UNIVERSIDAD SAN PABLO CEU

FACULTAD DE DERECHO

TESIS DOCTORAL

La privacidad en la Sociedad de la Información: el

derecho al olvido en la UE como reto derivado del

avance digital

DEPARTAMENTO DE DERECHO PÚBLICO

PROGRAMA DE DOCTORADO: Estudios Europeos

Doctoranda: María Álvarez Caro

Director de Tesis: Prof. Dr. Leopoldo Abad Alcalá

1

INDICE:

1. Introducción p. 5 a 19

2. Bases de partida, hipótesis y tesis,

2.1. Motivación

2.2. Proceso de investigación y contenido

2.3. Metodología

2.4. Fuentes y bibliografía

2.5. Hipótesis y tesis

p. 21 a 50

p. 21 a 24

p. 24 a 28

p. 29 a 41

p. 42 a 44

p. 44 a 50

3. Los retos de la nueva economía digital

3.1. Impacto económico de la economía digital

3.2. Cloud Computing

3.3. Big Data e Internet of things (IoT)

3.4. Dispositivos de almacenamiento y recuperación de datos

3.5. Crowdfunding

3.6. Plataformas de economía colaborativa

3.7. Propiedad Intelectual

3.8. Comunicación y periodismo digital

3.9. Los motores de búsqueda

p. 51 a 101

p. 51 a 56

p. 56 a 61

p. 61 a 72

p. 72 a 78

p. 78 a 80

p. 81 a 85

p. 85 a 86

p. 87 a 94

p. 94 a 101

4. Evolución histórica de la intimidad

4.1. El origen de la intimidad

4.2. La intimidad en las civilizaciones antiguas

4.3. La intimidad a partir de la época medieval: la teoría

racionalista y la teoría histórica

p. 103 a 118

p. 103 a 105

p. 105 a 109

p. 109 a 118

2

5. Derecho a la intimidad y derecho a la protección de datos de

carácter personal

5.1. Derecho a la intimidad: Samuel Warren y Louis Brandeis,

la doctrina y configuración constitucional

5.2. Derecho a la protección de datos de carácter personal: la

autodeterminación informativa

p. 119 a 156

p. 119 a 143

p. 143 a 156

6. Derecho al olvido

6.1. El derecho al olvido, la cancelación o la supresión de datos

de carácter personal en Internet

6.2. Caso Mario Costeja y AEPD v. Google (C-131/12)

6.3. Guidelines del Grupo de Trabajo del Artículo 29 (WP29)

sobre la interpretación de la sentencia del TJUE en el

asunto C-131/12

6.4. Formulario online habilitado por Google para la solicitud

de desindexación

6.5. Informe del Consejo Asesor de Google sobre derecho al

olvido

6.6. Sentencia del Tribunal Supremo de 15 de octubre de

2015: rechazo del derecho al olvido en hemerotecas

digitales de los medios de comunicación

p. 157 a 254

p. 157 a 184

p. 184 a 220

p. 220 a 236

p. 236 a 238

p. 238 a 245

p. 245 a 254

7. La privacidad en Internet en un mundo global: EE.UU versus

Europa

p. 255 a 300

3

8. Reglamento General de Protección de Datos

8.1. Una Directiva 95/46/CE ya obsoleta. Hacia un Reglamento

europeo de Protección de Datos: antecedentes del

Reglamento

8.2. Novedades del Reglamento 679/2016

p. 301 a 339

p. 301 a 313

p. 313 a 339

9. Conclusiones p. 341 a 354

10. Bibliografía

10.1 Doctrina

10.2 Discursos, Artículos de Prensa y Otros

10.3 Jurisprudencia

10.4 Normativa y Soft Law

10.5 Informes, Estudios y Consultas Públicas

11. Anexos

11.1 Referencias

11.2. Índice de Autores

11.3 Acrónimos

p. 355 a 412

p. 355 a 380

p. 381 a 386

p. 387 a 394

p. 395 a 406

p. 407 a 412

p. 413 a 429

p. 413 a 418

p. 419 a 426

p. 427 a 429

4

5

1. Introducción

El rápido avance de la tecnología y su amplio desarrollo en este siglo XXI han

provocado importantes cambios en muchos de los órdenes de la sociedad. Las

relaciones humanas, las institucionales, y el Derecho, por tanto, han sido y siguen

siendo ámbitos muy afectados por esos agentes de progreso, singularmente como

consecuencia del auge de la tecnología digital. El Derecho siempre camina por detrás de

las nuevas tecnologías1 y son éstas precisamente las que van trazando profundos

cambios en la sociedad, en la vida de las empresas y de las personas, cambios que con el

tiempo, a su vez, tienen un reflejo en la normativa y propician reformas y

modificaciones regulatorias necesarias para la adaptación a los nuevos tiempos. La

evolución está presente en todos los órdenes, más aún en el campo del Derecho, donde

se ha avanzado profundamente en las últimas décadas en el reconocimiento de un mayor

catálogo de derechos individuales, hasta llegar al actual Estado Democrático y Social de

Derecho y a la denominada Sociedad del Bienestar, que imperan en España.

El fenómeno de Internet ha supuesto un punto de inflexión y marca un antes y un

después en la forma de entender la comunicación a nivel global, en el acceso a la

información, tanto en el ámbito empresarial como en la esfera personal o social e

incluso en el ámbito de la Administración Pública. También Internet-ha tenido

importantes implicaciones en materia de privacidad y en cómo queda ésta configurada

en una nueva Era de comunicación global, de intercambio de información sin

precedentes y en tiempo real, en la que actualmente vivimos. Por todo ello, el desarrollo

1 Así se manifestaba el estadounidense Lawrence Lessig, en el marco del primer Digital Law World

Congress, celebrado en Barcelona el 29 de junio de 2012. Este catedrático de Derecho de la Universidad

de Harvard es considerado un referente en Derecho digital y pronunció en Barcelona una interesante

ponencia bajo el título de On the future of IP Law, en la que destacó que es necesario hacer esfuerzos para

que el Derecho no vaya tan por detrás de los avances tecnológicos.

6

de Internet, así como, en concreto, de los motores de búsqueda, ha supuesto un cambio

en la forma de entender el concepto de lo público y de lo privado. De hecho, hoy en día

Internet es una infraestructura económica y básica, al menos, en los países del mundo

occidental. En 2015 existían 3.174 millones de usuarios de Internet en el mundo. En los

países desarrollados, el porcentaje de usuarios de Internet se situó en 2015 en el 82,2%,

2,7 puntos porcentuales más que en 2014. En los países en vías de desarrollo, el

porcentaje de usuarios de Internet alcanza el 35,3%. Europa lidera las regiones

mundiales respecto al porcentaje de usuarios de Internet con un 77,6%2.

Internet es un conjunto descentralizado de redes de comunicación interconectadas, que

utiliza los protocolos TCP/IP. Sus orígenes se remontan a 1969. Uno de los servicios

que ha tenido más éxito es la World Wide Web (www o web). Vinton G. Cerf y Timothy

John Berners-Lee son considerados los padres de Internet y de la Web respectivamente.

Sin lugar a dudas han supuesto una transformación en todos los órdenes de la sociedad.

Internet puede definirse como “una gran red de computadoras conectadas entre sí por

telecomunicaciones. Es una red de redes, el mayor grupo de computadoras

interconectadas que pone al usuario en contacto con miles de fuentes de información”3.

Difícilmente podríamos entender la vida sin esta indispensable herramienta de

comunicación, clave hoy en día en cualquier tipo de negocio. Internet y las redes

sociales se han convertido en una herramienta esencial, por tanto, en el ejercicio de la

libertad de información y expresión, así como en un vehículo clave para la

comunicación efectiva a todos los niveles y en todos los ámbitos. En cierto modo,

2 Ver el Informe Sociedad en Red 2015 (edición 2016), Observatorio Nacional de las Telecomunicaciones

y la Sociedad de la Información, Secretaría de Estado de Telecomunicaciones y Sociedad de la

Información, Ministerio de Industria, Energía y Turismo. 3Moirano, Carlos: Internet, Intranet, Extranet, redes privadas virtuales (túneles). Conceptos e

Interrelaciones, UDELAR, Facultad de Ciencias Económicas y de la Administración, Universidad de la

República de Uruguay, septiembre 2005, pag.7 y ss.

7

Internet y las redes sociales han provocado una revolución de una magnitud similar a la

que surgió siglos atrás con la invención de la imprenta, salvando obviamente las

distancias, no sólo cronológicas. En cierto modo, se ha producido el tránsito de una

sociedad industrial a una sociedad del conocimiento, en la que en muchas ocasiones,

empresas con una elevada capitalización de mercado no tienen grandes activos físicos,

sino que cuentan fundamentalmente con activos intangibles y, para ellas, la información

y los datos, son vitales.

La Red es ambivalente, en el sentido de que no sólo tiene elementos positivos ni ha de

ser vista única y exclusivamente como generadora de oportunidades para las empresas y

las personas. Por el contrario, y como consecuencia de la propia idiosincrasia de la Red,

también es un foco de riesgos. Me atrevería a decir que esta condición ambivalente, con

un lado positivo y otro negativo, es propia y característica de prácticamente cualquier

fenómeno importante que se analice, aunque quizá, en algo tan extraordinario como

puede ser Internet, esa condición está más acentuada.

En materia privacidad y protección de datos de carácter personal, se plantean nuevos

interrogantes, teniendo en cuenta que la normativa en vigor data de la era pre-Internet.

La Directiva 95/46/CE de Protección de Datos se remonta a 19954 (Directiva 95/46/CE

en adelante), y tal y como recordó la Comisaria de Justicia de la UE, Viviane Reding, en

su discurso en la Cumbre anual de EuroClouds en 2012, “sólo el 1% de la población

europea usaba Internet por aquel entonces, el fundador de Facebook tenía ocho años y la

Nube era aire saturado” (la Nube en referencia a la Computación en la Nube o Cloud

Computing en su denominación en inglés). Es decir, los tiempos han cambiado y hay

4 Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos.

8

que hacer frente a nuevas demandas. En el ámbito de la vida privada, la legislación ha

quedado desfasada por los avances tecnológicos5.

Muchos ciudadanos están preocupados por cómo las compañías de base tecnológica

usan sus datos personales y son partidarios del reconocimiento de un derecho a borrar

datos personales en cualquier momento6. Asimismo, a los ciudadanos les preocupa la

posibilidad de que los datos que tienen las compañías sean usados para un propósito

diferente a aquel para el que fueron recabados. Por eso, inspirar confianza en los

consumidores se ha convertido en algo esencial. La confianza es una condición previa

necesaria para el desarrollo de Internet en todo su potencial. Es decir, la confianza en la

Red es indispensable para el florecimiento de servicios digitales innovadores.

Entre los riesgos o peligros derivados de Internet, la problemática de la privacidad en la

Red es, si no el problema más importante, al menos una preocupación nada desdeñable.

Existen otras áreas del Derecho relevantes en el ámbito digital, como puede ser todo lo

relacionado con Propiedad Intelectual, fiscalidad, financiación, Ciberdelincuencia y

Ciberseguridad, defensa de consumidores y usuarios, que asimismo presentan grandes

desafíos. Entre todas las áreas del Derecho vinculadas a la economía digital, esta tesis

doctoral se centra en el derecho a la protección de datos de carácter personal, en la

5 Así se ha manifestado el Tribunal Constitucional, en sentencia 70/2002, de 3 de abril. Aunque sin llegar

a entrar en el fondo de la cuestión, en el fundamento jurídico 9º destaca: “ciertamente los avances

tecnológicos que en los últimos tiempos se han producido en el ámbito de las telecomunicaciones,

especialmente en conexión con el uso de la informática, hacen necesario un nuevo entendimiento del

concepto de comunicación y del objeto de protección del derecho fundamental, que extienda la

protección a esos nuevos ámbitos, como se deriva necesariamente del tenor literal del art. 18.3 CE

1978”. 6 En el Eurobarómetro de Protección de Datos publicado por la Comisión Europea, en junio de 2015, se

pone de manifiesto que 2/3 de ciudadanos creen que no tienen control sobre los datos que proporcionan

en Internet y que 6 de cada 10 no confían en las empresas online, compañías o proveedores de servicios

de Internet. Ver los resultados del Eurobarómetro en http://ec.europa.eu/justice/newsroom/data-

protection/news/240615_en.htm

9

libertad de expresión e información, en el acceso a la información en Internet en su

conflicto con el derecho a la privacidad y, más en concreto, con la protección de datos

de carácter personal y el nuevo derecho al olvido (right to be forgotten o right to

oblivion). Es decir, el eje central es uno de los retos en materia de protección de datos

que está surgiendo en la Sociedad de la Información, en la que los motores de búsqueda

permiten acceder en tiempo real a una ingente cantidad de información, y en ocasiones,

y dependiendo de los parámetros que se utilicen para las búsquedas de información,

conducen a datos de carácter personal que podrían invadir la esfera privada o íntima de

las personas.

Si todo delito está sujeto a prescripción y se ponen límites temporales a la persecución

de los hechos delictivos, algunos consideran que sería lógico y razonable incluir, o al

menos plantearse, límites racionales, de orden temporal, o de otro tipo, que restrinjan el

acceso universal, global, ilimitado e indefinido a datos de carácter personal, cuya

difusión en su día pudo estar justificada y responder a un interés público o privado, un

interés o justificación que puede desvanecerse con el tiempo. Por ello, se viene

hablando desde hace tiempo de establecer límites al acceso a la información en la Red,

siempre preservando el equilibrio para no caer en la censura o poner en jaque derechos

igualmente fundamentales como lo son la libertad de expresión e información en una

sociedad democrática avanzada, o para no hacer peligrar la innovación y crecimiento

económico que, necesariamente, pasa por la mejora tecnológica y por el hecho de que

no haya demasiados obstáculos a que la información fluya, es decir al libre flujo de

datos7. Sin duda, el acceso a la información posibilita la innovación, nuevos servicios

7 La Comisión Europea anunció el pasado 6 de mayo de 2015 la Estrategia de Mercado Único Digital que,

entre otras medidas, contempla la puesta en marcha en 2016 de una iniciativa de flujo de datos,

denominada Free Data Flow Initiative, que tratará aspectos como la propiedad de los datos y los datos

10

digitales de mayor conveniencia y bajo demanda, nuevos servicios digitales que

proporcionan mayor bienestar a los ciudadanos.

Internet se sustenta en el acceso universal a la información y, en cierto modo, es

concebida como una autopista al conocimiento, sin obstáculos. La indexación y el

enlace es la esencia de Internet. No obstante, la garantía de protección de los datos de

carácter personal y de la privacidad que toda sociedad democrática avanzada necesita,

es igualmente indispensable para el logro de una sociedad en la que las personas que la

integran estén protegidas. Por ello, es clave el logro de un equilibrio.

A día de hoy, el carácter global o universal, la fácil accesibilidad a la información en la

Red y el carácter permanente o imperecedero de dicha información en Internet, hace

peligrar, en ocasiones, el respeto a la intimidad y privacidad en la Red. En cierto modo,

Internet es como un elefante, con una memoria infinita. Sin embargo, pese a ser capaz

de almacenar datos eternamente, corre el riesgo de descontextualizar los datos que

ofrece y, por tanto, caer en la inexactitud, falta de proporcionalidad o inadecuación o

falta de calidad del dato. En los últimos tiempos, expertos de distintos ámbitos y

nacionalidades han venido debatiendo sobre lo que se denomina el derecho al olvido un

derecho que sin embargo, a día de hoy, no está reconocido como tal, aún, en un texto

legislativo vigente, pese a que se están sentando las bases y perfilando sus

características a nivel jurisprudencial. A este respecto, en enero de 2012, la Comisión

Europea aprobó la Propuesta de Reglamento Europeo de Protección de Datos y en su

artículo 17 se contempla el denominado derecho al olvido. Esta normativa ha estado

tramitándose durante casi cuatro años hasta que finalmente el pasado 15 de diciembre se

generados por máquinas. Ver la Estrategia de Mercado Único Digital en http://europa.eu/rapid/press-

release_IP-15-4919_es.htm

11

acordó el texto final, que tras ser aprobado por el Pleno del Parlamento Europeo y

publicado en el Boletín Oficial de la UE el pasado 4 de mayo, comenzará a aplicarse a

partir del 25 de mayo de 2018. En líneas generales, y sin entrar todavía en un análisis

más profundo y riguroso, exponiendo límites y matices, que se hará más adelante a lo

largo de esta tesis doctoral, el derecho al olvido consistiría en el derecho de los

ciudadanos para hacer desaparecer de la Red información referente a su persona,

información que se aloja en Internet con carácter permanente, a golpe de click, que

puede ser objeto de enlaces y réplicas, y que podría ocasionarle perjuicios. En otras

palabras, no condenar a un individuo a ser víctima de la reacción de la sociedad, en

ocasiones desproporcionada, ante un error o imprudencia de su pasado, lo que

dificultaría el ejercicio del Derecho reconocido en el artículo 10.1 de la Constitución

Española (CE1978)8, donde se contempla el derecho al libre desarrollo de la

personalidad. A este respecto, se abrió hace unos años un debate sobre si Google u otro

motor de búsqueda debe responsabilizarse de algún modo de la información a la que da

acceso en su motor de búsqueda o si, por el contrario, el único responsable es la web

que aloja dicha información o la denominada también fuente de origen. El debate

también se ha ampliado asimismo a redes sociales u otros prestadores de servicios de la

sociedad de la información9, más allá de a los buscadores en Internet. En la Audiencia

Nacional española se han venido resolviendo casos que involucran al buscador de

8 El artículo 10.1 de la Constitución Española de 1978 dice así: “La dignidad de la persona, los derechos

inviolables que le son inherentes, el libre desarrollo de la personalidad, el respeto a la ley y los derechos

de los demás son fundamentos del orden político y la paz social”. 9 La Ley 34/2002, de 11 de julio de Servicios de la Sociedad de la Información y Comercio Electrónico

(LSSICE) define en su anexo los servicios de la sociedad de la información del siguiente modo: “todo

servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual

del destinatario. El concepto de servicio de la sociedad de la información comprende también los

servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad

económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros, y

siempre que representen una actividad económica, los siguientes: “1. La contratación de bienes y

servicios por vía electrónica. 2. La organización y gestión de subastas por medios electrónicos o de

mercados y centros comerciales virtuales. 3. La gestión de compras en la Red por grupos de personas. 4.

El envío de comunicaciones comerciales. El suministro de información por vía telemática”.

12

Google10. El 27 de febrero de 2012 la Audiencia Nacional (AN) planteó una cuestión

prejudicial al Tribunal de Justicia de la Unión Europea (TJUE) sobre si la Directiva

95/46/CE era aplicable a Google Inc. y en qué medida Google debía asumir algún tipo

de responsabilidad en el caso de que realizase un tratamiento de datos de carácter

personal al realizar búsquedas. El 25 de junio de 2013, el Abogado General ante el

TJUE emitió su informe de conclusiones resaltando que el buscador no es quien tiene

que borrar la información sino, en su caso, la web- la edición online de un periódico en

el caso en cuestión- que aloja la misma, ya que consideraba que Google no era

responsable del tratamiento de los datos aunque sí realizase un tratamiento. Asimismo el

Abogado General consideró que la Directiva 95/46/CE resulta aplicable a Google y, por

tanto, el gigante tecnológico americano debe someterse a la normativa de privacidad

europea. Más adelante, en un capítulo de esta tesis se realiza un análisis detallado de

este caso sobre el que el TJUE ya dictó sentencia en 2014, contradiciendo en su práctica

totalidad, (aunque con algún punto coincidente como la aplicación extraterritorial de la

Directiva 95/46/CE) la tesis sostenida por el Abogado General y, sin duda, ha sentado

un importante precedente para resolver el resto de cuestiones de la misma naturaleza

pendientes en los tribunales, sin perjuicio de que haya todavía algunos interrogantes

abiertos sobre el derecho al olvido y puntos que no se abordan en la sentencia.

A lo largo de esta tesis se hace un estudio sobre el concepto, contenido, naturaleza

jurídica, alcance y efectividad de un derecho, todavía en fase de gestación: el derecho al

olvido, partiendo del estudio de derechos ya consolidados y con una indiscutible cabida

en nuestra Constitución y legislación, como es el derecho a la intimidad, a la protección

10 La primera de las sentencias de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional

sobre derecho al olvido, tras la sentencia del TJUE de 13 de mayo de 2014, es la que resuelve el caso

Mario Costeja según el criterio fijado por el TJUE, de 29 de diciembre de 2014, publicada en 23 de enero

de 2015. Desde entonces, la Audiencia Nacional ha ido resolviendo las cuestiones prejudiciales

planteadas, en línea con los criterios fijados por el tribunal de la UE.

13

de datos de carácter personal, a la información o a la libertad de expresión. El derecho al

olvido, a tenor de cómo ha transcurrido la tramitación del futuro Reglamento General de

Protección de Datos (RGPD en adelante) y teniendo en cuenta la reciente sentencia del

TJUE en el caso Mario Costeja y la Agencia Española de Protección de Datos (AEPD)

contra Google (C-131/12)11, queda configurado como la manifestación en el soporte

digital de un derecho ya existente –el derecho de supresión o cancelación-. El derecho al

olvido es uno de los grandes retos de la privacidad en la Sociedad de la Información, en

la que los motores de búsqueda y otros prestadores de servicios de la sociedad de la

información se han convertido en herramientas fundamentales para el acceso a la

información en la Red y tratan grandes volúmenes de datos, en ocasiones en tiempo

real. En definitiva, es uno de los retos de la privacidad en el siglo XXI.

Por otra parte, no podemos obviar la importancia creciente de la economía digital en su

conjunto, de los modelos de negocio basados en las nuevas tecnologías de la

información y comunicación, entorno en el que se desarrolla el derecho al olvido. Más

específicamente, los motores de búsqueda (o buscadores), tanto en lo que se refiere a su

aportación económica como al valor del servicio que ofrecen en el acceso a la

información, son herramientas clave que se analizan a lo largo de esta tesis. Los

buscadores en Internet facilitan al internauta el acceso a una gran cantidad de

información en tiempo real, posibilitando búsquedas muy precisas de información,

ofreciendo asimismo a las empresas amplias posibilidades en relación con sus

estrategias de márketing y publicidad. Sin embargo, no podemos olvidarnos de la

posible descontextualización de la información que, en referencia a una persona física,

podemos encontrar como resultado de las búsquedas realizadas.

11 Sentencia del Tribunal de Justicia de la Unión Europa (TJUE), de 13 de mayo de 2014, en el caso

Mario Costeja y la AEPD v. Google (C-131/12).

14

Internet es un fenómeno global y no se puede perder de vista esta característica de

globalidad. Por ello, a lo largo de esta tesis doctoral también se estudian las diferencias

entre el sistema de protección y la legislación a ambos lados del Atlántico (Europa

versus EE.UU) en torno a la privacidad, así como las claves, características, valor

añadido y tendencias de los negocios en el entorno digital, incluidos los medios de

comunicación digitales y redes sociales, su aportación a la economía y los principales

obstáculos y retos que el mundo online plantea.

Como más adelante se abordará en detalle, la visión en EE.UU difiere a día de hoy en

gran medida del punto de vista europeo en lo que respecta a la protección de datos y

privacidad en su conflicto con otras libertades como la libertad de expresión y de

información, la innovación y el desarrollo económico. No obstante, sí existe algún

punto de unión entre ambos sistemas12. En este sentido, hay planteadas algunas

iniciativas dirigidas a la aproximación, a que Europa y EE.UU reduzcan distancias en lo

que respecta a la privacidad y protección de datos13. La privacidad en el entorno digital

plantea retos y desafíos en todo el mundo, si bien hay que tener en cuenta que en Europa

la protección de datos es un derecho fundamental y una garantía del consumidor,

modelo que siguen algunos países latinoamericanos; un concepto de protección de datos

bien distinto del de los norteamericanos. Por ello, lograr un derecho al olvido en EE.UU

tal y como se contempla en Europa, es una posibilidad harto difícil.

12 Reding, Viviane, en la Cumbre Anual Euroclouds, octubre, 2012. En esta misma línea se manifestó

Marcos Judel, miembro de la Asociación Española de Expertos en Privacidad, en el marco del II

Congreso Nacional de la citada asociación, celebrado en Madrid en junio de 2013. En referencia a las

divergencias entre EE.UU y Europa, este experto destacó que “se percibe un acercamiento entre ambas

partes”. 13 Ver la Consumer Privacy Bill of Rights 2015 de la Administración Obama, así como la de 2012. En

este sentido, algunos de los principios incluidos en estos textos han sido trasladados a nuestro Reglamento

General de Protección de Datos 679/2016.

15

Por tanto, en Europa, el derecho al olvido, al estar vinculado a la intimidad, se trataría

de un tipo de derecho ligado a la dignidad de la persona dentro del Estado y de la

sociedad, y por ello, gozaría de una especial protección. Es decir, el derecho al olvido

digital se encontraría en la misma categoría de derechos que el derecho a la vida, a la

integridad física y moral o a la igualdad. Sin embargo, es importante tener en cuenta

que, como todo derecho fundamental, no se trataría de un derecho absoluto sino

relativo, en el sentido de que, en conflicto con otros derechos asimismo fundamentales,

debe realizarse un ejercicio de ponderación de intereses o balancing test. Por tanto, no

hemos de olvidarnos de los derechos a la libertad de información y de expresión, que

suponen un límite, entre otros, que impide un ejercicio indiscriminado y abusivo del

derecho al olvido.

A día de hoy parece muy poco recomendable que en la práctica se aplique en Europa,

un derecho al olvido en unos términos muy exigentes con las empresas de tecnología y

de comunicación, por el freno a la innovación tecnológica que esto supondría y la

desventaja competitiva para las empresas del viejo continente. Es necesaria una

regulación del derecho al olvido respetuosa con todos, tanto con la protección de los

ciudadanos como con los intereses de la industria tecnológica o, incluso, de la industria

en general, que está apostando fuertemente por su transformación digital. Y

precisamente la clave está en hallar este punto de equilibrio.

El marco regulador en Europa y, por ende, en España, de la privacidad y la protección

de datos ha sido recientemente reformado (aunque pendiente de que comience a

aplicarse en 2018), desde enero de 2012, a través del citado RGPD 679/2016 que

sustituirá a la Directiva 95/46/CE. Precisamente al tratarse de un Reglamento será

16

aplicable en los 28 Estados miembros, acabando con la fragmentación existente a día de

hoy, en la que cada Estado aplica y ejecuta la legislación en la materia de una forma

distinta. No obstante, hay diversos aspectos del RGPD en los que se deja margen de

maniobra a los Estados Miembros y, además, en todo caso, el Reglamento ha de ser

implementado y las empresas adaptarse en este tiempo hasta mayo de 2018, debiendo

las autoridades de protección de datos perfilar aspectos del Reglamento que necesitan de

clarificación. Esta tesis dedica también especial atención a los nuevos conceptos y

principios que incorpora el RGPD y, en general, a las novedades incorporadas por el

citado Reglamento.

A lo largo de esta investigación se analiza el valor y la importancia de la información y

los datos en los negocios en la Red y en el entorno digital, y la problemática que surge

para conciliar intereses económicos, innovación y crecimiento con una legislación

adecuada que proteja los derechos fundamentales de las personas, problemática que, en

parte, se debe a que Internet y los buscadores en la Red, así como los medios de

comunicación social en la Red, son un fenómeno relativamente reciente, en torno al cual

aún hay importantes lagunas o vacíos legales o inseguridad jurídica. No obstante, los

desafíos del siglo XXI en materia de privacidad, por supuesto, van más allá de los

meramente regulatorios, pues abarcan no sólo retos legislativos, sino también

educativos y culturales, aspectos clave a los que debemos dar especial atención.

La privacidad no debe ser un obstáculo al crecimiento y desarrollo económico sino un

motor impulsor del mismo14. Por ello, el punto de equilibrio entre derechos debe ser

ponderado, un balance entre privacidad y libertad de actuación. No cabe duda de que si

14Así se manifestaba Piñar, José Luis, en el Seminario Protección de datos e Innovación, Universidad San

Pablo CEU, 8 de noviembre de 2012. http://www.ceu.es/blog/index.php/2012/expertos-del-ambito-

empresarial-y-universitario-debaten-en-el-ceu-sobre-privacidad-innovacion-y-economia-en-internet/

17

el marco regulador es muy estricto ahuyentará a los inversores y a las empresas, quienes

buscarán otros territorios en los que se permita más libertad de actuación y menos

restricciones para invertir. Por ello, el marco regulador debe ser flexible, conciliador

con otros derechos fundamentales como el de la libertad de información y expresión en

un entorno digital, así como compatible con la innovación, el acceso a la información y

el crecimiento económico.

La realidad social del momento tiene que ser necesariamente considerada por el

Ordenamiento Jurídico, en general, y por el Derecho Constitucional, en particular,

esencialmente en aquello que hace referencia a la extensión y delimitación de los

derechos fundamentales, pues más allá del papel normativo de la Constitución, ésta

también cumple una función transformadora ad hoc de la consolidación del sistema

democrático15. Es decir, es necesario evolucionar y adaptarse a los tiempos, que el

Derecho cubra y esté a la altura de los avances tecnológicos que hacen evolucionar a la

sociedad. Tal y como manifiestan Artemi Rallo y Ricard Martínez, “los cambios

implican entonces reflexiones en el ámbito jurídico, donde se plantea hasta qué punto el

Derecho que ordena nuestras sociedades es eficaz en el Universo 2.0”16.

Los avances tecnológicos y el desarrollo de la telemática, que constituyen la conjunción

de las telecomunicaciones y la informática, y que conforman el conjunto de servicios de

naturaleza informática que pueden ser prestados a través de una red de comunicaciones,

presenta, junto con el progreso y su aportación al desarrollo de la sociedad, riesgos

15 Álvarez Conde, Enrique: Curso de Derecho Constitucional: el Estado Constitucional. El sistema de

fuentes. Los derechos y libertades. Vol. I, Madrid, Tecnos, 2003, pag.152. 16 Rallo Lombarte, Artemi y Martínez, Ricard (coords): Derecho y redes sociales, Navarra, Civitas, 2010,

pag.10.

18

importantes para el respeto de la vida privada y la intimidad de las personas17, por su

capacidad de reunir datos, interrelacionarlos, conectarlos, transmitirlos y posibilitar el

acceso a ellos, construyendo importantes bases de datos con información sobre las

personas tanto en manos del Estado como de particulares, con desconocimiento de los

afectados.

Con la celebración de la Conferencia Internacional de Derechos Humanos en 1968 para

conmemorar el 20 aniversario de la Declaración Universal de Derechos Humanos, que

organizó Naciones Unidas en Teherán, comenzó el debate sobre la incidencia del uso de

la electrónica en los derechos individuales, discutiéndose, ya entonces, cuáles eran los

límites que una sociedad democrática debía establecer para proteger dichos derechos.

Nadie pone en duda que la tecnología avanza a pasos a agigantados y plantea retos en el

ámbito del Derecho. Al compás del avance de las sociedades surgen nuevos derechos. Y

en el caso del derecho al olvido, su nacimiento se sitúa en el momento del auge de

Internet, con los buscadores como Google y las redes sociales formando parte de la vida

diaria de miles de personas. Nunca antes el flujo de información e intercambio de datos

había sido de tal magnitud, llegando a hablarse hoy en día de la denominada Economía

de los datos o data-driven economy.

La elaboración de un marco regulador de la privacidad adecuado y adaptado al S.XXI es

uno de los grandes desafíos de la actualidad, como también lo es la configuración del

derecho al olvido y su aplicación por los tribunales. Es esencial lograr un efectivo

equilibrio entre el derecho a la protección de datos de los ciudadanos y el respeto de los

17 Estadella Yuste, Olga: La protección de la intimidad frente a la transmisión internacional de datos

personales, Madrid, Tecnos, 1995, pag. 13.

19

intereses económicos de los grandes grupos tecnológicos y empresas del entorno digital,

no obstaculizando la innovación y el crecimiento empresarial ni el acceso a la

información, a la vez que velando por la seguridad nacional y, por supuesto, por el

derecho a la intimidad.

20

21

2. Bases de partida hipótesis y tesis,

2.1. Motivación

La fuerte irrupción de Internet y el rápido desarrollo de las nuevas tecnologías han

afectado a la privacidad, a la intimidad y al derecho de protección de datos personales.

Por ello, se ha detectado la necesidad de abordar una investigación sobre la privacidad

en el entorno o ecosistema digital actual. Entre los diversos retos a los que se enfrenta la

privacidad en el siglo XXI, esta tesis doctoral se centra en el denominado derecho al

olvido, estrechamente relacionado con nuevos conceptos como la identidad digital o la

reputación digital como una derivación del concepto de honor y la autodeterminación

informativa en Internet.

Una de las principales motivaciones para la realización de esta tesis doctoral es el gran

atractivo que esta materia despierta en la doctoranda, pues ya son varios los años

investigando, leyendo y analizando esta disciplina cambiante. Tras terminar mi

licenciatura en Derecho, comencé mi andadura profesional en el ámbito de la

comunicación y periodismo, especializándome en asuntos legales y periodismo jurídico.

Fui continuando mi formación, a través de un postgrado, en el ámbito de la

Administración y Dirección de Empresas, con la realización de un MBA en una Escuela

de Negocios, así como en el campo de la protección de datos, el acceso a la información

y la transparencia. En paralelo, y dada mi formación –tanto jurídica como periodística-

fui ahondando en el ámbito del derecho a la información y sus límites, entre los que se

encuentra, la intimidad, honor y propia imagen, comenzando así a trabajar en lo que fue

el germen de esta tesis doctoral. Por aquel entonces, cuando empecé a investigar en esta

22

área, desempeñaba mi labor profesional en el sector editorial, en una importante

multinacional editorial jurídica.

Con posterioridad, tuve la oportunidad de trabajar en el área Legal y de Relaciones

Institucionales en una asociación empresarial orientada al comercio electrónico e

Internet, a los negocios digitales y nuevas tecnologías, que agrupa a más de 500

empresas –españolas y extranjeras con implantación en España- que se ha convertido en

la agrupación empresarial referente en España en comercio electrónico. En esta etapa

profesional, fue creciendo mi interés por la privacidad y sus límites u otros derechos o

intereses con los que tiene que convivir en un entorno digital: el derecho a la

información o el desarrollo e impulso de la economía digital. En paralelo, he ido

ampliando, por distintas vías, mi formación en el ámbito de la protección de datos,

acceso a la información y transparencia. Una de esas vías ha sido a través de la Cátedra

Google de Privacidad, Sociedad e Innovación, de la Universidad San Pablo CEU, a

través de la realización del Master Oficial Universitario en Protección de Datos, Acceso

a la Información y Transparencia.

Por otra parte, un espaldarazo importante para la culminación de esta investigación, fue

recibir, en marzo de 2014, el Primer Premio de Investigación Anual 2013 de dicha

Cátedra Google, por la monografía El nuevo paradigma de la privacidad: el derecho al

olvido en Internet (publicada por la Editorial Reus dentro de la Colección de Derecho de

las Nuevas Tecnologías), trabajo de investigación que, parcialmente, se ha integrado en

algún capítulo de esta tesis doctoral. No obstante, el foco de investigación en esta tesis

es más amplio, abarcando el análisis sobre la economía digital y el entorno en el que la

privacidad se desarrolla en este siglo XXI, con un análisis de los nuevos modelos de

23

negocio basados en la innovación tecnológica –entre otros, los motores de búsqueda- y

que confluyen con, o necesariamente deben tener en cuenta la protección de datos para

aportar garantías al usuario o consumidor final. Además, desde marzo de 2014 a la

fecha actual, han surgido acontecimientos relevantes así como actualizaciones

importantes tanto en materia de privacidad como en lo que respecta a desafíos

tecnológicos, y particularmente, en materia de derecho al olvido, que son recogidas en

este trabajo. Por otra parte, y dado que por aquel entonces la tramitación del RGPD

estaba aún en estadios más bien iniciales, la citada monografía no entraba a analizar las

novedades del RGPD, lo que sí se realiza en esta tesis doctoral, además de analizar la

postura del Parlamento Europeo y del Consejo de la UE durante la tramitación, además

del texto finalmente aprobado.

En la actualidad, desempeño mi labor profesional en el servicio de estudios de una

importante entidad financiera española, en la unidad de Regulación Digital. No cabe

duda de que el reto de la transformación digital para todos los sectores de la economía,

incluido como no podía ser de otra manera el sector financiero, es un gran desafío. Y la

privacidad y el uso que se puede hacer de los datos y de la información, ocupa una

posición central en el debate sobre la transformación digital.

Por ello, y haciendo un resumen o sintetizando las motivaciones para la realización de

esta tesis doctoral, diría que, al margen de sentir una gran curiosidad y atracción por

esta materia, considero que la vertiente de la privacidad, como un elemento a considerar

en toda estrategia de negocio digital, en el desarrollo de negocios tecnológicos así como

en la transformación digital de todos los sectores de la economía, irá ganando peso al

compás de la innovación. También, los profesionales especializados en esta materia,

24

tanto jurídicos como los perfiles técnicos como los científicos de datos, serán más

demandados y necesarios. Precisamente un futuro, con tanto potencial, como el que

sinceramente creo que le espera a esta disciplina, hace que la motivación para realizar

esta tesis doctoral sea muy fuerte. Finalmente, estoy convencida de que el perfil

polivalente o la formación en varias disciplinas de la doctoranda, enriquecen el análisis

y propician una reflexión sobre esta materia no desde un único ángulo, sino desde

múltiples perspectivas: Derecho, Comunicación o Periodismo, Gestión empresarial,

entre otras, son áreas de conocimiento con puntos de intersección y, precisamente, en lo

que respecta a la privacidad en Internet, creo que tiene muchas ventajas analizarla desde

este enfoque multidisciplinar.

2.2. Proceso de investigación y contenido

Si bien la intimidad y la privacidad, como conceptos, tienen su historia y antigüedad,

han surgido, debido a la fuerte irrupción de Internet, conceptos novedosos y nuevos

interrogantes relacionados con ellas. Asimismo, se han planteado nuevos retos y

desafíos futuros. De entre todos ellos, esta tesis doctoral se centrará en el derecho al

olvido, cómo se ha llegado a este derecho, en qué consiste y cuál es el bien jurídico

protegido, cuál es la fase en la que se encuentra ahora, así como en los interrogantes a

los que en torno al mismo habrá que ir dando respuesta en un futuro próximo,-desde el

plano legislativo, jurisprudencial y por parte de la industria.

