo estratégico, como programas de financiación y
herramientas técnicas; la segunda, abarcaba un paquete de disposiciones legislativas
que abordaban cada una de las cuestiones identificadas en el análisis. Finalmente, la
tercera opción consistía en la centralización de la protección de datos a nivel de la
UE mediante normas precisas y detalladas para todos los sectores y la creación de
una agencia de la UE destinada a la supervisión y ejecución de las disposiciones.
En septiembre de 2011, el Comité de Evaluación de Impacto (CEI) emitió su
dictamen, introduciendo los siguientes cambios en la evaluación de impacto:
Se aclararon los objetivos del marco jurídico en vigor, en qué medida se
alcanzaron y en qué medida no se lograron, así como los objetivos de la
reforma prevista.
Se añadieron más elementos de prueba y explicaciones o aclaraciones
adicionales, en la sección relativa a la definición de problemas.
Se añadió una sección sobre la proporcionalidad.
313
Se verificaron y revisaron en su integridad todos los cálculos y estimaciones
sobre la carga administrativa de la hipótesis de base y de la opción preferida,
y se aclaró la relación entre los costes de las notificaciones y los costes
totales de fragmentación.
Se especificó mejor el impacto en las microempresas, las pymes,
especialmente de los delegados de protección de datos y las evaluaciones de
impacto de la protección de datos.
Finalmente, se optó por la elaboración de una norma armonizadora en forma de
reglamento, directamente aplicable en todos los países de la UE sin necesidad de
normativa interna de transposición. Es una norma ambiciosa y aplicable a todos los
sectores de actividad económica. Por tanto, todos los responsables de tratamiento, de
cualquier sector, se verán afectados por esta nueva norma. En el siguiente apartado, se
analizarán las principales novedades de esta normativa tan esperada, que ha tardado más
de cuatro años en tramitarse.
8.2. Novedades del Reglamento 679/2016 General de Protección de Datos
El considerando 9 del RGPD671 destaca que si bien los principios y objetivos de la
Directiva de 1995 siguen siendo válidos, ha habido fragmentación en la aplicación de la
671 El considerando 9 del Reglamento destaca: “Aunque los objetivos y principios de la Directiva
95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la
Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada
entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en
particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los
derechos y libertades de las personas físicas, en particular del derecho a la protección de datos de
carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden
impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden
constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión,
falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud
314
misma en los distintos Estados miembros, lo que ha derivado en inseguridad jurídica,
así como en distintos niveles de protección. Esta diferencia en los niveles de protección
en los distintos países de la UE se debe a la existencia de divergencias en la ejecución y
aplicación de la Directiva 95/46/CE. Por tanto, un primer objetivo que se persigue con
esta reforma es la armonización legislativa, de modo que en la UE haya una única
normativa europea de protección de datos y no veintiocho. En lo que respecta a las
disposiciones generales del RGPD, el artículo 1672 define el objeto de la norma y, como
el artículo 1 de la Directiva de 1995673, establece los dos objetivos del mismo. El
artículo 2674 define el ámbito de aplicación material del texto normativo y el artículo 3
el ámbito de aplicación territorial675.
del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de
divergencias en la ejecución y aplicación de la Directiva 95/46/CE”. 672 El artículo 1 del Reglamento dice así: “Objetivo y objetivos-1. El Presente Reglamento establece las
normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de
carácter personal y las normas relativas a la libre circulación de tales datos. 2. El presente Reglamento
protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la
protección de los datos personales. 3. La libre circulación de los datos personales en la Unión no podrá
ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que
respecta al tratamiento de datos personales”. 673 Artículo 1 de la Directiva 95/46/CE: “Objeto de la Directiva. 1. Los Estados miembros garantizarán,
con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y los derechos
fundamentales de las personas físicas y, en particular, del derecho a la intimidad, en lo que respecta al
tratamiento de los datos personales. 2. Los Estados miembros no podrán restringir ni prohibir la libre
circulación de datos personales entre los Estados miembros por motivos relacionados con la protección
garantizada en virtud del apartado 1”. 674 Artículo 2 del Reglamento de la CE: “Ámbito de aplicación material.-1- El presente Reglamento se
aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no
automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente
Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una actividad no
comprendida en el ámbito de aplicación del Derecho de la Unión; b) por parte de los Estados miembros
cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 Título V del
Tratado de la Unión Europea; c) efectuado por una persona física en el ejercicio de actividades
exclusivamente personales o domésticas, d) por parte de las autoridades competentes con fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de
sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y a su prevención.
3. El Reglamento (CE) nº 45/2001 es de aplicación al tratamiento de datos de carácter personal por
parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) nº 45/2001 y otros
actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a
los principios y normas del presente Reglamento de conformidad con su artículo 98.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en
particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios
establecidas en los artículos 12 a 15 de la Directiva citada”. 675 El artículo 3 del Reglamento señala. “1.El presente Reglamento se aplica al tratamiento de datos
personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la
Unión, con independientemente de que el tratamiento tenga lugar en la Unión o no. 2. El presente
315
Precisamente, el ámbito de aplicación territorial del RGPD es un punto a todas luces
novedoso, en el sentido de que, por primera vez, la normativa europea pasaría a ser
aplicable a las empresas de fuera de la UE, que dirijan sus productos o servicios a
ciudadanos europeos o que monitoricen su conducta, siempre que ésta conducta tenga
lugar en la UE. Este es un punto en el que difiere notablemente de la Directiva
95/46/CE y no cabe duda de que la tendencia del legislador europeo es la de que a los
gigantes tecnológicos americanos les sea aplicable la normativa europea, en la medida
en que obtienen beneficio en la UE gracias al ofrecimiento de servicios a ciudadanos
europeos. En lo que respecta a la monitorización de la conducta, el RGPD apunta que
“para determinar si se puede considerar que una actividad de tratamiento controla la
conducta de los interesados, debe evaluarse si las personas físicas son objeto de un
seguimiento en Internet con técnicas de tratamiento de datos que consistan en la
aplicación de un perfil a un individuo con el fin, en particular, de adoptar decisiones
sobre él o de analizar o predecir sus preferencias personales, comportamientos y
actitudes”676.
Este artículo 3 representa, por tanto, “un importante avance con respecto a la situación
anterior, facilitando el sometimiento a la legislación europea y a la competencia de las
autoridades administrativas de sus Estados miembros, de quienes no se encuentran
Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por
parte de un responsable o encargado del tratamiento no establecido en la Unión, cuando las actividades
de tratamiento estén relacionadas con: a) la oferta de bienes y servicios a dichos interesados en la
Unión, independientemente de si a estos se les requiere su pago o ; o b) el control de su comportamiento,
en la medida en que éste tenga lugar en la Unión. 3. El presente Reglamento se aplica al tratamiento de
datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en el
que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho Internacional Público”. 676 Ver considerando 24 del Reglamento.
316
establecidos en la UE, pero tratan datos de residentes en la UE en circunstancias en las
que es apropiado que queden sometidos a la legislación europea”677.
El RGPD hace referencia a la irrelevancia de que el tratamiento se efectúe fuera de la
UE, a efectos del ámbito de aplicación territorial del RGPD, siendo claves otros
condicionantes pero no el lugar donde efectivamente se realice el tratamiento, que es
irrelevante678.
Por su parte, el WP29, considera que en lo relativo al ámbito de aplicación territorial es
necesario que la futura norma sea aplicable también a los encargados del tratamiento,
situados fuera de la UE, cuando actúan por encargo de un responsable del tratamiento
que está sometido al RGPD. A este respecto destaca: “The Working party would like to
draw attention to the need to cover non EU-processors where they act for controllers
subject to the Regulation”679.
Por tanto, ante la pregunta de quién se verá afectado por la reforma, la respuesta es que
afectará a cualquier empresa que haga negocios con ciudadanos europeos, con
independencia de dónde tenga su sede la empresa. Es decir, se aplicará el mismo
677 De Miguel Asensio, Pedro: “Algunas cuestiones internacionales de la Propuesta de Reglamento
general sobre protección de datos de la UE”, pedrodemiguelasensio.blogspot, 21 de noviembre 2013.
http://pedrodemiguelasensio.blogspot.com.es/2013/11/algunas-cuestiones-internacionales-de.html 678 A este respecto, el considerando 19 del Reglamento señala: “Todo tratamiento de datos personales en
el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en la
Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de si el
tratamiento tiene lugar en la Unión o no. Por establecimiento se entiende el ejercicio efectivo y real de
una actividad mediante una instalación estable. Su forma jurídica, ya sea a través de una sucursal o una
filial con personalidad jurídica, no es el factor determinante al respecto”. 679 Documento del WP29, Appendix, Core Topics on the view of trialogue, 17 de junio 2015, pag.4.
Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/index_en.htm
317
conjunto de reglas en materia de protección de datos a todas las empresas que hagan
negocios en la UE, dirigiéndose a ciudadanos europeos680.
Más allá del ámbito de aplicación territorial, el RGPD contiene numerosos aspectos
novedosos, que en este bloque de la tesis se desgranarán. Además de los principios ya
incluidos en la Directiva 95/46/CE, se incluyen principios nuevos de la protección de
datos de carácter personal: privacy by design, privacy by default y el principio de
accountability.
En lo que respecta al principio de privacy by design (o privacidad desde el diseño) hace
referencia a la necesidad de tener en cuenta la perspectiva de la privacidad desde el
origen o diseño del producto o servicio en cuestión, de modo que la privacidad esté
imbuida en el propio código genético del producto. Por otra parte, el principio de
privacy by default, hace referencia a que, en una aplicación, sistema operativo o, por
ejemplo plataforma o producto, a la hora de configurar los parámetros, por defecto y a
falta de que el destinatario del servicio o producto elija otra opción, la configuración se
decante por la opción de mayor privacidad. Al respecto, el RGPD apunta que “la
protección de los derechos y libertades de las personas físicas con respecto al
tratamiento de datos personales exige la adopción de medidas técnicas y organizativas
apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente
Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el
responsable del tratamiento debe adoptar políticas internas y aplicar medidas que
cumplan en particular los principios de protección de datos desde el diseño y por
defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el
680 Ver el documento Propuesta de Reglamento de Protección de Datos de la UE: próximos requisitos de
confidencialidad de datos y cómo cumplirlos, Sophos, 2014.
318
tratamiento de datos personales, seudonimizar lo antes posible los datos personales,
dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a
los interesados supervisar el tratamiento de datos y al responsable del tratamiento
crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar
aplicaciones, servicios y productos que están basados en el tratamiento de datos
personales o que tratan datos personales para cumplir su función, ha de alentarse a los
productores de los productos, servicios y aplicaciones a que tengan en cuenta el
derecho a la protección de datos cuando desarrollar y diseñen estos productos,
servicios y aplicaciones, y que aseguren, con la debida atención al estado de la técnica,
de que los responsables y los encargados del tratamiento están en condiciones de
cumplir sus obligaciones en materia de protección de datos. Los principios de la
protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el
contexto de los contratos públicos”681.
A este respecto, el RGPD destaca: “Protección de datos desde el diseño y por defecto.
1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,
ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y
gravedad que entraña el tratamiento para los derechos y libertades de las personas
físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los
medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y
organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma
efectiva los principios de protección de datos, como la minimización de datos, e
integrar las garantías necesarias del tratamiento, a fin de cumplir los requisitos del
presente Reglamento y proteger los derechos de los interesados. 2. El responsable del
681 Ver el considerando 78 del Reglamento.
319
tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a
garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que
sean necesarios para cada uno de los fines específicos de tratamiento. Esta obligación
se aplicará a la cantidad de datos personales recogidos, a la extensión de su
tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas
garantizarán en particular que, por defecto, los datos personales no sean accesibles,
sin la intervención de la persona, a un número indeterminado de personas físicas. 3.
Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42
como elemento que acredite el cumplimiento de las obligaciones establecidas en los
apartados 1 y 2 del presente artículo”682.
La idea de incorporar la perspectiva de la protección de datos en el diseño de sistemas
de IT (Information Technology) no es completamente nueva683. El propio considerando
46 de la Directiva 95/46/CE684 hace mención a la necesidad de adoptar medidas técnicas
y organizativas tanto en el diseño del sistema de tratamiento de datos como en el propio
tratamiento de datos, lo que ha sido considerado por algún autor como una
manifestación del principio de privacy by design685.
682 Ver artículo 23 del Reglamento. 683 Schaar, Peter: “Privacy by design”, Identity in the Information Society, vol. 3, Issue 2, Holanda,
Springer Netherlands, Abril 2010, pag. 267. 684 El considerando 46 de la Directiva 95/46/CE señala: “Considerando que la protección de los derechos
y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la
adopción de medidas técnicas y de organización apropiadas, tanto en el momento de la concepción del
sistema de tratamiento como en el de la aplicación de los tratamientos mismos, sobre todo con objeto de
garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los
Estados Miembros velar por que los responsables del tratamiento respeten dichas medidas; que esas
medidas deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y
el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de
los datos que deban protegerse”. 685 Schaar, Peter: op.cit, pag.267.
320
Por su parte, el principio de accountability, que tiene su origen en el derecho anglosajón
hace referencia a la necesaria rendición de cuentas, due diligence o compromiso por
parte del responsable del tratamiento, siendo necesario que implante políticas de
privacidad y demuestre activamente el cumplimiento con la normativa de protección de
datos de carácter personal. No cabe duda de que en nuestra sociedad, tanto en el sector
público como en el privado, ha surgido una creciente necesidad de ser transparente y
demostrar el correcto cumplimiento. Es decir, no sólo hacer las cosas bien, sino que se
sepa que se hacen las cosas bien, dar a conocer cómo se hacen las cosas. A este
respecto, resulta clave hacer mención a la Ley 19/2013, de 9 de diciembre, de
Transparencia, Acceso a la Información Pública y Buen Gobierno, que tiene por objeto
ampliar y reforzar la transparencia en España de la actividad pública, regular y
garantizar el derecho de acceso a la información relativa a aquella actividad y establecer
las obligaciones de buen gobierno que deben cumplir los responsables públicos. Al
margen de esta norma clave que aplica al sector público, como comentamos, la
necesidad creciente en los últimos años de ser transparente y demostrar el compromiso
con el cumplimiento normativo abarca tanto al sector público como al privado.
Algunos autores consideran que la accountability o rendición de cuentas consiste en la
responsabilidad de responder por un desempeño particular ante las expectativas de
distintas audiencias o partes interesadas y que se trata de una parte esencial de proceso
de democratización686.
686 Ebrahim, Alnoor: “Accountability Myopia: Losing sight of Organizational learning”, Nonprofit and
Voluntary Sector Quarterly, Virgnia Polytechnic Institute and State University, Marzo 2005, 34, pags. 56
y ss. Ver asimismo Bonbright, David: “A Justice oriented Global Civil Society Infraestructure: vision or
illusion?”, Keystone Accountability for Social Change, Junio 2006. Para mayor conocimiento sobre este
principio ver el documento del Reino Unido, Standards in Public Life: First report of the Committee on
Standards in Public
Life,1995.https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/336919/1stInqui
ryReport.pdf
321
Los Estándares internacionales de Privacidad aprobados en la Conferencia Internacional
de Madrid de 2009 también abordan este principio de accountability687. El RGPD, en lo
referente a la responsabilidad del responsable del tratamiento, apunta: “1. Teniendo en
cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los
riesgos de diversa probabilidad y gravedad para los derechos y libertades de las
personas físicas, el responsable del tratamiento aplicará medidas técnicas y
organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es
conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán
cuando sea necesario. [….]. 3. La adhesión a códigos de conducta aprobados a tenor
del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42
podrán ser utilizados como elementos para demostrar el cumplimiento de las
obligaciones por parte del responsable del tratamiento”688.
En diversos considerandos del RGPD, así como en varios artículos se menciona el
concepto de responsabilidad proactiva del responsable del tratamiento. Sin duda, la
necesidad de demostrar cumplimiento (al margen de cumplir) se convierte en vital. A
este respecto, se destaca que, en particular, el responsable del tratamiento debe
garantizar y está obligado a demostrar que cada operación de tratamiento cumple lo
dispuesto en el RGPD. “No se trata ya del responsable del tratamiento que se encuentra
descrito en la LOPD y en la Directiva y que recogen un modelo más pasivo y reactivo.
[…] El Reglamento dibuja un responsable que debe velar de manera positiva y
687 Ver el artículo 22 de la Resolución de Madrid de estándares internacionales de privacidad de
2009.https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conf
erence_int/09-11-05_Madrid_Int_standards_ES.pdf 688 Ver artículo 24 del Reglamento.
322
proactiva por que el tratamiento de los datos personales respete la legislación. Se trata
de un responsable con actitud propositiva”689.