Debido a que hablar del derecho al olvido es hablar de Internet o, dicho de otra forma,

no se concibe lo uno sin lo otro, ha sido necesario analizar el ecosistema de Internet y la

25

economía digital. Se ha considerado importante analizar qué es la economía digital y su

aportación o impacto, cuáles son los nuevos modelos de negocio basados en las nuevas

tecnologías y en los datos, nuevas formas de comunicar y hacer periodismo, u otras

materias con las que se han hallado ciertas similitudes con el derecho al olvido (al

menos en lo que a aspectos procedimentales se refiere) como, por ejemplo, la propiedad

intelectual en Internet. No cabe duda de que se viene hablando del derecho al olvido en

los últimos años como un tema que ha adquirido bastante popularidad como tema de

actualidad y los buscadores (Google, entre otros) se han visto recientemente obligados

por el TJUE a dar respuesta a las peticiones de borrado de datos. Por ello, se hace

sumamente atractivo el estudio de un concepto jurídico y fenómeno sociológico al cual

se están dando respuestas en la actualidad y sobre el que aún quedan preguntas sin

respuesta y que tendrán que ir perfilándose conforme se va avanzando en la

consolidación de jurisprudencia y en la aplicación de una normativa clave, como es el

nuevo RGPD.

Esta normativa europea que aún no ha comenzado a aplicarse, el RGPD 679/2016,

contempla en su artículo 17 el derecho al olvido, y cuando comience a aplicarse, se

convertirá en el primer texto legislativo que regule este Derecho. Si bien ha habido

pronunciamientos judiciales en torno al mismo, por el momento, ningún texto legal

vigente regula aún este derecho como tal. En España, existe una reserva de ley orgánica

en lo que respecta a los derechos fundamentales, de modo que un derecho fundamental

siempre debe ser regulado por una Ley Orgánica, con las correspondientes mayorías y

respaldo en las Cortes que requiere este tipo de ley. Por ello, se trataría de la primera

vez que un derecho fundamental es regulado a través de un reglamento comunitario.

26

El modo en el que el Tribunal de Justicia de la UE ha resuelto el caso Mario Costeja y

AEPD c. Google (caso C-131/12), el pasado 13 de mayo de 2014, deja muchos aspectos

abiertos o pone muchos interrogantes sobre la mesa, a los que se podrá ir dando

respuesta, a través de la resolución del caso por caso, así como a través de la aplicación

del nuevo RGPD. Esta sentencia del TJUE, que se convierte en leading case y marca un

punto de inflexión en el proceso del tema que nos ocupa, está sirviendo como base o

referencia para resolver los casos pendientes en la Audiencia Nacional española y en los

distintos tribunales de los Estados Miembros de la UE, y ha sido tenida en cuenta

también por el legislador europeo. Esta sentencia, así como las interpretaciones en torno

a la misma, son pormenorizadamente analizadas en esta tesis doctoral.

Este trabajo está estructurado en nueve capítulos o apartados, contando la Introducción

y Conclusiones, y al margen del apartado referente a la Bibliografía. Por tanto,

incluyendo introducción y conclusiones, la tesis doctoral consta de nueve apartados o

bloques. El trabajo comienza con una introducción al tema sobre el que se ha

investigado, que es el nuevo enfoque de la privacidad en el siglo XXI, en el que ha

surgido un nuevo desafío, que es el derecho al olvido en Internet o la cancelación o

supresión de datos personales en motores de búsqueda en Internet, para lo cual ha sido

necesario analizar el ecosistema digital actual. Posteriormente y, tras una explicación de

la motivación, hipótesis y tesis defendida, proceso de investigación y contenido,

metodología y fuentes y bibliografía, se realiza un análisis sobre la aportación

económica de la nueva economía digital y de los nuevos modelos de negocio basados en

el desarrollo de las nuevas tecnologías. No solamente se dedica espacio al análisis o

aportación desde un punto de vista económico, sino que también se aborda el impacto

que el avance digital ha tenido en otras ramas, más allá de la económica, como puede

27

ser el propio campo del Derecho o en el ámbito de la Comunicación y el Periodismo.

Por otra parte, y por su importancia en relación con el derecho al olvido, se dedica un

subapartado completo a los motores de búsqueda, en el bloque de la economía digital.

Posteriormente, se analiza la intimidad y la privacidad como concepto y como derecho,

se analiza su evolución histórica, el marco jurídico de la intimidad, así como la

configuración constitucional del derecho a la intimidad en España. Asimismo, se analiza

la evolución que ha seguido el derecho a la intimidad, dando origen al nacimiento de

nuevos derechos independientes del propio derecho a la intimidad, como es el derecho a

la protección de datos de carácter personal y la autodeterminación informativa.

El epicentro de esta tesis es el denominado derecho al olvido. Así pues, se aborda con

un riguroso análisis de su concepto, su origen y su naturaleza, desde un plano doctrinal

y jurisprudencial. La mencionada sentencia, leading case en la materia, relativa al caso

Mario Costeja y la AEPD v. Google Inc y Google Spain, C-131/12, del TJUE, de 13 de

mayo de 2014, es analizada exhaustivamente en este trabajo, tanto la propia sentencia

como las conclusiones del abogado general del TJUE de junio de 2013. También, se

estudian otros hitos posteriores a esta sentencia como las Directrices (Guidelines) del

Grupo de Trabajo del artículo 2918, de noviembre de 2014, que interpretan la sentencia y

proporcionan orientaciones a las Autoridades de Protección de Datos de los Estados

miembros de la UE (WP29 en adelante) para resolver los casos que se les puedan

plantear, así como el informe del Consejo Asesor de Google para el Derecho al Olvido

(Google Advisory Board on the Right to be Forgotten), de 6 de febrero de 2015, donde

18 El Grupo de trabajo del Artículo 29 (Directiva 95/46/CE) es un organismo consultivo formado por las

autoridades de protección de datos de los distintos Estados miembros de la UE, por el Supervisor Europeo

de Protección de Datos, así como por la Comisión Europea en calidad de observador y con funciones de

secretariado. Emite dictámenes, guías, recomendaciones y opiniones de alto valor doctrinal, normalmente

citados por los tribunales de los países de la UE, pero sin fuerza de ley. En adelante, WP29.

28

se analizan los criterios de desindexación ofrecidos por la sentencia de mayo de 2014,

además de otros aspectos como el alcance territorial de la decisión de desindexación,

entre otros. Por otra parte, se estudia el formulario que el propio Google ha habilitado

para la solicitud de desindexación de información, así como la sentencia de la Audiencia

Nacional de diciembre de 2014 que resuelve el caso que había derivado en el

planteamiento de la cuestión prejudicial citada (caso Mario Costeja y AEPD v. Google).

Con posterioridad, ya en 2015, el Tribunal Supremo, en sentencia de 15 de octubre de

2015, resuelve un caso en el que rechaza el derecho al olvido en las hemerotecas

digitales de los medios de comunicación, que también es analizada a lo largo de esta

tesis.

Este trabajo también aborda las diferencias en torno a la regulación en materia de

privacidad en EE.UU frente a la UE, dos sistemas que, aunque con puntos de

coincidencia, tienes bastantes diferencias, pese a que, tal y como se verá a lo largo de

esta tesis, se está produciendo, en ciertos aspectos, un acercamiento entre ambos

sistemas en materia de privacidad, pese a algún reciente acontecimiento de

distanciamiento y posterior acercamiento, al que también se hace referencia en esta

investigación, como es la anulación del acuerdo que, desde el año 2000 y hasta octubre

de 2015 ha estado vigente para las transferencias internacionales de datos entre EE.UU

y la UE, denominado Safe Harbour Agreement o acuerdo de Puerto Seguro. Por

supuesto, y dado que se trata de la norma que sustituirá en la UE a la Directiva vigente

de Protección de Datos Personales de las personas físicas, se dedica especial atención en

este trabajo al RGPD, a los nuevos principios y conceptos y novedades que incorpora, y

en especial, a lo que respecta a la regulación sobre derecho al olvido contemplada en el

artículo 17.

29

2.3. Metodología

En relación con la metodología utilizada, se ha seguido el método científico, aplicado a

la Ciencia Jurídica, basado en el conocimiento previo de la materia, el ejercicio de

abstracción, el planteamiento de hipótesis, la observación y sometimiento de todo ello a

análisis y contrastación para, finalmente, elaborar una tesis con sus conclusiones.

Por método se entiende vulgarmente el “modo de decir o hacer con orden una cosa19.

Como indica Sánchez de Diego20, esta primera definición académica nos aporta dos

elementos valiosos del concepto de método. En primer lugar, el método es un modo,

esto es, un procedimiento, una forma de hacer o decir; utilizando una expresión

metafórica, se trata de “una senda que nos lleva a un fin”. En segundo lugar, se trata de

algo ordenado, lo cual significa una coherencia en la formulación, una ausencia de caos

o de aleatoriedad, una formulación derivada de la razón.

De forma más específica, método desde una perspectiva filosófica significa “un

procedimiento que se sigue en las ciencias para hallar la verdad y enseñarla; y es de dos

maneras; analítico y sintético”21. Esta segunda definición nos introduce otro elemento

fundamental, cual es el fin filosófico del método: la verdad y la enseñanza de la misma.

Obsérvese que se trata de una doble finalidad: por un lado el obtener la verdad y, por

otro, comunicarla. Además nos orienta sobre las dos vías para obtener la verdad y

enseñarla: un procedimiento analítico que supone el conocimiento de las partes a partir

19 Real Academia Española: Diccionario de la Lengua Española, Vigésima tercera edición 2014. Método:

Modo de decir o hacer con orden una cosa. 2. Modo de obrar o proceder, hábito o costumbre que cada

uno tiene y observa. 3. Fil. Procedimiento que se sigue en las ciencias para hallar la verdad y enseñarla.

Método real. Vía administrativa del Estado para la tramitación de las preces de los fieles a la Santa Sede. 20 Sánchez de Diego Fernández de la Riva, Manuel: Proyecto docente de Derecho de la Información,

Universidad Complutense, Madrid, 1993, pag. 140 y ss. 21 Acepción tercera del diccionario de la Real Academia de la Lengua Española.

30

de un todo y un procedimiento sintético que procede componiendo, esto es, que a partir

de las partes se llega al todo22. De forma muy general podríamos definir el método

como “el modo ordenado-tanto sea mediante un procedimiento sintético como analítico-

de lograr un fin”23.

A través del ejercicio de la abstracción, y partiendo del conocimiento de los principales

aspectos del objeto observado-en este caso, el derecho a la protección de datos

personales en Internet-se ha comenzado a dialogar en voz alta o plantearse cuestiones e

hipótesis con las posibles soluciones. Así, y de este modo, han surgido interrogantes

clave como: ¿cuál es el origen del derecho al olvido?, ¿es un derecho nuevo o una

modalidad o manifestación de un derecho ya existente?, ¿cabe una respuesta global al

derecho al olvido o debe ser territorial o local? (analogías y diferencias entre EE.UU y

la UE en lo que respecta al derecho al olvido), ¿cómo debe configurarse el derecho al

olvido? (límites y características). ¿ante quién se puede ejercitar el derecho al olvido?

Este trabajo es una tesis jurídico-histórica, jurídico-doctrinal, jurídico-comparativa,

jurídico-prospectiva y jurídico-sociológica. Esta tesis analiza el origen del derecho al

olvido, haciendo un repaso histórico de la intimidad, como concepto y como derecho,

abordando así los orígenes de la intimidad y la privacidad desde un plano antropológico

y jurídico, explicando cómo se ha pasado del derecho a la intimidad, al derecho a la

autodeterminación informativa o derecho a la protección de datos personales, hasta

llegar al denominado derecho al olvido. Asimismo, analiza los estudios científicos de la

doctrina, es decir, de los especialistas en Derecho sobre la intimidad, privacidad,

22 Sánchez de Diego Fernández de la Riva, Manuel: op.cit, pag.147. 23 Ibídem.

31

derecho a la protección de datos personales y derecho al olvido, así como a los expertos

en derecho a la información, libertad de expresión, honor, intimidad y propia imagen.

Como indica Escobar de la Serna24, el conocimiento científico, frente al conocimiento

espontáneo-que es individual y, por lo tanto, subjetivo, por lo que varía con la persona-

es un conocimiento crítico, pues se obtiene racionalmente, sometiendo a examen todos

los resultados con el fin de evitar cualquier posibilidad de error. De esta forma el

conocimiento es objetivo, pues se obtiene, mediante un esfuerzo de ajuste que realizan

colectivamente todos los que se dedican al menester científico, de modo que el

conocimiento obtenido por lo que se ha llamado la convergencia mental de varios

científicos o investigadores, puede considerarse como un avance objetivo de la propia

Ciencia, desvinculado de las condiciones subjetivas de las personas.

Parece innecesario significar la importancia de la metodología en la investigación

científica. El método científico es consustancial a la investigación científica, de forma

que sin aquel no existe auténtica ciencia. Tal es la opinión de Bunge al respecto25. El

orden de los pasos a seguir en la elaboración de algo influye poderosamente en el

resultado. Y ello es así, “tanto para la elaboración de un plato de cocina, como para el

desarrollo de la teoría científica. Con los mismos ingredientes, es el método lo que

determina el producto final”26.

La exposición del método presenta otro aspecto destacable que deriva del hecho de que

el método científico no es ni infalible ni autosuficiente. Como método falible puede

24Ver Escobar de la Serna, Luis: Principios del Derecho de la Información, Dykinsson, 2000. 25Bunge, Mario: La investigación científica, su estrategia y su filosofía, Ariel, Barcelona 1979, pag. 29 y

ss. 26 Ibídem.

32

perfeccionarse mediante la estimación de los resultados a los que lleva, y mediante el

análisis directo. La falta de autosuficiencia exige algún conocimiento previo que pueda

luego reajustarse y elaborarse. En definitiva, “nadie puede empezar a reflexionar sobre

un problema sin tener algún tipo de marco teórico. Todos tenemos alguno, tanto si

somos conscientes de ello como si no”27. Pues bien, la determinación del método

seguido en una investigación que se precie de ser científica, aporta un elemento de

referencia que permitirá a posteriores investigadores mejorar el método y los resultados,

así como evaluar éstos, consiguiendo con ello un conocimiento previo más fidedigno en

investigaciones futuras. Como indica Sánchez de Diego, “es posible que una

investigación científica llegue a resultados incorrectos, normalmente por no realizar una

evaluación fría y objetiva, pero lo importante es que el proceso-el método empleado- de

formulación de la hipótesis y su comprobación se formule de manera transparente, de

forma que se pueda comprobar posteriormente el trabajo realizado28.

Por su parte, el profesor Sánchez Agesta29 considera que adquiere importancia, la

necesidad de definir metodológicamente el proceso de análisis y sistematización de

estas disciplinas. Para lo cual, podemos distinguir entre el primer paso la necesidad de

establecer conceptos tipos, es decir, abstracciones que fijan los elementos esenciales de

determinadas conductas, situaciones o entidades. Dentro de un mismo objeto es posible

la concurrencia de diferentes métodos. En este trabajo de investigación se han seguido

distintos métodos. Aquellas investigaciones que utilizan prevalentemente la razón

utilizan métodos racionales, como los utilizados en este trabajo de investigación.

Asimismo, podríamos hablar de métodos experimentales para referirnos a

27 Meyer, Philip: Periodismo de precisión: nuevas fronteras de la investigación periodística, Barcelona,

Bosch, 1993, pag. 36. 28 Sánchez de Diego y Fernández de la Riva, Manuel: op.cit, pag.149. 29 Vid Sanchéz Agesta, Luis: Principios de Teoría Política, Madrid, Editorial Nacional, 1983.

33

investigaciones que van de lo particular a lo general (inducción), mediante la técnica de

análisis o división de la realidad. Sin embargo, los métodos racionales, van de lo general

a lo particular (deducción), mediante la síntesis. La inducción analítica es una operación

ascendente (de lo concreto a lo abstracto). La deducción sintética es una operación

descendente (de lo abstracto a lo concreto). Esta tesis utiliza una combinación de ambos

métodos, racional y experimental, aunque racional primordialmente.

Tal y como explica Moles, “las teorías abstractas, o teorías sólo deductivas, establecen

el concepto de verdad al imponer convencionalmente los axiomas que formalmente

habrán de respetarse en las deducciones. Los métodos que se adecuan a las teorías

deductivas son los que contribuyen a construir los enunciados formalmente, o sea, a

formularlos de manera que la verdad formal resulte independiente del contenido con que

se interpreten los enunciados. Las teorías inductivas conciben la verdad material como

la confirmación provisionalmente progresiva de la verdad formal contenida

deductivamente en los enunciados, llamados hipótesis antes de ser confirmados y leyes

mientras permanecen confirmados por los hechos”30.

El abuso de método fundado exclusivamente en un modo de conocimiento racional

produce lo que Duverger31 denomina ‘hipersistematización’. El abuso de la experiencia

es designada por dicho autor como ‘hiperempirismo’32. Cada objeto de conocimiento

exige el uso de unas determinadas técnicas experimentales y racionales, cuya

conjugación da lugar, para cada ciencia a un complejo metodológico, sin que se pueda

alcanzar un método universal para todas las ciencias distinto rechazando la pretensión

cotidiana de reducir los métodos a la unidad.

30 Moles, Abraham: La creación científica, Madrid, Editorial Taurus, 1986, pag.14 y ss. 31 Duverger, Maurice: Los métodos de las Ciencias Sociales, Barcelona, Editorial Ariel, 1974, pag. 113. 32 Ibídem.

34

Incluso dentro de un mismo objeto es posible la concurrencia de diferentes métodos.

González Ballesteros33 manifiesta al respecto que “el acceso al conocimiento exige la

vibración de todas las potencias y los sentidos humanos, todo lo cual puede y debe

hacerse extensivo al método: todos los caminos que facilitan o conducen al

conocimiento científico han de integrarse, sin rechazar imprudentemente ninguno. La

apertura y totalidad con que han de tratarse las cuestiones metodológicas son una

garantía más del carácter científico del conocimiento alcanzado34. En definitiva, el

método no es inmutable y único como tampoco lo es la Ciencia, pues como señala

Bunge, “si la ciencia no pretende ser final incorregible, sino sólo más verdadera que

cualquier modelo no-científico del mundo, capaz de probar esa pretensión de verdad,

capaz de descubrir y corregir sus propias deficiencias, con mucha mayor razón el

método tampoco está llamado a ser final e incorregible, sino esencialmente

perfectible”35.

Hemos de partir de la premisa de que toda investigación supone un planteamiento

previo, un proyecto, que consiste precisamente en reconocer de antemano la

problemática de las cosas que han de estudiarse36. Y la determinación del problema a

investigar consiste, a su vez, en la actividad mediante la cual el investigador especifica

de un modo concreto el tema sobre el que va a versar el trabajo científico que piensa

emprender37.

33 González Ballesteros, Teodoro.: Proyecto docente y de investigación de Derecho de la Información,

Madrid, 1990, pag.45. 34 González Ballesteros, Teodoro.: op.cit, Madrid, 1990, pag.45. 35 Bunge, Mario: op.cit, pag. 46. 36 Vázquez, Jesús María y López Rivas, Pablo: La investigación social, O.P.E, Madrid, 1962, pag.1. 37 Sierra Bravo, Restituto: Técnicas de investigación social, Madrid, Paraninfo, 1991, pag.56.

35

Por su parte, Popper38 planteó que una hipótesis sólo se puede confirmar

empíricamente, de modo que, una vez presentada a título provisional una nueva idea,

aún no justificada en absoluto, sea una anticipación, una hipótesis, un sistema teórico o

lo que se quiera, se extraen conclusiones de ella por medio de una deducción lógica;

estas conclusiones se comparan entre sí, y con otros enunciados pertinentes, con objeto

de hallar relaciones lógicas (tales como equivalencia, deductibilidad, compatibilidad o

incompatibilidad, etc), que existan entre ellas.

Desde otra perspectiva, Piaget39 distingue entre Ciencias “nomotéticas” (del griego

nómos, ley) y Ciencias “históricas”. Las primeras incluyen aquellas disciplinas que

intentan llegar a establecer leyes en el sentido, algunas veces, de relaciones cuantitativas

relativamente constantes y expresables en forma de funciones matemáticas, pero

también en el sentido de hechos generales o de relaciones ordinales, de análisis

estructurales, etc., traduciéndose por medio del lenguaje ordinario o de un lenguaje más

o menos formalizado (lógico). La psicología científica, la sociología, la etnología, la

lingüística, la Ciencia económica y la demografía constituyen, sin duda alguna,

ejemplos de disciplinas que persiguen la búsqueda de leyes en el sentido amplio que

acaba de verse.

En cambio se llaman Ciencias históricas del hombre a aquellas disciplinas que tienen

por objeto reconstruir y comprender el desarrollo de todas las manifestaciones de la vida

social a través del tiempo. Ya se trate de la vida de los individuos, cuya acción ha

dejado huellas en esta vida social, de sus obras, de las ideas que han tenido una

influencia duradera, de las técnicas y de las ciencias, de las literaturas y de las artes, de

38 Popper, Karl: Lógica de la investigación científica, Tecnos, Madrid, 1962, pag.27 y ss. 39 Piaget, Jean; McKenzie, William; Lazarsfeld, Paul. et al.: Tendencias de la investigación en las

ciencias sociales, Madrid, Alianza Universidad, 1979, pag.46 y ss.

36

la filosofía y de las religiones, de las instituciones, de los cambios económicos o de otro

tipo y de la civilización en general. La historia abarca todo aquello que ha tenido

importancia para la vida colectiva a lo largo del tiempo, tanto en sus sectores aislados

como en sus interdependencias.

Así, para Escobar de la Serna, “la cuestión que se plantea inmediatamente es la de

determinar si las ciencias sociales constituyen un dominio aparte, susceptible de ser

caracterizado por propiedades específicas y positivas, o si simplemente se ocupan de la

dimensión diacrónica (es decir, la que se aplica a los fenómenos que ocurren a lo largo

del tiempo o no sincrónicos), propia de cada una de las disciplinas nomotéticas,

jurídicas o filosóficas”40. Aun cuando puedan encontrarse todos los grados intermedios

entre el análisis histórico del desarrollo de los fenómenos o acontecimientos en el

tiempo, parece existir entre ellos una diferencia bastante apreciable, que se apoya en una

relación de complementariedad en cuanto al modo en que estos distintos análisis tratan

los factores de este desarrollo temporal. Es decir, por estrecha que sea la relación entre

las Ciencias nomotéticas y las históricas, necesitando la unas de las otras, sus

orientaciones, en tanto que complementarias, son distintas, aun cuando se trate de

contenidos comunes: “a la abstracción necesaria de las primeras corresponde la

restitución de lo concreto en las segundas, y esa es también una función primordial del

conocimiento del hombre, pero una función distinta de la de la elaboración de las

leyes41”.

Aunque podemos considerar que las Ciencias Jurídicas se encuentran a caballo entre las

Ciencias Nomotéticas y las Ciencias Históricas, ocupan sin embargo una posición muy

40 Escobar de la Serna, Luis: op.cit, pag. 178 y ss. 41 Ibídem.

37

diferente debido a que el Derecho constituye un sistema de normas, y una norma se

distingue, por su misma obligatoriedad, de las relaciones más o menos generales

buscadas por las Ciencias nomotéticas bajo el nombre de “leyes”42. En efecto, una

norma no procede de la simple constatación de relaciones existentes, sino de una

categoría aparte, que es la de deber ser. “Lo propio de una norma es, pues, prescribir un

cierto número de atribuciones y de obligaciones que siguen siendo válidas aun en el

curso de que un sujeto las viole o no haga caso de ellas, mientras que una ley natural se

apoya en un determinismo casual, y su valor de verdad depende exclusivamente de su

adecuación a los hechos”43.

Pero, como apunta Escobar de la Serna44, hay una serie de regiones fronterizas entre las

Ciencias propiamente jurídicas y las demás. Hay que tener en cuenta que la historia del

Derecho, en tanto que historia de las instituciones jurídicas (sin hablar de la historia de

las teorías), no es ya una disciplina normativa, sino un análisis de las realidades que han

sido admitidas, y en algunos casos se admiten todavía, como normas por las sociedades

afectadas, siendo para el propio historiador del Derecho unos hechos históricos más.

Esa dualidad de puntos de vista entre lo que es norma para el sujeto, pasado o presente,

y lo que es hecho para el observador, se presenta también, todavía con más claridad, en

una disciplina propiamente nomotética, pero que tiene por objeto el estudio de los

comportamientos jurídicos en tanto que hechos sociales: “es el caso de la Sociología del

Derecho, cuyo objeto no es en modo alguno estudiar, como hace la Ciencia Jurídica, las

condiciones de la validez normativa, sin analizar los hechos sociales relacionados con la

constitución y el fundamento de tales normas, lo cual es bastante distinto. También los

42 Piaget, Jean; McKenzie, William; Lazarsfeld, Paul et al: op.cit, pag.50 y ss. 43 Ibídem. 44 Escobar de la Serna, op.cit, pag. 179.

38

especialistas de esta disciplina introdujeron la noción fecunda y general de hechos

normativos, precisamente para designar lo que es normativo para el sujeto, siendo a la

vez objeto de análisis para el observador que estudia, en tanto que hechos, las conductas

de este sujeto y las normas que admite”45.

Esta noción es de alcance general, lo mismo que el caso del estudio de los hechos

morales, en el que el sociólogo tampoco tiene que ocuparse de la validez de las normas

aceptadas por los sujetos, sino que únicamente debe investigar en virtud de qué

procesos se consideran obligados por esas normas. Del mismo modo, en psicología

genética se estudian también hechos normativos cuando se trata de explicar cómo los

sujetos, en principio insensibles a tales o cuales normas lógicas, terminan

considerándolas necesarias a través de un proceso que en parte depende de la vida social

y en parte de las estructuras internas de la acción46.

En resumen, si bien el dominio jurídico es de naturaleza normativa, no obstante- como

ocurre con todos los demás dominios nomotéticos-da lugar a estudios de hecho y a

análisis causales que se ocupan de las conductas individuales o sociales en relación con

las normas consideradas y, por consiguiente, esos estudios son necesariamente de

carácter nomotético. En particular, cuando una escuela jurídica considera que el sollen

propio de la norma del Derecho no expresa más que la voluntad del Estado y, a través

de ella, la de los agentes sociales que dirigen la sociedad, el Derecho ya no se ocupa

entonces de la categoría formal del deber ser, sino de relaciones puramente materiales

45 Ibídem. 46 Ibídem.

39

que dan lugar a un estudio objetivo. Sólo que, para los normativistas, éste competería a

la Sociología jurídica47.

En esta tesis cobra especial importancia la vertiente histórica. Si comprender los

orígenes y la evolución histórica de los conceptos, principios e instituciones es siempre

conveniente en las Ciencias Sociales, en el ámbito del derecho a la protección de datos

de carácter personal, del derecho a la información, de la libertad de expresión, del

acceso a la información o del derecho a la intimidad, el estudio histórico se convierte en

necesario e ineludible. En la situación actual, el derecho vigente, es más que nunca una

etapa en un proceso. Tener presente la globalidad del proceso es esencial para

comprender e interpretar la situación actual y poder atisbar tanto los posibles cambios

de interpretación de la norma como su eventual reforma en el futuro.

Asimismo, en este trabajo es relevante el análisis jurisprudencial. El Tribunal

Constitucional, el Tribunal de Justicia de la UE (TJUE), el Tribunal Europeo de

Derechos Humanos (TEDH) y la Audiencia Nacional (AN) han jugado un papel

trascendental en el desarrollo del derecho a la protección de datos de carácter personal,

junto con las resoluciones de la Autoridad española de protección de datos (Agencia

Española de Protección de datos o AEPD). Recordemos tan sólo a título de ejemplo

que, precisamente es la jurisprudencia del Tribunal Constitucional (TC) la que eleva a

derecho con rango de derecho fundamental a la protección de datos de carácter personal

y es el propio Tribunal Constitucional, junto con la jurisprudencia del TEDH, la que ha

dado los criterios para configurar los límites del derecho a la intimidad y analizar con

qué otros derechos puede entrar en conflicto, o cuándo debe ceder el uno ante el otro.

47 Ibídem.

40

Tener muy en cuenta esa jurisprudencia en la investigación, conocer su funcionamiento,

sus condicionamientos y límites, saberla interpretar, es esencial para adentrarnos

adecuadamente en la mayor parte de las áreas del derecho a la intimidad y derecho a la

protección de datos de carácter personal.

El ordenamiento jurídico del derecho a la intimidad y del derecho a la protección de

datos de carácter personal no sólo se nutre del Derecho Constitucional y del Derecho

Administrativo, sino que interactúa con otras ramas del Derecho. El Derecho

Internacional, a través de tratados o convenios entre países y el Derecho Comunitario,

también entran en juego, como también lo puede hacer, en ocasiones, el Derecho Penal.

Cada una de estas disciplinas jurídicas tiene su propia lógica interna, por lo que hay que

acostumbrarse pues a una interrelación entre disciplinas jurídicas distintas y a un

diálogo entre las lógicas internas de cada una de ellas. Naturalmente habrá puntos de

fricción y hasta de conflicto y el reajuste no será siempre fácil.

Es conveniente no perder de vista que la lógica sobre la que actúan distintos actores y

sobre la que operan los diversos ámbitos jurídicos no es única sino plural. Por ello, es

clave entender la lógica interna del ordenamiento jurídico constitucional en referencia a

derechos fundamentales pero sin infravalorar otras perspectivas. Sólo ese enfoque desde

el pluralismo jurídico permite comprender la realidad y, una vez dado este primer paso,

buscar las medidas adecuadas para el avance y el ajuste entre las diversas aportaciones

al Derecho a la intimidad y a la protección de datos de carácter personal. Por tanto, esta

investigación tiene en cuenta diferentes ramas y fuentes jurídicas, teniendo muy en

cuenta la perspectiva comunitaria o supranacional.

41

Por último, cabe destacar la multidisciplinariedad de esta investigación. Sin dejar de

tener la naturaleza de un trabajo jurídico, en pocos ámbitos como en el de la protección

de datos en el entorno online o de Internet, se percibe tan bien la imbricación del

Derecho con la Economía, la Historia, la Sociología, la Antropología, la Ciencia

Política, las Relaciones Internacionales, la Pedagogía, la Gestión Empresarial, el

Márketing o la Comunicación. Por tanto, en esta tesis no sólo se ha tratado la privacidad

desde una perspectiva jurídica, sino también sociológica, histórica, económica o desde

la perspectiva del desarrollo tecnológico o la privacidad en los modelos de negocio. Es

decir, se ha analizado la cuestión de la privacidad desde una óptica amplia, en la que

convergen elementos económicos, sociales, jurídicos, antropológicos o históricos,

tecnológicos o culturales. No cabe duda de que en el estudio del Derecho, resulta clave

el estudio de conductas y de sus tendencias, comportamientos, relaciones entre

individuos o entre empresas, situaciones y hechos que demandan una respuesta jurídica,

aspectos que el legislador debe tener en cuenta a la hora de regular.

Por otra parte, en esta tesis doctoral también se realiza un análisis jurídico-comparativo,

abordando las diferencias y analogías entre el sistema en EE.UU y en la UE, en lo que

respecta a la privacidad y la protección de datos personales. Por tanto, se trata también

de un estudio de Derecho comparado. Además, desde el momento en el que se detecta

un problema al que hay que dar respuesta, esta tesis doctoral es jurídico-prospectiva,

dado que cuestiona una ley o institución jurídica vigente y detecta fallos para proponer

cambios o reformas legislativas.

42

2. 4. Fuentes y bibliografía

Para la elaboración de esta tesis doctoral se han utilizado fuentes de investigación, tanto

documentales como de campo. En lo que respecta a las fuentes bibliográficas

documentales cabe destacar: las fuentes del Derecho como leyes, reglamentos y demás

normativa de ámbito nacional, reglamentos y directivas comunitarias, normativa de

EE.UU, convenciones y tratados internacionales, jurisprudencia española y comunitaria,

así como de EE.UU, además de recomendaciones y dictámenes de soft law y códigos

de autorregulación de empresas. Se han tenido en cuenta textos, entre otros, como la

Declaración Universal de Derechos Humanos, Convención Europea de Derechos

Humanos, Carta de Derechos Fundamentales de la UE o la Constitución federal de

EE.UU de 1789 y, más en concreto, algunas de sus enmiendas como la primera, cuarta,

novena o decimocuarta que han sido detalladamente analizadas.

Para la elaboración del Capítulo octavo de esta tesis, centrado en el RGPD, se han

tenido en cuenta los distintos borradores del texto durante su tramitación así como los

documentos con opiniones o informes de organismos europeos que se pronunciaron

sobre el texto durante su tramitación.

Por otra parte, se ha estudiado a numerosos eruditos y expertos en Derecho a la

intimidad y protección de datos, teniendo esta tesis doctoral abundantes citas

doctrinales. Asimismo, se ha recurrido a libros y revistas, tanto jurídicas como

especializadas en Comunicación, Periodismo, Economía o Tecnología, entre otras

disciplinas. Asimismo, entre las fuentes bibliográficas figuran artículos periodísticos,

publicados en prensa escrita y online. También se han utilizado informes y estudios de

43

instituciones públicas de reconocido prestigio así como de organizaciones del sector

privado, también de prestigio, como importantes consultoras estratégicas de negocio.

También, se han tenido en cuenta iniciativas de la Comisión Europea (CE) u otros

organismos, como Comunicaciones de la CE o estudios de dicha institución, u

opiniones, recomendaciones y dictámenes del órgano que integra a las autoridades de

protección de datos europeas, al Supervisor Europeo de Protección de Datos y a la CE,

conocido como el WP29. Además, se han analizado diversas resoluciones

sancionadoras de la Agencia Española de Protección de Datos (AEPD) así como Guías

o informes de dicho organismo o sus homólogos en otros Estados Miembros de la UE.

Por otra parte, y puesto que se trata de una tesis doctoral multidisciplinar, además de

doctrina jurídica, se ha tenido en cuenta a autores de otras disciplinas, como la

Economía, Tecnología, Historia, Política o Pedagogía, entre otras.

En lo referente a las técnicas de investigación de campo, se han realizado entrevistas a

directivos de empresas tecnológicas, representantes de asociaciones empresariales o a

abogados expertos en la materia y también visitas a empresas tecnológicas. Además, se

han aportado los conocimientos adquiridos en varios seminarios y congresos sobre la

materia, a los que la doctoranda ha asistido y que, en algunos casos, ha intervenido

como ponente o conferenciante.

En lo que respecta al bloque de bibliografía de esta tesis, comienza con las referencias

doctrinales o bibliografía utilizada para aportaciones doctrinales, contando con

abundantes citas doctrinales de autores nacionales y extranjeros, tanto de obras

monográficas como de artículos científicos publicados en revistas de prestigio.

44

Posteriormente, incluye el bloque referente a jurisprudencia y resoluciones de la

Agencia Española de Protección de Datos (AEPD) analizadas, donde se incluyen tanto

sentencias de tribunales europeos y españoles como jurisprudencia norteamericana.

Como tercer bloque en el apartado de la bibliografía, se incluye la normativa, soft law y

documentos de organismos de las instituciones de la UE. Posteriormente, otro apartado

con los documentos del WP 29 que se han estudiado, seguido de un apartado con

informes y estudios tanto de instituciones públicas como de organizaciones privadas.

Finalmente, se incluye un último apartado, donde se recogen otras referencias

bibliográficas como discursos de académicos, artículos en prensa, boletines

informativos, blogs o noticias.

2. 5. Hipótesis y Tesis

Esta tesis es una tesis jurídica, pero en la que se tienen en cuenta más conocimientos o

materias ajenas a la ciencia del Derecho. De hecho, una de las hipótesis que la

doctoranda pretende contrastar a lo largo de esta investigación es que la propia

disciplina de la privacidad, del derecho a la privacidad y protección de datos personales,

está en estrecha relación con otras áreas de conocimiento y, por tanto, entender bien la

privacidad en Internet no implica sólo un conocimiento del Derecho, sino también, de

otras disciplinas relacionadas como la Sociología, Antropología, Economía, el

Periodismo o la Comunicación, entre otras. La privacidad es una ciencia

multidisciplinar y, precisamente, ésta es una de las hipótesis planteadas.

45

Esta investigación se centra en un objeto o materia, la privacidad en Internet y, más en

concreto, el derecho al olvido en Internet, que es no sólo muy reciente en el tiempo, sino

que está en constante cambio o evolución, ya que, tanto el Derecho como Internet o la

Tecnología son dinámicas y cambiantes. Por ello, esta tesis deja líneas de investigación

abiertas. Otra de las hipótesis, y relacionada con el carácter cambiante del Derecho y de

la Tecnología, es que la privacidad y, por ende, cualquier derecho derivado de la misma,

no es un concepto estático, sino sometido a constante evolución, algo que varía no sólo

en el tiempo, sino en función de otros diversos factores, como la cultura, civilización, la

etapa de la vida de la persona, educación, valores, contexto social, y otros diversos

elementos que se analizarán a lo largo de esta tesis. Debido a los rápidos avances

tecnológicos, podemos hablar a día de hoy de un nuevo paradigma de privacidad al que

se debe dar respuesta.

Los conflictos que se pueden ocasionar entre el derecho a la privacidad, intimidad o

protección de datos y el derecho a la información, acceso a la información, libertad de

expresión y desarrollo e innovación e impulso a los nuevos modelos de negocio

disruptivos han ido planteando nuevas vertientes y enfoques. Esta tesis doctoral analiza

un derecho que se concreta en la cancelación u oposición al tratamiento de datos

personales en un motor de búsqueda de Internet u otros servicios de la sociedad de la

información y referido a las personas físicas. No obstante, también se ha reflexionado

sobre los mecanismos que están al alcance de personas jurídicas cuando éstas quieren

borrar o cancelar informaciones o datos en Internet, a través de los mecanismos

existentes en vía civil para la defensa del honor, intimidad y propia imagen. Esta tesis

asimismo pretende demostrar que, el derecho al olvido, al derivar de un derecho

fundamental, como es el derecho a la autodeterminación informativa o protección de

46

datos de carácter personal, gozaría de esa misma condición, en el sentido de que sólo lo

podría ejercitar la persona física, y no es nunca un derecho absoluto, debiendo ser

sometido a ponderación con otros intereses o derechos en conflicto, en busca de un

punto de equilibrio.

Por otra parte, se reflexiona sobre la administrativización del derecho al olvido con la

sentencia del caso Mario Costeja y AEPD v. Google con la creación de un nuevo

procedimiento para ejercitar el derecho ante motores de búsqueda, como respuesta para

solucionar el reto que plantea el acceso a la información cuasiuniversal y en tiempo real

que proporcionan los motores de búsqueda en Internet. Si bien es cierto que los motores

de búsqueda permiten una mayor exposición del individuo e impactan en la privacidad

cuando permiten acceder a informaciones o datos relativos a una persona con nombres y

apellidos, no es menos cierto que los prestadores de servicios de la sociedad de la

información pueden incorporar protocolos de no indexación, al igual que también

contamos con una legislación del honor, intimidad y propia imagen48, que ha venido

dando una respuesta satisfactoria durante años a los conflictos entre el derecho a la

intimidad y el derecho a la información. Por otra parte, este trabajo plantea como

hipótesis que la sentencia del caso Mario Costeja y la AEPD v. Google podría implicar

tener que replantearse la compatibilidad del fallo judicial con la Directiva de Comercio

Electrónico, en la que se contempla la exención de responsabilidad de los prestadores de

servicios de la sociedad de la información intermediarios frente al contenido de terceros

que alojan.