Por su parte, el WP29690 considera que las medidas comunes de responsabilidad,
medidas en las que se materializaría este principio de accountability, entre otras,
podrían ser: “a) el establecimiento de procedimientos internos previos a la creación de
nuevas operaciones de tratamiento de datos personales, b) el establecimiento de
políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se
valoren en nuevas operaciones de tratamiento de datos (por ejemplo, cumplimiento de
los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc), que
deben ponerse a disposición de las personas interesadas, c) la cartografía de
procedimientos que garanticen la identificación correcta de todas las operaciones de
tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento
de datos, d) el nombramiento de un funcionario de protección de datos y otras personas
responsables de la protección de datos, e). la oferta adecuada de protección de datos y
formación a los miembros del personal […], f) el establecimiento de un mecanismo
interno de tratamiento de quejas, g) el establecimiento de procedimientos internos de
gestión y notificación eficaces de fallos de seguridad, h) la realización de evaluaciones
de impacto sobre la privacidad en circunstancias específicas, i) la aplicación y
supervisión de procedimientos de verificación que garanticen que las medidas no sean
689 Troncoso Reigada, Antonio: “Autoridades de control independientes”, en Piñar Mañas, J.L.,
Reglamento General de Protección de Datos, hacia un nuevo modelo europeo de privacidad, Editorial
Reus, 2016, pag. 468. 690 Dictamen 3/2010 sobre el principio de responsabilidad, de 13 de julio de 2010.
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_es.pdf
323
sólo nominales sino que se apliquen y funcionen en la práctica (auditorías internas o
externas, etc)”691.
Otra de las novedades importantes que incorpora el RGPD es la relativa a la figura del
DPO (Data Protection Officer) o Delegado de Protección de Datos, como figura clave
en las organizaciones, encargada de velar por el cumplimiento de la normativa de
protección de datos. En el RGPD, en la sección cuarta, artículos 37 y siguientes se
ocupan de esta figura. El RGPD recoge las funciones del DPO y apunta: “1. El
responsable y el encargado del tratamiento designarán un delegado de protección de
datos, siempre que: a) el tratamiento lo lleve a cabo una autoridad y organismo
público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las
actividades principales del responsable o del encargado consistan en operaciones de
tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una
observación habitual y sistemática de interesados a gran escala, o c)las actividades
principales del responsable o del encargado consistan en el tratamiento a gran escala
de categorías especiales de datos personales con arreglo al artículo 9 y de datos
relativos a condenas e infracciones penales a que se refiere el artículo 10. 2. Un grupo
empresarial podrá nombrar un único delegado de protección de datos siempre que sea
fácilmente accesible desde cada establecimiento. 3. Cuando el responsable o encargado
del tratamiento sea una autoridad u organismo público, se podrá designar un único
delegado de protección de datos para varias de estas autoridades u organismos,
teniendo en cuenta su estructura organizativa y tamaño. 4. En los casos distintos de los
contemplados en el apartado 1, el responsable o encargado del tratamiento, o las
asociaciones y otros organismos que representen a categorías de responsables o
691 Ibídem.
324
encargados podrán designar un delegado de protección de datos o deberán designarlo
si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de
protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos
que representen a responsables o encargados. 5. El delegado de protección de datos
será designado atendiendo a sus cualidades profesionales y, en particular, a sus
conocimientos especializados del Derecho y la práctica en materia de protección de
datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6. El
delegado de protección de datos podrá formar parte de la plantilla del responsable o
encargado de tratamiento o desempeñar sus funciones en el marco de un contrato de
servicios. 7. El responsable o encargado de tratamiento publicarán los datos de
contacto del delegado de protección de datos y los comunicarán a la autoridad de
control”692.
En cuanto a las funciones y tareas del DPO, el artículo 39693 destaca, entre otras,
informar y asesorar al responsable o encargado del tratamiento de las obligaciones que
les incumben, supervisar la implementación y aplicación de las políticas de privacidad
así como del cumplimiento con todo lo dispuesto en el RGPD, y realizar funciones de
conservación de documentación o notificación de brechas de seguridad. Asimismo
serviría como punto de contacto con la autoridad de control.
692 Ver el artículo 37 del Reglamento. 693 El artículo 39 del Reglamento, referente a las funciones del DPO señala: “1. El delegado de protección
de datos tendrá como mínimo las siguientes funciones: a) informar y asesorar al responsable o al
encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les
incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión
o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de
otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del
responsable o encargado del tratamiento en materia de protección de datos personales, incluida la
asignación de responsabilidades, la concienciación y formación del personal que participa en las
operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le
solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación
de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de
contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a
la que se refiere el artículo 36 y realizar consultas, en su caso, sobre cualquier otro asunto. […]”
325
Durante la tramitación del RGPD se ha venido discutiendo sobre esta figura del DPO,
en concreto, sobre su carácter obligatorio o no. De hecho, en la versión de enero de
2012 de la Propuesta de la CE, se establece como obligatorio para todas las empresas de
más de 250 trabajadores así como para Administraciones Públicas. En la versión
finalmente aprobada y publicada en el DOUE, se establece como una figura voluntaria
con algunas excepciones y deja en manos de los Estados miembros la decisión sobre su
carácter obligatorio. Entre otros ejemplos que dan margen de maniobra a los distintos
países de la UE, éste es un ejemplo de por qué se puede considerar que con la postura
adoptada por el Consejo de la UE se pierde homogeneidad y la fuerza armonizadora
propia de un Reglamento – el Reglamento es directamente aplicable en los Estados
miembros- para parecerse más a una Directiva, que permite más margen de maniobra a
los países con la transposición de los distintos ordenamientos jurídicos internos.
Por su parte, el WP29694, emitió un documento con vistas a las negociaciones del
trílogo,695 sobre el RGPD, una vez el Consejo de la UE adoptó su postura el pasado 15
de junio de 2016. En este documento, el WP29 consideró recomendable que la figura
del DPO fuese obligatoria en función del tipo de datos que se traten y su volumen y,
entre otras muchas cosas, considera que las Administraciones Públicas deberían ser
sancionadas económicamente ante infracciones del RGPD.
694Ver el documento del WP29, Appendix, Core topis in the view of trialogue, de 17 de junio de 2015.
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-
release/art29_press_material/2015/20150619_wp29_press_release_-_opinion_in_view_of_trilogue.pdf 695 El trílogo hace referencia a las negociaciones a tres bandas entre la Comisión Europea, Parlamento
Europeo y Consejo de la UE, que comenzaron el pasado 24 de junio de 2016, con el fin de adoptar el
texto definitivo del futuro Reglamento Europeo de Protección de Datos.
326
Asimismo, una de las grandes novedades es la reducción de carga burocrática para las
empresas, suprimiéndose la obligación de inscripción de ficheros ante la agencia de
protección de datos. Sin embargo, se introduce un nuevo concepto que es el de
Notificación de brecha de seguridad (Data Breach notification), que se recoge en el
artículo 33 y 34. “Notificación de una violación de la seguridad de datos personales a
la autoridad de control. 1. En caso de violación de la seguridad de los datos
personales, el responsable del tratamiento la notificará a la autoridad de control
competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a
más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea
improbable que dicha violación de la seguridad constituya un riesgo para los derechos
y libertades de las personas físicas. Si la notificación a la autoridad no tiene lugar en el
plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2.
El encargado del tratamiento notificará […]. 3. La notificación contemplada en el
apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la
seguridad de los datos personales, inclusive cuando sea posible, las categorías y el
número aproximado de interesados afectados, y las categorías y el número aproximado
de registros y datos personales afectados; b) comunicar el nombre y los datos del
delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse
más información; c) describir las posibles consecuencias de la violación de la
seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por
el responsable del tratamiento para poner remedio a la violación de seguridad de datos
personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles
efectos negativos. 4. […]”696.
696 Ver artículo 33 del Reglamento.
327
Por su parte, fue el Consejo de la UE, con respecto a las violaciones de datos, quien
restringió la obligación de notificar a las autoridades de control y a los interesados a los
supuestos en los que se pueda producir un riesgo elevado para los derechos de los
interesados y amplió el plazo a 72 horas, ya que hubo momentos durante la tramitación
normativa del texto donde ese plazo era de 24 horas. El texto aprobado por el Consejo
de la UE en junio de 2015 tiene un enfoque más basado en el riesgo (risk based
approach) y cómo configura la notificación de brecha de seguridad es un claro ejemplo
de ello. Finalmente el texto aprobado y publicado en el DOUE mantiene el plazo de 72
horas y limita la notificación al sujeto interesado a las situaciones en las que se produce
un riesgo elevado para sus derechos.
Las denominadas Privacy Impact Assesments (PIAS) o Evaluaciones de Impacto de
Privacidad es otra de las grandes novedades del RGPD, entendido como el análisis o
estudio de los riesgos que en materia de privacidad entraña un nuevo producto, servicio
o sistema. “Evaluación de impacto relativa a la protección de datos: 1. Cuando sea
probable que un tipo de tratamiento, en particular, si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y
libertades de las personas físicas, el responsable del tratamiento realizará, antes del
tratamiento, una evaluación del impacto de las operaciones de tratamiento en la
protección de datos personales. Una única evaluación podrá abordar una serie de
operaciones de tratamiento similares que entrañen riesgos similares. 2. El responsable
del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha
sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos. 3
[…]”697.
697 Ver el artículo 35 del Reglamento.
328
Por su parte, en los considerandos del RGPD se apunta a que “hay circunstancias en las
que puede resultar sensato y económico que una evaluación de impacto de la
protección de datos abarque a más de un único proyecto, por ejemplo, en caso de que
las autoridades u organismos públicos tengan la intención de crear una aplicación o
plataforma común de tratamiento o de que varios responsables se planteen introducir
una aplicación o un entorno de tratamiento común en un sector o segmento empresarial
o para una actividad horizontal de uso generalizado”698·
También la Agencia Española de Protección de Datos elaboró en 2014 una Guía sobre
las Evaluaciones de Impacto de Privacidad699, adelantándose de esta manera al propio
RGPD y publicando así un documento con el que pretende promover que las
organizaciones, fundamentalmente las que hacen un uso masivo de datos, no solamente
cumplan con lo dispuesto en la ley sino que adopten un enfoque más proactivo con sus
políticas de privacidad.
Por otra parte, en lo que respecta a los derechos de los interesados, además del
novedoso derecho al olvido, eje central de esta tesis, se recoge el derecho a la
portabilidad de los datos, que se contempla como un nuevo derecho para impulsar la
competencia y para evitar que el consumidor se quede atrapado en un proveedor de
servicios concreto, facilitando que el consumidor pueda portar sus datos y trasladarlos a
otros responsable del tratamiento. “Derecho a la portabilidad de los datos.1. El
interesado tendrá derecho a recibir los datos personales que le incumban, que haya
698 Ver considerando 92 del Reglamento. 699https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.
329
facilitado a un responsable del tratamiento, en un formato estructurado, de uso común
y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo
impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté
basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo
9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b),
y; b) el tratamiento se efectúe por medios automatizados. 2. Al ejercer su derecho a la
portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a
que los datos personales se transmitan directamente de responsable a responsable
cuando sea técnicamente posible.3. El ejercicio del derecho mencionado en el apartado
1del presente artículo se entenderá sin perjuicio del artículo 17 […]”700.
El consentimiento es uno de los puntos clave también en el RGPD. En relación con este
punto, la Comisión Europea ha sido más estricta defendiendo la idea de un
consentimiento explícito, si bien a lo largo de la tramitación del texto se han ido
suavizando las exigencias en torno al consentimiento, de modo que se configura como
un consentimiento inequívoco y específico, como regla general. No obstante, para el
supuesto de que el tratamiento tenga que ver con datos personales especiales o de
carácter sensible sí se requeriría el consentimiento explícito.
Por su parte, en el RGPD, en el artículo relativo a las definiciones, queda definido el
consentimiento del interesado como “toda manifestación de voluntad, libre, específica,
informada e inequívoca, por la que el interesado acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales que le
conciernen”701.
700 Ver artículo 20 del Reglamento. 701 Ver el artículo 4, apartado 11, del Reglamento.
330
El Parlamento Europeo, en su resolución de 12 de marzo de 2014, respaldó a la
Comisión Europea en lo que respecta a cómo debía configurarse el consentimiento en el
nuevo RGPD. Sin embargo, fue el Consejo de la UE, en junio de 2015, quien opta por
un consentimiento inequívoco, como uno de los elementos que legitiman el tratamiento
de datos. No obstante, manifiesta que este consentimiento debe expresarse mediante una
declaración o mediante cualquier acción afirmativa y clara. Tampoco cabe el silencio o
la inacción. Asimismo permite la obtención del consentimiento a través de los ajustes de
los navegadores u otras aplicaciones. Y, por otra parte, establece el consentimiento
explícito como obligatorio sólo para tratar datos sensibles, como el origen racional,
datos de salud, opciones políticas, etc702.
Por su parte, y una vez el Consejo de la UE adoptó su postura, el Supervisor Europeo de
Protección de Datos (EDPS)703 destaca (texto original en inglés), “consent is one
possible legal basis for processing, but we need to prevent coercive tick boxes where
there is no meaningful choice for the individual and where there is no need for data to
702 El artículo 9 hace referencia al tratamiento de categorías especiales de datos personales y destaca: “1.
Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones
políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos
genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos
relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona. 2. El
apartado 1 no será de aplicación cuando concurra alguna de las circunstancias siguientes: a) el
interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más
de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca
que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado; b) el
tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del
responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y
protección social, en la medida en que así lo autorice el Derecho de la Unión, de los Estados miembros o
un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías
adecuadas del respeto de los derechos fundamentales y de los intereses del interesado; ….[….]. 4. Los
Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con
respecto al tratamiento de los datos genéticos, datos biométricos o datos relativos a la salud”, 703 El Supervisor Europeo de protección de datos es un organismo independiente de la UE que se encarga
de velar por el cumplimiento de la normativa de protección de datos por parte de las instituciones de la
UE. No tiene capacidad legislativa pero sí emite recomendaciones en materia de protección de datos de
carácter personal.
331
be processed at all. We recommend enabling people to give broad or narrow consent, to
clinical research for example, which is respected and which can be withdrawn”704.
Por su parte, el WP29, en relación con el consentimiento en el nuevo RGPD aboga por
un consentimiento explícito y señala: “The notion of unambiguous consent foreseen by
the Council of the EU in Recital 25 may create some confusion with respect to the aim
of the proposed text especially on the Internet where there is now too much improper
use of consent”. “Requiring it to be explicit is an important clarification, truly enabling
data subjects the exercise of their rights”705.
Otro ejemplo del intento de simplificar los procedimientos a las empresas y reducir la
carga burocrática es la introducción en el RGPD del mecanismo de one stop shop o
ventanilla única706, de modo que las empresas que operan en varios Estados miembros
de la UE tengan que lidiar con una única autoridad de control de protección de datos, al
ser una única autoridad la que toma decisiones en los casos transfronterizos. No es fácil
solucionar los posibles conflictos de competencia entre autoridades de control y
probablemente sean necesarias disposiciones que ayuden a clarificar las pautas a seguir
para dicha atribución de competencias entre autoridades de control707.
704 Ver la Opinion 3/2015, Europe’s big opportunity: EDPS recommendations on the EU options for data
protection reform, de 27 de Julio de 2015, pag.5.
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/
2015/15-07-27_GDPR_Recommendations_EN.pdf 705 Documento WP29, Appendix, Core topics in the view of trialogue, 17 de junio 2015, pag. 4.
Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/index_en.htm 706 Ver artículos 51 y siguientes del Reglamento. 707 El considerando 127 del Reglamento señala: “Cada autoridad de control que no actúa como autoridad
principal debe ser competente para tratar asuntos locales, en los que si bien el responsable o encargado
del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se
refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a
interesados de un único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos
personales de empleados en el contexto específico de empleo de un Estado miembro. En tales casos, la
autoridad de control debe informar sin dilación al respecto a la autoridad de control principal. Una vez
informada, la autoridad de control principal debe decidir si tratará el asunto de acuerdo con la disposición
332
En lo que respecta al interés legítimo en el tratamiento, la posición del Consejo de la UE
era mucho más favorable para los intereses de las empresas que tratan datos de carácter
personal, al ser más flexible y amparar el interés legítimo de las empresas en el
tratamiento, mientras que la Comisión Europea ha sido más restrictiva. El Parlamento
Europeo también respaldaba el tratamiento en base al interés legítimo de las empresas.
Finalmente, el RGPD, sobre la licitud del tratamiento de datos, contempla los supuestos
en los que será lícito dicho tratamiento y, en concreto, entre los supuesto, destaca que
será lícito “cuando el tratamiento es necesario para la satisfacción de intereses
legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales, en
particular cuando el interesado sea un niño”708. Por su parte, el RGPD expresamente
señala que “el tratamiento de datos personales con fines de mercadotecnia directa puede
considerarse realizado por interés legítimo”709. Asimismo, el RGPD destaca que
“constituye un interés legítimo del responsable del tratamiento interesado el
tratamiento de datos personales en la medida estrictamente necesaria y proporcionada
para garantizar la seguridad de la Red y de la información […]”710.
aplicable a la cooperación entre la autoridad de control principal y otras autoridades de control interesadas
(mecanismo de ventanilla única) o si lo debe tratar localmente la autoridad de control que le haya
informado. Al decidir si trata el asunto, la autoridad de control principal debe considerar si existe un
establecimiento del responsable o del encargado en el Estado miembro de la autoridad de control que le
haya informado, con el fin de garantizar la ejecución efectiva de la decisión respecto del responsable o
encargado del tratamiento. Si la autoridad de control principal decide tratar el asunto, se debe ofrecer a la
autoridad de control informante, la posibilidad de presentar un proyecto de decisión, que la autoridad de
control principal ha de tener en cuenta en la mayor medida posible al preparar su proyecto de decisión al
amparo del mecanismo de ventanilla única”. 708 Ver el artículo 6.1.f) del Reglamento. 709 Ver considerando 47 del Reglamento. 710 Ver considerando 49 del Reglamento.