48 Ley Orgánica 1/1982, de 5 de mayo, de protección civil del honor, intimidad y propia Imagen.

47

Este trabajo plantea también la hipótesis de que el derecho al olvido es la manifestación

de un derecho existente, que es la cancelación u oposición de datos personales en un

entorno muy concreto, que es el entorno de Internet. Por tanto, no se trataría de un

derecho nuevo sino de la manifestación en un entorno concreto (el entorno sí sería

relativamente nuevo) de un derecho ya existente.

Por otra parte, otra de las hipótesis que se plantean es que la respuesta al desafío del

derecho al olvido, así como a los retos en general de la privacidad en el entorno digital,

no debería ser exclusivamente una respuesta legislativa sino que también debe tenerse

en cuenta la respuesta educativa, formativa, o la que debe dar la propia industria

tecnológica a través de buenas prácticas y fomentando la transparencia para que el

individuo sepa cómo actuar en Internet y pueda estar en verdadero control de sus datos.

No todo debería ser legislación y caer en el error de la sobrerregulación.

La tesis que se defiende en este trabajo de investigación es que, dado que la Directiva

europea 95/46/CE de Protección de Datos, vigente en la actualidad pero que será

sustituida en mayo de 2018 por el RGPD 679/2016, data de una fecha muy anterior al

boom de Internet o a la consolidación de Internet como herramienta indispensable, no

estaba diseñada para supuestos como los que se han venido planteando en los últimos

años. En concreto, la Directiva no estaba pensada ni preparada para avances

tecnológicos que han surgido en los últimos años, como los drones, el Internet de las

cosas, la inteligencia artificial o el Big Data. Particularmente, la normativa vigente

tampoco da respuesta al reto de la cancelación de datos en motores de búsqueda en

Internet o en la Red. Por todo ello, este trabajo defiende que es necesaria una

actualización y una adaptación de la normativa a la realidad imperante, en un mundo

48

permanentemente conectado a Internet. Asimismo, y en la medida en que Internet es

dinámico y cambiante, la regulación que se apruebe debe procurar su estabilidad en el

tiempo y evitar que quede desfasada en un plazo relativamente corto. Es decir, debe

tenerse en cuenta que se está regulando sobre un objeto dinámico y cambiante. No sólo

debe adaptarse la legislación sino también su aplicación y su interpretación por

autoridades de protección de datos y tribunales. También, las propias empresas de la

industria tecnológica deben adaptar sus prácticas empresariales y políticas de privacidad

a las demandas del nuevo paradigma de la privacidad en el entorno digital y, en

concreto, realizar las adaptaciones internas necesarias o creación de sistemas para dar

respuesta a las solicitudes de derecho al olvido. Además de una necesaria actualización

de la normativa, esta tesis defiende que la regulación, dada la materia dinámica y

cambiante sobre la que se regula, debe ser una regulación flexible y de principios,

evitando caer en la prescripción detallada, que puede llevar al desfase de la regulación

en un corto período de tiempo.

El punto de partida ha sido, por tanto, haber detectado un problema, al que se han

planteado posibles soluciones a través de hipótesis. El problema detectado no es otro

que, dada la Era digital en la que vivimos, de permanente conexión cuasiuniversal a

Internet dicho ya anteriormente, han surgido nuevos retos a los que hay que dar una

respuesta jurídica, entre los que se encuentra el denominado derecho al olvido o al

borrado de datos en los motores de búsqueda en Internet, en prestadores de servicios de

la sociedad de la información o en la Red, en general. A través de la observación y

contrastación de diversas hipótesis, este trabajo defiende que la normativa actual es

obsoleta y no se adapta al reto del derecho al olvido. Por tanto, debe adaptarse al

fenómeno digital en el que el derecho al olvido tiene lugar, abogando por una normativa

49

armonizada, flexible y de principios. A su vez, debe adaptarse la interpretación que de

la normativa realizan los diversos órganos administrativos y tribunales así como las

propias empresas deben adaptar sus sistemas y procesos para dar respuesta a los nuevos

retos –el derecho al olvido, entre otros- y cumplir con la futura normativa de protección

de datos. La normativa vigente no se ajusta a los retos actuales, entre los que se

encuentra el derecho al olvido, y es necesaria una armonización normativa a nivel de la

UE. Teniendo en cuenta, además, que las empresas compiten en un mercado global, es

aconsejable que el marco de la UE no esté aislado y se avance en la reducción de

asimetrías en lo que respecta a la regulación en materia de privacidad en las distintas

zonas geográficas, siendo deseable contar con estándares globales comunes, así como

un acercamiento en lo que respecta a la regulación entre la UE y EE.UU o Asia-Pacífico

o Latinoamérica.

El nuevo artículo 17 del RGPD regula un derecho hasta ahora no contemplado o, al

menos, no regulado hasta ahora en la forma en la que el nuevo Reglamento lo regula. La

aparición de los prestadores de servicios intermediarios en la Red, como puede ser un

motor de búsqueda en Internet o una red social, en la que tanto el motor de búsqueda

como la red social no editan contenido sino que son transmisores o conectores ha

supuesto un cambio de paradigma, como también lo ha sido la generación de contenido

en Internet por parte de los propios usuarios. Todo ello ha llevado a replantearse la

adecuación del marco normativo europeo en el ámbito de protección de datos y a que en

enero de 2012 la Comisión Europea plantease una propuesta legislativa de reglamento

para crear un nuevo marco que pueda dar respuesta a estos retos. El derecho a la

cancelación de datos contemplado en la Directiva de 1995 está pensado para un mundo

analógico y no para un entorno digital en el que la esencia de la Red es el enlace (link en

50

su denominación en inglés), que implica un acceso a la información sin precedentes y a

gran escala. Big Data, el Internet de las Cosas, la inteligencia artificial o las decisiones

que afectan a las personas, basadas en algoritmos, plantean nuevos retos, que indicen en

cierta medida en la privacidad de las personas y que demandan un nuevo marco

normativo, a la vez que se hacen necesarias políticas públicas que permiten equilibrar la

necesaria innovación y progreso con el debido respeto a la privacidad de las personas.

51

3. Los retos de la nueva economía digital

3.1. Impacto económico de la economía digital

La nueva economía digital tiene numerosos frentes abiertos en aspectos regulatorios,

siendo la privacidad y la protección de datos en el ámbito digital uno de los retos

importantes, pero no el único. Otros desafíos regulatorios relacionados con el desarrollo

tecnológico son la propiedad intelectual en Internet, fenómenos como las denominadas

plataformas de consumo colaborativo, el denominado crowdfunding o

microfinanciación, la normativa relacionada con consumidores y usuarios en el entorno

de Internet, o la regulación sobre nuevos medios de pago, entre otros. Consideramos

que es esencial realizar un análisis de lo que es la economía digital, su aportación y

evolución, desde el momento en el que un análisis del derecho al olvido o de la

desindexación de información en motores de búsqueda o en Internet, requiere un

análisis del ecosistema en el que los buscadores se desarrollan, que no es otro que el

ecosistema digital o de Internet. Sin Internet no podemos hablar de desindexación ni,

por tanto, de derecho al olvido.

La Economía digital es aquella que deriva de las nuevas tecnologías o de Internet. La

Organización para la Cooperación y Desarrollo Económico (OCDE) ha ofrecido una

definición de lo que se considera Economía digital, destacando los rasgos característicos

de la misma y peculiaridades de los modelos de negocio propios de la misma. Al

respecto, destaca que la Economía digital puede definirse como “la que comprende los

mercados basados en tecnologías digitales que facilitan el comercio de bienes y

52

servicios a través del comercio electrónico”49. Por su parte, el Plan de Acción de la

OCDE denominado Base Erosion and Profit Shifting (proyecto BEPS)50, que aborda la

cuestión de la fiscalidad de la economía digital con el fin de afrontar la deslocalización

de beneficios a territorios offshore51 y la erosión de bases impositivas, no ofrece una

definición de economía digital pero sí proporciona unas características definitorias de la

misma, entre las que destacan “el apoyo en activos intangibles, el uso masivos de datos

particularmente de carácter personal, la proliferación de los modelos de negocio

denominados multi-sided52 en los que participan varias partes capturando valor de las

externalidades generadas por productos gratuitos, y la dificultad de determinar la

jurisdicción en la que la creación de valor se produce”. En octubre de 2015, se presentó

el paquete de medidas o informe final del Proyecto BEPS.

El Grupo de Expertos sobre Fiscalidad de la Economía digital, creado por la Comisión

Europea en octubre de 2013, celebró su primera reunión el 12 de diciembre de 2013

para abordar la materia de la fiscalidad de la economía digital, con el fin de debatir y

reflexionar sobre cómo debe ser la fiscalidad de este tipo de economía con el propósito

de atajar la planificación fiscal agresiva que adoptan muchas multinacionales

tecnológicas, lo que se ha convertido en un objetivo político del G-20 y, en menor

medida, del G-8. En el marco de este encuentro del Grupo de Expertos sobre Fiscalidad

49 Working Paper sobre cuestiones generales del Grupo de Expertos sobre Fiscalidad de la Economía

digital, tras la primera reunión celebrada por dicho grupo de expertos el pasado 12 de diciembre de 2013.

Bruselas, 12/12/2013, TAXUD D1/JT, Digit/002/2013. 50 El proyecto BEPS (Base Erosion and Profit Shifting), de la OCDE, fue adoptado por el citado

organismo internacional encargado de establecer los estándares en materia de fiscalidad, en junio de

2012. El pasado 5 de octubre de 2015, se presentó el paquete definitivo de medidas del proyecto BEPS.

http://www.oecd.org/newsroom/la-ocde-presenta-los-resultados-del-proyecto-beps-de-la-ocde-y-el-g20-

para-su-discusion-en-la-reunion-de-los-ministros-de-finanzas-del-g20.htm. 51 Los territorios offshore son aquellos de baja o nula tributación. 52 Un buen ejemplo de modelo de negocio multi-sided, en los que se captura valor de externalidades

positivas generadas por los productos gratuitos, son los motores de búsqueda, en los que por un lado el

usuario acude a un motor de búsqueda para acceder a información a la vez que sirve de canal para los

anunciantes, obteniendo el usuario valor accediendo a la información de una forma gratuita.

53

de la Economía Digital se definieron las características de la Economía digital:

“innovación intensiva y tendencia a hacer un mayor uso de nuevas fuentes de

financiación (capital riesgo); énfasis en la importancia de activos intangibles más que en

activos tradicionales tangibles, como por ejemplo énfasis en patentes, trademarks,

copyrights, franquicias, licencias, etc.- en la creación de valor y de servicios

electrónicos como productos finales; la emergencia de nuevos modelos de negocio

basados en efectos de redes, contenido generado por el usuario (user generated content),

la captación y explotación de datos personales, etc; y el comercio electrónico

transfronterizo (cross-border), incluyendo la entrega de formas tradicionales de

comercio a través de nuevos canales”.

Aunque España está avanzando en su transformación digital y en el desarrollo de la

economía digital, en comparación con otros países avanzados de nuestro entorno aún se

encuentra rezagada y debe mejorar su posición en los principales indicadores de

digitalización. Así se desprende del Índice NRI (Networked Readiness Index) del Foro

Económico Mundial 2016, que sitúa a España en el puesto 35 sobre 139, en lo que

respecta al avance digital, logrando 4,8 puntos sobre 753. Por su parte, el índice europeo

DESI (Digital Economy and Society Index) sitúa a España en el puesto 15, ligeramente

por detrás de la media europea pero creciendo a un ritmo mayor que la media54. Según

un reciente informe de Accenture presentado en Davos, el 19,4% del PIB español está

ligado actualmente a entornos digitales, lo que equivale a 231.000 millones de dólares55.

El citado informe pronostica que en 2020 este porcentaje de contribución crecerá hasta

53 Global Information Technology Report, Foro Económico Mundial, 2016, pag.31. 54 Digital Economy and Society Index (DESI), 2016. https://ec.europa.eu/digital-single-market/en/desi 55 Informe de Accenture Strategy, Digital disruption: the growth multiplier, 2016.

https://www.accenture.com/es-es/insight-digital-disruption-growth-

multiplier?c=ad_gispainFY16_10002070&n=bac_0216

54

el 22% del PIB, lo que supondría un volumen de 290.000 millones de dólares. Otro dato

curioso e interesante para ayudar a comprender el impacto de la Economía digital es que

si ésta fuese un país, estaría situada en quinta posición mundial, sólo por detrás de

EE.UU, China, Japón y la India56.

Con respecto al impacto del Internet móvil en la Economía en Europa, según un reciente

presentado en 2015 realizado por Boston Consulting Group para Google57, sólo en

Alemania, España, Francia, Italia y Reino Unido, el Internet móvil ha generado unos

ingresos de 90.000 millones de euros y ha creado 500.000 puestos de trabajo, la mitad

de ellos basados físicamente en dichos países.

La fuerte irrupción y el rápido desarrollo de la economía digital ha implicado la

aparición de nuevos productos y servicios innovadores y la entrada de nuevos

competidores en sectores tradicionales de la economía. Por ello, las empresas de los

distintos sectores, fundamentalmente banca y seguros, telecomunicaciones o industrias

como la automovilística, están inmersas en un proceso de transformación digital que les

permita resistir en este nuevo ecosistema donde entran a competir nuevas empresas de

base tecnológica. La digitalización de las empresas conlleva “una potencial disrupción

en toda la cadena de valor, innovando en productos y servicios, mejorando la

experiencia de usuario y apostando por la omnicanalidad”58.

56 Informe de Adigital (Asociación Española de la Economía Digital) realizado por Rocasalvatella

Transformación digital y su impacto socioeconómico, diciembre 2014, pag.5. 57 Informe The mobile Internet Economy in Europe, Boston Consulting Group para Google, diciembre

2014. 58 Álvarez Caro, María: “La digitalización: retos y oportunidades para las empresas”, Suplemento Foro

Empresarial, nº 3, La Vanguardia, 1 de octubre 2016.

http://www.lavanguardia.com/tecnologia/20161001/41709352605/retos-oportunidades-empresas.html

55

Asimismo, las nuevas tecnologías han traído nuevos interrogantes al campo del Derecho

y materias jurídicas tradicionales ya con tiempo de rodaje, han tenido o están teniendo

que adaptarse al nuevo fenómeno digital. Además de la privacidad y la protección de

datos, que es el objeto de estudio en esta tesis doctoral, otras materias relacionadas con

la economía digital están teniendo que sumarse a esta transformación o adaptación al

entorno de la digitalización global propia del siglo XXI y al auge de las nuevas

tecnologías, como son, entre otras, la propiedad intelectual, la normativa sobre derechos

de los consumidores y usuarios o la fiscalidad. Así, por ejemplo, también Internet ha

pulido conceptos como la reproducción de obras, propiedad intelectual, distribución o

almacenamiento, en referencia a los cambios en el ámbito de los derechos de autor.

Con el desarrollo de las Tecnologías de la Información y Comunicación (TIC) y el

mayor acceso a Internet, han surgido nuevos modelos de negocio así como nuevos

perfiles profesionales, transformándose asimismo la educación y muchos otros órdenes

de la sociedad. El trabajo con un perfil digital está en claro aumento. En este sentido, los

especialistas digitales son requeridos tanto por empresas online como por firmas

tradicionales que transforman sus negocios. Se ha detectado que la mayoría de estos

nuevos perfiles digitales operan con polivalencia en diversos sectores, como lo hacen

los desarrolladores de aplicaciones o los expertos en marketing online. Ello se explica

por la transversalidad que presentan los contenidos digitales entre los diversos sectores.

Entre los perfiles más demandados se encuentra el experto en posicionamiento online,

especialista en marketing online o community manager o los científicos de datos, que se

encargan de extraer valor de la gran cantidad de datos que manejan las organizaciones.

Por otro lado, el avance tecnológico está teniendo un impacto en el trabajo en sí mismo,

siendo cada vez más frecuente la figura del autónomo o freelance, a la vez que

56

aumentando los procesos automatizados, surgiendo el debate sobre cuál será el futuro

del trabajo. A este respecto, se ha analizado recientemente cómo está afectando al

trabajo tecnologías emergentes como la robótica, inteligencia artificial y cómo se ha

expandido el potencial de la automatización y los algoritmos, destacando que “el 47%

de los puestos actuales en EE.UU son susceptibles de automatización en las próximas

décadas”59.

3. 2. Cloud Computing

Una de las revoluciones digitales de los últimos tiempos, con importantes repercusiones

en el plano de la privacidad, es el Cloud Computing o Computación en la Nube. Ésta ha

sido definida como “un modelo para hacer posible el acceso a red adecuado y bajo

demanda a un conjunto de recursos de computación configurables y compartidos (por

ejemplo redes, servicios, servidores, almacenamiento, aplicaciones y servicios) cuyo

aprovisionamiento y liberación puede realizarse con rapidez y con un mínimo esfuerzo

de gestión e interacción por parte del proveedor del Cloud”60. Puede considerarse como

“una nueva forma de prestación de los servicios de tratamiento de la información, válida

tanto para una empresa como para un particular y, también, para la Administración

Pública”61, que permite al usuario “optimizar la asignación y el coste de los recursos

asociados a sus necesidades de tratamiento de información”62.

59 Berger Thor y Frey Carl: “Structural transformation in the OECD: digitalization, deindustrialization

and the future of work”, OECD Social, Employment and migration Working Papers, No 193, OECD,

Paris, 2016, pag.3. 60 Ver el documento Riesgos y amenazas en Cloud Computing, Instituto Nacional de Tecnologías de la

Comunicación (INTECO), Ministerio de Industria, Turismo y Comercio del Gobierno de España, 2011. 61Ver la Guía para clientes que contraten servicios de Cloud Computing, AEPD, 2013. 62 Ibídem.

57

Como ha dicho el destacado creador de la licencia Creative Commons63, Lawrence

Lessig, la tecnología siempre se adelanta al Derecho. O dicho de otro modo hay una

falta de sincronización: la tecnología evoluciona a pasos agigantados, mientras que la

evolución del Derecho es mucho más lenta y cuando finalmente se aprueba una

normativa para regular una determinada tecnología, en muchos casos, la tecnología

vigente ya es otra más nueva, habiendo quedado la primera obsoleta. En parte, y ya

ofreciendo una opinión o valoración personal, quizá sea esta realidad la que hace

precisamente del denominado Derecho digital o Derecho de Internet una especialidad

jurídica apasionante, en la que es necesario actualizarse de forma constante al compás

de los avances tecnológicos que van planteando nuevos interrogantes o retos jurídicos.

Las repercusiones que, desde el plano jurídico, pueden tener nuevas tecnologías de

servicios como el Cloud Computing, son importantes, en lo que respecta a los datos de

carácter personal64. Nadie pone en duda que se trata de una tecnología beneficiosa para

las empresas, que las ayuda a reducir el coste de infraestructura de forma considerable y

que cada vez está más presente en el mundo empresarial, incluso en sectores que

tradicionalmente han sido muy conservadores o manejan información sensible, como es

el sector financiero65. En concreto, y precisamente en relación con el Cloud Computing

en el sector financiero, ENISA (Agencia Europea de Seguridad de las Redes y de la

Información) publicó en diciembre de 2015 un documento sobre recomendaciones para

un uso seguro del Cloud Computing en el sector financiero, desatacando que la

63 La Licencia Creative Commons, creada por Lawrence Lessig, son licencias de derechos de autor, de

copyright, publicadas por una organización sin ánimo de lucro (Creative Commons) de Estados Unidos

fundada en 2001. Disponibles en 43 jurisdicciones a nivel global y en otras tantas en fase de desarrollo. 64 La Estrategia de Mercado Único Digital, presentada el pasado 6 de mayo de 2015 por la CE, contempla

en el tercer pilar relativo a la maximización del potencial del crecimiento de la sociedad y economía

digital, una iniciativa para el impulso de los servicios del Cloud Computing.

https://ec.europa.eu/priorities/digital-single-market_en 65 Numerosas empresas de diversos sectores, dado el importante ahorro de costes que les supone, están

llevando a cabo acuerdos de outsourcing para servicios en la Nube, entre otras, los bancos.

58

seguridad y privacidad son precisamente los riesgos principales en la externalización a

través del Cloud Computing66.

El Cloud Computing, implementado correctamente contribuye a la mejora de la agilidad

y productividad de las compañías, ahorro de costes y convierte costes fijos en variables.

Sin embargo, y puesto que el cloud lleva consigo la transmisión de gran cantidad de

información y de datos, algunos de ellos de carácter personal, es importante tener en

cuenta que se deben adoptar medidas de seguridad importantes para garantizar la

confidencialidad de la información que manejan las empresas, el secreto profesional en

su caso, o el derecho a la protección de datos de carácter personal de las personas y, en

algunos casos, también el derecho a la intimidad de las personas67.

Precisamente en relación con el punto de la seguridad de la información hay una

coincidencia entre proveedores y clientes del Cloud Computing, al señalar que es

precisamente la seguridad uno de los más importantes elementos del servicio.

Precisamente por ello, la mayoría de proveedores ya garantizan la seguridad como parte

del servicio, a través de la adopción de distintos estándares internacionales68.

66 Ver el documento Secure use of Cloud Computing in the Finance sector, ENISA, 7 de diciembre de

2015. https://www.enisa.europa.eu/publications/cloud-in-finance 67Ver el Informe de la AEPD y del Consejo General de la Abogacía Española (CGAE) sobre utilización

del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter

personal, 2012.

https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/junio/in

forme_CLOUD.pdf 68 Ver el artículo “Cloud computing: de la teoría a la práctica”, elaborado por María González, asociada

senior de IT de Écija Abogados, escrito en LegalToday.com, al hilo del encuentro sobre cloud computing

organizado por IDG y Computerworld, el pasado 12 de diciembre de 2013.

http://www.legaltoday.com/blogs/nuevas-tecnologias/blog-ecija-2-0/cloud-computing-de-la-teoria-a-la-

practica

59

Con respecto a la tecnología de Cloud Computing, ha surgido una tendencia en las

empresas a su uso generalizado en los últimos tiempos, aunque la cuestión de la

seguridad o pérdida de control de la información es algo que inquieta a algunas

compañías.

Según la definición de NIST (National Institute of Standards), se definen tres modelos

de servicio en Cloud “en función de la capa de tecnología que se provea, y por tanto, del

diferente tipo de control que el usuario final tenga sobre la infraestructura

tecnológica”69. Estos tres modelos serían: IaaS (Infraestructure as a service), Paas

(Platform as a service) y Saas (Software as a service). En el caso del Iaas “se trata de la

provisión de sistemas hardware como el acceso a servidores, capacidad de cómputo,

sistemas de almacenamiento, dispositivos de comunicaciones, etc”70. En el caso del

Paas, se “suministra un entorno de desarrollo donde los programadores pueden generar,

testear y/o ejecutar sus aplicaciones informáticas. Además de lenguajes de

programación y otras herramientas de programación, se provee también de la

infraestructura Iaas necesaria para su ejecución”71. Finalmente, en el Saas, “es posible

ofrecer aplicaciones finales que se alojan y ejecutan en una infraestructura física y de

aplicación controlada por el proveedor”72.

Asimismo, el Cloud Computing es una tecnología global, por la que, además, están

apostando países en las distintas geografías. En abril de 2016, la Comisión Europea

presentaba la Iniciativa Europea de Computación en la nube, con el fin de construir en

69 Cuesta, Carmen; Alonso, Javier; Tuesta, David; y Fernández de Lis, Santiago: “El desarrollo de la

industria del cloud computing: impactos y transformaciones en marcha”, Observatorio Economía Digital,

BBVA Research, 4 de julio de 2014, pag.1. 70 Ibídem. 71 Ibídem. 72 Ibídem.

60

Europa una economía competitiva de los datos y del conocimiento, apostando por el

Cloud Computing en el ámbito de la investigación73. Pese a ser un fenómeno global, por

el que ya están apostando fuerte muchos países, no en todos ellos el entorno es igual de

favorable para el impulso de esta tecnología que, como se ha ya destacado, es de

aplicación tanto para el sector público como para el sector privado. En este sentido, se

ha elaborado una clasificación sobre la preparación de los países para impulsar el

crecimiento de un mercado de la nube totalmente integrada, una clasificación que

evalúa leyes y reglamentos de los países que, en conjunto, representan el 80% de la

información del mundo y las tecnologías de las comunicaciones74. En concreto, se

estudian distintas áreas: privacidad; ciberseguridad; cibercrimen; propiedad intelectual;

interoperabilidad de la tecnología y armonización legal; libre comercio; o

infraestructura de tecnologías de la información. Según esta clasificación, en cuanto a

los cinco primeros puestos del ránking, el primer lugar lo ocupa Japón, seguido de

EE.UU, Alemania, Canadá y Francia. España ocupa la undécima posición, por detrás de

Italia, Reino Unido y Polonia75.

En cuanto a los motivos por los que las empresas se suman al Cloud, sin duda, destaca

el motivo de ahorro de costes y un mejor aprovechamiento de los recursos tecnológicos.

Este modelo puede generar importantes beneficios económicos tanto para la empresa

usuaria de servicios como para la compañía proveedora de los mismos. Entre los

servicios que ofrece el Cloud, destacan las aplicaciones de procesamiento de textos,

agendas y calendarios, sistemas de archivos para el almacenamiento de documentos en

73 Comunicación de la Comisión Europea, al Parlamento Europeo, al Consejo, al Comité Económico y

Social Europeo y al Comité de las Regiones, Iniciativa Europea de Computación en la Nube: construir en

Europa una economía competitiva de los datos y del conocimiento, de 19 de abril de 2016.

http://ec.europa.eu/transparency/regdoc/rep/1/2016/ES/1-2016-178-ES-F1-1.PDF 74 Ver el estudio BSA Cloud Computing Global Scorecard, 2016. http://cloudscorecard.bsa.org/2016/ 75 Ibídem.

61

línea y soluciones de contratación de email. El Cloud Computing se caracteriza

fundamentalmente por tratarse de servicios de IT (Information Technology) bajo

demanda, como recursos, software y/o datos, y tratarse de servicios a través de redes de

telecomunicaciones. A la hora de valorar una empresa la migración al Cloud, sobre todo

debe valorar si el proveedor de servicios está en la UE o en territorio fuera de la UE,

puesto que si ésta se encuentra en territorio fuera de la UE, podría perderse el control de

la información, o poner en riesgo la información para el caso de que se aloje o se trate

en países que no tengan un nivel adecuado de protección de datos y similar al

proporcionado en la UE y tampoco se guarde una copia de seguridad en territorio de la

UE76. Por todo lo anterior, el Cloud Computing es una de las nuevas tendencias de

negocio con importantes implicaciones en materia de privacidad y seguridad, que a la

vez proporciona un mejor aprovechamiento de los recursos tecnológicos y permite una

reducción de costes a las empresas. Sin duda, veremos cómo en los próximos años se va

consolidando esta tecnología y utilizando el Cloud Computing en todo su potencial, a la

vez que dando respuesta a los retos que plantea.

3. 3. Big Data e Internet of things (IoT)

Otro de los fenómenos emergentes derivados del crecimiento exponencial de la

economía digital es el Big Data. Este término hace referencia a “conjuntos masivos de

datos, cuyo volumen supera la capacidad de las herramientas informáticas de uso común

para, capturar, gestionar, almacenar y procesar datos”77. Mucho antes de que el Big

Data se convirtiera en el fenómeno y disciplina en auge que hoy es, ya empresas

76 Ver la Guía para clientes que contraten servicios de Cloud Computing, AEPD, 2013, pag.9 y ss. 77 Manyika, James et al: “Big Data: the next frontier for innovation, competition and productivity”,

McKinsey Global Institute Report, McKinsey, Mayo 2011, pag.1.

62

tecnológicas multinacionales como IBM eran conscientes del elevado potencial del

tratamiento de conjunto masivos de datos78. El denominado Business Intelligence, que

se basa en la recolección de datos y análisis básico se remonta a la década de los 50,

pero hubo que esperar a que llegase el Big Data que, a diferencia del Business

Intelligence, incorpora y se basa en análisis predictivos y en volúmenes inmensos de

datos, desde terabytes a petabytes o incluso exabytes79. Para que nos hagamos una idea

de lo que estas magnitudes representan, aproximadamente un terabyte equivaldría a 300

horas de vídeo y aproximadamente en Facebook se manejan 105 terabytes de datos cada

media hora80. En resumen, y en lo que respecta a las diferencias entre business

intelligence y Big Data, la predicción a futuro es lo marca la diferencia entre el básico

Business Intelligence y el avanzado Big Data81.

Para hacerse una idea de la magnitud o alcance del fenómeno del tratamiento masivo de

la información y los datos, resulta interesante conocer el dato de que “Google procesa

más de 24 petabytes de datos diarios, un volumen que representa miles de veces la

totalidad del material impreso que guarda la Biblioteca del Congreso de Estados

Unidos”82. “A Facebook se suben más de diez millones de fotos nuevas cada hora. Sus

usuarios hacen clic en el botón de me gusta o insertan un comentario casi tres mil

millones de veces diarias, lo que deja un rastro digital que la compañía explota para

78 Lohr, Steve: DATA-ISM: inside the Big Data Revolution, Londres, Oneworld, 2015, pag.41. 79 El bit es la unidad mínima de información empleada en informática en cualquier dispositivo digital; un

byte equivale a 8 bits; un kilobyte (KB) equivale a 1000 bytes; un Megabyte (MB) equivale a 106 bytes;

un Gigabyte (GB) equivale a 109 bytes; un terabyte (TB) equivale a 1012 bytes; un petabyte (PT) equivale

a 1015 bytes; un exabyte equivale a 1018 bytes; un zettabyte equivale a 1021 bytes; y un yottabyte equivale

a 1024 bytes. 80 Ver Jain, Anil; Chitta ,Radha; y Jin, Rong: Clustering Big Data, Departamento de Ciencias de la

Computación, Universidad del Estado de Michigan, 2012. Ver asimismo el artículo de prensa de Martínez

M.: “¿cuánto cabe en un terabyte?”, Expansion Mexico, 1 de febrero de 2008.

http://expansion.mx/actualidad/2008/02/01/bfcuanto-entra-en-un-terabyte 81 Ibídem. 82 Mayer-Schönberger, Victor y Cukier Kenneth: Big Data, la revolución de los datos masivos, Madrid,

Editorial Turner Noema, 2013, pag.19.

63

descubrir sus preferencias. Los 800 millones de usuarios mensuales del servicio

YouTube de Google suben más de una hora de vídeo cada segundo. El número de

mensajes de Twitter aumenta alrededor de un 200 por 100 al año, y en 2012 se habían

superado los 400 millones de tuits diarios”83.

Los volúmenes de Big Data están variando permanentemente, y actualmente, oscilan

entre algunas docenas de terabytes hasta muchos petabytes para un conjunto de datos

individual. En cierto modo, los datos masivos o el Big Data son el nuevo petróleo del

siglo XXI o al menos ya hay quienes hacen esta afirmación84.Como características

esenciales del Big Data podríamos mencionar las siguientes: volumen masivo de datos,

que implica la existencia de sistemas que manejan y ordenan grandes conjuntos de

datos, tanto información estructurada como información desestructurada; los datos se

organizan conforme a un parámetro y se almacenan para su posterior correlación; y

requieren de nuevos sistemas capaces de manejar tal volumen de información. Además

se viene hablando de las cuatro uves: variety, velocity, volume, value. (variedad,

velocidad, volumen y valor), como características esenciales del Big Data. Incluso de la

‘V’ de veracidad. Por velocidad, entendemos la rapidez a la que se mueven y se generan

los datos, en tiempo real; la variedad de los datos hace referencia a las distintas fuentes

de datos que utiliza el Big Data, tanto datos estructurados como no estructurados, de

fuentes internas a la organización o externas (textos, imágenes, etc.); y por valor

entendemos el valor añadido que se genera gracias al Big Data, permitiendo la toma de

83Ibídem. 84Así lo afirmó César Alierta en su discurso de ingreso en la Real Academia de las Ciencias Económicas

y Financieras (Racef) en noviembre de 2013, “Un mundo digital: las TIC, las protagonistas de la gran

transformación de la economía, cultura y sociedad del siglo XXI”. Asimismo, durante su discurso,

destacó el impacto social, económico y cultural de las TIC, incidiendo en que las estadísticas demuestran

que el aumento del PIB de cualquier país es directamente proporcional al incremento de la penetración de

las TIC. Al respecto, también destacó que las TIC representan a día de hoy el 5% del PIB europeo y que

según estima la Comisión Europea, por cada millón de euros invertido en TIC se generan 33 puestos de

trabajo”.

64

decisiones más eficaces, gracias a la realización de análisis predictivos. En lo que

respecta a la veracidad, quizá sea “la más delicada”85, puesto que dado el gran volumen

de datos, unido a la variedad de las fuentes, es necesario realizar una labor de limpieza

para lograr datos de calidad y rigurosos, exentos de error.

Asimismo, el Big Data permite cuantificar en datos muchos aspectos de la vida, que

hasta entonces no habían sido cuantificados de esta manera, lo que ha venido a llamarse

como datificación86. Con respecto a los beneficios del Big Data, éstos son múltiples.

Fundamentalmente, permite la toma de decisiones basadas en la evidencia, en lo que los

datos nos transmiten, gracias a que permite establecer correlaciones y patrones de

conducta, lo que facilitará la innovación en productos y servicios El Big Data permite

ofrecer “una visión cada vez más precisa de las fluctuaciones y rendimientos de todo

tipo de recursos, permite realizar adaptaciones experimentales a cualquier escala de un

proceso y conocer su impacto en tiempo casi real, ayudar a conocer mejor la demanda y

así realizar una segmentación mucho más ajustada de la oferta para cada bien o servicio,

o acelerar la innovación y la prestación de servicios cada vez más innovadores y

eficientes”87.

Por su propia esencia, el Big Data podría permitir la asociación del resultado de los

análisis de datos a una persona física concreta, estudiando su conducta y prediciendo su

actuación. Por ello, es necesario tomar una serie de medidas como la anonimización –el

proceso de anonimización es un tratamiento de datos de carácter personal en sí mismo,

85 Trifu, Mircea Raducu e Ivan, Micaela Laura.: “Big Data: present and future”, Database Systems

Journal vol. 5, Universidad de Bucarest, Rumanía, 1/ 2014, pag.34. 86 Vid. Cukier Kenneth y Mayer-Schöenberger Viktor: “The rise of Big Data: how it is changing the way

we think about the world”, Foreign Affairs vol.92, nº3, 2013. 87 Puyol, Javier (conferencia) en Gil, Elena: Big Data, privacidad y protección de datos, Agencia

Española de Protección de Datos y Agencia Estatal Boletin Oficial del Estado, Madrid, 2016, pag.28.

65

pero una vez correctamente realizado, ya no estaríamos ante datos de carácter personal

y, por tanto, la normativa de protección de datos no sería aplicaría- y trabajar con datos

agregados, para paliar los riesgos en el ámbito de la privacidad y protección de datos.

El uso de grandes volúmenes de datos e información requiere tres cambios profundos en

el modo de enfoque. El primero es la preferencia a recoger grandes cantidades de datos

en vez de pequeñas muestras como venían haciendo en el ámbito de la estadística

durante más de un siglo. Segundo, desechar la preferencia por los datos precisos y finos

y, por el contrario, aceptar cierto desorden: “en un número creciente de situaciones, una

dosis de imprecisión puede ser tolerada”88, porque los beneficios de usar grandes

cantidades de datos de calidad variable son superiores a los que se obtienen al usar

menor cantidad de información pero más precisa. Tercero, en muchas ocasiones,

“tendremos que rendirnos ante nuestra búsqueda de la causa de las cosas, a cambio de

aceptar correlaciones”89. De este modo, a través del Big Data los investigadores más

que analizar la causa de los fenómenos, se decantan por recopilar datos y analizar

cantidades masivas de información sobre dichos fenómenos y sobre todo lo asociado

con ellos, en búsqueda de modelos y patrones con fines predictivos.

En lo que respecta al nuevo RGPD, el objetivo de esta normativa es regular la

protección de los datos de carácter personal y no el Big Data, que trabaja con datos

anonimizados y agregados. Ahora bien, en el Reglamento hay alguna mención a los

tratamientos de datos a gran escala, como por ejemplo en lo que respecta a la necesidad

de realizar una evaluación de impacto de privacidad cuando se traten datos a gran escala

88 Cukier, Kenneth y Mayer-Schönberger, Viktor: La revolución de los datos masivos, Madrid Editorial

Turner Noema, 2013, pag.29. 89 Ibídem.

66

o a la necesidad de contar con un delegado de protección de datos (DPO) para la

organización ante estos supuestos de tratamientos de datos a gran escala90.

Con respecto a los riesgos en el ámbito de la privacidad o para las personas derivados

del Big Data, los podemos encontrar en el hecho de que el Big Data se basa en

algoritmos para la toma de decisiones y éstos podría conducir a discriminación si no son

diseñados desde un principio bajo el principio de no discriminación. El nuevo RGPD

incluye un derecho a recibir una explicación de la lógica del algoritmo cuando se tomen

decisiones automatizadas que afecten significativamente al sujeto o produzcan efectos

jurídicos91. Por supuesto, también esto supone retos en el ámbito de la propiedad

intelectual, ya que habría que explicar la lógica del algoritmo al sujeto, explicándole las

variables que habría que tener en cuenta, de un modo que sea para él comprensible pero,

a la vez, se proteja adecuadamente la fórmula matemática concreta del algoritmo, que al

fin y al cabo forma parte del know how de la empresa. Por tanto, el Big Data aumenta

considerablemente el riesgo de toma de decisiones sin intervención humana o con una

intervención humana limitada92. Por otra parte, para el tratamiento de datos personales,

la regla general es que es necesario el consentimiento del titular de los datos, aunque

podría estar amparado asimismo un tratamiento con base en el interés legítimo del

responsable del tratamiento. Precisamente, el hecho de que la normativa refuerce el

consentimiento como base del tratamiento93, unido a la ambigüedad o falta de claridad

en torno al concepto de interés legítimo, supone un obstáculo para el Big Data, ya que

como se ha mencionado, el proceso de anonimización de los datos personales es un

tratamiento de datos en sí mismo. Además, la anonimización ha demostrado tener

90 Ver los artículos 35 y 37 del Reglamento 2016/679, General de Protección de Datos. 91 Ver el artículo 22 del Reglamento 2016/679, General de Protección de Datos. 92 Gil, Elena: op.cit, pag. 53. 93 Ibídem.