333
También se hace referencia en el articulado de la norma a los tratamientos para fines
incompatibles con aquel para el que se recogieron los datos. Al respecto se destaca: “
Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los
datos personales no esté basado en el consentimiento del interesado o en el Derecho de
la Unión o de los Estados miembros que constituya una medida necesaria y
proporcional en una sociedad democrática para salvaguardar los objetivos indicados
en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar
si el tratamiento con otro fin es compatible con el fin para el cual se recogieron
inicialmente los datos personales, tendrá en cuenta, entre otras cosas: a) cualquier
relación entre los fines para los cuales se hayan recogido los datos personales y los
fines del tratamiento ulterior previsto; b) el contexto en el que se hayan recogido los
datos personales, en particular por lo que respecta a la relación entre los interesados y
el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto
cuando se traten categorías especiales de datos personales, de conformidad con el
artículo 9, o datos personales relativos a condenas e infracciones penales, de
conformidad con el artículo 10; d) las posibles consecuencias para los interesados del
tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán
incluir el cifrado o la seudonimización”711. Sin duda, éste ha sido uno de los puntos más
controvertidos en las negociaciones del trílogo, al igual que el consentimiento.
Por su parte, el WP29 ha destacado que los tratamientos posteriores sólo pueden
permitirse después de haber realizado un test minucioso, examen o análisis y siempre
además que el responsable del tratamiento tenga una base legal. En este sentido, apunta:
“Further processing should only be permitted once compatibility is established after a
711 Ver el artículo 6.4 del Reglamento.
334
careful assessment that takes into consideration all relevant circumstances of both the
original and the subsequent processing operations and provided that the controller may
find an adequate legal basis. Compatibility should not be confused with legitimacy”712.
Por su parte el EDPS recomienda (texto literal en inglés): “the requirements for all data
processing to be limited to specific purporses and on a legal basis are cumulative, not
alternatives. We recommend avoiding any conflation and thereby weakening of these
principles. Instead, the EU should preserve, simplify and operationalise the established
notion that personal data should only be used in ways compatible with the original
purposes for collection”713.
Otra de las novedades introducidas en este Reglamento es el concepto de datos
pseudónimos. A este respecto, el Parlamento Europeo considera que la elaboración de
perfiles basada únicamente en el tratamiento de datos pseudónimos no afecta de modo
significativo a los intereses, derechos o libertades de los interesados. Sin embargo, el
Consejo de la UE ignora la posibilidad de tratar datos que el responsable del tratamiento
ya ha obtenido de forma pseudonimizada y exige algún tipo de acción para que estén
dotados del atributo de la pseudonimización. Por su parte, el WP29 considera que el
RGPD debería tratar el proceso de pseudonimización como un sistema de minimización
y rechaza la creación de los datos pseudónimos como una nueva categoría de datos. En
este sentido apunta que: “The Working Party expresses its support for referring to the
pseudonymisation as a system of data minimisation […]. The WP29 expresses its
712 Ver el documento del WP29, Appendix, Core Topics in the View of Trialogue, 17 junio 2015, pag.7.
Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/index_en.htm. 713 Ver el document del EDPS, Opinion 3/2015: Europe’s big opportunity: EDPS recommendations on
the EU’s options for data protection reform, pag.5.
335
support for referring to the pseudonymisation as a security measure and is opposed to
introducing a new catergory of data with the notion of pseudonymous data714”.
El RGPD contempla la seudonimización de datos como una medida de seguridad. A
diferencia de la anonimización, en el caso de la seudonimización, existiría posibilidad
de reversibilidad e identificación del sujeto. En concreto, se define la seudonimización
como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a
un interesado sin utilizar información adicional, siempre que dicha información
adicional figure por separado y que esté sujeta a medidas técnicas y organizativas
destinadas a garantizar que los datos personales no se atribuyan a una persona física
identificada o identificable”715. Además, el RGPD promueve la seudonimización como
medida de seguridad y para aportar garantías716.
Otro punto, sin duda controvertido del RGPD, es lo relativo al régimen sancionador. “El
régimen sancionador previsto en los artículos 83 y 84 del RGPD viene a introducir
importantes novedades en la materia respecto a lo establecido en la Directiva 95/46/CE
y en la LOPD. […] Una de las principales críticas sobre la Directiva 94/46/CE, de 24 de
octubre, se refería a la excesiva libertad con la que contaban los Estados miembros a la
hora de establecer el correspondiente régimen sancionador, de manera que el
tratamiento de las infracciones y sanciones podía variar radicalmente de un Estado a
714 Ver documento WP29, Appendix, Core topics on the view of trialogue, Bruselas, 17 junio 2015, pag.5.
Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-
document/index_en.htm 715 Artículo 4. 5) del Reglamento. 716 El considerando 29 del Reglamento apunta: “para incentivar la aplicación de la seudonimización en el
tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al
mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya
adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente
Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional
para la atribución de los datos personales a una persona concreta. El responsable que trate datos
personales debe indicar cuáles son sus personas autorizadas”.
336
otro”717. La nueva normativa contempla la posibilidad de sancionar a la Administración
pública, recogiendo expresamente que “sin perjuicio de los poderes correctivos de las
autoridades de control, cada Estado miembro podrá establecer normas sobre si puede,
y en qué medida, imponer multas administrativas a autoridades y organismos públicos
establecidos en dicho Estado miembro”718. En lo que respecta a las cuantías que pueden
alcanzar las sanciones, al finalizar las negociaciones del trílogo, quedó fijada la cuantía
máxima de sanción en el 4% del volumen de negocio anual a nivel global o 20 millones
de euros719. Por su parte, el texto de la Comisión Europea abogaba por multas de hasta
un 2% de volumen de negocio anual o 1 millón de euros, lo que ha sido respaldado por
el Consejo de la UE, mientras que el Parlamento Europeo elevó la cuantía máxima hasta
un 5% de la facturación anual o 100 millones de euros. Finalmente, se ha optado por
fijar el máximo en el porcentaje citado del 4% o 20 millones de euros.
Con respecto a este punto, la Confederación Española de Organizaciones Empresariales
(CEOE) manifestó que “el sometimiento del importe de la sanción a un porcentaje sobre
el volumen de facturación mundial de una empresa puede perjudicar gravemente a los
países con mercados más reducidos que sus matrices, ya que su facturación puede llegar
a ser igual o menor que el tanto por ciento de la facturación mundial de su compañía.
Este hecho puede llevar a que determinadas empresas puedan concentrar su actividad en
países económicamente más fuertes y no invertir en países con economías más débiles
por el riesgo de incurrir en pérdidas ante eventuales contingencias”720.
717 Corral Sastre, Alejandro; “El régimen sancionador en materia de protección de datos en el Reglamento
General de la UE”, Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad
(dir: Piñar Mañas, José Luis), Editorial Reus, 2016, pag. 573. 718 Artículo 83 del Reglamento. 719 Ibídem. 720 Ver el Documento de Observaciones de CEOE sobre la Propuesta de Reglamento Europeo de
Protección de datos, de febrero de 2013.
http://contenidos.ceoe.es/resources/image/documento_observaciones_ceoe_propuesta_reglamento_tratam
iento_datos_2013_02_12.pdf
337
Otro de los aspectos novedosos del RGDP es que, por primera vez en el Derecho de la
UE, se contempla el derecho a indemnización de las personas físicas por los daños
causados en el tratamiento ilegal de sus datos de carácter personal. A diferencia del
art.23 de la Directiva 95/46/CE, que contemplaba un mandato a los legisladores
nacionales para que regulasen el derecho a una indemnización de aquellos perjudicados
con un tratamiento ilícito de sus datos de carácter personal, “la regulación que introduce
el RGPD es de carácter uniforme y de obligatorio cumplimiento por los Estados
miembros, con las necesarias adaptaciones a los sistemas de responsabilidad civil o
patrimonial de cada uno de ellos”721. Además, el concepto de daños y perjuicios ha de
interpretarse en sentido amplio y el ámbito de la reclamación de responsabilidad abarca
no sólo toda infracción del RGPD sino también de los actos delegados y ejecutivos
derivados del mismo, así como, en España, de la LOPD y sus normas de desarrollo. Sin
embargo, en la LOPD española, el derecho a indemnización sólo se prevé para cuando
el responsable del tratamiento infrinjan lo dispuesto en la propia LOPD.
Asimismo se producirá un cambio institucional con la entrada en vigor del RGPD, de
modo que el WP29 de la Directiva 95/46/CE pasará a ser el Comité Europeo de
Protección de Datos (EDPB, o European Data Protection Board en su denominación en
inglés), que estará compuesto por los directores de las autoridades de control de cada
Estado miembro y el Supervisor Europeo de Protección de Datos (EDPS). La Comisión
Europea no es miembro del Comité Europeo de Protección de Datos, aunque tiene el
derecho a participar en sus actividades y a estar representada en el mismo. Entre las
funciones de este organismo, por tanto, estarían todas las funciones que ya tiene el
721 Nieto Garrido, Eva: “Derecho a indemnización y responsabilidad”, Reglamento General de Protección
de Datos, hacia un nuevo modelo […], op.cit, 2015, pag. 555 y ss.
338
WP29 como la presentación de informes anuales de actividad o emisión de dictámenes,
opiniones o recomendaciones. Dicho organismo debe asimismo, actuando con
independencia en el ejercicio de sus funciones “[…] contribuir a la aplicación
coherente del presente Reglamento en toda la Unión, entre otras cosas, asesorando a la
Comisión y fomentando la cooperación de las autoridades de control en toda la UE”722.
Con respecto a la tramitación del RGPD, no cabe duda que fue larga, comenzando con
la propuesta de la CE de enero de 2012. Tras haber adoptado su postura el Consejo de la
UE en junio de 2015, comenzaron las reuniones entre las tres instituciones de la UE
implicadas de Parlamento Europeo, Consejo y Comisión Europea, conocidas como
negociaciones del trílogo. Las bases para dichas negociaciones fueron la Propuesta de
Reglamento de la CE de 25 de enero de 2012, la Resolución del Parlamento Europeo de
12 de marzo de 2014 y la posición adoptada por el Consejo de Ministros de Justicia e
Interior de la UE el pasado 15 de junio de 2015. El 24 de junio de 2015 tuvo lugar la
primera de las reuniones, continuando el 14 de julio, 1 de septiembre y 16 y 17 de
septiembre y hasta la aprobación del texto el pasado 15 de diciembre723.
Aunque no se trate de órganos que tengan capacidad legislativa, tanto el WP 29 como el
Supervisor Europeo de Protección de Datos han publicado documentos con
recomendaciones. Por su parte, el WP29 publicó un documento, en el que se incluyen
cartas enviadas al Parlamento Europeo, Comisión Europea y Consejo de la UE, así
como un anexo con recomendaciones, de cara a las negociaciones del trílogo. También
722 Ver Considerando 135 y 136, entre otros, del Reglamento. 723 Ver el calendario de negociaciones en el siguiente enlace:http://www.eppgroup.eu/fr/news/Data-
protection-reform-timetable
339
el Supervisor Europeo de Protección de Datos publicó un documento con
recomendaciones724.
El Pleno del Parlamento Europeo aprobó finalmente el texto del RGPD el pasado 13 de
abril de 2016 y fue publicado en el DOUE el pasado 4 de mayo, entrando en vigor a los
veinte días de su publicación en el Diario Oficial. Comenzará a aplicarse en todos los
Estados miembros de la UE a partir del 25 de mayo de 2018. En los próximos meses
está previsto que el WP29 publique guidelines u orientaciones sobre cómo interpretar
algunas disposiciones de la normativa que necesitan aclaración como, entre otros
aspectos, el derecho a la portabilidad, el derecho al olvido o sobre la figura del Data
Protection Officer.
724 Ver Opinion 3/2015, del Supervisor Europeo de Protección de Datos (EDPS), Europe’s big
opportunity: EDPS recommendations on the EU’s options for data protection reform, 27 Julio 2015.
340
341
9. CONCLUSIONES:
1. La economía del dato, el desarrollo de la tecnología o de modelos de negocio
basados en el acceso y uso de los datos es una tendencia en auge a la que la
regulación no debería poner frenos. Las empresas ya son conscientes cada vez
más de la importancia de hacer un uso inteligente de los datos y de extraer valor
del dato, lo cual no es incompatible con el debido respeto a la legislación de
protección de datos y el respeto a la privacidad. El enfoque de la privacidad en el
S. XXI requiere colocar al individuo en verdadero control de sus datos, lo que
implica la necesaria transparencia por parte de las empresas responsables del
tratamiento de datos personales –información, transparencia y buenas prácticas-
son elementos fundamentales que adquieren una dimensión clave. En vez de
caer en regulaciones excesivamente proteccionistas es más recomendable abogar
por el refuerzo de la transparencia y de la información al individuo, por parte de
las empresas, informando sobre el uso que se dará a los datos y los derechos que
asisten a los titulares de los mismos para oponerse al tratamiento o ejercer sus
derechos. La utilización de símbolos o iconos que simplifiquen la información,
de modo claro y comprensible para el destinatario de la misma, con un lenguaje
sencillo y sin extenderse de forma innecesaria, es una iniciativa deseable. La
transparencia y la confianza, ambas dos caras de la misma moneda, son claves
en el entorno online. Por ello, es esencial adoptar iniciativas de políticas
públicas y también medidas de autorregulación para el refuerzo de la confianza
en Internet, que pasa por la necesaria mejora de la transparencia ejercida por los
prestadores de servicios en la Red. No menos importante es la necesidad de
342
educar y formar, tanto a nuestros jóvenes y menores como a la población más
adulta sobre los riesgos y oportunidades de Internet. También, educar en el valor
esencial que es la privacidad y la necesidad de protegerla para gozar de un
mínimo de calidad de vida, empezando esa protección por uno mismo, para así
estar en mejores condiciones de tomar decisiones con posibles consecuencias en
lo que respecta a la privacidad. Por ello, autorregulación, buenas prácticas,
transparencia y formación resultan esenciales. Poner puertas al campo en un
mundo digital lleno de oportunidades no es el camino.
Estamos ante un nuevo paradigma o un nuevo modelo de la privacidad en la era
digital, una nueva era en donde el Big Data o el Cloud Computing dejan de ser
tecnologías emergentes, para pasar a ser elementos esenciales en la
transformación digital que están protagonizando hoy en día las organizaciones.
Las plataformas de economía colaborativa o los motores de búsqueda han dado
lugar a modelos de negocio atractivos, donde la privacidad pasa a ser abordada
bajo un nuevo paradigma. La gratuidad de muchos servicios en Internet, unido a
la gran cantidad de datos que se recaban de los usuarios, como principal ventaja
competitiva de estos nuevos modelos, lleva necesariamente a replantearse cómo
debe ser abordada, analizada y estudiada la privacidad en este siglo XXI.. Este
cambio de paradigma ha implicado la necesidad de adaptar la normativa de
protección de datos al fenómeno de Internet. La necesidad de actualización de la
normativa, para permitir el despliegue y desarrollo de modelos de negocio
relacionados con el Internet de las Cosas (Internet of Things), Big Data o Cloud
Computing ha derivado también de la diferente implementación de la Directiva
95/46/CE en los distintos Estados miembros, creando una situación de falta de
343
armonización y homogeneidad en materia de protección de datos, que
obstaculiza la actividad de empresas presentes en más de un Estado miembro de
la UE, y que el RGPD pretende paliar.
2. La noción de intimidad es difícil de definir, pero todas las posibles definiciones
que se han dado del término tienen el elemento común, que es el significado de
esfera propia e individual, donde los demás, bien sea la Autoridad o los demás
conciudadanos, no tienen cabida. Es decir, tiene un cierto sentido de exclusión.
El origen de la intimidad, tal y como lo conocemos en la actualidad, encuentra
su punto de partida a finales del siglo XIX, en Estados Unidos, por obra de los
juristas Samuel Warren y Louis Brandeis. Sin embargo, con anterioridad,
podemos encontrar ciertos elementos de protección de una esfera íntima de las
personas en algunos momentos históricos previos o en civilizaciones incluso
antiguas en el tiempo, como puede ser la romana. No todas las sociedades y
épocas históricas han reflexionado en el mismo grado sobre la intimidad. Cuanto
más nos remontemos en el tiempo, menor será el grado de protección que la
sociedad otorga al individuo como tal y a su esfera de intimidad y menor será el
incentivo individual. La teoría racionalista sitúa el nacimiento del derecho a la
intimidad en el período del Racionalismo y la Ilustración, en conexión con el
ascenso de la burguesía como clase social, mientras que la teoría histórica
considera que el origen de este derecho se remonta más atrás en el tiempo. No
obstante, en los estadios iniciales del derecho a la intimidad, éste ha estado
ligado a la propiedad y a los privilegios, lo cual ha implicado que, desde un
punto de vista práctico, sólo pocos individuos de la sociedad pudieran ejercer
ese derecho y gozar de protección. El ser humano ha ido conquistando parcelas
344
de intimidad frente a sus semejantes y/o frente a la Autoridad, a lo largo del
tiempo. En contraposición a la vida en la polis griega, en la que todo tipo de vida
era comunitaria y pública, en el siglo XXI, el respeto a la privacidad se ha
convertido en uno de los soportes claves de toda sociedad democrática.