67

limitaciones, no lográndose e no ocasiones el 100% de la misma y, por tanto, siendo

posible la identificación del sujeto94.

Por otra parte, las personas pueden tener limitaciones en su capacidad para consumir y

entender el Big Data, es decir, límites derivados de nuestras facultades cognitivas y

sensoriales innatas para procesar información. Según algunos estudios, la mente

humana puede manejar siete piezas de información en su memoria a corto plazo95. En

este sentido, la carga o cantidad de información que el ser humano puede procesar ha

sido un tema investigado desde disciplinas como la neurociencia o la economía. En

cierto modo, “la riqueza de información crea pobreza en la atención y crea asimismo la

necesidad de alojar o focalizar esa atención eficientemente entre la sobreabundancia de

fuentes de información que la puedan consumir”96.

En colaboración con la consultora estratégica de negocio, Boston Consulting Group, el

Foro Económico Mundial elaboró un estudio sobre el Big Data, Unlocking the value of

personal data: From collection to usage, que analiza la necesidad de nuevos enfoques

en las políticas que permitan el manejo de los datos personales de una forma que sea

flexible, que tenga en cuenta el contexto y que se adapte a él. A este respecto, resulta

muy importante destacar que este estudio resalta la importancia del contexto y del

establecimiento de un conjunto de principios que sean sostenibles en un mundo

interconectado97.

94 Ibídem. 95 Miller, George: “The magical number seven, plus or minus two: some limits on our capacity for

processing information”, Psichological Review, Volumen 63 (2). Marzo, 1956, pags 81 a 97. 96 Vid. Simon, Herbert: “Designing organizations for an information-rich world”, en Martin Greenberger,

Computers, Communication and the Public Interest, Baltimore, Johns Hopkins Press, 1971. 97 Ver el estudio Unlocking the value of personal data: from collection to usage, Working Paper Foro

Económico Mundial en colaboración con Boston Consulting Group, Febrero, 2013, pag.2 y ss.

68

Es cierto que a día de hoy los datos no se registran en los balances de las empresas,

pero, tal y como afirma Mayer-Schönberger y Cukier, “probablemente sea sólo cuestión

de tiempo”98. Según el citado estudio del Foro Económico Mundial en colaboración con

Boston Consulting Group, el valor económico y social de los datos no viene sólo de su

cantidad, sino también de su calidad, “del modo en el que los bits individuales de datos

pueden ser interconectados para revelar nuevos insights con el potencial de transformar

los negocios y la sociedad”99. Otro de los puntos que defiende este estudio y que, es

muy importante destacar es que, por sí mismos, la tecnología y los datos son neutrales,

siendo su uso lo que puede llevar consigo tanto un valor como un daño significativo,

“incluso a veces de modo simultáneo”100. Asimismo el estudio destaca que, en el

momento actual, y dada la gran cantidad de datos masivos que circulan por Internet, a

los ciudadanos les surgen preguntas como quién tiene sus datos o dónde están sus datos

localizados, preguntas para las que, a veces, es muy difícil de obtener respuesta.

A pesar de los límites en la capacidad del procesamiento de la información, tanto desde

el punto de vista de la capacidad del ser humano como de la capacidad de las

herramientas tecnológicas sujetas asimismo a limitaciones, hay formas de ayudar a las

organizaciones y a los individuos a procesar, visualizar y sintetizar el significado del

Big Data. Por ejemplo, técnicas de visualización y algoritmos más sofisticados,

incluyendo los algoritmos automatizados, pueden habilitar a las personas para ser

capaces de ver modelos y patrones en grandes cantidades de datos y ayudarles a ser

capaces de extraer conclusiones e insights101.

98 Mayer-Schönberger, Viktor y Cukier Kenneth: La revolución de los datos masivos, Editorial Turner

Noema, 2013, pag.28. 99 Unlocking the value of personal data: from collection to usage, Working Paper, Foro Económico

Mundial en colaboración con Boston Consulting Group, Febrero 2013, pag.2. 100Ibídem. 101 Manyika, James et al: op.cit, pag.18.

69

Por parte de la industria digital, así como por parte de los analistas de negocio o

profesionales del Business Intelligence y consultores de Big Data, se defiende de forma

vehemente que la notificación y el consentimiento en materia de protección de datos y

en el entorno digital tienen que reconsiderarse, siendo necesario un enfoque basado en

el análisis de riesgos y en el estudio del contexto. Más que un consentimiento basado en

marcar Sí o No (tick in the box, en terminología anglosajona), lo realmente importante

es que los usuarios estén debidamente informados. La información previa es la clave.

Un importante reto, por tanto, es alcanzar el compromiso de los individuos con la

formación en privacidad y la información, para que así estén verdaderamente en una

posición de control sobre sus datos. El análisis del contexto, por tanto, es muy

importante, dado que el comportamiento humano, en ocasiones, es impredecible, la

tecnología avanza a velocidad de la luz, las aplicaciones tecnológicas son complejas y la

idiosincrasia de los individuos en distintas partes del globo es muy variada.

De acuerdo con la legislación de protección de datos, los datos personales se recaban

para un propósito y fin específico, con base en el principio de finalidad de los datos,

recogido en nuestra Ley Orgánica de Protección de Datos (LOPD)102. Sin embargo, por

otra parte, “el valor económico y la innovación vienen del hecho de combinar conjuntos

de datos y usos subsiguientes”103. Y de esta forma surgen preguntas como, ¿es viable el

Big Data con un respeto escrupuloso al principio del consentimiento y de minimización

102 En el Título II “Principios de la Protección de Datos”, de la Ley Orgánica de Protección de Datos

15/1999, de 13 de diciembre, el artículo 4, referido al principio de calidad de los datos dice así: “1. Los

datos de carácter personal sólo se podrán recoger para su tratamiento cuando sean adecuados,

pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y

legítimas para las que se hayan obtenido. 2. Los datos de carácter personal objeto de tratamiento no

podrán usarse para finalidades incompatibles con aquéllas para las que los datos hubieran sido

recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos,

estadísticos o científicos. 3 […]” 103 Ver el estudio citado de BCG en colaboración con el Foro Económico Mundial, 2013.

70

de los datos y finalidad de los datos?, ¿es compatible dicho respeto a los citados

principios con la innovación y progreso empresarial, rentabilidad y legítima

maximización del beneficio, a través de la vía de extracción de valor del dato?, ¿pueden

las empresas asumir el coste de cumplir estrictamente con dichos principios o asumir el

lucro cesante por el hecho de no aprovechar todas las posibilidades del Big Data?,

¿existen fórmulas para hallar el equilibrio entre el respeto a la privacidad y protección

de datos de los usuarios y el progreso e innovación empresarial, realizando un análisis

de riesgos y análisis del contexto ad hoc, de forma que no siempre sea necesario obtener

el consentimiento para legitimar el tratamiento, siempre que se cumplan otros requisitos

de seguridad? Precisamente para dar respuesta a estas preguntas, habría que partir de la

debida conjugación y búsqueda de equilibrio entre las dos máximas. Por una parte, la

máxima de que el tratamiento de datos personales debe respetar todos los principios y

disposiciones contemplados en la normativa de protección de datos y, por otra parte,

que hoy en día, nadie duda de que los datos son probablemente el activo más importante

en la economía digital, el oro del siglo XXI, y está constatado que existen enormes

posibilidades de crecimiento y progreso, a partir del uso innovador de los datos,

extrayendo valor del dato.

Los beneficios del Big Data van más allá del ámbito de la medicina, farmacéutico o

bienes de consumo. En este sentido, “cambiará profundamente el modo en el que los

Gobiernos trabajan. En lo que respecta al crecimiento económico, la oferta de bienes

públicos o en conflictos bélicos, aquéllos que utilicen el Big Data de un modo efectivo

tendrán una significativa ventaja sobre los que no”104. No cabe duda de que, en lo que

respecta al desarrollo de las tecnologías Big Data, Europa ha sido más lenta que EE.UU.

104 Cukier, Kenneth y Mayer-Schönberger, Viktor: La revolución de los datos masivos, Editorial Turner

Noema, 2013, pag.35.

71

“La economía digital en Europa ha sido lenta en acoger la revolución de los datos en

comparación con EE.UU”105.

La evolución de Internet ha llevado a la aparición de un fenómeno con una clara

tendencia al alza en los próximos años. Se trata del fenómeno del denominado Internet

de las cosas o Internet of things, (IoT). El número de aparatos con conexión a Internet

sobrepasó en 2011 al número de seres humanos en el planeta y, para 2020, está previsto

que los aparatos con conexión a Internet puedan llegar a los 50.000 millones106. En las

dos últimas décadas la habilidad para conectar aparatos o máquinas a la Red ha crecido

de forma exponencial, gracias al uso de las comunicaciones sin cable, los sensores de

bajo coste y al creciente almacenaje de datos. La hiperconectividad puede definirse

como la conexión permanente a Internet de personas y cosas en cualquier lugar y a

cualquier hora, desde múltiples dispositivos, generando un flujo de información

continua. La hiperconectividad se traduce en el incesante aumento del número de

dispositivos conectados a Internet. Si a finales de 2014 se estimaba que existían 12

billones de dispositivos conectados, en 2020 se espera que el número de dispositivos

conectados crezca hasta los 33 billones107.

105 Ver la Comunicación de la Comisión Europea al Parlamento Europeo, Consejo Europeo, el Comité

Económico y Social Europeo y el Comité de las Regiones, Towards a thriving data-driven economy, de 2

de julio de 2014. https://ec.europa.eu/digital-single-market/en/towards-thriving-data-driven-economy 106 Ver el informe The Internet of things elaborado por Raymond James & Associates, US Research, 24

enero de 2014. 107 Strategy Analytics (octubre de 2014). Nota de prensa: 33 billion Internet Devices by 2020: Four

connected Devices for Every Person in the

World.https://www4.strategyanalytics.com/default.aspx?mod=pressreleaseviewer&a0=5609

72

(Gráfico: Evolución de los dispositivos conectados a Internet, Fuente: Strategy

Analytics, Octubre 2014)

3. 4. Dispositivos de almacenamiento y recuperación de datos

Las cookies son elementos clave en la industria publicitaria y otro de los grandes retos

de la economía digital en relación con la privacidad. Las cookies se pueden definir

como una ficha de información informatizada que se envía desde un servidor web al

ordenador de un usuario con objeto de identificar en el futuro ese ordenador en

sucesivas visitas a ese sitio web108. Al tratarse de ficheros de texto que recuperan y

almacenan datos tiene una serie de implicaciones importantes para la privacidad.

108Ver la definición de cookies ofrecida por la Recomendación 1/1999 sobre el tratamiento invisible y

automático de datos personales en Internet efectuado por software y hardware, elaborado por el grupo de

trabajo del Artículo 29.

73

Además, en la actualidad, numerosos servicios de la sociedad de la información utilizan

cookies para poder prestar el servicio en cuestión, siendo un elemento clave para la

funcionalidad de numerosas páginas web y en el ámbito de la publicidad online.

Existe una amplia tipología de cookies, algunas más y otras menos invasivas con

respecto a la privacidad. Las implicaciones de estos dispositivos de almacenamiento de

datos con respecto a la protección de datos personales de los usuarios de Internet ha sido

una de las preocupaciones recientes de la Agencia Española de Protección de Datos

(AEPD), habiéndose producido en 2014 las primeras resoluciones sancionadoras a

empresas por incumplimiento de la legislación en esta materia109. En 2015, la Audiencia

Nacional dictaba la primera sentencia sobre cookies, ratificando íntegramente la

resolución sancionadora de la AEPD110. Asimismo, la propia AEPD, junto con la

industria de Internet y publicitaria elaboraron un documento-guía111 sobre cómo las

empresas pueden cumplir con la normativa sobre cookies, que explica de manera clara

la distinta tipología de estos dispositivos, así como los requerimientos legales para la

utilización de los mismos.

El régimen jurídico de las cookies está compuesto por la Directiva 2002/58/CE, del

Parlamento Europeo y del Consejo, relativa al tratamiento de los datos personales y a la

protección de la intimidad en el sector de las comunicaciones electrónicas, modificada

109La primera resolución sancionadora de la AEPD en materia de cookies es en relación con el

procedimiento Nº PS/00321/2013, que implicaba a empresas del sector joyería. La segunda resolución

sancionadora, el 14 de mayo de 2014, implicó al gigante tecnológico Google. 110 Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 8 de mayo de

2015. 111 La Guía sobre el uso de las cookies, fue publicada en abril de 2013, y elaborada por la AEPD, en

colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial),

adigital (Asociación Española de la Economía Digital) e IAB Spain (asociación que representa al sector

de la publicidad online en España).

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.p

df

74

por la Directiva 136/2009/CE112, sobre privacidad en el ámbito de las

telecomunicaciones. También, el real decreto 13/2012, de 30 de marzo113 que da una

nueva redacción al artículo 22.2 Ley de Servicios de la Sociedad de la Información y

Comercio Electrónico (LSSICE)114 para exigir el consentimiento del usuario sobre los

archivos o programas informáticos. Por otra parte, la nueva Ley General de

Telecomunicaciones115, que entró en vigor en mayo de 2014, incorporó una serie de

modificaciones en la LSSICE para tipificar la no obtención del consentimiento previo.

Antes, desde el Real Decreto-Ley de 2012, se venía exigiendo dicho consentimiento

pero su incumplimiento no estaba tipificado y, por tanto, de facto, no se podía sancionar

al incumplir dicha Ley. En mayo de 2014 se introducen modificaciones en el régimen

sancionador116 en materia de cookies, a la vez que se introduce la responsabilidad de las

redes publicitarias con respecto al incumplimiento de los deberes en materia de cookies

112 Ver la Directiva 136/2009/CE, por la que se modifican la Directiva 2002/22/CE, relativa al servicio

universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones

electrónicas, la Directiva 2002/58/CE y el Reglamento 2006/2004 sobre cooperación en materia de

protección de los consumidores. 113 El real decreto-ley 13/2012, de 30 de marzo, por el que se trasponen directivas en materia de mercados

interiores de electricidad y gas y en materia de comunicaciones electrónicas, introduce modificaciones en

el régimen jurídico de las cookies. 114 La redacción vigente del artículo 22.2 LSSICE es la siguiente: “Los prestadores de servicios podrán

utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los

destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya

facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento

de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección

de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento

de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegado o de otras

aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al sólo fin de efectuar la

transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que

resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información,

expresamente solicitado por el destinatario”. 115La nueva Ley General de Telecomunicaciones, la Ley 9/2014, de 9 de mayo, incorpora una serie de

modificaciones en la LSSICE, en lo que respecta a la denominada legislación sobre cookies. En concreto,

incorpora modificaciones en el régimen sancionador y tipifica el incumplimiento de la no obtención del

consentimiento previo. 116En cuanto a las modificaciones del régimen sancionador, se corrige el error legislativo de la anterior

reforma de no incluir como infracción la no obtención del consentimiento previo y se introduce la figura

del apercibimiento sin abrir procedimiento sancionador, introduciéndose también la posibilidad de

graduación de las sanciones en base a una serie de parámetros. Por un informar o por no obtener el

consentimiento previo, se puede sancionar por infracción leve con hasta 30.000 euros, mientras que en

caso de reincidencia en el plazo de tres años, se trataría de una infracción grave con hasta 150.000 euros.

75

por parte del editor web. Asimismo, desde el momento en el que los datos que traten los

dispositivos de almacenamiento de datos (cookies) sean datos de carácter personal, será

de aplicación la Ley Orgánica de Protección de Datos.

Según la normativa de aplicación, son dos los requisitos legales que las empresas han de

cumplir para poder utilizar las cookies: la información previa y el consentimiento

informado. No obstante, hay algunos tipos de cookies que están exentas de estos

deberes, por sus características consideradas menos invasivas.

Gran parte de la inversión en Internet es inversión publicitaria y las cookies son

elementos indispensables en la publicidad online. La inversión de la publicidad online

fue de 654 millones de euros, en España, en 2011, y suponía el 11,6% de la publicidad

total en medios de comunicación117. Las cookies, además de ser elementos

indispensables para la publicidad online son herramientas necesarias para la prestación

de numerosos servicios de la sociedad de la información, que concentran la mayor

inversión publicitaria, facilitan la navegación del usuario, y ofrecen en ocasiones, una

publicidad basada en los hábitos de navegación. A modo de repaso de algunas de las

características esenciales de las cookies, conviene destacar que no sólo se crean con

fines publicitarios, pues permiten funcionalidades muy importantes de páginas web. Por

ejemplo permiten rellenar un carrito virtual de compra online, rellenar un formulario

online o participar en un chat con una tienda online para resolver dudas relacionadas

con la compra y ver publicidad acorde con los intereses y gustos, entre otras

funcionalidades.

117 Ver el White Paper Consumers driving the digital uptake. The economic value of online advertising-

based services for consumers, Estudio de Mc Kinsey & Company para IAB Spain, 2010. Ver asimismo el

informe España conecta: cómo transforma Internet la economía española, informe independiente de

Boston Consulting Group (BCG) encargado por Google, abril 2011.

76

En lo que respecta a la tipología de cookies, podrían clasificarse atendiendo a su

funcionalidad, duración, entidad gestora, o en cuanto a la carga de obligaciones para

quienes las utilizan. Según su funcionalidad, las cookies pueden ser: técnicas, de

personalización, de análisis, de publicidad o de publicidad comportamental. Según su

duración, con fecha de caducidad o persistentes. Según la entidad gestora, pueden ser

propias o de terceros. Y según las obligaciones, podrían clasificarse en exentas y no

exentas de los deberes de información previa y consentimiento informado118.

En lo que respecta a la primera resolución sancionadora de la Agencia de Protección de

Datos, de enero de 2014119, uno de sus aspectos más destacables es que valida el

denominado sistema de información por capas, como un medio para informar y obtener

el consentimiento, siendo necesario que la primera capa contenga una información

mínima, y que ésta esté visible hasta que el usuario realice la acción requerida para la

obtención del consentimiento. “La primera capa debería incluir la siguiente

información: advertencia sobre el uso de las cookies no exceptuadas que se instalan al

navegar por los sitios web o al utilizar el servicio solicitad; identificación de la

finalidad de las cookies que se instalan con información sobre si se trata de cookies

propias o de terceros; advertencia en su caso de que si se realiza determinada acción

se entenderá que el usuario acepta el uso de las cookies; un enlace a la segunda capa

informativa en la que se indica una información más detallada”.

118 Ver la clasificación sobre la tipología de las cookies en la Guía sobre el uso de las cookies, elaborada

por la Agencia Española de Protección de Datos, en colaboración con Adigital, Autocontrol e IAB Spain.

2013.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.p

df 119 Resolución sancionadora de la AEPD R/02990/2013 en el procedimiento sancionador PS/00321/2013.

77

Ya, en la segunda capa, se ha de ofrecer información más detallada sobre la tipología de

las cookies que utiliza la página web y sus finalidades. Según se destaca en la

resolución, de este modo se da a conocer al usuario el uso que se dará a la información

recabada, y asociar claramente su uso con la propia empresa o con terceros que deben

ser identificados siempre y cuando accedan a los datos obtenidos a través de las cookies

y los utilicen para sus propias finalidades, como por ejemplo, para mejorar los servicios

que prestan u ofrecer servicios a terceros de carácter publicitario o de otro tipo.

Asimismo, la AEPD resalta que es obligatorio hacer un análisis de cookies e identificar

a las terceras empresas que pueden estar usándolas. Por ello, propone la utilización

conjunta de las opciones ofrecidas en las barras de menús desplegables de configuración

o herramientas de los principales navegadores como Chrome o Explorer.

Con respecto a la segunda resolución sancionadora de la AEPD en materia de cookies,

de 14 de mayo de 2014120, sobre el uso de cookies en el sitio blogspot.com y

blogsplot.com.es, ambas de Google, la AEPD estima que el artículo 22.2 LSSICE es

aplicable tanto a personas jurídicas como a físicas, sosteniendo que el ámbito de

aplicación de las Directivas no se circunscribe únicamente a la protección de datos de

carácter personal, pudiendo referirse la información almacenada tanto a personas físicas

como a jurídicas. Según los hechos probados, Google instalaba y utilizaba cookies no

exentas, por defecto, en los terminales de los usuarios que acceden a los blogs creados

bajo el servicio online blogger. Además, el documento de Condiciones de servicio de

Google no incluía mención al uso de cookies y la Política de Privacidad, sino que

proporcionaba sólo información genérica sobre las cookies, sin especificar el tipo de

cookies ni sus finalidades. Por su parte, Google, alegó que la única interpretación del

120 Resolución sancionadora de la AEPD R/00936/2014, en el procedimiento sancionador PS/00320/2013.

78

artículo 22.2 LSSICE de acuerdo con la normativa comunitaria, era circunscribir ese

artículo a datos personales de personas físicas. Sin embargo, la AEPD sostuvo que la

Directiva 2002/58/CE no se circunscribe a los datos de carácter personal y es de

aplicación tanto a datos de personas físicas como jurídicas.

3. 5. Crowdfunding

Otro de los desafíos de la economía digital son los nuevos modelos de negocio

orientados a la financiación a través de plataformas de Internet, que están impactando

además a la industria financiera. Gracias al avance de la tecnología se han desarrollado

nuevos mecanismos, al alcance de empresas y de particulares, para la financiación, más

allá de la banca tradicional. De este modo, ha surgido lo que se denomina sector Fintech

(fusión de las finanzas y la tecnología)121. El sector Fintech está compuesto por

startups122 innovadoras, que están desarrollando productos y servicios en determinados

nichos del negocio bancario, fundamentalmente en pagos y financiación. Si bien está

por ver cuál será el transcurso de los acontecimientos con el Brexit123 en el Reino

Unido, hasta la fecha ha sido precisamente el Reino Unido donde el sector Fintech ha

tenido un mayor desarrollo en Europa. Dentro del Fintech, el crowdfunding ocupa un

lugar importante124.

El crowdfunding es una fuente alternativa de financiación de proyectos empresariales

que se desarrolla en el entorno de los servicios de la sociedad de la información.

Asimismo, se configura como otro de los retos de la Era digital, al tratarse de un nuevo

121 Para mayor información sobre el sector Fintech ver https://www.hottopics.ht/stories/finance/what-is-

fintech-and-why-it-matters/ 122 Startup es el término anglosajón para referirse a empresas de reciente creación, de base tecnológica,

escalables y con alto potencial de innovación. 123 Término con el que se conoce a la salida del Reino Unido de la UE. Tras el referéndum celebrado el

pasado 23 de junio de 2016, se logró un resultado ligeramente favorable al abandono de la UE. 124 Ver el Informe de EY, por encargo del Gobierno Británico, UK Fintech: on the cutting edge, Febrero

2016.

79

sistema de financiación de proyectos mediante el que el canal es digital, realizándose a

través de una plataforma de Internet. Por ello, desde un punto de vista regulatorio, la

protección al inversor, la normativa de consumidores y usuarios, y la de protección de

datos, entre otras, son clave. Este sistema alternativo de intermediación comercial o

financiera permite testear los proyectos empresariales y los productos o servicios que se

quieren comercializar. Crowdfunding proviene de la unión del anglicismo crowd

(multitud en su traducción al español) y funding (financiación en español), y consiste en

la financiación participativa de proyectos, facilitando la inversión y haciéndola

accesible a un mayor número de personas.

Por el momento, este modo de financiación, se ha utilizado fundamentalmente en

industrias como la cinematográfica o la de medios de comunicación, en el ámbito del

emprendimiento en el periodismo online y en proyectos culturales o científicos, entre

otros. El vínculo o nexo principal con el ámbito digital se encuentra en el hecho de que

el crowdfunding siempre se canaliza a través de una plataforma en Internet. “La

multitud que hace posible la obtención de recursos o fondos está compuesta, entre otros,

por donantes, consumidores o usuarios, Family, Fools & Friends, profesionales,

business angels y sociedades de capital”125.

Un reciente informe del Banco Mundial126 destaca sobre el crowdfunding que es “una

innovación en la financiación empresarial que puede alimentar el crecimiento de los

demás globalmente” y apunta que el crecimiento de esta fuente de financiación es

exponencial, estimando que en el año 2025 en China puede alcanzar los 50 billones de

125Gracia Labarta, Carolina: “Presente y futuro del crowdfunding como fuente de financiación de

proyectos empresariales”, Revista Española de Capital Riesgo, nº 1, 2014, pags.3 a19. 126 Ver el informe del Banco Mundial Crowdfunding’s potential for developing the world, 2013.

http://www.infodev.org/infodev-files/wb_crowdfundingreport-v12.pdf

80

dólares, la mitad de la cantidad que se espera sea canalizada en startups y negocios en

todo el mundo. Estos cálculos están basados en factores que permiten lo que el Banco

Mundial denomina ecosistema de crowdfunding, en donde “la penetración de las redes

sociales es el prescriptor más importante”127.

Fuente: Informe del Banco Mundial Crowdfunding’s potential for developing the world, 2013.

(Gráfico del Informe del Banco Mundial sobre el potencial del crowdfunding para el desarrollo mundial)

Por su parte, la Comisión Europea lanzó en octubre de 2013 una consulta pública sobre

el crowdfunding, con objeto de valorar los principales riesgos y ventajas de este sistema

de financiación alternativa y valorar posibles iniciativas regulatorias o legislativas en

esta materia, ya que, de momento, no existe una normativa europea al respecto. Según

127Gracia Labarta, Carolina: Op.cit, pags 3 a 19.

81

los resultados de la consulta, una amplia mayoría considera que este tipo de financiación

no debe ser sólo reservado para proyectos con necesidades pequeñas de financiación.

Hay distintos modelos de crowdfunding, y según los resultados de la consulta de la UE,

el más conocido es el basado en donaciones o recompensas. Un 85% de respuestas

señalan que el principal beneficio derivado de este sistema alternativo de financiación es

el hecho de poder seleccionar proyectos a los que merece la pena apoyar o en los que

merece la pena invertir, con una implicación directa en el proyecto.

En lo que respecta a España, tampoco hasta la fecha había una normativa vigente sobre

crowdfunding, algo que recientemente ha cambiado. En abril de 2015, el Congreso de

los Diputados aprobaba la Ley de Fomento de Financiación Empresarial128 que, en su

título V, regula el régimen jurídico de las plataformas de financiación participativa. Esta

ley ofrece el marco jurídico para determinadas modalidades de crowdfunding, en

concreto, para el denominado equity crowdfunding y el lending crowdfunding (los

basados en préstamos o acciones), dejando fuera a los basados en recompensas o

donaciones.

3. 6. Plataformas de economía colaborativa

El consumo colaborativo, concepto creado por Rachel Botsman en 2010, en su obra

What is mine is yours: the rise of collaborative consumption129, se define como una

forma de consumir basada en abogar por el acceso de la sociedad a determinados bienes

y servicios, sin tener la propiedad de éstos, optando por compartir a la vez que se

128 Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial. 129 Vid. Botsman, Rachel, y Rogers, Roo: What’s mine is yours: the rise of collaborative consumption,

Harpersbusiness 2010.

82

consume. Dentro de este concepto, surge el fenómeno del intercambio entre pares o

entre iguales (peer to peer o P2P), que se ha convertido en una de las más importantes

tendencias globales. Algunos sectores en los que se ha generado una economía

colaborativa (aquélla que se basa en el consumo colaborativo) son, por ejemplo, el

turismo y el transporte. En ambos sectores, han surgido plataformas en Internet o

aplicaciones (apps) que han revolucionado la forma de viajar o de hacer turismo130.

Estas plataformas se han ido consolidando como nuevos intermediarios con presencia

internacional.

A día de hoy, no hay una normativa específica para este fenómeno, más allá de las

diversas normativas sectoriales –las normas no están adaptadas a este nuevo fenómeno-,

además de la normativa aplicable a los prestadores de la sociedad de la información: la

Directiva de Comercio Electrónico y la LSSICE. Por ello, la inseguridad jurídica, las

lagunas normativas y la consiguiente confusión demandan una respuesta para

diferenciar claramente la oferta ilegal de la oferta compatible con las legislaciones

vigentes y que necesitan una adaptación al fenómeno digital. En 2013, la revista Time

destacó, sobre el consumo colaborativo, que se trata de una de las diez ideas que

cambiarán el mundo en el siglo XXI. Según un estudio de Euromonitor International131,

este fenómeno crecerá notablemente en los próximos años. Este tipo de plataformas

tienen una clara aportación directa e indirecta a la economía, mientras van cayendo las

barreras entre la producción y el consumo. Se trata de un fenómeno que necesita sus

leyes y, por tanto, una regulación armonizada, no obstaculizadora y que aporte

seguridad jurídica, así como crear puentes con la economía tradicional. Tras el reciente

130A título de ejemplo, como empresas punteras, ver el caso de las empresas Airbnb, Homeaway, Toprural

o Blablacar, entre otras. 131Ver el estudio Tendencias Globales del consumidor, 2014, de Euromonitor International, Londres

(UK), 2014.

83

conflicto en Europa entre los taxistas y la aplicación Uber132, Neelie Kroes, ex

vicepresidenta de la Comisión Europea y comisaria de la Agenda Digital, destacó que

“la tecnología está cambiando muchos aspectos de nuestras vidas. No podemos abordar

estos retos ignorándolos, haciendo huelga o intentando prohibir estas innovaciones. Es

el momento de sentarse a la mesa y encontrar arreglos razonables para la

innovación”133.

En relación con el impacto de la economía colaborativa, se estima que los cinco sectores

que más implicación tienen en esta tendencia son: crowdfunding y préstamos entre

pares (P2P lending o préstamos entre particulares), contratación online de profesionales

para tareas específicas por parte de las empresas u online staffing, gestión de

alojamientos entre pares, compartición de vehículos y compartición de música y vídeo

en streaming mediante la creación de listas de reproducción. Estos cinco sectores

pueden alcanzar unos ingresos potenciales de 335.000 millones de dólares en 2025,

desde los 15.000 millones que generan en la actualidad134.

132http://economia.elpais.com/economia/2014/09/23/actualidad/1411461457_252970.html 133http://www.expansion.com/accesible/2014/06/11/empresastransporte/1402469685.html.

http://www.abc.es/economia/20140610/abci-comision-europea-contraria-prohibir-201406101800.html 134 Ver el estudio de PwC (2014): The Sharing Economy-sizing the revenue opportunity.

http://www.pwc.co.uk/issues/megatrends/collisions/sharingeconomy/the-sharing-economy-sizing-the-

revenue-opportunity.html

84

(Comparativa de crecimiento entre sector tradicional del alquiler y el basado en la economía colaborativa,

2013 v.2015, Fuente: PwC)

La propia Comisión Europea es consciente del reto no sólo de la llamada economía

colaborativa sino también de las plataformas digitales en general, entendiendo por tales

buscadores, redes sociales, iOS o sistemas operativos, prestadores de servicios de pago;

los denominados marketplaces o plataformas intermediarias en general. Prueba de ello

es que en el documento de la estrategia para un Mercado Único Digital (Digital Single

Market Strategy)135, presentado el pasado 6 de mayo de 2015 por la Comisión Europea,

el análisis sobre las plataformas digitales, incluida la economía colaborativa, ocupa un

lugar relevante. Asimismo, se publicó una consulta pública para valorar si por parte de

la Comisión Europea es necesario adoptar alguna medida legislativa para la regulación

135http://europa.eu/rapid/press-release_IP-15-4919_es.htm

85

de las plataformas digitales y replantearse el rol de las plataformas intermediarias. En

dicha consulta, se abordan asimismo cuestiones sobre el modo en el que estas

plataformas tratan datos de carácter personal y la protección que otorgan a los usuarios

de las mismas en lo referente a protección de datos de carácter personal. En relación con

los resultados que se publicaron de dicha consulta, la mayoría de respuestas pusieron de

manifiesto que las plataformas no facilitan información accesible y suficiente sobre el

uso que hacen de los datos, tanto personales como no personales, destacando que las

políticas de privacidad y los términos y condiciones de uso de las plataformas no son lo

suficientemente claros136.

3. 7. Propiedad Intelectual

Otro de los desafíos relevantes en el ámbito digital, en lo que respecta a la regulación, es

todo lo relacionado con la Propiedad Intelectual en Internet. No en vano, en 2013 la

Comisión Europea lanzó una consulta pública con el fin de recabar opiniones para

legislar en la materia, llegando a obtenerse más de 9.500 respuestas. Según los

resultados de esta consulta, que se publicaron en julio de 2014, en lo relativo al acceso a

contenidos en la Red desde otro país de la UE, los consumidores afirman tener

problemas debido a las restricciones de acceso por la localización geográfica de la

propiedad intelectual137. También los consumidores en dicha consulta hicieron

referencia a la necesidad de una mayor seguridad jurídica para compartir contenidos

protegidos por propiedad intelectual en redes P2P. En los límites y excepciones al

136 https://ec.europa.eu/digital-single-market/en/news/full-report-results-public-consultation-regulatory-

environment-platforms-online-intermediaries 137 Ver la Comunicación de la Comisión Europea, al Parlamento Europeo, al Consejo, al Comité de las

Regiones y al Comité económico y social Towards a modern, more European copyright framework, de 9

de diciembre de 2015. https://ec.europa.eu/digital-single-market/en/news/towards-modern-more-

european-copyright-framework-commission-takes-first-steps-and-sets-out-its

86

copyright en el Mercado Único, entre los que se encuentra la copia privada, la mayoría

de proveedores de servicios piden seguridad jurídica y armonización. A este respecto,

los proveedores de servicios destacan que el sistema actual es demasiado complejo,

especialmente para determinados contenidos basados en actividades cross-border o

transfronterizas, como los servicios cloud, que según los resultados de la consulta, no se

benefician de las ventajas del Mercado Único138. Asimismo, en el citado documento de

estrategia del Mercado Único Digital, dado a conocer el pasado 6 de mayo de 2015, la

reforma de copyright ocupa un lugar destacado. En diciembre de 2015 se anunciaron

una Hoja de Ruta o Plan de Acción sobre la reforma de copyright139 y una propuesta

legislativa para la portabilidad de contenido online140.

En el ámbito de la legislación nacional, en España en enero de 2015 entró en vigor la

Ley 21/2014 de modificación del texto refundido de la Ley de Propiedad Intelectual y

de la Ley de Enjuiciamiento Civil, que incorpora una serie de cambios en materia de

propiedad intelectual. Entre otros, incorpora la polémica tasa google (o canon AEDE

como también es conocida), una compensación económica obligatoria que deben pagar

los agregadores online de noticias a los editores por la utilización de fragmentos de sus

contenidos. También incorpora cambios en el procedimiento y sanciones en lo relativo a

la vulneración de la propiedad intelectual en Internet. Sin embargo, aspectos como la

Tasa Google siguen sin concretarse y, además, el agregador Google News decidió cerrar

en España poco antes de entrar en vigor esta ley.

138 Ibídem. 139 Comunicación del a Comisión Europa, al Parlamento Europeo, Consejo, Comité Económico y Social y

Comité de las Regiones Towards a modern, more European copyright framework, de 9 de diciembre de

2015. http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52015DC0626&from=EN 140 Propuesta de Reglamento de la Comisión Europea sobre la portabilidad crossborder de contenido

online en el Mercado Interior, de 9 de diciembre de 2015. COM (2015) 627 final. 2015/0284 (COD).

https://ec.europa.eu/transparency/regdoc/rep/1/2015/EN/1-2015-627-EN-F1-1.PDF

87

3. 8. Comunicación y periodismo digital

Las nuevas tecnologías, como no podía ser de otra manera, también han revolucionado

el ámbito de la Comunicación y el Periodismo. Los avances tecnológicos han cambiado

las condiciones para el intercambio de información. “La revolución digital coloca a la

libertad de expresión en un nuevo punto, del mismo modo que el desarrollo de las

tecnologías de retransmisión de la radio y de la televisión lo hicieron antes”141. Del

mismo modo, la digitalización hace posible la participación cultural a gran escala y su

expansión y “permite una interacción que antes no había existido a la misma escala”142.

Asimismo, “la evolución de Internet ha producido un paso del escenario electrónico de

libre expresión y una interacción no comercial a convertirse en una sofisticada

plataforma de marketing y entretenimiento que está impulsada en gran parte por el

comercio electrónico”143. Internet ha cambiado pues la forma de ver la privacidad, de

modo que, para algunos, “las personas que se preocupan por mantener un poco de

anonimato personal llegan a la conclusión de que la privacidad ya es menos un derecho

y más una capacidad y una técnica”144. En cierto sentido, “Internet está pasando por una

importante transición impulsada por una nueva necesidad de equilibrar lo público y lo

privado, así como los valores humanos y la eficacia técnica. […] El resultado de esta

141 Balkin, Jack: “Digital speech and democratic culture: A theory of freedom of expression for the

Information Society”, New York University Law Review, Vol. 79: 1, 2004, pag.2. 142 Ibídem. 143 Castillo Jiménez, Cinta: “Protección del derecho a la intimidad y uso de las nuevas tecnologías de la

información”, Derecho y conocimiento, Universidad de Huelva, vol.1, 2001, pags. 35 a 48. 144 Ibídem, pag.48.

88

transición, en último término, será el nacimiento de una nueva arquitectura en Red

basada en dos valores fundamentales: la transparencia y la confianza”145.

El entorno online no sólo ha posibilitado que la ciudadanía se exprese de forma libre y

abierta, sino que también ha brindado unas óptimas condiciones para la innovación y el

ejercicio de otros derechos, como puede ser el derecho a la educación y a la libre

asociación146.

El derecho fundamental a la libertad de expresión halla en Internet un instrumento único

para aumentar, notoriamente, su enorme potencial de difusión y comunicación hacia

amplios sectores de la población. “Internet, como ningún medio de comunicación antes,

ha permitido a los individuos comunicarse instantáneamente y a bajo costo, y ha tenido

un impacto dramático en el periodismo y en la forma en la que compartimos y

accedemos a la información y a las ideas”147.

Internet tiene unas características especiales que lo convierten en una herramienta única

de transformación y cambio, dado su potencial inédito para la realización efectiva del

derecho a buscar, recibir y difundir información y su gran capacidad para servir de

plataforma efectiva para la realización de otros derechos. “En consecuencia, cuando se

trata de Internet, resulta imprescindible evaluar todas las condiciones de legitimidad de

las limitaciones del derecho a la libertad de expresión a la luz de estas características

propias y especiales. Así, por ejemplo, al momento de establecer la eventual

proporcionalidad de una determinada restricción, es imprescindible evaluar el impacto

145 Llaneza González, Paloma: Internet y Comunicaciones Digitales en Castillo Jiménez, op.cit, pag.48. 146 Informe del Relator Especial sobre la promoción y la protección del derecho a la libertad de opinión y

de expresión, Asamblea General de las Naciones Unidas, A/66/290.10 de agosto de 2011. Párrafo 61. 147 Ibídem, párrafo 10.