3. Con la excelente aportación teórica de Warren y Brandeis, la propiedad privada
deja de ser condición indispensable para acceder a la intimidad y ésta pasa a
estar vinculada a las libertades individuales y personalidad. A partir de la
misma, se han articulado distintas teorías en torno al derecho a la intimidad,
como la teoría del mosaico o la teoría de las tres esferas. El derecho fundamental
a la intimidad está recogido en la Constitución Española, en su artículo 18, al
igual que en numerosos textos internacionales como la Declaración Universal de
Derechos Humanos, el Pacto de Derechos Civiles y Políticos, el Convenio para
la Protección de los Derechos Humanos y las Libertades Fundamentales o la
Carta de los Derechos Fundamentales de la UE. Es un derecho fundamental que
goza de la máxima protección, pudiendo ser objeto de recurso de amparo ante el
Tribunal Constitucional y gozando también de la protección que le otorga el
Tribunal Europeo de Derechos Humanos. Por su propia naturaleza es un derecho
limitado, no absoluto, y debe coexistir, por tanto, con otros derechos
fundamentales como el derecho a la información y a la libertad de expresión. A
su vez, está ligado a conceptos como la autonomía personal, dignidad humana y
desarrollo individual. La intimidad es el núcleo duro de la privacidad, el reducto
más reservado de la persona. La privacidad implica el control de la información
sobre nosotros mismos, lo que se conoce como autodeterminacion informativa,
estrechamente relacionado con el concepto de autonomía de la voluntad.
345
El derecho a la protección de datos de carácter personal es un derecho que ha
surgido más tarde en el tiempo, ligado a los avances informáticos, y en la
jurisprudencia del Tribunal Constitucional, hasta la sentencia del Tribunal
Constitucional STC 292/2000, de 30 de noviembre, se consideraba una
manifestación del derecho a la intimidad y no un derecho autónomo e
independiente. Sin embargo, a partir de la citada sentencia, pasa a considerarse
un derecho fundamental, autónomo e independiente del derecho a la intimidad,
aunque derive del derecho a la intimidad. En España, el derecho fundamental a
la protección de datos de carácter personal es un derecho que se reconoce como
tal en el artículo 18.4 en conexión con el 10.1 de la Constitución Española. Los
datos personales pertenecen a la esfera de lo privado y, en determinados casos,
podrían pertenecer a la esfera de la intimidad. La Carta de Derechos
Fundamentales de la UE también reconoce el carácter autónomo e independiente
del derecho a la protección de datos de carácter personal. Ligado a la autonomía
informativa o poder de control del individuo sobre su información personal, el
derecho a la protección de datos personales otorga unas facultades a las personas
físicas para que puedan corregir o rectificar, acceder, cancelar u oponerse al
tratamiento de sus datos personales.
4. El derecho al olvido deriva del derecho a la protección de datos de carácter
personal y, a su vez, del derecho a la intimidad. El derecho al olvido es la
manifestación de un derecho ya existente, aplicado al entorno de Internet, que en
concreto sería la cancelación o supresión de los datos. La innovación tecnológica
ha llevado a que las informaciones o datos sobre las personas puedan
346
permanecer sine die en la Red, siendo el paso del tiempo un elemento que, si
bien antes implicaba el olvido, hoy en día la frágil memoria humana deja paso a
la poderosa memoria digital. Como destaca el investigador Mayer-Schönberger,
la relación entre recuerdo y olvido ha estado clara durante miles de años pero
ahora se ha invertido, lo cual puede colocar a las personas en una situación de
amenaza, exponiéndolas a una potencialmente devastadora sobrerreacción
humana ante los errores del pasado. El acceso a una información o datos sobre
una persona puede estar justificado, en un momento determinado en el tiempo
pero, con el paso de los años, dicha justificación puede perder su sentido. El
acceso a la información años después podría implicar el acceso a una
información descontextualizada, con el riesgo de interpretación errónea o
desproporcionada de la misma que ello conlleva. La Directiva 95/46/CE de
protección de datos de carácter personal, así como la LOPD que la traspone al
ordenamiento jurídico español, no dan una respuesta a este reto, puesto que los
derechos ARCO que reconoce, en relación a los datos personales (acceso,
rectificación, cancelación u oposición) estaban diseñados y pensados para un
mundo analógico, sin Internet, y no para un mundo interconectado y
globalizado.
A diferencia de la calumnia o la injuria o atentados contra el honor, en el
derecho al olvido, se parte de la premisa de la veracidad de los hechos. Al igual
que los derechos de los que deriva, el derecho al olvido no es un derecho
absoluto, sino que tiene sus límites y puede entrar en conflicto con otros
intereses o derechos como el derecho a la información y libertad de expresión, la
historia, el principio de transparencia, la libertad de empresa y el necesario
347
impulso a la innovación y el desarrollo tecnológico. Como siempre que entran
en conflicto derechos fundamentales, para solucionar las posibles colisiones
entre este tipo de derechos, es necesario realizar una ponderación de intereses en
conflicto. El fundamento del derecho al olvido reside en el principio del
consentimiento para el tratamiento de datos personales y en el principio de
finalidad, según el cual los datos serán cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual fueron recabados.
5. La sentencia del TJUE de 13 de mayo de 2014, en el caso Mario Costeja y la
AEPD v. Google, aborda el derecho al olvido enmarcado en el contexto de los
motores de búsqueda en Internet y en las búsquedas realizadas a partir del
nombre y/o apellidos de una persona. Por tanto, otros posibles supuestos no son
analizados en esta sentencia y tendremos que ver cómo se van interpretando los
supuestos, caso a caso por los tribunales, así como estar pendiente de la
aplicación concreta del RGPD una vez comience a aplicarse en 2018. La citada
sentencia de 2014 no hace referencia expresa a la condición relativa al régimen
de responsabilidad de los motores de búsqueda como prestadores de servicios de
la sociedad de la información intermediarios, según el cual no serían
responsables de la información de terceros que alojan si no tienen conocimiento
efectivo de su ilicitud. Este régimen se contempla en la Directiva de Comercio
Electrónico así como en la Ley de Servicios de la Sociedad de la Información y
Comercio Electrónico. Más acorde con dicho marco jurídico vigente de la
Directiva de Comercio Electrónico parece la sentencia del Tribunal Supremo de
15 de octubre de 2015 sobre el rechazo del derecho al olvido en las hemerotecas
348
digitales de los medios de comunicación. Obligar, en determinados casos, a los
medios de comunicación a incorporar los protocolos de no indexación es mejor
solución que obviar esta posibilidad y cargar toda la responsabilidad al motor de
búsqueda. En la actualidad, la Comisión Europea está analizando medidas en
relación con las plataformas online (incluyendo motores de búsqueda) y
replanteándose su rol y el alcance de su responsabilidad. Por tanto, la
responsabilidad de las plataformas online y una posible revisión de la Directiva
de Comercio Electrónico, será, muy probablemente, un tema en la agenda
política en el futuro próximo. En la medida en que la Directiva de Comercio
Electrónico fue aprobada en un momento en el que muchos de los modelos de
negocio de base tecnológica actuales no existían, tiene sentido un análisis de
posibles medidas legislativas a adoptar, para un mejor encaje dentro marco
normativo propio para los nuevos modelos de negocio innovadores. No obstante,
el régimen de responsabilidad de este tipo de prestadores de servicios, que
contempla la Directiva de Comercio Electrónico, que se basa en la exención de
responsabilidad de la plataforma con respecto al contenido de tercero que alojan
salvo conocimiento efectivo, debe ser preservado, siempre que hablemos de
meras plataformas intermediarias que no crean ni editan contenido y se limitan a
alojar contenido de terceros. Los motores de búsqueda en Internet se han
convertido en herramientas indispensables para el acceso a la información.
Permiten acceder a información y datos de manera casi inmediata y, cada vez
más, de un modo más preciso. Sin embargo, en ocasiones, pueden ofrecer
información distorsionada o fuera de contexto y, ante búsquedas realizadas
tomando como parámetros de búsqueda el nombre de una persona, puede ofrecer
información inexacta o descontextualizada, conclusión a la que acertadamente
349
llegó el TJUE en la citada sentencia de mayo de 2014. El derecho al olvido no
puede ser considerado un derecho absoluto ni se debería caer, por parte de los
tribunales, en una interpretación amplia de los supuestos en los que debería
ampararse, para preservar otros derechos fundamentales como el derecho al
acceso a la información.
La sentencia del TJUE de 13 de mayo de 2014 considera que un motor de
búsqueda puede ser responsable del tratamiento de datos de carácter personal.
Aparte de cumplir con la cancelación de datos, no está claro con qué otros
deberes del responsable del tratamiento está en condiciones de cumplir un motor
de búsqueda, en relación con el tratamiento de datos que realiza a través de las
búsquedas que le solicitan los usuarios. Baste pensar en obligaciones
elementales del responsable del tratamiento como la de recabar consentimiento o
informar al interesado sobre el tratamiento y finalidades para las que se recaban
los datos. La sentencia del TJUE no da respuesta al reto del derecho al olvido en
las redes sociales u otros prestadores de servicios de la sociedad de la
información, más allá de los motores de búsqueda. El RGPD, en su artículo 17,
habla de responsables del tratamiento y no de motores de búsqueda a diferencia
de la conocida sentencia del TJUE de 2014, por lo que claramente engloba a
todo responsable de tratamiento. No obstante, será necesario ver cómo se
articulará en la práctica por las empresas y cómo las personas afectadas podrán
ejercitar este derecho. Para cumplir de forma efectiva con la obligación de
notificar al resto de responsables del tratamiento que estén tratando esos mismos
datos que el interesado solicita suprimir, el RGPD no deja claro cuál será el
cauce. Si Internet se caracteriza por el enlace, tener bajo control a todos esos
350
posibles responsables del tratamiento es arduo complicado. En este momento,
son muchos, por tanto, los interrogantes que surgen en relación con el derecho al
olvido. Dichos interrogantes deberán ir despejándose, a través de la aplicación
del RGPD, la interpretación de las autoridades de protección de datos y la
jurisprudencia que se vaya creando.
La tradicional legislación civil del honor, intimidad y propia imagen ha venido
resolviendo durante años los conflictos entre información y privacidad. Por su
parte, la sentencia del TJUE de mayo de 2014 opta por enmarcar el derecho al
olvido en el ámbito de la protección de datos y del Derecho Administrativo,
cuando la controversia tiene su origen en información publicada en un medio de
comunicación, a la que luego se puede acceder a la misma a través de un
buscador online. Además, sitúa a Google en una posición o rol de juez. En el
contexto del derecho al olvido en el marco de los medios de comunicación,
quizá la legislación civil podría haber sido suficiente para resolver los conflictos
entre intimidad e información. Ahora bien, considero que cuando dicho marco
contextual no sea el de los medios de comunicación, sino que la información en
origen se encuentre en boletines oficiales u otras páginas web cuyos titulares no
sean medios de comunicación, la legislación civil del honor, intimidad y propia
imagen, no sería el instrumento adecuado, sino el ámbito del derecho
administrativo.
6. El mundo globalizado de hoy, con empresas multinacionales operando fuera de
las fronteras comunitarias o empresas extracomunitarias operando en la UE,
hace necesario que haya amplitud de miras por parte del legislador. Siendo
351
conscientes de las diferencias (no sólo jurídicas) que separan las distintas zonas
geográficas, en la medida de lo posible se debe aunar posiciones en lo que
respecta al ámbito de la privacidad y la protección de datos. En este sentido, y
aunque pueda ser tildado de utópico, el establecimiento de estándares globales y
respuestas globales, allí donde se pueda, siempre es positivo. Es cierto que
existen notorias diferencias, jurídicas y culturales, entre EE.UU y la UE en lo
que respecta a la materia de privacidad. En la UE la protección de datos es
considerada un derecho fundamental, recogido en las distintas constituciones de
los Estados de la UE y que, por tanto, goza explícitamente de la mayor
protección. Asimismo, el derecho a la protección de datos está regulado en
normas paraguas o normas horizontales, que se aplican a todos los sectores. En
este sentido, la Directiva 95/46/CE, la LOPD española o el RGPD son normas
paraguas o de aplicación horizontal. Por su parte, en EEUU el derecho a la
privacidad y protección de datos no está expresamente recogido en la
Constitución de EEUU ni en ninguna de sus enmiendas, aunque sí de forma
implícita. Por otra parte, en EEUU, la normativa de protección de datos es
sectorial, habiendo numerosas leyes para los distintos sectores (financiero,
audiovisual, farmacéutico, etc). La protección de la privacidad se la logrado en
EE.UU por la vía jurisprudencial y por normas sectoriales.
Sin embargo, no cabe duda de que, pese a todas las diferencias, a ambos lados
del Atlántico se protege la privacidad como un valor máximo en una sociedad
democrática avanzada. Además, en los últimos años ha habido ciertas
aproximaciones entre sistemas y es deseable continuar en la senda del
acercamiento. En este sentido, el nuevo marco de Puerto Seguro para las
352
transferencias internacionales de datos de carácter personal entre la UE y EE.UU
(Privacy Shield), que ha sido aprobado en julio de 2016 y al cual pueden
adherirse las empresas norteamericanas desde agosto de 2016, es un ejemplo de
dicho acercamiento de posturas y sin duda, un avance. También lo es la
aprobación de la denominada Consumer Privacy Bill of Rights Act de 2015, que
encuentra algunas semejanzas con el RGPD. Es importante seguir avanzando en
la reducción de las diferencias regulatorias en el ámbito de la privacidad entre
EE.UU y la UE, así como que la Comisión Europa siga aumentando el número
de acuerdos con otros territorios en los que se pueda considerar que hay un nivel
equivalente de protección de la privacidad.
7. El RGPD es una normativa ambiciosa y armonizadora en la materia, que paliará
el problema de fragmentación de la normativa de protección de datos en los
distintos Estados miembros de la UE. De todas las formas posibles de actualizar
la normativa de protección de datos personales, la forma de Reglamento y no de
una Directiva resulta más adecuada desde el punto de vista armonizador, al no
necesitar de una normativa interna de transposición y ser directamente aplicable.
Por otra parte, da respuesta a nuevos retos que han surgido con el avance
tecnológico, a través de nuevos principios y derechos. No obstante, los
principios esenciales de la protección de datos contemplados en la Directiva
95/46/CE se mantienen en el RGPD así como los derechos que la misma
contemplaba, aunque algunos de estos últimos resulten reforzados como pueden
ser los derechos de los interesados en relación con las decisiones automatizadas
de datos, incluyendo el perfilado. El RGPD incorpora a su vez nuevos principios
como el principio de privacy by design, el principio de privacy by default y el
353
principio de accountability. A su vez, incorpora nuevos derechos como el
derecho a la portabilidad de datos de carácter personal –pretende el estímulo de
la competencia y evitar que las personas se queden ‘atrapadas’ ante un prestador
de servicios concreto-o el derecho al olvido.
Una de las novedades más relevantes del RGPD con respecto a la Directiva
95/46/CE es el ámbito de aplicación territorial del mismo. De hecho, la
aplicación del RGPD a empresas de fuera de la UE que dirijan su oferta de
bienes y servicios a residentes en la UE o monitoricen su conducta, con
independencia de que sus servicios sean de pago o no, supone de facto que la
normativa europea de protección de datos sea de aplicación a gigantes
tecnológicos de Internet de Estados Unidos, lo que es un paso adelante hacia lo
que se denomina level playing field o igualación de las reglas de juego entre
empresas americanas y europeas que compiten en territorio europeo.
Con respecto al derecho al olvido, el RGPD lo contempla como un derecho a la
cancelación o supresión de datos personales, adaptado a la era digital, y que
aplica a cualquier responsable de tratamiento. Por tanto, mientras la sentencia
del TJUE de mayo de 2014 en el caso Mario Costeja y AEPD v. Google lo
acotaba al contexto de los motores de búsqueda, el RGPD lo amplía a cualquier
responsable del tratamiento. Al igual que el TJUE, el RGPD pone de relieve el
carácter no absoluto de este derecho, la necesidad de hacer una ponderación de
los intereses en conflicto caso por caso y el hecho de que éste pueda ceder ante
otros intereses o derechos dignos de protección. Asimismo, incorpora una
obligación de notificación al resto de responsables del tratamiento que estén
354
tratando la información de la solicitud del interesado de suprimir los datos. Si
bien el RGPD no detalla cómo se articulará dicha notificación, cabe pensar que
la incorporación de los protocolos de no indexación robot.txt podría ser una vía.
Hasta que comience a aplicarse el RGPD en mayo de 2018 será necesario que
las autoridades de protección de datos integradas en el WP29 (EDPB a partir de
mayo de 2018) publiquen algunas orientaciones sobre la interpretación del
RGPD en algunos aspectos que necesitan clarificación, entre otros, en relación
con el derecho al olvido. Para los ciudadanos, es un gran logro poder ejercer este
derecho y suprimir los datos personales en Internet. Para las empresas, supondrá
un gran reto tener que adaptar sistemas y procesos para articular y dar cabida al
ejercicio de este derecho. Los meses que tenemos por delante, sin duda,
responderán a algunos de los interrogantes que esta tesis deja abiertos, mientras
otros de ellos se irán respondiendo con la propia aplicación de la normativa, el
buen hacer de las empresas y el rigor académico.
Recommended