89

(o costo) de dicha restricción no sólo desde el punto de vista de los particulares

directamente afectados con la medida, sino desde la perspectiva de su impacto en el

funcionamiento de la Red”148.

Tal y como destaca en la Declaración conjunta sobre Libertad de Expresión e Internet

de la ONU, “al evaluar la proporcionalidad de una restricción a la libertad de expresión

en Internet, se debe ponderar el impacto que dicha restricción podría tener en la

capacidad de Internet para garantizar y promover la libertad de expresión con respecto a

los beneficios que la restricción aportaría para la protección de otros intereses”149.

El periodismo está en fase de cambio y adaptación a la Era digital. El informe The State

of the news media del Project for excellence in journalism de la Universidad de

Columbia (Nueva York) destaca que el periodismo se encuentra en medio de una época

de transformación tan trascendental como la invención del telégrafo o la televisión150.

Las empresas mejor preparadas serían aquellas que ya tienen redacciones integradas y

personal polivalente, empresas que funcionan como grupos y además funcionan con la

lógica del 7x24 (siete días a la semana durante 24 horas)151.

“Se han producido una serie de cambios drásticos que han supuesto para los periodistas

y los medios la implantación de las herramientas colaborativas e interactivas que

148 Ver el Informe Libertad de expresión e Internet, Relatoría Especial para la Libertad de Expresión de la

Comisión Interamericana de Derechos Humanos (CIDH), Open Society Foundations, OEA, 2013, pag.

27. 149 Ver la Declaración conjunta sobre libertad de expresión e Internet elaborada por el relator de la ONU,

Frank La Rue, en colaboración con otras instituciones, punto 1.b), de 1 de junio de 2011. 150Vid. Dahlgren, Peter: Media and Political engagement: citizens, communication and democracy,

Nueva York, editorial Cambridge University Press, 2009. 151 Díaz-Noci, Javier: “Medios de comunicación en Internet: algunas tendencias”, El profesional de la

Información, vol.19, nº 6, 2010, pags.561 a 567.

90

convierten a los pasivos lectores en activos autores o coautores productores de

información”152. La web 2.0 se centra en el usuario con servicios como blogs, webs

colaborativas, alojamientos de vídeos y fotografías, etc. “Es un entorno de lectura-

escritura interactivo en el que los usuarios crecen, amplían, varían o actualizan los datos

y contenidos”153. Cabe decir que los cambios de la web 2.0 han transformado el campo

periodístico y difuminado la barrera de lo que es el periodismo. “Es absolutamente

necesario, por tanto, adaptar la formación académica de los periodistas

(comunicadores), en cualquiera de sus vertientes, a la Era digital, aunque la

interactividad entre el emisor y el receptor y el acceso abierto a cualquier ciudadano

complica esa actividad”154. Este fenómeno tiene su parte positiva de mayor flexibilidad

y medios para producir contenidos, mayor acceso a la información, democratización de

la información con el acceso universal a la Red y una mayor participación ciudadana.

“Es una ventaja poder disponer de espacios públicos más amplios donde caben todos,

donde se hacen más evidentes las plurales características de nuestras sociedades

posmodernas y donde hay siempre un lugar para una nueva opinión o para contrastar

cualquier afirmación, en definitiva, para la crítica”155.

El lenguaje, esta vez con las características peculiares del hipertexto, vuelve a ser el

vehículo de comunicación más fértil entre los ciudadanos inscritos en países distintos,

en culturas distintas, con convicciones religiosas distintas, con ideologías distintas”156.

A fin de cuentas, la Red permite un acceso igual e universal a la información y a la

comunicación instantánea con cualquier persona del mundo. Como ya vaticinó Bill

152 Egerique Mosquera, Teresa: “El ciudadano como informador y sus consecuencias en la Era del

ciberperiodismo”, Revista Académica de Marketing Aplicado, nº 2, Redmarka, 2009, pags. 55 a 72. 153 Ibídem, pag. 60 y ss. 154 Ibídem, pag. 66 y ss. 155 Ibídem, pag. 66 y ss. 156 Chillón, José Manuel: “Oportunidades y amenazas del periodismo ciudadano en la sociedad

globalizada”, Ekasia revista de filosofía, año V, 31, marzo 2010, pag.6.

91

Gates, la Red “abrirá nuevos mercados y oportunidades de negocios de todas las

dimensiones. Trascenderá fronteras nacionales y hará posible una economía global sin

fricciones. […] Concederá a las naciones en desarrollo la oportunidad de pasar por alto

la época industrial y avanzar directamente hacia la era de la información”157.

Sin embargo, también tiene consecuencias no tan positivas, como algunos autores

señalan, al considerar que se produce una “progresiva dilución de la autoría y de la

responsabilidad ante lo que se publica, al producirse interacciones muy estrechas entre

los periodistas y sus lectores anónimos, que pasan a ser autores o coautores y

prescriptores de un sinnúmero de informaciones”. Por ello, algún autor158 alerta del

riesgo de lesión de derechos en materia de propiedad intelectual o derechos relativos a

la protección de datos personales, por esa interacción amparada en el anonimato que

permite Internet. Los Estados constitucionales garantizan la libertad de información

siempre que las informaciones se atengan a dos condiciones legales como son la

veracidad y el interés público pero ambas condiciones están sometidas a un control

democrático desde el momento en el que los afectados pueden reclamar el amparo

constitucional que valorará el cumplimiento de tales premisas159. “Con Internet, esa

tarea de control, hoy por hoy, es casi imposible”160. Es decir, si se realiza un análisis

comparativo entre el periodismo tradicional y el periodismo ciudadano, “se comprueba

cómo el primero está sometido a una regulación muy exhaustiva, de modo que se

157 Gates, Bill en Siegel Lee: El mundo a través de una pantalla. Ser humano en la era de la multitud

digital, Barcelona, Tendencias Editores, 2008, pag.20. 158 Ibídem, pags.66 y ss. 159 Para un mayor conocimiento sobre los requisitos de veracidad e interés público en la información

publicada por los periodistas, ver, entre otras, las sentencias del Tribunal Constitucional, STC 68/2008,

STC 185/2002, de 4 de octubre (FJ4), STC 171/1990, de 12 de noviembre, STC 240/1992, de 21 de

diciembre. Ver asimismo, entre otros, los autores Navarro Merchante, Vicente: “La veracidad como límite

interno del derecho a la información”, Revista Latina de Comunicación Social, nº8, 1998, o la autora

Suárez Espino, María Lidia: “La veracidad y el interés público en la información”, Revista General de

Derecho Constitucional, vol.18, 2014. 160 Chillón, José Manuel: op.cit, pag.7.

92

concilia la libertad de expresión con la responsabilidad sobre la propia actividad,

mientras que en el segundo, campa libre sin ninguna cortapisa, ni está sometido a

ningún control”161.

En relación con el denominado nuevo periodismo ciudadano, es necesario destacar que

éste deriva del hecho de que los ciudadanos tienen acceso a nuevas vías para la

intervención en los procesos comunicativos. Internet ofrece a cada usuario la posibilidad

de ser reconocido como periodista, sin necesidad de una empresa de comunicación para

la que se trabaje. “La fuente será la masa y la masa será la que informe. La narrativa

hipertextual es la nueva forma de comunicar los hechos. Permite que el receptor pueda

ir más allá de la información escogida por el periodista, ya que le ofrece los enlaces a

las páginas de sus fuentes, a elementos de contextualización, a datos complementarios, a

las páginas de los protagonistas y que los lectores puedan aportar datos”162. El

periodismo ciudadano se caracteriza por las notas de dinamismo e inmediatez.

El periodismo ciudadano transforma las estructuras de los medios de comunicación para

hacerlas más democráticas y descentralizadas. Comienza a tener cobertura teórica a

partir de la obra de Dan Gilmor (2006) We the media: Grassroots Journalism by the

people, for the people163. Tal fenómeno puede definirse como “la necesidad ciudadana

de participar en la construcción de la realidad social, mediante la incorporación de las

opiniones de los ciudadanos a las informaciones construidas profesionalmente o a través

de la creación de espacios distintos y alternativos a las fórmulas tradicionales”164.

161 Serrera Cobos, Pedro: “Periodismo ciudadano y protección de datos”, Normas y d-TIC. Buenas

prácticas, Dintel, mayo 2010, pag.136. 162 Chillón, José Manuel: op.cit, pag. 7 y ss. 163 Ibídem. 164 Ibídem, pag.1.

93

Este fenómeno del periodismo ciudadano, el surgimiento de blogs y redes sociales, la

interacción entre múltiples usuarios, autogeneradores de contenido informativo y de

opinión, el frecuente uso de buscadores en Internet y su efecto amplificador, tiene

frentes jurídicos abiertos y se plantea numerosos interrogantes a los que, de forma

paulatina, se va dando respuesta. “Ha nacido un periodismo ciudadano de opinión-no

siempre riguroso-y los medios tradicionales se han apresurado a incorporar a sus

espacios en Internet un espacio de blogs, ya sea conducido por sus profesionales, ya sea

abierto a los ciudadanos. […]. Entre otros interrogantes, se plantea cómo se articulan los

conflictos relacionados con la publicación de información u opinión por los propios

usuarios”165. En relación con este punto, cabe recordar la reciente polémica generada

con los contenidos ofensivos o incluso posiblemente delictivos en redes sociales como

Twitter y cómo abordar la cuestión desde un punto de vista jurídico166.

Como se ha visto a lo largo de este capítulo, son múltiples los frentes legales que hay

abiertos en relación con Internet y las nuevas tecnologías: la propiedad intelectual, los

nuevos modelos de negocio innovadores, la libertad de expresión y de información, la

protección de datos de carácter personal, la intimidad, el honor y la propia imagen. De

todos ellos, en este trabajo, analizaremos el derecho a la protección de datos de carácter

personal y el denominado derecho al olvido, para lo que haremos un repaso del origen

del mismo, de sus bases y de sus pilares, como son el derecho a la intimidad y el

165 Rallo, Artemi y Martínez Ricard: “Protección de datos personales y redes sociales: obligaciones para

los medios de comunicación”, Quaderns del Cac, 37, Vol.XIV (2), diciembre 2011, pag.41. 166 Tras el asesinato de la política del PP en León Isabel Carrasco, el ministro del Interior, Jorge

Fernández Díaz, anunció la creación de una comisión para estudiar posibles reformas legales que

permitan una mayor eficacia contra los delitos al honor e intimidad en redes sociales, a lo que días

después políticos de su propio partido afirmar que la ley ya tenía resortes suficientes para perseguir estas

conductas con independencia del medio en el que se produjesen.

http://www.diariodenavarra.es/noticias/mas_actualidad/nacional/2014/05/25/cerco_red_tras_asesinato_isa

bel_carrasco_160674_1031.html

94

derecho a la protección de datos de carácter personal y a la autodeterminación

informativa.

3. 9. Los motores de búsqueda

En una tesis que se centra en el derecho al olvido, se hace necesario y obligatorio

analizar qué son, cómo funcionan y cuál es el valor de los buscadores en el acceso a la

información online. De hecho, no podemos hablar de derecho al olvido sin hablar a la

vez de los motores de búsqueda (search engines).

Los buscadores surgen como herramientas de ayuda para buscar información en la web,

en respuesta a la dificultad, de mantener un catálogo con toda la información que

contiene la Red167 debido, fundamentalmente, a la volatilidad de ésta dado su

volumen168.

Los motores de búsqueda tienen tres componentes básicos: por un lado, una araña o

robot (crowler en su denominación en inglés), que es el programa informático que

rastrea por la web leyendo las páginas. Por el otro, un programa que añade las páginas

leídas a una base de datos o catálogo. Y, en tercer lugar, un programa, motor de

búsqueda, que permite al usuario, a través de la utilización de las palabras clave, realizar

la búsqueda169. Este programa la efectúa mediante un proceso de comparación y

167 Wukovitz, Laura: “Using Internet search engines and library catalogues to locate toxicology

information”, Toxicology, vol. 157, 2001 pag. 121 a 139. 168Salmerón, José Luis et al: “Localización de la Información en motores de búsqueda en Internet: análisis

de la efectividad”, Economía Industrial, nº 346, Universidad Pablo de Olavide de Sevilla, 2002, pag.173. 169 Fischer, Ingrid et al: “The role for web search engines”, The CPA Journal, enero, Vol. 70, nº 1, 2000,

pag.43.

95

aproximación entre las páginas de sus bases de datos y las palabras clave, para

posteriormente devolverle al usuario los resultados170.

El volumen de información en Internet crece a pasos agigantados debido a que se

incorporan diariamente cientos de páginas y se actualizan otras tantas entre las que se

incluyen las de carácter científico. Y es más, las tradicionales fuentes de información,

como bibliotecas y bases de datos, se han sumado a la Red con la publicación de sus

catálogos, pudiendo ser consultados la mayoría de ellos en su totalidad. Así pues, el

investigador puede llegar a controlar todo el conjunto de fuentes. Por ello, cada vez más

se ven obligados a acudir a Internet y seleccionar su contenido171.

Internet tiene el inconveniente de la ausencia de un catálogo donde se recoja la situación

exacta de toda la información publicada, debido a la imposibilidad de abarcar la

totalidad de la Red. De ahí que, por eso, buscar directamente en las páginas se convierte

en una estrategia poco adecuada, a menos que se sepa con certeza dónde se sitúa la

información deseada172.

En definitiva, un motor de búsqueda en Internet es un prestador de un servicio de acceso

a la información y de localización de contenido en Internet173. Un motor de búsqueda,

no obstante, y dada su función, de nada sirve sin usuarios o internautas, como tampoco

serviría sin los creadores de contenido. En cierto modo, su función, o el rol que

desempeña, es el de un intermediador entre el usuario y el contenido o proveedores de

170 Clarke, Charles et al: “Relevance ranking for one to three term queries”, Information Processing &

Management, vol. 36, 2000, pag. 291 a 293. 171 Salmerón, José Luis et al: op.cit, pag.181. 172 White, Marilyn y Livonen, Mirja: “Questions as a factor in Web search strategy”, Information

Processing & Management, vol. 37, 2000, pag. 721 a 740. 173 Google es el buscador más conocido, habiendo otros como Ask.com, Bing , Baidu, Yahoo o el ruso

Yandex.

96

contenido. Por tanto, además del usuario y el propio buscador, intervienen en el proceso

de búsquedas, los proveedores de contenido así como terceras partes como empresas

anunciantes asociadas a las búsquedas. Lo podemos ver en el siguiente esquema174:

Este esquema explica cómo los proveedores de contenido son indispensables para un

motor de búsqueda. Sin contenido, no hay búsquedas. El contenido puede ser rastreado

gracias a la indexación. En la industria, existen códigos de no indexación, como los

protocolos robot.txt. En el caso de que esos códigos sean utilizados por el titular de una

web, la información de esa web permanecería en ella, pero sin embargo, no podría ser

indexada por motores de búsqueda. Una nota característica importante de los motores de

búsqueda y del sistema a través del cual se accede a la información en ellos, es

precisamente que el contenido o la información la proporcionan terceros. Es decir, el

motor de búsqueda es el canal a través del cual se llega a la información pero dicha

información la edita y la proporciona un tercero.

174 Grimmelmann, James: “The estructure of search engine Law”, Iowa Law Review, New York Law

School, 2007, pag.7.

97

El usuario realiza una petición de búsqueda, basándose en unos parámetros de

búsqueda, utilizando palabras clave (keywords en su denominación en inglés) y,

posteriormente, tras rastrear en la web, el motor de búsqueda ofrece los resultados de

búsqueda al usuario. Por tanto, el contenido en Internet, gracias a los motores de

búsqueda, se encuentra fácilmente accesible y localizable por los usuarios. Asimismo,

conviene tener en cuenta a terceras partes, las empresas anunciantes, cuya publicidad

aparece como resultado de las búsquedas. Las palabras en base a las cuáles se realiza la

búsqueda llevan a la aparición de publicidad asociada a esas palabras o keywords.

Según destaca Suárez Sánchez-Ocaña175, antes de la aparición del buscador de Google-

actualmente domina el mercado de los buscadores con aproximadamente un 95% de

cuota de mercado176-los motores de búsqueda eran elementos secundarios de la web. En

este sentido, este autor destaca que “antes de la irrupción de Google, los buscadores no

eran un gran negocio y no se invertía demasiado en su desarrollo. Se concebían como

herramientas secundarias, no como un elemento clave del desarrollo de la web. No

representaban más que un servicio subalterno de los grandes portales de la época como

Yahoo!, o Lycos o Terra en España, quienes pretendían ofrecer un servicio global en el

que pasáramos buena parte de nuestro tiempo consumiendo publicidad. Aquellos

portales eran un enorme cajón de sastre que incluía millones de páginas web mal

interpretadas por los primarios robots de búsquedas que las almacenaban. Por eso no

podían ofrecer al usuario respuestas correctas y concretas a sus cada vez más

evolucionadas necesidades”177.

175 Suárez Sánchez-Ocaña, Alejandro: Desnudando a Google: la inquietante realidad que no quieren que

conozcas, Deusto, 2012, página 19. 176http://www.posicionamientointernacional.com/cuota-de-mercado-de-buscadores-por-paises/ 177 Suárez Sánchez-Ocaña, A.: op.cit, pag.19

98

Gran parte del éxito de los motores de búsqueda como Google radica en que ofrecen su

servicio de búsquedas al internauta o usuario de manera gratuita. No cabe duda de que

también ofrecen un servicio que se ha convertido casi en indispensable para la búsqueda

de Información en la Red de manera fácil y rápida. No obstante, el hecho de que para el

usuario que solicita el servicio de búsqueda sea gratuito también tiene que ver con el

éxito del servicio. Como toda empresa, sin embargo, tiene sus vías de financiación y

obtención de ingresos. En el caso de motores de búsqueda como Google, se obtienen

ingresos a través de la publicidad online del buscador. Los anuncios publicitarios están

ligados a las búsquedas en cuestión o a los términos de búsqueda utilizados. Es decir, y

por poner un ejemplo, si se realizan búsquedas de conciertos de música en Nueva York,

es probable que salgan anuncios en las listas de resultados de esas búsquedas, asociados

a hoteles en Nueva York, tiendas de instrumentos en la Gran Manzana o restaurantes en

la ciudad. Normalmente los anuncios aparecen en el margen derecho de la página del

buscador o arriba. De alguna manera, los anuncios van ligados a las denominadas

Keywords o palabras clave en las búsquedas, de tal manera que los hábitos de

navegación del usuario van a influir en la publicidad recibida por el mismo. A este tipo

de publicidad basada en los hábitos de navegación se la denomina publicidad

comportamental.

Aunque algunos servicios de la sociedad de la información resulten gratuitos para el

usuario, realmente, éste sí da algo a cambio. No es dinero, sino que son sus datos. El

valor económico de la denominada publicidad comportamental (behavioural

advertising) está en auge y se trata de publicidad asociada a los hábitos de navegación

del usuario.

99

Sobre la regulación de los motores de búsqueda en Internet, cabe decir que la naturaleza

de los mismos es la de plataformas intermediarias, en el sentido de que, aunque en

ocasiones alojen datos propios, sirven de plataformas para el acceso a datos de terceros

alojados en ellas. Los países de la OCDE,178 mayoritariamente, comenzaron a regular

adoptando como referencia unas directrices generales para las plataformas

intermediarias. Estas directrices básicamente hacen referencia a que no son

responsables, a priori, por la distribución de contenido de terceros o por las

transacciones hechas en la Red por estos; ni tampoco tienen una obligación general de

vigilancia y supervisión sobre dicho contenido y transacciones179.

De este modo, la regulación europea vigente, y la española, contemplan la denominada

platforms liability o protección en el régimen de responsabilidad de estos agentes de la

Red. La Directiva 2000/31/CE de Comercio Electrónico180, así como la Ley 34/2002, de

11 de julio de Sociedad de la Información y Comercio Electrónico (LSSI) que traspone

la Directiva al ordenamiento interno español, contempla una exención de

responsabilidad para los prestadores de servicios de intermediación, salvo conocimiento

efectivo de la ilicitud del contenido que alojan. Por conocimiento efectivo se entiende

una resolución administrativa o judicial y, en ese caso, el prestador de servicios

178Pertenecen a la OCDE los siguientes países: Australia, Bélgica, Chile, Dinamarca, Alemania, Estonia,

Finlandia, Francia, Grecia, Irlanda, Islandia, Israel, Italia, Japón, Canadá, Corea, Luxemburgo, México,

Nueva Zelanda, Paises Bajos, Noruega, Austria, Polonia, Portugal, Suecia, Suiza, República Eslovaca,

Eslovenia, España, República Checa, Turquía, Hungría, Reino Unido, Estados Unidos. 179 Ver la sentencia del TJUE, de 24 de noviembre de 2011, referente al caso Scarlet v.Sabam. 180 Ver artículos 12 a 15 de la Citada Directiva de Comercio Electrónico, que establece un marco legal

común para el desarrollo del comercio electrónico y la sociedad de la información y donde se hace

referencia al régimen de responsabilidad de los prestadores intermediarios de servicios de la sociedad de

información. En concreto, el artículo 14 de la Directiva 2000/31/CE, referente al alojamiento de datos,

dice así: “1. Los Estados miembros garantizarán que, cuando se preste un servicio de la sociedad de la

información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de

servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a

condición de que: a) el prestador de servicios no tenga conocimiento efectivo de que la actividad o la

información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento

de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que,

b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para

retirar los datos o hacer que el acceso a ellos sea imposible”.

100

intermediario está obligado a la actuación diligente en la retirada de contenido. Un

ejemplo de este tipo de actuación es el procedimiento que sigue Google para la retirada

de contenidos que vulneran derechos de propiedad intelectual181, a través del

denominado procedimiento de notice and take down182.

Asimismo el Derecho de la Competencia de la UE es una perspectiva que hay que tener

en cuenta cuando hablamos de motores de búsqueda. En 2010, la Comisión Europea

abrió expediente sancionador a Google por posible trato preferencial a sus propios

productos en sus resultados de búsqueda, lo que implicaría una vulneración del artículo

102 del TFUE183. En abril de 2015, la CE acusaba formalmente a Google de abuso de

posición dominante con su motor de búsqueda en la web e inició una investigación

sobre el sistema operativo Android, al sospechar que vulneraba las reglas de

Competencia comunitarias184.

Desde Bruselas, la Comisión Europea ha estado analizando con detalle en los últimos

meses la estrategia a seguir, no sólo en lo que respecta a motores de búsqueda o

plataformas digitales en general, sino en un ámbito más amplio, en todo lo que afecta al

denominado Digital Single Market o Mercado Único Digital. Al respecto, existe cierta

181http://www.wipo.int/meetings/es/doc_details.jsp?doc_id=260320 182 A este respecto, resulta interesante ver también la Digital Millenium Copyright Act (DMCA),

promulgada en 1998 por EEUU, que establece el marco legal para la protección de los derechos de autor

en entornos digitales. 183 El artículo 102 del TFUE dispone así: “Serán incompatibles con el mercado interior y quedará

prohibida, en la medida en que pueda afectar al comercio entre los Estados miembros, la explotación

abusiva, por parte de una o más empresas, de una posición dominante, en el mercado interior o en una

parte sustancial del mismo. Tales prácticas abusivas podrán consistir sustancialmente en : a) imponer

directa o indirectamente precios de compra, de venta u otras condiciones de transacción no equitativas,

b) limitar la producción, el mercado o el desarrollo técnico en perjuicio de los consumidores, c) aplicar

a terceros contratantes condiciones desiguales para prestaciones equivalentes, que ocasionen a éstos una

desventaja competitiva, d) subordinar la celebración de contratos a la aceptación, por los otros

contratantes, de prestaciones suplementarias que, por su naturaleza o según los usos mercantiles, no

guarden relación alguna con el objeto de dichos contratos”. 184http://www.espanol.rfi.fr/europa/20150415-la-comision-europea-acusa-google-de-abuso-de-posicion-

dominante-en-las-busquedas-de-

101

preocupación por parte de la Comisión Europea185, con el hecho de que el consumidor

tenga pocas alternativas de cambio en los denominados servicios over the top como

Skype o Facebook que compiten con los operadores de telecomunicaciones, dada la

falta de interoperabilidad o portabilidad en las plataformas digitales y el riesgo de que,

dada la situación actual, puedan existir abusos con posibles prácticas monopolísticas.

Por tanto, la posible regulación de los motores de búsqueda se enmarca en un debate

mucho más amplio, que es el debate sobre las plataformas digitales186, ligado al

denominado Internet Abierto (Open Internet), la neutralidad de la Red, el acceso

transfronterizo a contenido online, etc.

Desde el plano del derecho fundamental a la privacidad y protección de datos de

carácter personal, los motores de búsqueda permiten ensamblar informaciones reducidas

y elaborar un perfil bastante completo de las personas; incluso, a veces, distorsionando

la información u ofreciéndola de forma inexacta, lo que puede llegar a suponer un

menoscabo del prestigio, reputación o estima social de una persona. Asimismo, en

relación con los motores de búsqueda en Internet, la calidad de la información es algo

que está en el foco de debate y que ha venido cuestionándose, así como también se ha

venido cuestionando la neutralidad del buscador en la presentación de esa información o

resultados de búsqueda o, dicho de otra manera, la autonomía o independencia de la

información que alojan.

185 Ver la Comunicación de la Comisión Europea al Parlamento Europeo, Consejo de la UE, Comité

Económico y Social y Comité de las Regiones, A Digital Single Market for Europe, de 6 de mayo de

2015. https://ec.europa.eu/priorities/digital-single-market_en 186No sólo los motores de búsqueda son plataformas, sino que el concepto de plataforma digital es mucho

más amplio. También estarían englobadas las redes sociales, sistemas operativos, proveedores de

servicios de pago, ecommerce o marketplaces en general. El concepto de plataforma digital que se utiliza

en el documento de Estrategia de Mercado Único Digital es muy amplio. En la página 52 de la citada

Comunicación de la CE del 6 de mayo, las plataformas se definen de la siguiente manera: “Online

platforms can be described as software-based facilities offering two or even multi-sided markets where

providers and users of content, goods and services can meet”.

102

103

4. Evolución histórica de la intimidad

4.1. El origen de la intimidad

El ser humano ha ido evolucionando a lo largo del tiempo tanto en lo relativo a la vida

social y comunitaria como en el plano personal e individual. Las civilizaciones más

antiguas y primitivas apenas ofrecían al individuo la posibilidad de desarrollarse como

tal, al quedar la vida reducida exclusivamente a la comunidad y, por tanto, careciendo la

persona de intimidad, algo que se fue adquiriendo al evolucionar la especie humana. Si

se reflexiona sobre si antes fue lo público o lo privado, el huevo o la gallina, la

respuesta es que en la historia de la civilización humana lo público antecede a lo

privado187.

La reflexión sobre la intimidad se remonta muy atrás en la historia, muy a menudo

ligada con la especulación sobre la libertad188. Aunque sea desde una óptica o punto de

vista religioso, uno de los primeros símbolos de la intimidad fue la parra con la que

Adán y Eva se cubrían sus zonas corporales íntimas. Es decir, el ser humano viene al

mundo sin taparse o guardarse nada y conforme evoluciona delimita de algún modo su

esfera de intimidad. Por tanto, en las civilizaciones ancestrales todo era público y con el

tiempo se fueron conquistando parcelas de intimidad. Así, se puede llegar a la

conclusión de que cuanto más sofisticada o refinada sea una sociedad, más valor tiene

en ella la intimidad y, por el contrario, cuanto más primitiva, más valor tiene la vida

comunitaria y menos valor tiene el individuo de forma aislada como tal.

187Así se manifestaba Borja Adsuara en el Seminario de la Cátedra Google de Privacidad, Sociedad e

Innovación de la Universidad San Pablo CEU Privacidad, Innovación y crecimiento económico: un

marco regulador para el fortalecimiento de la economía digital, Universidad San Pablo CEU, Madrid,

noviembre, 2012. 188Ruiz Miguel, Carlos: La configuración constitucional del Derecho a la intimidad, Madrid, Universidad

Complutense, 1992 pag.1.

104

Ya no desde una perspectiva global, de la humanidad o la civilización humana, sino

tomando en consideración una vida humana aislada, fijándonos en la vida de cualquier

individuo, en sus primeros estadios y etapas de desarrollo, es decir la infancia y

adolescencia, no tiene desarrollada su esfera de intimidad, sino que se trata de algo que

se construye en la vida de una persona conforme se alcanza la vida adulta y la madurez.

Por tanto, podríamos afirmar que la intimidad es algo que se logra con la evolución, el

crecimiento, la madurez y el desarrollo, tanto referido a la propia especie humana a lo

largo del tiempo como referido a una vida aislada de un individuo cualquiera. Con

respecto a este punto son muy interesantes las reflexiones del pedagogo Víctor García

Hoz189, quien apunta que en el comienzo de la vida juvenil nos encontramos con que

irrumpe con fuerza la vida interior. “Y es tal vez la aparición de esta vida interior la que

completa, cualitativamente, la evolución del hombre, que al final de la niñez, ya es

capaz de asomarse y percibir todo el mundo exterior que lo rodea”. Sigue apuntando

García Hoz que el fenómeno que da un matiz singular a la aparición de la vida interior

“es la conciencia que el sujeto tiene de estas nuevas fuerzas de su vida”. Por ello, “la

adolescencia puede caracterizarse por ser una entrada del hombre en sí mismo o, mejor

aún, como un nacimiento de la intimidad”.

Según destaca Ruiz Miguel190, “no todas las sociedades ni épocas han presentado un

grado de reflexión similar sobre la intimidad. El derecho a la intimidad como algo más

que una mera pauta social de comportamiento tiene también un desarrollo histórico

diferente en cada pueblo y época”.

189 García Hoz, Victor: El nacimiento de la Intimidad, Madrid, Consejo Superior de Investigaciones

Científicas, 1950, pag.1377. 190Ruiz Miguel, Carlos: op.cit, pág 73 y ss.

105

En un principio, en muchas comunidades primitivas, la sociedad rural, la estructura

patriarcal de la familia y la tendencia a instaurar relaciones íntimas con los vecinos,

obstaculizaba la creación de una esfera privada o reservada, tal como la entendemos

ahora, dando lugar a una concepción de la vida totalmente comunitaria. El hombre

primitivo veía transcurrir su vida en el espacio que hoy llamamos público, la vida entera

era pública para él, transcurría en el ágora, foro, en la plaza, en el mercado, la calle, etc.

Si bien algunos aspectos básicos de la intimidad, como sostiene Westin191, se

encuentran en todas las sociedades, la protección otorgada es distinta entre ellas, de

modo que en los pueblos primitivos es mucho menor y distinta a la que hoy en día se

otorga. En la sociedad primitiva, el incentivo individual es muy limitado, es decir, los

hombres se hallan próximos al molde común de la raza y transitan por caminos

predeterminados192. Por tanto, el individuo se halla sumido en el grupo sin una

relevancia propia importante y la vida entera de los pueblos está llevada por las

costumbres.

4. 2. La intimidad en las civilizaciones antiguas

En la antigüedad clásica, no existe aún manifestación jurídica alguna que pueda

identificarse con el actual derecho a la intimidad. Quizás existen algunos elementos de

protección al honor, o lo que es lo mismo, se protegen ámbitos personales que tienen

una proyección pública, siempre vinculados a la idea de la polis, a la esfera pública o

política y que no obedecen a un concepto de protección de la intimidad o vida privada.

En la Grecia antigua se atribuía un valor ilimitado a la comunidad, valor de tal magnitud

191Westin, Alan: Privacy and Freedom, Nueva York, Atheneum, 1970, pags 13-22. 192 Iver, Mac y Morrison, Robert: The modern State, Londres, Oxford University Press, 1946, pag.37.

106

que la existencia de una esfera reservada a la vida propiamente personal del ser humano

estaba, en principio, excluida193.

En lo que respecta a los antiguos pueblos orientales, también se trataba de sociedades

donde el peso de las costumbres y de los comportamientos prefijados era importante,

estando sujetas a fuerzas exteriores, que impedían el desarrollo de la vida íntima. Y ya

mucho más tarde en el tiempo, en la actualidad, las mismas leyes de la República

Popular China, como es bien sabido, entraban a inmiscuirse en decisiones del ámbito

íntimo y familiar, como es el número de hijos por matrimonio que se debían tener, por

supuestas razones de control demográfico194. Benjamin Constant195, en referencia al

antiguo Egipto, apunta cómo “todo estaba regulado por ley, incluidas las distracciones,

relaciones personales, la necesidad o cada momento del día”.

En Grecia no se diferenciaba entre vida pública y vida privada, puesto que la

democracia ateniense se basaba fundamentalmente en la participación de todos los

ciudadanos en las cuestiones públicas, siendo iguales todos ellos para el desempeño de

cargos públicos, ya que la esencia del hombre se centraba en el “ser público”. A este

respecto, resultan interesantes las obras de Platón (La República)196 y Aristóteles (La

Política), de donde se desprende el poco valor que daban en Grecia a la intimidad en

193 Ortega y Gasset, José: “Socialización del hombre”, El Espectador, tomos VII y VIII, Madrid, Espasa

Calpe, 1966, pag. 222 y ss. 194 Ver, entre otros, Gomà, Daniel: “¡No más niños! Análisis y balance de la política china del hijo único

treinta años después de su implantación”, Revista Electrónica de Geografía y Ciencias Sociales, nº 15,

2011, págs.348 a 386. Asimismo, se recomienda la lectura de Xizhe Peng: “China’s demographic History

and Future Challenges”, Science, Vol.333, 28 julio 2011, pags. 581 a 587. 195Constant, Benjamin: “De la libertad de los antiguos comparada con la de los modernos”, Escritos

Políticos, Estudio Preliminar (traducción y notas de María Luisa Sánchez Mejía), Madrid, CEC, 1989,

pag. 257 y ss. 196 Vid. De Azcárate, Patricio: Obras completas de Platón, Madrid, Medina y Navarro editores, 1871-

1872.

107

contraposición con la vida comunitaria197. De hecho, Aristóteles defiende la idea de que

los ciudadanos han de estar siempre observados, ha de saberse lo que hacen, como

fórmula para sostener las tiranías, reconociendo la potestad del tirano de tener espías y

realizar escuchas en cualquier reunión o asamblea.

El sentimiento de personalidad y desarrollo individual, la estimación del valor moral de

la persona, la conciencia que el hombre occidental actual tiene de su propio ser como un

fin en sí mismo, era algo ignorado por el hombre antiguo. El fracaso social de la Polis y

su concepto preeminente de lo público sobre lo privado llevan al ciudadano a crearse

ideales de carácter personal de felicidad individual que entran en colisión con el

concepto ciudad-Estado. Así pues, la autarquía, elemento esencial del Estado, pasó a

serlo del ser humano individualmente considerado.198

En Roma, ya empieza a haber cierto grado de protección de la esfera privada del

individuo. Sin duda, la civilización romana es considerada la cuna del Derecho y, como

tal, nos ha legado algunas acciones que tienden a la reparación de los daños producidos

en la esfera de lo privado. Precisamente, la correspondencia es uno de los ámbitos

protegidos199.

Asimismo en el Derecho romano ya existía la posibilidad de ejercitar una actio

iniuriarium, ante las injurias y, con la misma acción, se protege la inviolabilidad del

domicilio. Sin lugar a dudas, la protección del domicilio es una de las manifestaciones

197Vid. Aristóteles: La Política, traducción de Julián Marías y María Araujo, introducción de Julián

Marías, Madrid, CEC, 1989. 198Sabine, George: Historia de la teoría política. Traducción de Vicente Herrero, Madrid, edición F.C.E

España, 1987, pag.101. 199 Vid. Iglesias, Juan: Derecho romano: historia e instituciones, Barcelona, Ariel, 1997. Ver asimismo,

Betancourt, Fernando: Derecho romano clásico, 3ª edición, Universidad de Sevilla, 2007.

108

más significativas de protección de la intimidad en la antigua Roma y que, además,

perdura en la regulación española vigente y en el resto de los ordenamientos jurídicos de

influencia romana. Sin embargo, es importante tener en cuenta un pequeño matiz: la

idea del respeto al domicilio no deriva de la idea de garantizar el respeto hacia la

persona o la familia, sino más bien, por una extensión personal del derecho real de

propiedad200. Es decir, se trataba de una protección vinculada al derecho de propiedad y

no a la dignidad. Por tanto, ni en Roma ni en Grecia se puede hablar de derecho a la

intimidad como tal pero sí se vislumbran ciertas manifestaciones jurídicas en torno a

ella, siendo la del respeto al domicilio y a la correspondencia las más significativas.

En un principio, aparece la intimidad unida a la tutela del derecho al honor y confundida

con éste. Posteriormente, la Lex Cornelio de iniurius del año 81. A.C tutela por primera

vez la intimidad a través de la inviolabilidad del domicilio201. En el Derecho Romano se

aseguró también la reparación del daño moral, y ya el Corpus Iuris Civile señala como

pilares fundamentales de la ética jurídica romana el vivir honestamente, dar a cada uno

lo suyo y no causar daño a los demás. Este damnum sería el detrimento o perjuicio

causado en los bienes útiles y propios de la persona, ya sean estos intrínsecos a la

misma, ya extrínsecos, materiales o espirituales202.

La casa, el hogar doméstico, desempeña un papel muy importante en la sociedad

romana. El hogar era considerado un lugar sagrado o santo por los ciudadanos romanos.

La casa era para cada cual su refugio y acogida203. Pero, no obstante, no se puede decir

200 Rebollo Delgado, Lucrecio: El derecho fundamental a la intimidad, Madrid, Dykinson, 2005, pag 55 y

ss. 201 Herrero-Tejedor, Fernando: Honor, intimidad y propia imagen, 2ª edición, Madrid, Colex, 1994, p.36. 202 Vid. Paricio, Javier y Fernández Barreiro, Alejandrino: Historia del Derecho romano y su recepción

en Europa, Madrid, Editorial Pons, 2010. 203 Vid. Iglesias, Juan: op.cit.

109

que los clásicos tuvieran un sentido de la intimidad como el que se tiene en la

actualidad: la palabra moderna privacy no tiene sinónimo en latín ni en griego. Según

destacaba Ortega y Gasset, el mundo antiguo, en su totalidad, sólo conoce un modo de

ser que consiste en exteriorizarse, en relacionarse con los demás en una forma de vivir

comunitaria. Por el contrario, el hombre de hoy se ha quedado solo y quiere superar su

soledad saliendo de sí mismo. Ortega observa un fenómeno creciente que consiste en la

progresiva publicación de la vida204.

4. 3. La intimidad a partir de la época medieval: la Teoría racionalista y

teoría histórica

En cuanto al origen del derecho a la intimidad, se han formulado diversas teorías. Una

primera, podría denominarse racionalista, que es aquella que sitúa el nacimiento de este

derecho en el periodo del Racionalismo y de la Ilustración, en conexión con el ascenso

de la burguesía. La otra, podría llamarse histórica y se remonta más atrás para buscar el

origen de este derecho205.

Para un sector de la Doctrina, el punto de inflexión en el reconocimiento y proceso de

positivación de los derechos naturales aparece en la Revolución Francesa. La intimidad

surge cuando se disgrega la sociedad feudal, quedando configurada como una aspiración

de la burguesía de acceder a lo que antes había sido el privilegio de unos pocos. Pérez

204 Ortega y Gasset, José.: “Socialización del hombre” en El Espectador, tomos VII y VIII, Madrid,

Espasa Calpe, 1966, pag.222. 205 Ruiz Miguel, Carlos: op.cit, pag.7.

110

Luño es el principal defensor de esta teoría206. En este sentido, y para los defensores de

la teoría racionalista, el concepto estaría estrechamente ligado a las necesidades y a la

propia ideología de la clase social burguesa. Así pues, la propiedad es condición

indispensable para acceder a la intimidad. Si bien, el nacimiento de la intimidad

coincide, en un sentido cronológico, con la afirmación revolucionaria de los derechos

del hombre, no supuso en la sociedad burguesa la realización de una exigencia natural

de todos los hombres, sino la consagración del privilegio de una clase. Varios autores

respaldan y siguen la teoría de Pérez Luño como Serrano Alberca207y Béjar208, entre

otros. Esta última autora afirma que “la privacidad es descubierta y desarrollada por la

filosofía política liberal, si bien no insiste en el factor propiedad”209.

Frente a la teoría racionalista se encuentra la teoría histórica, la cual se separa de la

anterior basándose en datos históricos y defiende dos líneas básicas de argumentación.

Primero, descarta que la noción de propiedad que se vincula a la intimidad lo sea en el

sentido burgués del término y aboga por un sentido de la propiedad en su significado

antropológico, que lleva a pensar que incluso el reino animal cuando delimita su

territorio, lo que realmente hace es delimitar su propiedad. Por tanto, se trataría de

propiedad en un sentido amplio, que incluyera toda posesión, todos los derechos y

privilegios, comprendiendo el derecho a la inviolabilidad de la persona. La segunda

línea argumental, en base a los datos históricos, filosóficos y antropológicos que se han

ido recabando, conduce a que la intimidad, ni como derecho ni como fenómeno nace

206 Pérez Luño, Antonio Enrique.: Derechos Humanos, Estado de Derecho y Constitución, Madrid,

Editorial Tecnos, 1984, pag. 321. 207 Serrano Alberca, José Manuel: “Comentario al artículo 18 de la Constitución”, en Garrido Falla

Fernando, Comentarios a la Constitución, Civitas, Madrid, 1980, pags. 231 y ss. 208 Béjar Merino, Helena: “La génesis de la privacidad en el pensamiento liberal”, Revista de Ciencias

Sociales, vol.76, Sistema, 1987, pag. 59 y ss. 209 Ibídem.

111

con la Revolución Francesa, sino antes. Carlos Ruiz Miguel es un gran defensor de esta

teoría210.

La figura de San Agustín en cierto modo marca el tránsito del pensamiento antiguo al

medieval, y ha sido en lo que respecta a la intimidad, uno de los más destacados

pensadores. “San Agustín es el primer teórico de la intimidad propiamente dicha”211.

Como tal, habla de la intimidad en su obra Las confesiones, donde desarrolla su doctrina

de la interioridad, doctrina que fue la base para su estudio posterior por Kant y

Descartes. El pensador apunta a la conciencia del ser humano como intimidad, en el

fondo de la cual encuentra a Dios. Supone la liberación del individuo en cuanto tal y se

afirma en el derecho a la soledad.212 En España, Antonio Truyol y Serra y Ramón

Villanueva Etchevarría han querido encontrar a la noción de intimidad unas raíces

vinculadas a la aparición del cristianismo. En este sentido, destacan que “San Agustín es

el primer occidental cuya intimidad conozcamos propiamente”213.

En el Derecho medieval se encuentran manifestaciones aisladas de la protección a la

intimidad. Algunos textos jurídicos recogían el deber de respeto al domicilio ajeno. En

este sentido cabe destacar la Carta de Convenio entre el Rey Alfonso I de Aragón y los

moros de Tudela en 1119, así como los Decretos de la Curia de León de 1188, entre

otros214. En las Cortes de León de 1188 se recoge el derecho a la inviolabilidad del

domicilio. Este derecho, como manifestación del derecho a la intimidad, también será

210 Ruiz Miguel, Carlos: op.cit, pag.10. 211 Ruiz Miguel, Carlos: op.cit, pag.27. 212 Vid. San Agustín de Hipona: Las confesiones, Introducción por José Anoz, Madrid, Editorial San

Pablo España, 2012. 213 Truyol y Serra, Antonio y Villanueva Etcheverría, Ramón, en Pérez Luño, Antonio Enrique: “La

protección de la intimidad frente a la informática en la Constitución Española de 1978”, Revista de

Estudios Políticos, nº9, Madrid, Centro de Estudios Políticos y Constitucionales, 1979, pag. 65. 214 Beneyto, Juan: Los derechos fundamentales en la España medieval, Revista de Estudios Políticos, nº

26, (marzo-abril), 1982, pags. 99 y ss. Ver asimismo, García Gallo, Alfonso: El origen y la evolución del

Derecho: manual de historia del Derecho, Madrid, Artes Gráficas y Ediciones, 1967.

112

recogido en otros textos como el Fuero Viejo de Castilla de 1250 o las Leyes de Estilo

de 1300, entre otros215.

Es importante resaltar la idea de que la intimidad ha estado ligada a la propiedad

durante mucho tiempo, tal y como hemos visto a lo largo de este capítulo de evolución

histórica. Por tanto, se trataba de un privilegio de las altas esferas, de las clases sociales

más altas y es al disgregarse la sociedad feudal, en la que como en la Polis griega o en la

Civitas del mundo antiguo, los individuos se hallaban insertos en la comunidad, cuándo

va a aparecer la intimidad con todas sus matizaciones.

Santo Tomás de Aquino, máximo representante de la filosofía escolástica, afirmó que,

aparte de los bienes externos, existen bienes que están en la propia persona como la

integridad corporal, tranquilidad, sosiego de ánimo, libertad, honor y fama y la

intimidad. Para él, el derecho a la fama tiene estrecha relación con el derecho a la

intimidad. Esta última es sagrada, es el núcleo más oculto de las personas, y sólo

cuando esta intimidad es manifestada públicamente por la persona que la tiene, puede

ser juzgada y valorada por las demás personas, pero si es manifestada en privado o en

secreto a otra persona concreta hay que respetarla216.

Durante los siglos XVI al XVIII tendrá especial importancia el reconocimiento de

derechos en el ordenamiento jurídico inglés. La Petition of Rights de 1628217, el Bill of

215 Rebollo Delgado, Lucrecio: “Derechos de la personalidad y datos personales”, Revista De Derecho

Político, nº 44, Madrid, 1998, pag.156. 216 Vid. Forment, Eudaldo: Santo Tomás de Aquino: el oficio del sabio, Barcelona, Ariel, 2007. 217 La Petition of rights de 1628 es un relevante documento constitucional inglés que fija garantías

concretas para los súbditos, garantías que el Rey tiene prohibido violar. Fue concedida el 7 de junio de

1628, conteniendo restricciones o limitaciones sobre impuestos no establecidos por el Parlamento, entrada

forzada de soldados en casas particulares de civiles, encarcelamiento sin causa y restricciones en el uso de

la Ley marcial.

113

Rights de 1689218 y el Act of Settlement de 1701219 son algunos de los textos más

relevantes. Todos ellos tienen el nexo común de limitar las prerrogativas del monarca,

creando un sentimiento racional de que los derechos que al hombre pertenecen son

legítimas aspiraciones del ciudadano, máxima que también se persigue con la reforma

luterana.

A lo largo de esta exposición histórica vemos cómo el derecho a la privacidad ha estado

ligado de algún modo a la propiedad, la clase social, el estatus y el dinero. En un primer

estadio, se trataba de un derecho más vinculado a la propiedad y a los privilegios que a

la dignidad del individuo. No fue sino con el tiempo cuando se fue desligando de la

propiedad y del estatus para pasar a vincularse a la dignidad. De hecho, la historia del

derecho continental europeo vinculado a la dignidad empieza en el siglo XVIII y va

progresivamente desarrollándose220. Incluso bien entrado el siglo XX sólo las personas

de clase alta podían tener expectativas de que su honor personal fuera protegido en los

tribunales y, desde un punto de vista práctico, para la mayoría de la ciudadanía el

derecho al honor personal no tenía un significado práctico221.

Cuando por primera vez se institucionalizan las manifestaciones de la intimidad será en

el siglo XVIII, ya con un ámbito genérico de vigencia y con un reconocimiento y

218 El Bill of rights inglés es un documento redactado en 1689 que impuso el Parlamento inglés al príncipe

Guillermo de Orange para suceder al Rey Jacobo. El propósito fundamental del texto jurídico era

fortalecer y recuperar algunas facultades parlamentarias ya desaparecidas o muy limitadas durante el

reinado absolutista de los Estuardo. Textos posteriores, como la Declaración de Independencia de EE.UU,

la Declaración de Derechos del Hombre y del Ciudadano francesa (1789) o la más actual Declaración

Universal de Derechos Humanos (1948), se inspiraron, parcialmente, en el Bill of rights. 219 Este texto completó al Bill of rights de 1689 y creó la autonomía de los tribunales con respecto del

poder real. 220 Whitman, James: “The two western cultures of Privacy: dignity versus liberty”, Public Law & Legal

Theory Research Papers Series, Research Paper nº 64, Yale Law Journal, vol.113, 2004, pag. 1151 y ss. 221 Whitman, J.Q.: op.cit, pag.1166 y ss.

114

garantía igual al de otros derechos. La Constitución de Pensilvania de 1776222, la

Declaración del Buen Pueblo de Virginia de 1776223, la Declaración de Derechos y

Normas Fundamentales de Delaware del mismo año224 y la Constitución Federal de

EE.UU de 1787 en su enmienda IV225 acogen un concepto mucho más amplio que el del

simple domicilio, pudiendo afirmarse que la protección se extiende y se hace radicar en

la esencia de la persona.

La Declaración de Derechos del Hombre y del Ciudadano de 1789226 no acoge la

inviolabilidad de domicilio como derecho singular sino que, por el contrario y dentro de

las tendencias de la época, lo asume como implícito dentro del artículo 7, es decir, como

libertad y seguridad personales. Sí lo hará el artículo 9 de la Constitución francesa de

222 La Constitución de Pensilvania de 1776 fue ratificada el 28 de septiembre de ese año y fue la primera

Constitución del Estado de Pensilvania tras la Declaración de Independencia y ha sido descrita como una

de las constituciones más democráticas de América. Fue redactada por Robert Whitehill, Timothy

Matlack, Dr. Thomas Young, George Bryan, James Canon y Benjamin Franklin. Los historiadores

consideran que la estructura gubernamental innovadora y democrática de Pensilvania muy probablemente

haya influenciado la formación de la República francesa bajo la Constitución de 1793. La Constitución de

Pensilvania incluía una carta de derechos o Bill of rights idéntica a la Declaración de derechos del pueblo

de Virginia de 1776. 223 La Declaración del Buen Pueblo de Virginia de 1776 está considerada la primera declaración de

derechos humanos de la historia. Fue redactada por Lee y Mason, quienes se inspiraron en el Bill of rights

inglés de 1689. La Declaración de Virginia reconocía una serie de derechos inherentes al hombre,

incluyendo el derecho a rebelarse frente a un Gobierno “inadecuado”. Esta declaración inspiró una serie

de textos que fueron redactados más tarde como la Declaración de Independencia de EE.UU de ese

mismo año, el Bill of rights americano (1789) y la Declaración de Derechos del Hombre y del Ciudadano

de la revolución francesa en 1789. 224 La Declaración de Delaware fue aprobada el 11 de septiembre de 1776 y en su artículo 10 reconoce el

derecho a la libertad, la propiedad y la búsqueda de la felicidad y seguridad. 225 La IV enmienda de la Constitución de EE.UU de 1787 trata sobre la protección a las pesquisas y

aprehensiones arbitrarias y fue establecida como respuesta a la controvertida Writ of Assistance, una

especie de orden general de registro, que jugó un papel importante tras la Guerra de la Independencia de

EE.UU. El texto de la IV enmienda dice así: “El derecho de los habitantes de que sus personas,

domicilios, papeles y efectos se hallen a salvo de las pesquisas y aprehensiones arbitrarias será

inviolable, y no se pedirán al efecto mandamientos que no se apoyen en un motivo verosímil, estén

corroborados mediante juramento o promesa y describan particularmente el lugar que deba ser

registrado y las personas o cosas que han de ser detenidas o embargadas”. En cuanto al ámbito de

aplicación de la enmienda, ésta se aplica sólo a los entes gubernamentales. 226 En el preámbulo de la Declaración de Derechos del Hombre y del Ciudadano de 1789 se dice: “Los

hombres nacen y libres e iguales permanecen en derechos”. Se alude a la libertad e igualdad, es decir, a

la supresión de los estamentos, de los privilegios, el clero y la nobleza. En definitiva, se trata de la

supresión del régimen feudal. La Declaración fue aprobada por la Asamblea Nacional Constituyente

francesa el 26 de agosto de 1789 y es uno de los documentos fundamentales de la revolución francesa en

lo que respecta a la definición de los derechos personales y colectivos como universales. La Declaración

fue el preludio de la Constitución francesa de 1791. El contenido de la Declaración ha sido respetado y

trasladado a posteriores constituciones francesas hasta la actualidad.

115

1791, que manifiesta que “ningún agente de la fuerza pública puede entrar en casa de

un ciudadano si no es para ejecutar mandamiento de Policía o de Justicia o en los

casos formalmente descritos por la Ley”. Este modelo de reconocimiento será el que

pase a las constituciones españolas.

En el siglo XVIII, las diversas declaraciones de los derechos del hombre no hacen, sin

embargo, mención alguna al derecho a la intimidad en cuanto tal. No obstante, se

diferencia entre conducta pública y privada, y a medida que las condiciones sociales y

económicas conducen al desarrollo de los núcleos urbanos, se marca la diferencia entre

el lugar en el que se vive, entre el hogar y la casa privada, y el lugar en el que se trabaja.

La intimidad, se configura, entonces, como una aspiración de la burguesía de acceder a

lo que antes había sido privilegio de unos pocos227. En el año 1750 parisinos y

londinenses sienten la necesidad de establecer un dominio privado para su familia. Así

aparece antes del siglo XIX, la vida privada como el derecho a la soledad, a la reserva,

al aislamiento, recogido en el dicho popular británico My home is my castle228, que pone

de manifiesto el individualismo inglés229.

Las condiciones de vida de labradores y obreros, en el inicio de la revolución

industrial230, excluyen las posibilidades de mantener una intimidad. La literatura de la

227 Ver Pérez Luño, Antonio Enrique: Derechos Humanos, Estado de Derecho y Constitución, Madrid,

Tecnos, 1984. 228 William Pitt pronunció un discurso en el Parlamento inglés en 1763, en el que ponía de manifiesto que

todo hombre en su casa, por humilde y pobre que fuera, en su morada tenía respeto 229 Vid. Caminal Badia, Miquel (coord.): Manual de Ciencia Política, Madrid, Tecnos, 1996. 230 La revolución industrial, desarrollada a finales del siglo XVIII y principios del siglo XIX, surge

primero en Inglaterra y se traslada luego por toda Europa continental y supone el nacimiento del

proletariado urbano, tras el masivo éxodo de los campesinos a las urbes. La ciudad industrial aumentó su

población con el crecimiento natural de sus habitantes y la llegada de este nuevo contingente humano. La

carencia de espacio fue el primer problema que sufrió esta población marginada socialmente, que debía

vivir en huecos muy reducidos sin comodidades mínimas y sin higiene, unido a largas jornadas de trabajo

y bajos salarios. Al problema que padecía este colectivo se le denominó Cuestión social, haciendo alusión

a las carencias e insuficiencias que padecían.

116

época, Dickens, Zola o Benito Pérez Galdós, demuestra las vivencias de las clases

obreras y su contraste con las de las clases privilegiadas231. El triunfo de la burguesía

como clase social, en el Estado liberal, va a exigir y reivindicar la generalización y

democratización de la reserva a la intimidad personal y familiar, así como de otros

derechos ligados a la personalidad que hasta entonces, como hemos visto, eran tan sólo

el privilegio de unos pocos. La emergencia de la burguesía es el fenómeno alrededor del

cual pivota el concepto moderno de intimidad, idea fundamentalmente defendida por los

seguidores de la teoría racionalista.

El concepto de hogar, en su carácter de intimidad, alcanza su cúspide en el Reino

Unido, en la Inglaterra del siglo XIX, cuando la Revolución Industrial desarraiga a la

población rural y la convierte en masa urbana232. Por entonces, la idea de hogar es

sinónimo de refugio. El siglo XIX es el periodo en el que la intimidad, en cuanto

derecho, tiene su mayor desarrollo. Es cuando el concepto de vida privada y el de

intimidad quedan perfilados en la forma conocida por nosotros, a partir de la cual se

pretende dar un paso más, que es la búsqueda de su protección legal233.

En lo que respecta a Francia, Royer-Collard en 1817 se refiere a la vida privada como

protegida por un muro contra los ataques del mundo exterior, es decir, amurallada. Esta

231 Obras tan insignes como Oliver Twist o Grandes Esperanzas, de Charles Dickens, critican la sociedad

del momento con profunda sensibilidad social. Del mismo modo, en el panorama literario español, Benito

Pérez Galdós retrata a la perfección la sociedad del momento, como lo hace en Marianela, una de sus más

conocidas obras literarias. Asimismo, el francés Èmile Zola hace un duro y riguroso análisis de la

sociedad del siglo XIX en obras como Germinal. 232 Canales, Esteban: La Inglaterra victoriana, Madrid, Editorial Akal, 1999, pag.183. 233 Como más adelante se analizará en esta tesis doctoral, es precisamente en el siglo XIX cuándo la

intimidad queda perfilada tal y como la conocemos hoy en día, gracias a los americanos Samuel Warren y

Louis Brandeis.

117

es realmente la primera alusión a la protección que de la vida privada que se da en

Francia234.

A finales del siglo XIX, John Stuart Mill235entiende la autonomía individual como una

derivación de la idea de libertad, basándose en dos puntos fundamentales: “los únicos

aspectos de la conducta humana que entrañan deberes y responsabilidades sociales son

aquellos que afectan a los demás. Los aspectos que sólo conciernen al individuo, como

los relacionados con su mente y su propio cuerpo, le pertenecen con absoluta

independencia”.

Ya en el siglo XX, el creciente y acelerado desarrollo tecnológico que surge a partir de

la segunda mitad del siglo comienza a crear la idea de que la regulación del derecho a la

intimidad comenzaba a ser insuficiente para la protección adecuada de los datos

personales, ante los numerosos riesgos e intromisiones que surgían como consecuencia

del proceso de informatización236.

A día de hoy, el espacio de lo privado ha cambiado. Se puede hablar de un espacio de lo

privado en el siglo XX y otro en el siglo XXI237. La definición y reflexión sobre el

concepto de espacio público y espacio privado hoy en día es necesaria, al haber

evolucionado la tecnología a pasos agigantados abriendo nuevas zonas de actuación y

decisión para el individuo.

234 Vid. Royer-Collard en Urabayen, Miguel: Vida privada e información: un conflicto permanente,

Universidad de Navarra, Pamplona, 1977. 235 Stuart Mill, John.: Sobre la libertad, traducción de J. Sainz Pulido, Madrid, Editorial Orbis, 1985,

págs. 40 y 41. 236 Peña Ortiz, Paola y Achío Gutiérrez, Catalina: El derecho al olvido (tesis doctoral), San José,

Universidad de Costa Rica, 2011, pag.9. 237 De la Cuadra Salcedo, Tomás en el Seminario de la Cátedra Google de Privacidad, Sociedad e

Innovación Privacidad, Innovación y crecimiento económico: el marco regulador como factor de

estímulo de la economía digital, el 8 de noviembre de 2012.

118

Tras la exposición del desarrollo histórico del derecho a la intimidad o de la privacy,

podemos concluir que el ser humano ha intentado ir conquistando con el tiempo

parcelas de intimidad frente a sus semejantes y conciudadanos o frente a la autoridad. A

diferencia de lo que acontecía en la Polis griega, en la actualidad nadie se atrevería a

afirmar que es posible vivir una vida digna y con un mínimo de calidad de vida sin tener

una parcela de intimidad y una separación de espacios entre lo público y lo privado. “En

el siglo XXI y, basándonos en el pensamiento de Benjamin Constant, y muy lejos de lo

que sucedía en la Polis griega, la privacidad va a ser uno de los soportes de la sociedad

democrática”238.

238 Borja Adsuara en el citado Seminario de la Cátedra Google, noviembre de 2012, vaticinaba que en el

S.XXI la privacidad va a ser uno de los soportes de la sociedad democrática.

119

5. Derecho a la intimidad y derecho a la protección de datos de carácter

personal.

5. 1. Derecho a la intimidad: Samuel Warren y Louis Brandeis, la doctrina

y configuración constitucional

A la hora de analizar el origen del derecho al olvido, objeto de esta tesis doctoral, se

detecta una clara conexión con el derecho a la intimidad (The right to privacy). Más

bien es lógico considerar que el derecho al olvido es una derivación o consecuencia del

derecho a la intimidad, al que se dedica este capítulo.

El origen de la palabra intimidad se halla en el vocablo latino intimus, superlativo de

interus, de inter, y el Diccionario de la Real Academia Española (DRAE)239 la define

como “zona espiritual íntima y reservada de una persona o de un grupo, especialmente

de una familia”. Con base en la definición dada por el Diccionario de la Lengua

Española, se extrae la conclusión de que la intimidad se relaciona estrechamente con el

ámbito familiar y doméstico, es decir, ajeno al interés público y, por tanto, reservado.

La diversidad terminológica240 en torno al concepto de intimidad es llamativa. Así los

italianos hablan de riservatezza, en Francia suelen decantarse por la expresión vie

privée, en Alemania privatsphäre, mientras que en los países anglosajones utilizan el

término privacy.

239Diccionario de la Real Academia Española, Vigésimo tercera edición, Madrid, 2014. 240 Estadella Yuste, Olga: op.cit, pag.13.

120

La intimidad, como fenómeno, ha sido estudiada por Ortega y Gasset241, quien distingue

en la misma las esferas de vitalidad, alma y espíritu, y afirma que la intimidad es un

fenómeno, un hecho, no una hipótesis metafísica.

El Congreso de Juristas Nórdicos sobre el Derecho a la Intimidad242 intentó ofrecer una

definición conceptual de intimidad. Atendiendo a las conclusiones de dicho encuentro

de expertos, se hallan apuntes sobre los orígenes del derecho a la intimidad, definiendo

este derecho como el derecho de una persona a ser dejada en paz para vivir su propia

vida con el mínimo de injerencias externas. Resulta interesante la lista que elaboraron

donde recogían las distintas formas en las que se podía lesionar la intimidad,

completando así la definición dada. De esta forma acuden a un concepto de intimidad

basado en un ámbito de libertad, frente a la cual se establecen una serie de prohibiciones

o limitaciones de intromisión243.

El derecho fundamental a la intimidad, a día de hoy, y sin perjuicio de la normativa de

desarrollo del derecho constitucional, se recoge en el ordenamiento jurídico español en

el artículo 18 de la Constitución Española de 1978, encuadrado en el capítulo segundo

(“De los Derechos y Libertades”). Su articulado dice así:

“1. Se garantiza el derecho al honor, intimidad personal y familiar y a la propia

imagen.

241 Ortega y Gasset, José: “Vitalidad, alma y espíritu” en El Espectador, tomo V, Espasa Calpe, 1966,

pag. 64 y ss. 242El Congreso de Juristas Nórdicos sobre el Derecho a la Intimidad fue celebrado en Estocolmo el 22 y

23 de mayo de 1967 y sus conclusiones fueron publicadas en la Gazette du Palais el 26 de julio de ese

mismo año en Paris. 243 http://www.icj.org/wp-content/uploads/1967/09/ICJ-Bulletin-31-1967-spa.pdf

121

2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin

consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.

3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales,

telegráficas y telefónicas, salvo resolución judicial.

4. La Ley limitará el uso de la informática para garantizar el honor y la

intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus

derechos”.

La enumeración realizada en el artículo 18.3 CE1978 tiene trascendencia, ya que ha

dado lugar a suspicacias abriendo el debate de si se trata de númerus clausus o lista

exhaustiva o, al contrario, es meramente ejemplificativa. En esta línea se manifiesta

César Sempere Rodríguez244.

También en numerosos textos internacionales se recoge el derecho a la intimidad. La

Declaración Universal de Derechos Humanos de 1948245, el Pacto de Derechos Civiles

y Políticos de 1966246, el Convenio para la protección de los Derechos Humanos y las

Libertades Fundamentales de 1950247 contemplan en su articulado el derecho a la

intimidad. En el caso, además, del Convenio de Roma, se establece que los particulares,

244 Sempere Rodríguez, Cesar en Alzaga Villamil, Oscar (Dir): Comentarios a la CE española de 1978,

Tomo II, Madrid, Editoriales de Derecho Reunidas, 1997, pag. 440. 245 El artículo 12 de la DUDH dice así: “Nadie será objeto de intromisiones arbitrarias en su vida

privada, en la de su familia, o en su domicilio o correspondencia, ni de atentados a su honor y

reputación. Toda persona tiene derecho a la protección de la ley contra tales intromisiones y atentados”. 246 En el artículo 17 del Pacto de Derechos Civiles y Políticos de 1966: “Nadie será objeto de

intromisiones ilegales o arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni

de ataques ilegales a su honra y reputación. 2. Toda persona tiene derecho a la protección de la ley

contra esas injerencias o esos ataques”. 247 En el artículo 8 del Convenio firmado en Roma en el ámbito del Consejo de Europa se dice así: “1.

Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su

correspondencia. 2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho

sino en tanto esta injerencia esté prevista por la Ley y constituya una medida que, en una sociedad

democrática, constituya una medida que sea necesaria para la seguridad nacional, la seguridad política,

el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud

o de la moral, o la protección de los derechos y libertades de los demás”.

122

en caso de vulneración del derecho a la intimidad, pueden acudir y pedir la protección

del Tribunal Europeo de Derechos Humanos (TEDH). Esto ha dado lugar a una

jurisprudencia importante que, en España, puede ser aplicada a través del artículo 10.2

CE1978 y que ha servido como base para algunas sentencias importantes del Tribunal

Constitucional español (TC), en esta materia248.

Debido a la propia naturaleza de los derechos fundamentales, el derecho a la intimidad

no es ilimitado, en el sentido de que coexiste y debe coexistir con otros derechos a su

vez fundamentales, como son el derecho a la información y a la libertad de expresión,

garantía básica de un Estado Democrático de Derecho. Ambos derechos deben coexistir

y será necesario acudir a un ejercicio de ponderación de los intereses en juego cuando

haya conflictos entre ellos. Luis Javier Mieres destaca la “capital importancia de una

prensa libre en un sistema democrático”249 pero observa que debe notarse que “la

intimidad es un bien sumamente vulnerable, cuya afectación no se contrarresta con más

discurso, pues quien ve revelada su vida privada queda inerme y la palabra no ayuda a

eliminar una lesión ya producida, y si la toma para desmentir lo divulgado contribuye a

darle publicidad y agrava así el daño”250. La reparación de la vulneración del derecho a

la intimidad, una vez producido el daño, es difícil, pues en línea con lo manifestado por

este autor, un intento de reparación por parte del agraviado podría contribuir a dar más

eco al daño, es decir, se produciría el efecto contrario al pretendido.

Admitiendo el contenido personalista que la Constitución atribuye al artículo 18, habría

que evitar que a partir de estos presupuestos pueda deducirse un trasfondo iusnaturalista

248 Vid STC 110/1984, 114/1984 o 37/1989, entre otras. 249 Mieres Mieres, Luis Javier: Intimidad personal y familiar. Prontuario de jurisprudencia

constitucional, Navarra, Aranzadi, 2002, pag.70. 250 Ibídem.

123

de estos derechos fundamentales. Se trataría más bien de fundamentar la exigibilidad

jurídica en la expresión normativa de la potencialidad democrática de los derechos y

libertades, los cuáles no son más que un acuerdo básico del poder constituyente en base

a un marco axiológico definido por la norma suprema.251

Para J.E Bustos Pueche, “la protección del derecho a la intimidad de la persona es la

novedad jurídica desde la vigencia de la Constitución Española de 1978, en materia de

tutela de los derechos de la personalidad”252. Para este autor, la intimidad personal

encuentra protección en uno de los derechos considerados de primera generación. Por su

parte, el magistrado de la Sala Civil del Tribunal Supremo (TS), Xavier O’Callaghan,

destaca que “en derecho español no hay un solo precedente jurisprudencial anterior a la

Constitución, que proclama la protección personal y familiar en el art.18.1”253.

Por su parte, Carlos Ruiz Miguel apunta que “la CE de 1978 recoge la protección que

las anteriores constituciones españolas brindaban a las manifestaciones clásicas de

intimidad, pero tiene una posición singular en nuestra historia constitucional, al recoger

por primera vez el derecho a la intimidad como tal y en sus manifestaciones más

recientes”254.

251Carrillo López, Marc: “El derecho a la propia imagen del artículo 18.1 CE” en Honor, Intimidad y

propia Imagen, Cuadernos de Derecho Judicial, 35/1993, Consejo General del Poder Judicial, pags. 53-

90. 252 Bustos Pueche, J.E: “Los límites de los derechos de libertad de expresión e información según la

jurisprudencia”, en García San Miguel, L., Estudios sobre el derecho a la intimidad, Alcalá de Henares,

Tecnos, 1992, pags. 145 y 146. 253 O’Callaghan, Xavier: “Honor, intimidad y propia imagen en la jurisprudencia de la Sala 1ª del

Tribunal Supremo”, Cuadernos de Derecho Judicial 35/1993, Consejo General del Poder Judicial, pags.

149 y ss. 254 Ruiz Miguel, Carlos: La configuración constitucional del derecho a la intimidad (tesis doctoral),

Madrid, Universidad Complutense, 1992, pag.73 y ss.

124

Resulta interesante destacar que en el trámite constituyente, el senador Camilo José

Cela propuso una enmienda para la reforma del artículo 18.1: que no se aludiese a

‘intimidad personal y familiar’, por considerarlo redundante, al definirse la intimidad

como una ‘zona espiritual íntima y reservada de una persona o de un grupo,

especialmente de una familia, según el diccionario de la RAE. El senador propuso

asimismo eliminar la referencia a la propia imagen por imprecisa255.

Para José Luis Concepción, en la intimidad del hombre se forja su personalidad, se

desarrolla su humanidad, como consecuencia y como fruto de la libertad para elegir sus

normas de conciencia, sus creencias, su ideología, etc256. Por su parte, y en lo que

respecta a la naturaleza del derecho a la intimidad, Judith Thompson, destaca que “el

derecho a la intimidad no es, en realidad, un derecho independiente, sino que deriva de

otros derechos como el de propiedad, el derecho a no ser observado, etc”257.

Otra definición interesante sobre la intimidad es la ofrecida por Luis García San Miguel,

quien resalta que “la intimidad es el derecho a que ciertos aspectos de nosotros mismos

no sean conocidos por los demás, una especie de derecho al secreto, a que los demás no

sepan lo que somos, lo que sentimos y lo que hacemos”258.

En la forma y con el alcance actual, el derecho a la intimidad tiene su origen en el

derecho anglosajón en 1890. Samuel Warren y Louis Brandeis, juristas

norteamericanos, publicaron el artículo The right to Privacy en la Harvard Law Review,

255 López Díaz, Elvira: El derecho al honor y el derecho a la intimidad, jurisprudencia y doctrina,

Dykinson, 1996, p.26. 256 Vid. Concepción Rodríguez, José Luis: Honor, intimidad e imagen: un análisis jurisprudencial de la

LO 1/1982, Barcelona, Bosch, 1996. 257 Thompson, Judith en Nino, Carlos Santiago: Fundamentos de Derecho constitucional, Buenos Aires,

Editorial Astrea, 2002, pag. 328. 258 García San Miguel, Luis: op.cit, Alcalá de Henares, Madrid, Tecnos, 1992, pag.17.

125

siendo dicho artículo considerado, de forma unánime, el punto de partida sobre la

reflexión del derecho a la intimidad, tal y cómo la entendemos hoy en día.

Efectivamente, es considerada una obra maestra y el origen del reconocimiento del

derecho a la intimidad, del modo en el que lo entendemos en el mundo occidental

actual. Esta obra es de lectura obligatoria para cualquier estudioso del derecho a la

intimidad.259

El motivo por el que dicho artículo fue publicado encuentra su causa en que la Sra

Warren y su marido, abogado dedicado a los negocios, acostumbraba a dar en su casa de

Boston frecuentes fiestas sociales que congregaban a la alta sociedad, captando el

interés de la prensa local, sobre todo del Saturday Evening Gazette, que divulgaba lo

que acontecía en aquellas fiestas. En las crónicas de los periódicos se daban detalles

personales, desagradables, encaminados a infundir en el lector la idea de despilfarro,

derroche o amoralidad de la elevada clase social. No obstante, la gota que colmó el vaso

se sitúa en las informaciones que algunos medios de comunicación publicaron sobre la

fiesta que Warren dió con motivo de la boda de su hija, lo que motivó que se reuniera

con su compañero Brandeis, quien terminó siendo magistrado del Tribunal de EE.UU,

para configurar técnicamente un nuevo derecho: el derecho a la privacy.

Estos dos juristas lograron el reconocimiento de un derecho hasta entonces desconocido

(the right to privacy or the right to be let alone) que parte de la máxima de que el

ciudadano tiene derecho a que la autoridad, prensa o terceros se mantengan alejados de

una esfera que sólo pertenece al individuo. Estos autores sientan las bases técnico-

259 Ver la obra, de lectura obligatoria, Warren S.D y Brandeis L.D: “The right to Privacy”, Harvard Law

Review, vol. IV, nº5, 1890, p. 193 a 219. Traducción al castellano de Benigno Pendás y Pilar Baselga,

bajo el título Derecho a la Intimidad, Madrid, Civitas, 1995. Esta obra se ha tomado como referencia

principal para la elaboración de esta parte del capítulo.

126

jurídicas de la noción de privacy, configurándola como un derecho a la soledad. En su

escrito adoptaron el concepto establecido años antes por el juez Cooley: the right to be

let alone, recogido en su obra The elements of torts, editada en 1873. Este derecho de la

persona se dice que es derecho a la completa inmunidad o derecho a ser dejado solo. 260

Estos juristas, en relación con el derecho a la intimidad, toman como punto de partida el

derecho a la propiedad y, poco a poco, van extendiendo su alcance a terrenos cada vez

más inmateriales y, apoyándose en el derecho de propiedad intelectual, van

configurando el derecho a la privacy, dotándose progresivamente de más autonomía.

Años después, Brandeis, convertido en juez del Tribunal Supremo de EE.UU, participa

en la sentencia Olmstead v. United States261, caso clave en el reconocimiento de la

privacy.

En la concepción de Cooley está presente el principio básico heredado del Derecho

inglés, a man’s house as his own castle o my home is my castle. Según destacan los

autores Warren y Brandeis en el artículo de la revista Harvard Law Review, este

principio fue formulado por William Pitt en 1763 en un conocido discurso que

pronunció en el Parlamento de Inglaterra, invocando la célebre máxima para reivindicar

la protección personal del individuo frente al poder del monarca.

A pesar de que exista, anteriormente, algún tipo de reconocimiento de ciertas

manifestaciones de la intimidad, se considera unánimemente por la doctrina que el

260 . Vid. Cooley, Thomas M: A Treatise on the Constitutional Limitations which rest upon the Legislative

Power of the States of the American Union, quinta edición, Boston, 1883. 261 Sentencia Olmstead v. United States, 277, US 438, relativo a la privacidad y la interceptación de las

llamadas telefónicas. El Tribunal Supremo consideró que la interceptación por los agentes federales sin la

autorización judicial, y posteriormente utilizada como prueba, no violaban ni la Cuarta Enmienda ni la

Quinta Enmienda de la Constitución de EE.UU. Sin embargo, posteriormente, en el caso Katz v. United

States, en 1967, el Supremo de EE.UU decidió en una línea contraria.

127

punto de partida de la reflexión sobre el derecho a la intimidad, tal y como se perfila en

la actualidad, se debe a Samuel D. Warren y Louis Brandeis.262

Tres años más tarde de la publicación del artículo de Warren y Brandeis, un tribunal

americano utilizó por primera vez la expresión acuñada por los dos abogados en el caso

Marks v. Jaffa263, fallado por el Tribunal Supremo de Nueva York. El demandante, un

actor y estudiante de leyes, había visto un retrato suyo publicado en un periódico

propiedad del demandado, formando parte de un concurso de popularidad, al que se

oponía personalmente. La sentencia, estimó la demanda y declaró su derecho a ser

dejado en paz, basándose en el hecho de que ningún periódico o institución tiene

derecho a usar el nombre o la fotografía de nadie sin su consentimiento. Aquí, esta

concepción del derecho a ser dejado en paz liga con nuestro derecho a la propia imagen.

En cuanto a la repercusión doctrinal del artículo de Warren y Brandeis, el concepto de

intimidad pasa a asumir un papel ambivalente. De una parte, se utiliza la idea de

intimidad con intención conservadora, como instrumento para no proporcionar a las

autoridades informaciones personales, patrimoniales y económicas al objeto de eludir la

presión fiscal del Estado. Por otra, las corrientes progresistas, pasaron a utilizar la

intimidad para reaccionar contra la acumulación de datos dirigidos al control de

comportamientos ideológicos con fines discriminatorios264.

La excelente aportación teórica de Warren y Brandeis hace cambiar la idea de que era

necesario el derecho de propiedad como condición indispensable para acceder a la

262Vid. Rebollo Delgado, Lucrecio: op.cit, Madrid, Dykinson, 2005. 263 Caso Marks v Jaffa, Corte Suprema de Nueva York, 290, 1893. 264 Carrillo, Marc: El derecho a no ser molestado (información y vida privada), Navarra, Aranzadi, 2003,

pag. 51.

128

intimidad. A partir de aquí el origen de la privacy no va a estar en la propiedad privada,

sino en un presupuesto de libertades individuales, vinculando la privacy a la libertad

humana. Es decir, se inicia la progresión gradual hacia un proceso de autonomía de la

privacy. En el siglo XX, la privacy va a tener una nueva significación política y jurídica

que la va a confirmar como un derecho autónomo, privacy-personality, abandonado ya

definitivamente el concepto de privacy-property, lo que es confirmado por la

doctrina.265

Al jurista europeo puede resultarle chocante que en 1890 se reconociera de esta forma

un derecho sin antecedentes normativos y sin que sea causa de un conflicto social o sin

que medie un poderoso interés económico, sino que la configuración del nuevo derecho

estuviera tan sólo apoyada en principios generales, en pretensiones personales lógicas y

en la constatación por parte de un particular de una necesidad social.266

Por tanto, podría afirmarse que el Right to Privacy surgió a raíz de una “intromisión o

injerencia periodística en la privacy de un famoso personaje de la vida social y política

norteamericana del siglo pasado (sic) en unos ambientes históricos, sociales, culturales,

étnicos, políticos e incluso de concepción y estructuración tan disímiles en tiempo,

espacio y aún conceptuales de lo que hoy entendemos en líneas generales por privacy o

intimidad”.267

Partiendo de la aportación de Warren y Brandeis, se han articulado teorías en torno al

derecho a la intimidad. Por una parte, la teoría del mosaico, recogida por Madrid

265 Westin Allan F.: Privacy and Freedom, Nueva York, 1970, pags 1004 y ss. 266 Rebollo Delgado, Lucrecio: op.cit, pags 60 y ss. 267 López Díaz, Elvira: El derecho al honor y el derecho a la intimidad, Madrid, Dykinson, 1996, pag.

197 y ss.

129

Conesa268, cuestiona que cualquier vivencia aisladamente considerada tenga valor por sí

misma. Según este autor, sólo llega a alcanzar ese valor en combinación con otras que

funcionarían de modo a como lo hacen las piezas de un mosaico, dando así como fruto

una perspectiva de la vida privada de cada persona atendiendo a sus particulares

circunstancias. Es decir, para este autor, existen datos en principio intrascendentes por

lo que al derecho a la intimidad se refiere, pero que unidos a otros pueden configurar la

personalidad de un individuo “al igual que ocurre con las pequeñas piedras que forman

los mosaicos, que en sí no dicen nada pero que unidas pueden formar conjuntos plenos

de significado”269

Por otra parte, de la jurisprudencia del Tribunal Constitucional alemán, surge la teoría

de las tres esferas: una esfera íntima (Intimsphäre), que se referiría a lo más secreto del

individuo; la esfera privada (Privatsphäre), similar a la privacy anglosajona y similar a

nuestro derecho a la intimidad, conteniendo la vida privada y las relaciones familiares y

personales; y, por último, la esfera individual (Individualsphäre), que hace alusión a

aspectos ligados a la intimidad, pero incluidos dentro de ella, como el honor y la propia

imagen270. El alumbrador de la teoría de las tres esferas o Sphärentheorie fue

Hubmann271. La teoría tuvo una extensa acogida en Europa y EE.UU y, en este último

territorio, Alan Westin272 abanderó esta teoría de las tres esferas, en su caso, con cuatro

niveles que denomina: soledad, relaciones íntimas, anonimato y reserva.

268 Madrid Conesa F.: Derecho a la intimidad, informática y Estado de Derecho, Valencia, Universidad

de Valencia, 1984, pag. 45 y ss. 269 Ibídem. 270 Rebollo Delgado, Lucrecio y Serrano Pérez, Mª Mercedes: Introducción a la Protección de Datos, 2ª

ed., Madrid, Dykinson, 2008, pag.36. Asimismo ver Rebollo Delgado, Lucrecio: El derecho fundamental

a la intimidad, Madrid, Dykinson, 2005. 271 Vid. Hubmann: Das Personlichkeitsrecht, 2ª ed, Böhlau Verlag, Colonia, 1967. 272 Alan Westin fue un profesor de Derecho Público y asuntos gubernamentales de la Universidad de

Columbia, conocido por ser una de las figuras clave del siglo XX en la investigación en materia de

privacidad y fallecido en 2013. Sus investigaciones en la Universidad de Columbia en la década de los 60

destacaron por ser los primeros trabajos significativos en materia de protección de datos y privacidad de

130

Para algunos autores, el principal problema de la teoría de las tres esferas es la

imposibilidad de configurar cada una de ellas como compartimentos estancos, sin

interrelación273. De este modo, Morales Prats pone de manifiesto que estas esferas se

comunican e interrelacionan y pueden pasar a formar parte unas de otras de modo que

constituyen una espiral, en la que por medio del consentimiento de su titular, los

componentes de la zona de secreto pueden pasar a formar parte de las zonas de

confianza, o bien de éstas a la esfera privada274.

Desantes y Soria son dos importantes autores que abanderan la teoría de las tres esferas

en nuestro país. Estos autores destacan que el Tribunal Constitucional español275cita la

esfera de la intimidad pero, rodeándola, está la vida privada, y todo lo que queda fuera

de ella, constituye la vida pública. Los citados autores, para deslindar la intimidad de la

vida privada, apuntan que “el primer rasgo de lo íntimo es su apego al núcleo de la

personalidad”276. Según Desantes, “la intimidad es lo que queda de la piel del hombre

hacia dentro, sentimientos, apetencias, inclinaciones, ideas, etc”277. En línea con esto,

son varios los autores, y asimismo el propio Tribunal Constitucional español, los que

respaldan las diferencias entre intimidad y vida privada278.

los consumidores. Sus dos obras más destacadas fueron en 1967 Privacy and Freedom (referencia clave

para la elaboración de esta tesis doctoral) y Databanks in a free society (1972). 273 Rebollo Delgado, L.: “Derechos de la personalidad y datos personales”, Revista de Derecho Político,

nº 44, Madrid, 1998, pag.161. 274 Morales Prats, F.: La tutela penal de la intimidad: privacy e informática, Barcelona, Destino, 1984,

pag.129. 275 Son numerosas las sentencias del Tribunal Constitucional con referencias a la esfera y el derecho a la

intimidad. Entre otras, ver las siguientes sentencias: STC 119/2001, de 24 de mayo; 186/2000, de 10 de

julio; STC 202/1999, de 8 de noviembre; 157/1994, de 28 de febrero; o 143/1993, de 22 de abril. 276 Desantes Guanter, José María y Soria, Carlos: Los límites de la Información, Madrid, Asociación de la

Prensa de Madrid, 1991, pág. 109. 277 Ibídem. 278 González Gaitano, N.: El deber de respeto a la Intimidad, Pamplona, Universidad de Navarra, 1990,

pag. 128 y ss.

131

Parejo Alfonso279 se hace eco del paso sucesivo de una privacy-property a una privacy-

personality y una privacy-dignity; lo que traerá como consecuencia que “la intimidad

deja de ser encuadrable en el esquema Derecho privado-Derecho público”280. La

vinculación entre libertad y propiedad irá pasando progresivamente a un segundo

plano281, al compás de la incidencia social de la crítica marxista al capitalismo. Como

ejemplo, estaría la propuesta de desfundamentalizar el derecho de propiedad, que según

algún intérprete282 habría encontrado acogida en nuestra Constitución. La libertad se

empareja de modo decidido con la autonomía personal, cuyo respeto había convertido

Kant en pieza decisiva de la ética de la Ilustración. “A ella y a la dignidad humana que

le sirve de fundamento, más que a una privacidad de resonancia patrimonial, se vincula

ahora la protección a la intimidad”283.

Dilucidar el significado de la palabra intimidad no es tarea fácil y, prueba de ello, son

los innumerables intentos por definir la palabra por parte de los estudiosos. Sin

embargo, todas las definiciones que se han dado del término tienen una coincidencia:

encierran un significado de esfera propia e individual donde los demás no tienen cabida.

La noción de intimidad tiene un grado de indeterminación y equivocidad que hace

difícil precisar un contenido, significado y alcance jurídico. Así, Vitalis lo considera un

279 Parejo Alfonso, Luciano José.: “El derecho fundamental a la intimidad y sus restricciones”,

Cuadernos de Derecho Judicial, nº 22, Consejo General del Poder Judicial, 1996, pags. 11 y ss. 280 Ibídem. 281 De Páramo Argüelles, Juan Ramón en Betegón Jerónimo; Laporta, Francisco; De Páramo Juan

Ramón, Prieto Sanchís, Luis., coords.- Constitución y Derechos Fundamentales, Madrid, Centro Estudios

Políticos y Constitucionales, 2004, págs. 202 y 207. 282 Peces-Barba, Gregorio: Derecho positivo de los Derechos Humanos, Madrid, Debate, 1987, pag. 42. 283 Ollero Tassara, Andrés: “De la protección de la intimidad al poder de control sobre los datos

personales: exigencias jurídico-naturales e historicidad en la jurisprudencia constitucional” en Discurso

de recepción del académico de número Andrés Ollero Tassara, Madrid, 2008, pág. 53.

132

“concepto indescifrable”284. Por su parte, Hixson, estima que precisamente se debe a la

asiduidad y amplitud de su empleo el que sea complicado precisar su contenido285.

“El concepto de intimidad, en cierto modo, tiene un sentido negativo de exclusión, de

delimitación del propio terreno. Por tanto, se desprende que hay un cierto matiz

individualista, de protección de la personalidad en cuanto tal”286. No es de extrañar por

ello que el derecho a la intimidad tal y como lo conocemos en la cultura occidental

actual haya nacido en el mundo anglosajón, donde en comparación con los países

romanos o latinos, ha habido una mayor garantía o protección hacia los derechos

individuales frente al Estado, la Autoridad o la comunidad287.

La intimidad, para muchos autores, está ligada a conceptos como autonomía personal,

dignidad humana y desarrollo individual. En definitiva, la intimidad está ligada a la

dignidad de la persona, derecho reconocido en el artículo 10.1 de la Constitución

Española. “La intimidad es el ámbito personal donde cada uno, preservado del mundo

exterior, encuentra las posibilidades de desarrollo y fomento de la personalidad. Es un

ámbito personal, reservado a la curiosidad pública, absolutamente necesario para el

desarrollo humano y donde enraíza su personalidad”.288 No cabe duda de que, desde

cualquier perspectiva de análisis, tanto jurídica, sociológica, como cualquier otra, la

intimidad es considerada una faceta del individuo necesaria para un desarrollo

satisfactorio de la personalidad, con un mínimo de calidad de vida. Asimismo, el

Tribunal Constitucional español, en relación con el derecho a la intimidad, ha

284 Vitalis André, Informatique, pouvoir et libertés, Paris, Económica, 1981, pag.151. 285 Vid. Hixson, R.E, Privacy in a Public Society, Oxford University Press, New York & London, 1987. 286De la Válgoma, María: “Comentario a la LO de protección civil del honor, intimidad y propia imagen”

en Anuarios de Derechos Humanos nº 2, 1983, pag.657. 287 Ibídem. 288Bajo Fernández M. en López Díaz E., op.cit. p. 190 y ss.

133

establecido que se encuentra estrechamente vinculado al derecho a la propia

personalidad y a la dignidad de la persona289 reconocida en el artículo 10.1 de la

Constitución Española290.

Por otra parte, “la tesis de la intimidad como aislamiento y ensimismamiento no es

necesariamente incompatible con sus proyecciones sociales. La dimensión interna y

ensimismada de la intimidad, precisa extrovertirse”291, es decir, tener en cuenta que la

intimidad se ejerce y se desarrolla en el marco de las relaciones sociales. De este modo,

concluye Ortega que “el ser más íntimo de cada hombre está ya informado, modelado

por una determinada sociedad”292, teniendo en cuenta que el concepto de intimidad es

una categoría cultural, histórica y dinámica.

Al analizar el concepto y definición de intimidad desde la perspectiva de su vínculo y

estrecha conexión con el derecho al olvido digital, resulta fundamental detenerse y

hacer hincapié en la intimidad como derecho al autocontrol de la información o a la

autodeterminación informativa. A este respecto, la doctrina se ha ocupado de observar

la privacidad desde el punto de vista del derecho o facultad de control sobre la

información personal. Ya en EE.UU, a partir de la década de los sesenta del pasado

siglo, comenzaron a surgir las tesis que abogaban por el control como una de las

principales características definitorias de la privacy. La privacidad, en cierto modo,

implica el control sobre la información existente sobre nosotros mismos y hacer uso de

289Ver, entre otras, STC 37/89, de 15 de febrero, FJ 7º; STC 231/88, de 2 de diciembre FJ 3º; STC 214/91,

de 11 de noviembre, FJ 1º; STC 115/2000, de 5 de mayo, FJ8; STC 159/2009, de 29 de junio, FJ13; STC

241/2012, de 17 de diciembre, FJ3. 290 El artículo 10.1 de la CE1978 señala: “La dignidad de la persona, los derechos inviolables que le son

inherentes, el libre desarrollo de la personalidad y el respeto a la ley y a los derechos de los demás son

fundamento del orden político y la paz social”. 291 Jiménez de Parga, Manuel en Ollero, Andres, op.cit, pag. 186 y ss. 292 Ortega y Gasset, J.: El hombre y la gente (Volumen VII de las Obras Completas), Madrid, Alianza

Editorial-Revista de Occidente, 1983, p.83.

134

la misma como nosotros queramos, decidiendo qué datos difundir y a quién. “El atributo

básico de un efectivo derecho a la privacidad es la capacidad del individuo para

controlar la circulación de información relativa a él”293.

La doctrina ha trasladado el centro de gravedad o la delimitación del concepto de

intimidad desde la facultad al aislamiento, al poder de control sobre los datos e

informaciones que son relevantes para cada sujeto294. “El derecho a la intimidad trata

siempre de defender facultades de autodeterminación del sujeto, pero no de un sujeto

aislado, irreal y abstracto, producto de una antropología individualista, sino del

ciudadano concreto que ejerce su intimidad en el seno de sus relaciones con los demás

ciudadanos y con el poder público”.

A este respecto, el Tribunal Constitucional español295 hace referencia al denominado

derecho a la autodeterminación informativa, afirmando que “los distintos apartados del

artículo 18 de la Constitución tienen como finalidad principal el respeto a un ámbito de

la vida privada, personal y familiar, que debe quedar excluido del conocimiento ajeno y

de las intromisiones de la tecnología, salvo autorización del interesado”. La sentencia

citada continúa afirmando que “lo que ha ocurrido es que el avance de la tecnología y el

desarrollo de los medios de comunicación de masas, han obligado a extender esa

protección más allá del aseguramiento del domicilio como espacio físico en el que

normalmente se desenvuelve la intimidad, y la correspondencia, que es o puede ser

medio de conocimiento de aspectos de la vida privada”296.

293Medina Guerrero, Manuel: La protección constitucional de la intimidad frente a los medios de

comunicación, Madrid, Tirant lo Blanch, 2005, págs. 33 y ss. 294 Jiménez de Parga en Ollero, Andrés: op.cit, pag.186 y ss. 295 Ver la STC 110/1984, de 26 de noviembre, FJ 3º. 296 Ibídem

135

La privacidad como concepto ligado a la intimidad y a la dignidad de la persona podría

decirse que pertenece a la clase o categoría de derechos ligados a la personalidad o a la

propia esencia del ser humano. Sin nuestra privacidad, perdemos nuestra integridad

como personas297. Al mismo tiempo, los juristas expertos en materia de protección de la

privacidad en EEUU se ven forzados a admitir que el concepto de privacidad es

“embarazosamente difícil de definir”.298 No obstante, pese a las dificultades para acotar

el término y ofrecer una definición, algún autor define el derecho a la privacidad como

“una libertad o poder, legalmente reconocido de un individuo (grupo, asociación, .etc..)

para determinar el alcance con el que otro individuo (grupo, clase, gobierno,…etc) a)

puede obtener o hacer uso de sus ideas, escritos, nombre, gustos u otros rasgos de

identidad, b) obtener o revelar información sobre él o sobre personas sobre las que se es

responsable, o c) invasión física o de otros modos más sutiles en su espacio de vida o

entorno de actividades”299. Si bien es cierto que hay algunos autores más escépticos que

otros, algunos consideran que la privacidad, pese a ser importante y fundamental es un

concepto resbaladizo, en el sentido de que aquello que debe permanecer como privado,

aquello que debe esconderse a los ojos de los otros, parece que difiere mucho de una

sociedad a otra300. No sólo difiere de un país a otro o comparando localizaciones

geográficas distintas sino también difiere en un mismo país o en una misma localización

a lo largo del tiempo. Prueba de ello, y por poner algunos ejemplos, en algunas culturas,

en un momento dado en el tiempo, era habitual, normal y socialmente aceptado defecar

en público en compañía de los demás o mantener relaciones sexuales a la vista de otros.

A título de ejemplo, en Éfeso (actual Turquía) hace dos mil años, los ciudadanos

297Vid. Charles Fried: “Privacy”, Yale Law Journal, vol 77, 475-93, 1968. 298 Beany, William M.: “The right to Privacy and American Law”, Law & Contemporary Problems, vol.

31, 1966, pags. 253 y ss. Disponible en http://scholarship.law.duke.edu/lcp/vol31/iss2/2. 299 Ibídem. 300 Westin, Allan: “The origins of modern claims to Privacy”, en Shoeman, Ferdinand D: Philosophical

Dimensions of Privacy: An Anthology, Cambridge University Press, 1984, pags. 56 y ss.

136

disponían de baños públicos para defecar y eso es algo que el turista de hoy puede

observar visitando las ruinas de esta ciudad. Es decir, la privacidad es subjetiva y

culturalmente dependiente.

Retomando el repaso doctrinal sobre las diferentes definiciones en torno a la intimidad y

privacidad, algún autor considera que “la intimidad abarcaría el ámbito de lo más

próximo a la personalidad individual, de sus manifestaciones espirituales más

inmediatas y de sus sentimientos y afectos compartidos”301, y si tenemos esto en cuenta,

la persona jurídica carecería de intimidad.302 Por su parte, y en relación con las personas

jurídicas, ámbito sobre el que existe un debate abierto y que no se tratará en profundidad

en este tesis, algún jurista estima que, “a la vista del reconocimiento explícito del

derecho al honor de las personas jurídicas, en relación con la inviolabilidad del

domicilio y de la noción subjetiva de información protegida por el derecho a la

intimidad, puede considerarse que las personas jurídicas son titulares de este derecho en

la medida en que ostentan un interés legítimo en la reserva de ciertos datos que les

conciernen”303, aunque el ámbito de protección que les corresponda sea menor al no

poder hacer referencia a la intimidad en su sentido originario o estricto, esto es, referido

a la vida personal y familiar, sólo predicable de las personas físicas.

En España se protege la intimidad, en el sentido de que se otorga un poder de control a

los individuos sobre las informaciones que les afectan. La intimidad no es simplemente

la ausencia de información sobre cada uno en la mente de los demás, sino también el

control que podemos ejercer sobre nuestra propia información personal, lo que se

301 Aznar Gómez Hugo: Sobre la Intimidad, Valencia, Ed. Fundación Universitaria San Pablo CEU, 1996,

pag. 57. 302Ibídem. 303Mieres Mieres, Luis Javier: op.cit, p.43.

137

denomina autodeterminación informativa, estrechamente relacionado con el concepto de

autonomía de la voluntad, decidiendo qué parcela de información queremos compartir

con los demás, así como con quién queremos compartirla. Una de las tesis del discurso

de ingreso en la Real Academia de Ciencias Morales y Políticas del jurista Andrés

Ollero (2008) es que en las sociedades actuales, especialmente en las más avanzadas, se

ha producido una metamorfosis en el derecho a la intimidad. Según destaca Jiménez de

Parga en su discurso de contestación en el citado acto académico, “tal derecho fue

concebido inicialmente como una garantía de soledad y aislamiento, y hoy consiste,

prioritariamente, en el control que cada ciudadano puede ejercer sobre sus datos

personales”304. Así, y en esta misma línea, Jiménez de Parga hace referencia a Pérez

Luño en su discurso de incorporación a la citada Real Academia, leído en 1995, cuyo

título fue Perfiles morales y políticos del Derecho a la intimidad, donde ya hacía

referencia a los nuevos rumbos caracterizadores del Derecho a la intimidad en nuestro

tiempo.

Tras un repaso doctrinal del concepto del derecho a la intimidad, se observa que hay

matices y ligeras diferencias que separan el concepto de intimidad del concepto de

privacidad, siendo el primero un reducto, una parcela reducida o el núcleo o la esencia

de la segunda. “La idea de privacidad implica la posibilidad irrestricta de realizar

acciones privadas, o sea acciones que no dañan a terceros y que, por lo tanto, no son

objeto de calificación por parte de una moral pública como la que el derecho debe

imponer; ellas son acciones que, en todo caso, infringen una moral personal o privada

que evalúa la calidad de carácter o de la vida del agente y, son, por tanto, acciones

privadas por más que se realicen a la luz del día y con amplio conocimiento público. Sin

304 Ver la contestación de Jiménez de Parga al discurso de recepción del académico de número Andrés

Ollero Tassara, en la Real Academia de Ciencias Morales y Políticas (Madrid), 2008.

138

embargo, la intimidad es la esfera de la persona que está exenta del conocimiento

generalizado por parte de los demás”.305 En España, si bien tanto el propio Tribunal

Constitucional como el Tribunal Supremo español apuntan a la diferencia entre vida

privada e intimidad, el Constitucional es más difuso y ambiguo en esta diferenciación

frente al Tribunal Supremo306.

Lo privado no sería sinónimo de individual, sino que lo privado puede observarse desde

dos perspectivas: desde el lado de lo público y desde el lado del individuo.307Desde el

primer punto de vista, lo privado aparece como la esfera de la interioridad y de la

autonomía individual; visto desde el lado del individuo, designa aquello que en el

individuo está volcado hacia el exterior, hacia los otros.

La privacy puede manifestarse en cuatro situaciones básicas: soledad, intimidad

(intimacy), anonimato y reserva308, según apunta Westin, en uno de los textos claves en

materia de privacidad. La soledad y el aislamiento serían dimensiones que se refieren

básicamente al control de la interacción por parte de la persona. La soledad

correspondería a una situación donde hay una falta de contacto con el resto de personas,

pudiendo incluso estar físicamente rodeado de gente pero carecer de interactuación y,

por tanto, estar en soledad. El aislamiento implicaría el distanciamiento con las

personas. Por otra parte, el anonimato y la reserva guardan estrecha relación con la

capacidad para controlar selectivamente la información en situación de interacción. El

anonimato iría referido al estado de una persona a la que no se puede identificar y que

305Nino, Carlos S: Fundamentos de Derecho Constitucional. Análisis filosófico, jurídico y politológico de

la práctica constitucional, Buenos Aires, Ed. Astrea, 1992, pag. 327. 306 Abad Alcalá, Leopoldo: “La lucha por la intimidad en Internet” en La libertad de información:

gobierno y arquitectura de Internet (dir: Corredoira Alfonso, Loreto), Universidad Complutense de

Madrid, 2001, pags 198-205. 307 Vid. Freund, Julian: L’essence du Politique, Paris, Ed. Sirey, 1981 (1ª edición, 1965). 308Westin, Alan F: Privacy and Freedom, Nueva York, Atheneum, 1970, pag. 215.

139

está involucrada en una situación social en la que se desconoce la verdadera filiación del

individuo. En cuanto al concepto de reserva, iría referido al control de una parte de la

información personal de una persona durante una interacción social.

La segunda de estas situaciones, la intimidad, la define Westin en relación con el hecho

de que el individuo actúa como parte de una pequeña unidad que reclama, y está

preparada para ejercer, una segregación corporativa que permite alcanzar una relación

franca, relajada y cerrada entre dos o más individuos, tratándose de una relación de tinte

social.

Westin, además de aludir a las cuatro situaciones básicas en torno a la intimidad, ofrece

la siguiente definición de la misma: “el derecho de los individuos, grupos o

instituciones, a determinar por sí mismos cuándo, cómo y hasta qué punto se puede

comunicar a terceras personas información referida a ellos”309.

Alguna autora ha dicho de la intimidad que se trata de un “concepto superlativo más

intenso que la privacidad, pudiendo ser considerado como una noción psicológica”310.

Podría distinguirse, según esta autora, entre intimidad en sentido estricto y privacidad

en sentido más amplio, como ámbitos diferentes pero consecuentes: lo íntimo sería un

concepto estricto de dimensiones propiamente individuales; y lo privado sería un ámbito

que, abarcando lo íntimo, lo supera. En línea con lo anterior algunos autores han

reivindicado la distinción entre lo íntimo y lo privado no sólo en el plano

309 Ibídem. 310Béjar Merino, Helena: “La génesis de la privacidad en el pensamiento liberal”, Sistema, revista de

ciencias sociales, nº 76, 1987, pag. 59 y ss.

140

antropológico311 sino en el jurídico312. A este respecto, Norberto González Gaitano, en

lo que respecta a la localización de la palabra intimidad, señala que “así como la vida

pública y la vida privada son términos relativos uno de otro, intimidad es un término

absoluto. La vida privada se define por relación a la vida pública y viceversa. Esa

relación es variable en cada cultura y según los momentos históricos la intimidad está al

margen de la dialéctica público-privado, pero a la vez está en la raíz de la posibilidad de

las dos esferas y de su mutua dependencia. Sólo desde la intimidad puede haber vida

privada y vida pública y sólo desde el reconocimiento y protección de su valor absoluto

pueden definirse los ámbitos de las otras dos esferas”313.

También el propio Tribunal Supremo español ha establecido la distinción entre

intimidad y vida privada, destacando que “la esfera privada […] incluye aquel sector de

circunstancias que, sin ser secretas ni de carácter íntimo, merecen sin embargo el

respeto de todos, por ser necesarias para garantizar el normal desenvolvimiento, y la

tranquilidad de los titulares particulares […]”314. Por tanto, se puede deducir que el Alto

Tribunal da un distinto tratamiento a la intimidad y a la vida privada. En la misma línea,

algunos autores315 justifican estas diferencias de forma amplia.

Un sector autorizado de la doctrina considera que podría hablarse de intimidad en

sentido amplio, abarcando también lo privado316.El Tribunal Constitucional ha acogido

también esta postura y afirma que “el derecho constitucional a la intimidad excluye las

311González Gaitano, Norberto: El deber de respeto a la intimidad; información pública y relación social,

Pamplona, Eunsa, 1990, pág. 38 y ss. 312Soria, Carlos: “La información de lo público, lo privado y lo íntimo”, Revista Cuenta y Razón, nº 44 y

45, 1989, pag. 25 y ss. 313 González Gaitano, Norberto: op.cit, pag.76. 314 Ver la sentencia del Tribunal Supremo, de 20 de febrero de 1989 (RJ 1989/1213). 315 Cabezuelo Arenas, Ana: Derecho a la Intimidad, Valencia, Tirant lo Blanch, 1998, pags 18 y ss. 316 Vid. Westin Allan, F: op.cit.

141

intromisiones de los demás en la esfera de la vida privada personal y familiar de los

ciudadanos”317.

En cuanto a la naturaleza jurídica del derecho a la intimidad, algún autor estima que se

trata de “un derecho subjetivo puesto que le corresponden facultades que se ejercen

sobre un objeto interior a la persona y con pretensión de respeto hacia todos los

demás”318. Como características de este derecho, Eduardo Cifuentes señala: “innato, al

configurarse con el comienzo mismo de la persona; necesario, porque no puede faltar

salvo que se desnaturalizara a la persona; vitalicio, por su trayectoria ad vitem; esencial,

al no depender de una adquisición posterior y exterior; inherente, en razón de su

intransmisibilidad; extrapatrimonial, por la imposibilidad de valorarlo en dinero;

relativamente indisponible, puesto que solamente resulta posible consentir temporaria y

parcialmente la disposición; absoluto, por ser oponible erga omnes; privado, en virtud

de que se trata especialmente el problema de la interferencia entre particulares; y

autónomo, en orden a que todas las connotaciones enunciadas lo muestran como un

derecho singular, no identificable más que con los personalísimos, también llamados

derechos de la personalidad, los cuales participan de igual naturaleza jurídica y

caracteres”319.

En la doctrina española y, en lo que respecta al alcance del artículo 18 CE, Martínez

Sospedra destaca que “el objeto de protección del derecho no se corresponde

estrictamente con la vida privada en su integridad, ya que ésta es más amplia que la

propia intimidad, al comprender actividades profesionales, laborales y comerciales.

317Auto del Tribunal Constitucional 221/1990 (FJ 3º). 318Cifuentes, Eduardo: La eficacia de los derechos fundamentales frente a particulares, Madrid, Instituto

de Investigaciones Jurídicas de la UNAM, 1998, pag. 18 y ss. 319 Ibídem.

142

Existe un núcleo duro vital a defender, irreductible, formado por la vida interior y las

manifestaciones más inmediatas y directas de la misma. El derecho a la intimidad

vendría definido principalmente por la facultad de autodisposición del individuo sobre

sí mismo, y por tanto, sobre los asuntos que integran el citado ámbito vital. El

fundamento de esta libertad es la propia dignidad de la persona”320.

Frosini321 y Álvarez-Cienfuegos322 apuntan que la libertad informática es una nueva

fórmula que sustituye al antiguo Right to Privacy en cuanto que no tiene solamente un

significado positivo. Ello consiste no solo en la afirmación de una esfera de privacidad,

sino también en la facultad de acceso, control, rectificación y cancelación de los datos

personales insertos en un banco de datos.

Ruiz-Jiménez destaca que el mundo interior se presenta como “una de las expresiones

diferenciadoras del ser humano”323. Por su parte, Miguel Urabayen reconoce la

necesidad de determinar previamente el contenido del derecho a la intimidad324.

Propone el autor un concepto de intimidad que acoge dos dimensiones diferentes: una

restrictiva, limitada a las manifestaciones más interiores de la persona y otra más amplia

que lo identifica con los aspectos privados o reservados de la persona.

320 Martínez Sospedra, Manuel en Aznar Gómez, Hugo y Vallés Copeiro del Villar, Antonio: op.cit.,

p.129 y ss. 321 Frosini, Vittorio: “La tutela de la privacidad: de la libertad informática al bien jurídico informático”,

Revista del Colegio de Abogados de Buenos Aires, núm. 2, 1989, pag.96. 322Álvarez –Cienfuegos, José María: La defensa de la intimidad de los ciudadanos y la tecnología

informática, Pamplona, Aranzadi, 1999, pag.21. 323 Ruiz-Jimenez, Joaquín: “El derecho a la intimidad”, Cuadernos para el dialogo, núm. 66, 1969, pag.9. 324 Vid. Urabayen, Miguel: Vida privada e información: un conflicto permanente, Pamplona, Eunsa,

1977.

143

Fariñas Mantoni subraya que el derecho a la intimidad “es único en cuanto a su

concepción, pero múltiple y relativo en sus manifestaciones”325. Por su parte, Castán se

refiere expresamente a “los derechos de la esfera secreta de la propia persona”326 y con

esta expresión se alude a determinadas manifestaciones de la intimidad, como el secreto

de la correspondencia o el derecho a la imagen.

Un amplio sector de la doctrina respalda que los avances tecnológicos pueden suponer

una amenaza al derecho a la intimidad, considerando que, en cierto modo, estos avances

tecnológicos multiplican las posibilidades de atentar contra la intimidad o la vida

privada de los sujetos327.

5. 2. Derecho a la protección de datos de carácter personal: la

autodeterminación informativa

Además de estar ligado al derecho a la intimidad, el derecho al olvido está vinculado

también al derecho a la protección de datos. La eventual identificación del derecho a la

protección de datos con el derecho a la intimidad parte de enfoques distintos entre los

autores, que han establecido una cierta similitud entre ambos derechos, aunque con

matices de diferenciación. Etxeberría Guridi apunta que la generalidad de la doctrina

predica la indiscutible naturaleza de derecho fundamental del derecho a la protección de

325 Fariñas Mantoni, Luis María: El derecho a la intimidad, Madrid, Trivium, 1983, p.327. 326 Castán Tobeñas, José: “Los derechos de la personalidad”, R.G.L.J., núm 1-2, 1952, pag. 54 y ss. 327 Una amplia muestra de la jurisprudencia constitucional en esta materia la encontramos en Herrero

Tejedor, Fernando: Legislación y jurisprudencia constitucional sobre la vida privada y la libertad de

expresión, Madrid, Colex, 1998.

144

datos personales328. No obstante, y en lo que respecta a la jurisprudencia del Tribunal

Constitucional español, se observa un importante cambio con las sentencias 290/2000 y

292/2000, de 30 de noviembre, ya que hasta las mismas, la jurisprudencia constitucional

venía amparando el derecho a la protección de datos pero como una manifestación del

derecho a la intimidad y no como un derecho autónomo e independiente.

Algunos autores se han decantado por distintas fórmulas para aludir al derecho a la

protección de datos, utilizando denominaciones como intimidad informática, dimensión

positiva de la intimidad o faceta informática de la intimidad. Así, Carlos Ruiz Miguel

utiliza la expresión “intimidad informática”329 para referirse a este contenido particular

del derecho a la intimidad. Para otros autores como Morales Prats la protección de datos

hace referencia a “aspectos en los que se viene a reconocer el carácter institucional de

garantía, presupuesto del ejercicio de otros derechos constitucionales”330. Sánchez

Bravo advierte que la formulación del nuevo derecho a la protección de datos no está

exenta de cierta polémica, dadas las discrepancias que surgen a la hora de “determinar

su carácter autónomo o su dependencia respecto de valores o de derechos formulados

con anterioridad”331, como el derecho a la intimidad. A este respecto, Sánchez Bravo es

muy claro a la hora de abordar la naturaleza del derecho a la protección de datos, al

destacar que “la intimidad o el libre desarrollo de la personalidad no constituye el objeto

a proteger sino que son el punto de partida que nos introduce en una nueva

dimensión”332.

328 Etxeberría Guridi, José Francisco: La protección de los datos de carácter personal en el ámbito de la

investigación penal, Premio Protección de Datos Personales, AEPD, 1998, pag.42-44. 329 Ruiz Miguel, Carlos: op.cit, pag. 94 y ss. 330 Morales Prats, F: “Protección de la intimidad: delitos e infracciones administrativas” en Cuadernos de

Derecho Judicial, CGPJ, nº 13, 1997, pag. 43-44. 331 Sánchez Bravo, A.: La protección del derecho a la libertad informática en la UE, Universidad de

Sevilla, Secretariado de Publicaciones, 1998, pag. 58 y ss. 332 Ibídem.

145

Por tanto, en España, ha habido cierto debate en torno a la autonomía de la protección

de datos, como un precepto contemplado en el artículo 18 CE 1978. A este respecto,

autores como Marroig Pol y Corripio Gil-Delgado apuntan que “la polémica en la

doctrina española en este campo se centró en determinar si los distintos apartados del

artículo 18 de la Constitución española, o si incluso el propio apartado primero de este

precepto constitucional, deben ser considerados como manifestaciones concretas de un

derecho más amplio que sería el derecho a la intimidad, o si por el contrario, se trata de

derechos dotados de una cierta autonomía respecto del derecho a lo íntimo”333.

Tanto la tesis de la libertad informática, por la que apuesta Pérez Luño334, como la tesis

de la autodeterminación informativa, abanderada por Murillo de la Cueva335, toman la

intimidad como derecho de punto de partida, a partir del cual debe construirse la versión

sobre el fundamento y naturaleza de la protección de datos.

Villaverde Menéndez entiende la protección de datos personales como una vertiente

más del derecho a la intimidad, al subrayar que “no puede confundirse la abstracción

propia de las normas que garantizan derechos fundamentales con una supuesta apertura

de su programa normativo a cualquier contenido jurídico que le venga incorporado por

la concreta dogmática de los derechos fundamentales que el intérprete elija para su

concreción o por la remisión que prescriben normas internacionales o incluso, normas

333 Marroig Pol, L. y Corripio Gil-Delgado, Mª de los Reyes: “El ordenamiento español y la protección de

datos personales en el sector de las telecomunicaciones”, Boletín de información, num. 1930, Ministerio

de Justicia, 1 de diciembre de 2002, pag.8. 334 Pérez Luño, A.E.: Derechos Humanos, Estado de Derecho y Constitución, Madrid, Tecnos, 2005,

pag.318. 335 Murillo de la Cueva, P.: El derecho a la autodeterminación informativa, Madrid, Tecnos, 1990,

pag.45.

146

nacionales infraconstitucionales”336. Según este autor, “una cosa es concretar el

contenido del derecho fundamental y otra cosa es crear nuevos derechos fundamentales

sin tener en cuenta lo prescrito por la propia Constitución […]. El derecho a la

intimidad no se convierte en un derecho frente al cual el legislador pueda ir adhiriendo

nuevos contenidos afectados por la rigidez constitucional”337. Sin embargo, otros, han

superado la tesis reduccionista que considera la protección de datos como una

manifestación de la intimidad, para asumir posturas más acordes con las tesis que

apuntan hacia un objeto más amplio. Dos buenos ejemplos de autores que

evolucionaron hacia una mayor autonomía de la protección de datos con respecto a la

intimidad y, por tanto, su consideración, como nuevo derecho fundamental, son Madrid

Conesa338 y Ortí Vallejo339. Este último autor, destaca que aunque desde un punto de

vista jurídico no hay razones que justifiquen la necesidad de considerar un nuevo

derecho en el ámbito de la protección de datos, no obstante, contempla tal necesidad, al

ser consciente de que “la informática constituye un nuevo poder de dominio social sobre

el individuo”340.

Como anteriormente se ha destacado, lo privado supera a lo íntimo, en el sentido de que

todo lo íntimo es privado pero no todo lo privado es íntimo. Es decir, lo íntimo es

considerado el reducto más protegido de lo privado, la esencia o el núcleo duro de lo

privado. Y los datos personales pertenecen a la esfera de lo privado y, aunque podrían

pertenecer a su vez, en determinados casos, a la esencia de la intimidad, en otras

ocasiones no es así. Es precisamente la posibilidad de un tratamiento masivo de datos,

336 Villaverde Menéndez, Ignacio: “Protección de datos personales, derecho a ser informado y

autodeterminación informativa del individuo. A propósito de la sentencia 254/1993”, Revista Española de

Derecho Constitucional, nº 41, Madrid, 1994, pags. 194 y ss. 337 Ibídem. 338 Madrid Conesa, Fulgencio: op.cit, 1984, pag.36. 339 Ortí Vallejo, Antonio: “Cinco años de la LORTAD”, Madrid, La Ley, 1997, num 4438, pag.2. 340 Ibídem.

147

con independencia de que estos pertenezcan o no a la esfera de la intimidad, y la

consiguiente posibilidad de la elaboración de los llamados perfiles de personalidad

(profiling en su denominación en inglés), lo que en definitiva puede implicar no sólo la

vulneración de la intimidad, sino también la anulación de la propia identidad, en

definitiva, de nuestra dignidad como personas341.

Se puede observar cómo la privacidad se utiliza con distintos significados. Por una parte

como sinónimo y traducción de la privacy anglosajona; como sinónimo de vida privada;

como aquel ámbito que va más allá de la intimidad según la propia Exposición de

Motivos de la derogada LORTAD; o incluso como sinónimo de la intimidad. Desde un

punto de vista etimológico el término privacidad proviene del latin privatus (privado,

particular, propio, individual, personal). No obstante, es utilizado por lo general en

referencia a la traducción inglesa del término privacy, en su acepción de vida privada. Y

precisamente es desde esta perspectiva como el término ha sido incorporado al

diccionario de la Real Academia de la Lengua Española342. A este respecto Herrero-

Tejedor343 apunta que el término privacidad es utilizado frecuentemente por la doctrina

como equivalente castellano de privacy, comprendiendo la total protección de la vida

privada, añadiendo que la privacidad puede utilizarse como término comprensivo del

substrato común de los derechos garantizados por el artículo 18.1 CE 1978. Por su

parte, también en más de una ocasión el Tribunal Constitucional344 ha empleado el

término privacidad en referencia al ámbito de la vida privada. A este respecto ha

destacado que “la intimidad es la columna sustentadora de la libertad, […], ámbitos en

341 Murillo de la Cueva, P.L.: op.cit., pags 177-118. 342 El diccionario de la Real Academia Española define la privacidad como el “ámbito de la vida privada

que se tiene derecho a proteger frente a cualquier intromisión”. 343 Herrero-Tejedor: op.cit, pags.72. 344 Ver las sentencias del Tribunal Constitucional STC 89/1987, fundamento jurídico 2º; STC 142/93,

fundamento jurídico 7º.

148

los que la libertad vital del individuo implica una exigencia de privacidad”345. Está fuera

de dudas la diferencia que el Tribunal Constitucional estableció en la STC 292/2000

entre los derechos fundamentales clásicos del artículo 18.1 CE 1978 y el derecho a la

protección de datos del 18.4 CE 1978346. Para el Alto Tribunal, “el Constituyente quiso

garantizar mediante el actual artículo 18.4 CE no sólo un ámbito de protección

específico sino también más idóneo que el que podrían ofrecer por sí mismos los

derechos fundamentales del honor, intimidad y propia imagen (art. 18.1 CE 1978)”347.

La privacidad y la protección de datos nos lleva a hablar de la autodeterminación

informativa o la facultad de control de los individuos, a la que ya se ha aludido

anteriormente en esta tesis. La doctrina348 sitúa el nacimiento o punto de partida de la

autodeterminación informativa, o al menos la constitucionalización de la misma, en la

República Federal Alemana, con la sentencia sobre la Ley del Censo de Población349.

Según el tribunal alemán, el individuo, en lo que respecta al tratamiento de datos

personales, debe tener una facultad o libertad de decisión que suponga la “posibilidad de

acceder a sus datos personales, que pueda no sólo tener conocimiento de que otros

procesan informaciones relativas a su persona, sino también someter el uso de éstas a un

control, ya que, de lo contrario, se limitará su libertad de decidir por

autodeterminación”350.

345 Ibídem. 346 Ver la STC 29/2013, de 11 de febrero. FJ 6. 347 Ibídem. 348 A este respecto cabe destacar a Martínez Martínez, Ricard: “El derecho fundamental a la protección de

datos: perspectivas” en Revista de Internet, Derecho y Política, nº 5, Universidad Oberta de Catalunya,

agosto 2007, pag. 1. 349 El tribunal constitucional Alemán, en sentencia de 15 de diciembre de 1983, anuló tres preceptos de la

Ley del Censo de Población de ese año, entre ellos los relativos al cotejo de los datos personales del censo

estatal con los de los padrones. Ver el Boletín de Jurisprudencia Constitucional, nº 33, enero, 1984. 350 Ibídem.

149

No cabe duda de que, en lo que respecta a la doctrina española sobre la

autodeterminación informativa, los máximos exponentes de su estudio y reflexión son

Pérez Luño y Murillo de la Cueva, a quienes a lo largo de esta tesis se ha citado en

numerosas ocasiones. Por su parte, Pérez Luño, ha llegado a formular el denominado

habeas data, un derecho necesario en la era informática, como salvaguarda de la

libertad de la persona en la era digital, que se integraría en los denominados derechos de

tercera generación. Para este autor351, el concepto de habeas data se identifica con la

libertad informática y lo define como “un nuevo derecho de autotutela de la propia

identidad informática, o sea, el derecho de controlar (conocer, corregir, quitar o agregar)

los datos personales inscritos en un programa electrónico”352. En definitiva, el habeas

data queda recogido en la legislación española de protección de datos cuando se

reconocen los denominados derechos ARCO (de acceso, rectificación, cancelación y

oposición). La denominada libertad informática es, así, “el derecho a controlar el uso de

los datos insertos en un programa informático y comprende, entre otros aspectos, la

oposición del ciudadano a que determinados datos personales sean utilizados para fines

diferentes de aquel legítimo que justificó su obtención”353. “El derecho fundamental a la

protección de datos personales no trata de impedir el recurso a las nuevas tecnologías

sino de conciliarlo con el respecto a la dignidad de la persona”354.

Superada la jurisprudencia inicial del Tribunal Constitucional, anterior al año 2000, el

derecho a la protección de datos se considera un derecho autónomo e independiente del

derecho a la intimidad. No obstante, tiene muchas semejanzas con el mismo, en cuanto

que deriva de él y protege también la esfera personal y familiar. A igual que en el caso

351 Pérez Luño, A.E.: Manual de informática y Derecho, Barcelona, Ariel, 1996, pag.43. 352 Ibídem. 353Ver la STC 11/1998, de 13 de enero. FJ4º. 354 Troncoso Reigada, Antonio: “La Administración electrónica y la protección de datos personales”,

Revista Jurídica de Castilla y León, nº 16, septiembre 2008, pag. 60.

150

de conflictos del derecho a la intimidad con otros derechos fundamentales o intereses

dignos de protección, en el caso de los conflictos del derecho a la protección de datos de

carácter personal con otros derechos también es necesario recurrir a un ejercicio de

ponderación en búsqueda de respuestas equilibradas que tengan en consideración todos

los derechos e intereses jurídicos en presencia355. El derecho a la protección de datos

otorga un plus de garantías, en cuanto a que permite a los titulares de los datos estar en

poder de disposición y control sobre los mismos. “Ese poder de disposición se hace

efectivo mediante el reconocimiento expreso de los principios de la protección de datos

así como de los derechos de las personas”356.

Los principios de la protección de datos, en nuestra normativa, aparecen regulados en

los artículos 4 y siguientes de la LOPD, en donde se hace mención al principio de

calidad de los mismos, al principio de proporcionalidad, principio de consentimiento e

información al interesado y principio de finalidad. Los denominados derechos ARCO

(acceso, rectificación, cancelación y oposición) son asimismo otra manifestación del

plus de garantía del derecho a la protección de datos frente al derecho a la intimidad.

El artículo 4 de la LOPD define el contenido esencial del principio de calidad de los

datos, que ha de cumplir todo tratamiento, y también contempla los principios de

proporcionalidad y finalidad357.

355 Vid. Troncoso Reigada, Antonio: La protección de datos personales en busca del equilibrio, Valencia,

Tirant lo Blanch, 2010. 356 López García, M.: “Derecho a la información y derecho al olvido en Internet”, La Ley Unión Europea,

nº 17, Julio 2014, Año II, Editorial La Ley-Wolters Kluwer, pag.41 y ss. 357 El artículo 4 LOPD destaca: “1. Los datos de carácter personal sólo se podrán recoger para su

tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos

en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan

obtenido. 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades

incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará

incompatible el tratamiento posterior de estos con fines históricos, estadísticos o científicos. 3. Los datos

de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación

151

En lo que respecta a los derechos ARCO, éstos están regulados en los artículos 15 y

siguientes de la LOPD. En concreto, el derecho de rectificación y cancelación se regula

en el artículo 16, mientras en el artículo 17 se regula el procedimiento para el ejercicio

del derecho de oposición, acceso, rectificación o cancelación. Estos derechos son una de

las formas más importantes en las que se concreta el poder de disposición y control

sobre los propios datos358, y para su estudio, además de estos artículos de la LOPD, hay

que tener en consideración otras disposiciones normativas359.

Murillo de la Cueva ha definido la autodeterminación informativa como “el control que

a cada uno de nosotros nos corresponde sobre la información que nos concierne

personalmente, sea íntima o no, para preservar de este modo y en último extremo, la

real del afectado. 4. Si los datos de carácter personal registrados resultan ser inexactos, en todo o en

parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados

o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16. 5. Los datos de

carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la

finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que

permitan la identificación del interesado durante un período superior al necesario para los fines en base

a los cuáles hubieran sido recabados o registrados. Reglamentariamente, se determinará el

procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de

acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos. 6. Los

datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso,

salvo que sean legalmente cancelados. 7. Se prohíbe la recogida de datos por medios fraudulentos,

desleales o ilícitos”. 358 El artículo 16 LOPD señala: “1. El responsable del tratamiento tendrá la obligación de hacer efectivo

el derecho de rectificación o cancelación del interesado en el plazo de 10 días.

2. Serán rectificados o cancelados en su caso, los datos de carácter personal cuyo tratamiento no se

ajuste a lo dispuesto en la presente Ley, y en particular, cuando tales datos resulten inexactos o

incompletos.

3. La cancelación dará lugar al bloque de los datos, conservándose únicamente para la disposición de

las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades

nacidas del tratamiento, durante el plazo de prescripción de estas. Cumplido el citado plazo, deberá

procederse a la supresión.

4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del

tratamiento deberá notificar la rectificación o cancelación a quien se haya comunicado, en el caso de

que se mantenga el tratamiento por éste último, que deberá también proceder a la cancelación.

5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las

disposiciones aplicables, o en su caso, en las relaciones contractuales entre la persona o entidad

responsable del tratamiento y el interesado” 359 Ver la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación, así como los

artículos 10.2, 19 y 50 de la Ley 12/1989, de 9 de mayo, sobre la Función Pública Estadística. Ver

asimismo la Instrucción 6/2000, de 4 de diciembre, de la Agencia Estatal de la Administración Tributaria,

de ejercicio de los derechos de acceso, rectificación y cancelación en Ficheros Automatizados de la

Administración Tributaria (BOE, 4 de enero de 2001).

152

propia identidad, nuestra dignidad y libertad. En su formulación como derecho, implica

necesariamente poderes que permitan a su titular definir los aspectos de su vida que no

sean públicos, que desea que no se conozcan, así como facultades que le aseguren que

los datos que de su persona manejan terceros informáticamente son exactos, completos

y actuales, y que se han obtenido de modo leal y lícito”360.

Tanto el Tribunal Constitucional361, como la Directiva 95/46/CE, como la LOPD,

acotan el concepto de dato personal afirmando que “se trata de una información relativa

a una persona identificada o identificable, careciendo de relevancia su naturaleza

pública o privada”362. Por su parte, el Convenio 108 del Consejo de Europa para la

protección de las personas con respecto al tratamiento automatizado de datos de carácter

personal también define en la misma línea el concepto de dato de carácter personal363.

Asimismo, la Directiva 95/46CE, en línea con el Convenio 108, destaca que “se

considera identificable toda persona cuya identidad pueda determinarse, directa o

indirectamente, en particular mediante un número de identificación o uno o varios

elementos específicos, característicos de su identidad física, fisiológica, psíquica,

económica, cultural o social”. Por su parte, el Reglamento de desarrollo de la LOPD364

360 Murillo de la Cueva, P.L.: “Informática y protección de datos personales”, Cuadernos y debates, nº 43,

Madrid, Centro de Estudios Constitucionales, 1993, pag. 32 y ss. 361 Ver, entre otras, la STC 254/1993, de 20 de julio; STC 29/2013, de 11 de febrero. 362 En la misma dirección apunta el Real Decreto 1332/1994, que en su artículo 1 define el carácter de

datos personal como “toda información numérica, alfabética, gráfica, fotográfica, acústica o de

cualquier otro tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a una

persona física identificada o identificable”. Asimismo considera que la identificación del titular de los

datos podrá realizarse mediante “cualquier elemento que permita determinar directa o indirectamente la

identidad física, fisiológica, psíquica, económica, cultural o social de la persona física afectada”. (Real

Decreto derogado). 363 Ver el artículo 2, relativo a “Definiciones” del Convenio 108, del Consejo de Europa, de 28 de enero

de 1981, para la protección de las personas físicas con respecto al tratamiento automatizado de datos de

carácter personal del Consejo de Europa. Según el Convenio, “datos de carácter personal significa

cualquier información personal relativa a una persona física identificada o identificable (persona

concernida)”. 364 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la

Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

153

especifica que “cualquier información” se refiere a “numérica, alfabética, fonográfica,

gráfica, acústica o de cualquier otro tipo”.

Hay algún autor, como el caso de Setzer365, que define el concepto de dato como “una

secuencia de símbolos cuantificados y cuantificables que pueden ser descritos a través

de representaciones formales”366 y algún otro autor se refiere a “bloques de construcción

de la información”367. Así se distingue entre informaciones y datos, de modo que las

informaciones serían los datos procesados, revelando el significado de los datos368. La

distinción fundamental entre información y datos, según apunta Setzer, es que el dato es

puramente sintáctico mientras la información contiene la semántica.

En lo que respecta al adjetivo personal o de carácter personal, acompañando al

sustantivo dato, Aparicio Salom subraya que “si el dato de carácter personal constituye

siempre información relativa a personas físicas, cabe entender que para que sea de

carácter personal es preciso que existan dos elementos: la información y la persona a la

que concierne dicha información”369. De este modo, en el supuesto de que no concurran

las dos circunstancias habrá de entenderse que no se trata de dato de carácter personal.

Por su parte, la sentencia del Tribunal Supremo de 31 de octubre de 2000, clasifica los

datos de carácter personal en varios bloques o apartados: “a) datos de carácter personal

‘strictu sensu’, que son los existenciales que pueden ser asociados a una persona

365 Setzer,Valdemar W.: “Dado, Informaçao, Conhecimento e Competência” en Albuquerque Ludmila:

Estudio comparado del régimen jurídico de los ficheros de solvencia patrimonial y crédito en España,

Italia y Brasil, Granada, Universidad de Granada, 2010, pag.200. 366 Ibídem. 367Rob, Peter y Coronel, Carlos: Sistemas de bases de datos: diseño, implementación y administración,

México, Thomson editores, 2004, pag.7. 368 Ibídem. 369 Aparicio Salom, Javier: Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal,

Navarra, Aranzadi, 2000, pag. 43.

154

determinada o determinable (nacimiento, muerte, matrimonio, domicilio y análogos),

datos referentes a la actividad profesional, patrimonio, pertenencia a una confesión

religiosa, partido político, las enfermedades, etc; b) la información sobre las

condiciones materiales; c) evaluaciones y apreciaciones que puedan figurar en el

fichero y que hagan referencia al afectado”370.

En resumen, y desde una perspectiva constitucional, el derecho a la protección de datos

está en estrecha relación con el artículo 18 de la Carta Magna, que reconoce el derecho

a la intimidad de las personas, pero también con el artículo 10.1 CE 1978 que contempla

la dignidad de las personas. A este respecto, la propia Agencia Española de Protección

de Datos señala que “la Constitución Española en su artículo 10 reconoce el derecho a

la dignidad de la persona. Por su parte, el artículo 18.4 dispone que la ley limitará el uso

de la informática para garantizar el honor y la intimidad personal y familiar de los

ciudadanos y el pleno ejercicio de sus derechos. De ambos preceptos deriva el derecho

fundamental a la protección de datos de carácter personal”371.

Asimismo, el derecho a la protección de datos de carácter personal ha sido definido

como autónomo por la sentencia del Tribunal Constitucional 292/2000, de 30 de

noviembre. En desarrollo del artículo 18.4 CE 1978, fue aprobada la LOPD, que es la

norma que traspone al ordenamiento jurídico español la Directiva 95/46/CE de

Protección de Datos.

Por tanto, aunque no de forma explícita, el derecho a la protección de datos está

contemplado en el artículo 18.4 CE 1978. Además, el Tribunal Constitucional español

370 Sentencia del Tribunal Supremo 31 de octubre de 2000, Sala Tercera, nº recurso 6188/1996. 371 Ver la Guía de Protección de Datos, Agencia Española de Protección de Datos, 2004.

155

le ha dado el rango de derecho fundamental y ha admitido el derecho a la protección de

datos como un nuevo derecho, ligado al derecho a la intimidad explícitamente

reconocido como derecho fundamental en la Carta Magna, pero a la vez independiente

del mismo, en la citada sentencia STC 292/2000. Por su parte, la Carta de los Derechos

Fundamentales de la Unión Europea firmada en Niza en el año 2000, lo recoge en el

artículo 8372.

El artículo 16 del Tratado de Funcionamiento de la UE (TFUE)373, en su última

redacción tras la entrada en vigor del Tratado de Lisboa374, proporciona una base sólida

y eficaz para la protección de datos de carácter personal.

El Tribunal Constitucional español ha definido y delimitado el contenido esencial del

derecho a la protección de datos, como un derecho independiente y autónomo en

nuestro sistema constitucional, deslindado del derecho a la intimidad. Según se recoge

en la citada sentencia 292/2000 de 30 de noviembre, y en referencia a la distinción con

el derecho a la intimidad “la peculiaridad de este derecho fundamental a la protección

de datos, respecto de aquel derecho fundamental tan afín como es el de la intimidad,

radica pues, en su distinta fundamentación, lo que apareja por consiguiente, que

372 El artículo 8 de la Carta de Derechos Fundamentales de la UE (18/12/2000, Diario Oficial de la UE)

dice así: “Toda persona tiene derecho a la protección de los datos de carácter personal que la

conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del

consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda

persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El

respeto de estas normas quedará sujeto al control de una autoridad independiente.” 373 El artículo 16 del TFUE dice así: “1. Toda persona tiene derecho a la protección de datos de carácter

personal que le conciernan. 2. El Parlamento Europeo y el Consejo establecerán, con arreglo al

procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del

tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la UE, así como

por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del

Derecho de la UE, y sobre la libre circulación de estos datos. El respeto de dichas normas estará

sometido al control de autoridades independientes. 3. […]” 374 Tratado de Lisboa por el que se modifican el Tratado de la UE y el Tratado Constitutivo de la UE, del

Parlamento Europeo, Consejo y Comisión de la UE, publicado el 17 de diciembre de 2007 y en vigor

desde el 1 de diciembre de 2009.

156

también su objeto y contenido difiere. En esencia, el contenido del derecho fundamental

a la protección de datos, consiste en un poder de disposición y de control sobre los

datos personales que faculta a la persona para decidir cuál de estos datos proporcionar

a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar,

permitiendo también al individuo saber quién posee estos datos personales y para qué,

pudiendo oponerse a esa posesión o uso”375.

Asimismo, esta sentencia del máximo intérprete de los derechos y libertades

fundamentales en España destaca también que “el carácter de derecho fundamental del

derecho a la protección de datos le otorga unas determinadas características, como la de

ser irrenunciable o el hecho de prevalecer sobre otros derechos no fundamentales”.

375 Ver la citada sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, FJ 6º..

157

6. Derecho al olvido

6. 1. El derecho al olvido, la cancelación o la supresión de datos de carácter

personal en Internet

En el ámbito de los derechos fundamentales se han venido identificando una serie de

conflictos. Entre ellos destacan, la clásica colisión entre seguridad y libertad, presente

en muchas de las políticas legislativas tras el 11-S; el conflicto entre la intimidad y el

derecho de defensa y la investigación penal; o el derecho de la sociedad a protegerse

frente a comportamientos que se ha decidido penalizar: la controversia entre el derecho

a expresarnos o incluso a exhibirnos y el derecho a arrepentirnos y a que se olviden

nuestros pecados de juventud376.

Pues bien, el derecho al olvido está íntimamente ligado al derecho al arrepentimiento, a

la reputación, y a borrar de la memoria colectiva digital ciertos datos personales. En los

últimos años, parecía afianzarse la afirmación de que quien no está en Internet no existe.

Sin duda, ello ha contribuido a la expansión de servicios como las redes sociales o los

prestadores de servicios en Internet377. Si bien, “superado este espejismo de notoriedad

otorgado por la presencia de Internet, son cada vez más las voces que reclaman la

necesidad de unos límites y de dotar al ciudadano de mecanismos de garantía de sus

derechos, principalmente cuando se trata de informaciones no difundidas ni reveladas

por ellos”378. “En cierto modo, el propio concepto de red social conlleva una cierta

376 Llaneza, Paloma: “Derechos Fundamentales e Internet”, Revista Telos Cuadernos de Comunicación e

Innovación, Fundación Telefónica. 2010, nº 85, pag.1. 377 Rallo, Artemi: “El derecho al olvido y su protección”, Revista Telos Cuadernos de Comunicación e

innovación, Fundación Telefónica, oct-diciembre 2010, pags.1 a 5. 378 Ibídem.

158

renuncia de los usuarios a su privacidad”379. Prueba de ello, es el incremento de las

reclamaciones de los ciudadanos ante la Agencia Española de Protección de Datos

(AEPD) en defensa de sus derechos, lo que se pone de manifiesto en las últimas

memorias anuales de este organismo, que refleja el número creciente de ciudadanos que

solicitan la tutela de sus derechos de oposición o cancelación respecto a informaciones

publicadas en Internet. Según datos de la Memoria de la AEPD de 2014, se registraron

en ese año más de 12.000 reclamaciones ante el citado organismo (incluyendo todo tipo

de reclamaciones y denuncias en materia de protección de datos), lo que supone un

incremento del 15% con respecto al año anterior. Fundamentalmente, en su mayoría, las

denuncias se centraban en las materias de videovigilancia, contratación fraudulenta,

inclusión en ficheros de morosidad y en materia de recobro de deudas380.

En lo que respecta a las reclamaciones de derecho al olvido frente a buscadores, según

datos ofrecidos en la citada Memoria de 2014, la Audiencia Nacional ha confirmado los

criterios de la AEPD en más de un 93% de los casos. Los efectos de la sentencia del

TJUE, de 13 de mayo de 2014 -caso Mario Costeja y la AEPD v. Google, C-131/12-, se

comentan en detalle en la citada Memoria. De las 120 reclamaciones presentadas frente

a buscadores en 2014, el 83,33% fueron presentadas tras la citada sentencia del tribunal

de la UE con sede en Luxemburgo. En 2014, la Audiencia Nacional dictó 35 sentencias,

y en 24 de ellas, desestimó el recurso de Google. Por su parte, en 136 casos que estaban

pendientes de resolución ante la Audiencia Nacional, se ha producido el desistimiento

del gigante americano. A su vez, en 2015 y hasta la presentación de la citada Memoria

379 Troncoso Reigada, Antonio: “Las redes sociales a la luz de la Propuesta de Reglamento General de

Protección de Datos Personales, Parte I”, Revista de Internet, Derecho y Política, nº 15, UOC, noviembre

2012, pag. 64. 380 Ver la Memoria 2014 de la Agencia Española de Protección de Datos.

https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_06_3

0-ides-idphp.php

159

de la AEPD el pasado 30 de junio de 2015, la Audiencia Nacional había dictado 37

sentencias, confirmando los criterios de la AEPD en 29 casos381.

Con respecto a la última Memoria presentada por el organismo, referente a 2015, ésta

destaca que “mucho han cambiado las circunstancias desde que en 2007 este organismo

recibió las tres primeras reclamaciones de ciudadanos que solicitaban ayuda a la

Agencia para ejercitar el denominado derecho al olvido, para evitar que Google

mostrase determinadas paginas cuando se realizada una búsqueda a través de sus

nombres”382. Asimismo, en esta última Memoria se destaca “el incremento significativo

de las consultas relacionadas con el ejercicio de los derechos de acceso, cancelación,

rectificación y oposición (ARCO), un 45%, con especial incidencia en las relacionadas

con el último de estos derechos, como consecuencia de la sentencia del Tribunal de

Justicia de la UE de 13 de mayo de 2014 […]. Dentro de los procedimientos de tutela de

derechos más destacados de 2015 se pueden señalar los siguientes: derecho de

cancelación frente a Google-accesibilidad de la información a cualquier internauta no

justificada [….]”383·

Con respecto a los datos publicados por Google384, en relación con las solicitudes de

eliminación de información de su motor de búsqueda, desde que la compañía

381 Algunas de las sentencias dictadas por la Audiencia Nacional en 2014, en materia de derecho al olvido

son: R 5236/2014, nº recurso 363/2010, de 2 de diciembre; R 5206/2014, nº recurso 179/2012, de 29 de

diciembre; R 5129/2014, nº recurso 725/2010, de 29 de diciembre; R 5198/2014, nº recurso 661/2009, de

29 de diciembre; R 5203/2014, nº recurso 103/2010, de 29 de diciembre; R 5210/2014, nº recurso

657/2009, de 29 de diciembre. Asimismo, durante 2015, algunas de las sentencias de la Audiencia

Nacional, en materia de derecho al olvido, son: R 240/2015, nº recurso 358/2012, de 9 de junio; R

99/2015, nº de recurso 227/2012, de 5 de febrero; R 104/2015, nº de recurso 565/2010, de 19 de febrero;

o R 97/2015, nº de recurso 45/2013, de 19 de febrero. 382 Memoria de 2015 de la Agencia Española de Protección de Datos. 383 Ibídem. 384 Google publica dos veces al año el denominado Transparency Report con datos sobre las solicitudes

de desindexación de información, por vulneración de la privacidad, derechos de autor o solicitudes

gubernamentales de retirada de información.

http://www.google.com/transparencyreport/removals/europeprivacy/?hl=es

160

implementó un procedimiento para cumplir con la sentencia del TJUE de mayo de

2014, referido al número total de URLs que los usuarios han solicitado a Google que

retire asciende a 1.736.192 URLs, de las cuáles Google ha retirado el 43,2%. Entre los

dominios en los que Google ha retirado más URLs, destacan Facebook.com o

Youtube.com.

El hecho de que el derecho al olvido esté ligado al arrepentimiento o al derecho al

borrado, nos puede llevar a la conclusión de que el derecho al olvido parte de la premisa

de veracidad de los datos. Si una injuria o calumnia implica el insulto, descalificación o

imputación falsa de un delito, el ejercicio del derecho al olvido iría referido al derecho a

eliminar datos de la Red que el interesado considere que le perjudican aunque estos

datos se ajusten a la realidad pasada. Por tanto, podría definirse como el derecho a

equivocarse o a que una equivocación pasada no marque y determine la vida de un

individuo que, por definición, no es otra cosa que un proceso evolutivo, una secuencia

de aciertos y errores, siempre en proceso de conformación, de cambio y de evolución

constante. “La existencia humana es la manifestación más acusada del devenir, porque

el hombre no está hecho, sino que se hace a sí mismo, y no puede suspender su

autocreación ni un instante”385.

La realidad a la que nos hemos tenido que enfrentar ha sido la necesidad de aplicar una

normativa que fue pensada cuando el desarrollo de Internet era incipiente, a la situación

actual que nos ofrecen las nuevas tecnologías con el uso generalizado y masivo de

385 Fernández de la Mora, Gonzalo: La envidia igualitaria, Barcelona, Editorial Áltera, 2012, pág. 252.

161

Internet, lo que ha venido planteando, tal y como denomina Guerrero Zaplana “graves

situaciones de fricción”386.

En un amplio abanico de cambios sociales incentivados por la innovación tecnológica,

destaca la conversión de la frágil memoria humana en una potente y poderosa memoria

digital, según destaca Viktor Mayer-Schönberger, uno de los máximos referentes y

principales defensores del derecho al olvido387. Este autor recalca que con la ayuda de la

tecnología y la difusión, “olvidar se ha convertido en la excepción a la regla, por

defecto, que no es otra que el recuerdo”388. Mayer-Schönberger ha estudiado

recientemente el fenómeno del recuerdo en la Era digital y destaca que tan importante es

para los humanos la habilidad del recuerdo como la de olvidar. De hecho, Mayer-

Schönberger es considerado el pensador líder de la idea del derecho a borrar los datos

personales y someter el uso de la información personal a límites temporales389.

En este sentido, Mayer-Schönberger apunta que “como humanos no viajamos a través

del tiempo de un modo ignorante. Con la capacidad del recuerdo somos capaces de

comparar, aprender y experimentar el tiempo como un cambio. Igualmente importante

es la habilidad para olvidar, para deshacernos de las cadenas del pasado y vivir en el

presente”390. Para este investigador, por tanto, la relación entre recuerdo y olvido ha

estado clara durante miles de años pero ahora se ha invertido. El recuerdo ha venido

siendo costoso y difícil y por ello la regla por defecto era el olvido y los humanos tenían

386 Guerrero Zaplana, José: “Aproximación al Derecho al olvido en el nuevo Reglamento de Protección de

Datos”, Thomson Reuters, Lex Nova blogs. http://publico.blogs.lexnova.es/2012/07/17/aproximacion-al-

derecho-al-olvido-en-el-nuevo-reglamento-de-proteccion-de-datos/. 387 El libro Delete: the virtue of forgetting in the digital age, Princeton University Press, 2009, del

profesor Victor Mayer-Schönberger es un referente para toda la parte de derecho al olvido, que se ha

leído de forma exhaustiva para la elaboración de esta tesis. 388 Mayer-Schönberger, Viktor: Delete […] op.cit, p.49. 389 Vid. Schwarz, Paul: “The EU-US Privacy Collision: A turn to Institutions and Procedures”, Harvard

Law Review, 2012, vol.126, nº 7 mayo 2013. 390 Mayer-Schönberger, Viktor, op.cit, pag.198.

162

que elegir deliberadamente aquello que debían recordar. Sin embargo, hoy en día se ha

producido una inversión del balance o de la relación entre olvido y recuerdo. En la Era

digital, por primera vez en la historia humana, recordar es más fácil y barato que

olvidar391. Al finalizar la Segunda Guerra Mundial, se aceleró un proceso caracterizado

por la acumulación de capitales, de poder tecnológico y de investigación. Si se

considera que estos avances permitieron también un flujo constante de información

entre diversas partes del mundo, comenzamos a encontrar tanto los aspectos positivos

como los perjudiciales del término globalización392.

Asimismo Mayer-Schönberger resalta que el olvido desempeña un rol muy importante

en la función humana, en la toma de decisiones, ya que permite la generalización y la

abstracción sin quedarse anclado en las experiencias individuales393. Para él, gracias al

olvido podemos aceptar que los humanos, como todo en la vida, cambian y evolucionan

con el tiempo. Para este autor, de algún modo el recuerdo digital nos amenaza como

individuos y como sociedad, en lo relativo a nuestra capacidad para aprender, razonar y

actuar en el tiempo, así como también nos expone a la potencialmente devastadora

sobrerreacción humana ante nuestro pasado.

La reflexión filosófica sobre el olvido ha sido incluso llevada a la gran pantalla hace

unos años. A fin de cuentas, en numerosas ocasiones a través del cine se reflejan

muchas de las inquietudes que afectan a la sociedad. Ganador del premio Óscar 2005 al

391 Mayer-Schönberger, Viktor: op.cit, pag.48 y ss. 392 Vid. Fernández Delpech, Horacio: Protección de datos-Derecho al olvido, Universidad de El

Salvador, 2008, pag.3. 393 Mayer-Schönberger, Viktor: op.cit, pag.12.

163

mejor guion original, el filme Eternal Sunshine of the spotless mind394 (‘¡Olvídate de

mí!’ en su traducción al castellano) es una película donde se trata el polémico tema ético

y filosófico del derecho del individuo a gestionar sus recuerdos y a poder borrar todos

aquéllos no deseados.

La idea del olvido forzado o el olvido no como un derecho del individuo sino como una

práctica realizada por los poderosos al servicio de unos intereses de Estado o de partido,

nos lleva a rememorar algunos momentos de la historia. A este respecto y a título de

ejemplo, en la época estalinista de la URSS existió la famosa purga de las fotos. Se trata

de una ejemplar prueba de manipulación fotográfica395, con las fotos tomadas en aquel

famoso mitin de 1917 cuando Lenin ordenó trucar todas aquellas en las que figuraba

con Trotsky. Igualmente, pocos años después el propio Stalin ordenó borrar de la

memoria y para siempre a Nikolai Yezhov, en la única foto en la que ambos posaron

juntos, a orillas del Moscova396.

El derecho al olvido o a empezar de cero es práctica normal en muchos órdenes

jurídicos, desde una perspectiva y dimensión redentora, como ocurre en ámbitos como

el penitenciario, escolar, administrativo, político, etc. En el campo fiscal o tributario

también se encuentran manifestaciones de este derecho397.

Se conoce como derecho al olvido a “un interés jurídicamente protegido de los

ciudadanos que consiste en lograr efectivamente que sus datos personales no sean

394 La película estadounidense fue dirigida por Michel Gondry y protagonizada por Jim Carrey y Kate

Winslet. Además del Óscar al Mejor Guión Original y BAFTA al Mejor Montaje, recibió otros 33

premios. 395 Moratalla, José Ramón: “El derecho al olvido”, Artículos y recursos empresariales Microsoft, 2011.

http://www.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=112. 396 Ibídem. 397 Ibídem.

164

localizados por los buscadores en la Red”398. De este modo, si un ciudadano ve cómo

datos que fueron publicados lícitamente en el pasado, podrían perjudicarle

objetivamente en la actualidad y a estos datos se puede acceder fácilmente a través de

Internet, aparece un derecho, , que le permitiría oponerse a que tales datos continúen a

disposición de terceros que quieran conocer lo que hizo.

Tras una primera aproximación al concepto de derecho al olvido, se ve claramente la

contradicción entre derechos y principios generales del ordenamiento jurídico. De un

lado está el derecho a la intimidad, secuencia del derecho a la dignidad de la persona, y

específicamente de la protección frente a la informática. De otro lado, se encuentra el

principio de transparencia, el de legalidad y los derechos de información, además de

otros derechos o intereses que pueden entrar en juego como la libertad de empresa, el

necesario impulso de la innovación y el desarrollo tecnológico. Una vez más, y como

siempre que entran en conflicto derechos fundamentales, hay que hacer un ejercicio de

ponderación de los intereses en juego o, como dirían los anglosajones, un balancing

test.

El derecho al olvido implica o podría implicar potencialmente un fuerte conflicto con

las fuertes protecciones de la Primera Enmienda399 de los Estados Unidos, por lo que

398 Salcines, Sergio y Soriano, José Eugenio: “Derecho al olvido”, Newsletter noviembre 2011, Lupicinio

Abogados, pag.1. 399 La Primera Enmienda a la Constitución de EE.UU es uno de los derechos reconocidos en la

denominada Carta de Derechos de EE.UU o Bill of rights, del que forman parte las diez primeras

enmiendas a la Constitución. Según la misma, “el Congreso no hará ley alguna con respecto a la adopción

de una religión o prohibiendo el libre ejercicio de dichas actividades; o que coarte la libertad de expresión

o de la prensa, el derecho del pueblo a reunirse pacíficamente, y para solicitar al Gobierno la reparación

de agravios”. En la interpretación de esta enmienda, los tribunales han fallado que no sólo incumbe al

Poder Legislativo del Congreso, sino que también incluye al Poder Ejecutivo y al Poder Judicial. El

Tribunal Supremo de EE.UU ha fallado que la cláusula del due procedure (decimocuarta enmienda)

corrige las limitaciones de la primera enmienda de la Constitución de EE.UU, haciendo que la prohibición

de elaborar leyes que coarten la libertad de las personas recaiga también sobre los Estados que conforman

el país así como sobre los gobiernos locales dentro de dichos Estados.

165

algunos expertos se muestran escépticos con este nuevo derecho o consideran poco

viable que logre ser un derecho globalmente reconocido más allá de las fronteras de la

Unión Europea400. Además, nunca podría tratarse de un derecho absoluto sino relativo o

sujeto a límites, al entrar en conflicto con ciertos derechos fundamentales como la

libertad de expresión e información o con valores tan esenciales en una sociedad

democrática avanzada como el libre mercado y el necesario crecimiento económico o el

impulso a la innovación tecnológica.

Las críticas en torno a este nuevo derecho no son pocas. Los detractores de este derecho

básicamente utilizan el argumento de la amenaza que supondría para la innovación

tecnológica. De este modo, Vinton Cerf, el creador del protocolo TCP/IP, afirmó en

2012 en la presentación del Museo Life Online en el Reino Unido, que el derecho al

olvido puede suponer una amenaza para la web. “El derecho al olvido es imposible de

lograr, debido a que copiar información que está en Internet, a las computadoras, y

volver a subirla, es demasiado fácil. Nuestro mundo tiene ya clara la idea de que una

vez que algo se hace público, por ejemplo un libro o una revista, no puede ser retractado

fácilmente. Esto también debería aplicarse al mundo digital”401. Este experto destaca

que el derecho al olvido apunta a permitir que los ciudadanos eliminen información

específica sobre ellos de los buscadores o de toda la Red. Para él, sin embargo, la

regulación no ha sido bien definida debido a la enorme dificultad técnica de

implementar algo como eso, además de las consecuencias legales que tendría. A este

respecto, Cerf establece una analogía y compara el borrado de datos en Internet con

quitar los libros de las estanterías de los ciudadanos. En su opinión, “el problema se

400 Schwartz, Paul: op.cit., disponible en

http://www.harvardlawreview.org/symposium/papers2012/schwartz.pdf 401 Vint Cerf en la presentación del museo Life Online en Reino Unido, en 2012, hizo estas afirmaciones

recogidas por la prensa en http://www.telegraph.co.uk/technology/news/9173449/Vint-Cerf-attacks-

European-internet-policy.html.

166

resolverá con el tiempo, ya que las personas están aprendiendo a comportarse mejor en

la Red y a pensarlo dos veces, antes de subir información”402. Es decir, este experto

aboga por la solución vía educacional y no tanto por una solución dada a través de

normas restrictivas o prohibitivas.

La reforma europea en materia de protección de datos que ha sido recientemente

aprobada “coloca a los ciudadanos en una posición de control sobre sus datos”, lo que

según ha destacado la ex comisaria de Justicia de la UE, Viviane Reding, es importante

“no sólo porque se trata de un derecho fundamental y un valor constitucional sino

también porque tiene sentido desde un punto de vista económico” destacó Reding en la

Cumbre anual de Euroclouds en 2012. La reforma regulatoria europea en materia de

protección de datos, que contempla el derecho al olvido, comenzará a aplicarse en mayo

de 2018.

Entre los argumentos utilizados por los detractores o los no partidarios del derecho al

olvido, además de la libertad de expresión e información que imperan en toda sociedad

democrática, están los referentes al falseamiento de la historia. A este respecto, algún

autor se cuestiona hasta qué punto la noción del respeto a la privacidad puede

extenderse al ocultamiento de información a petición de la parte interesada en que no se

conozcan hechos y acontecimientos de los que fue protagonista y que en su día fueron

públicos a través del BOE o de los medios de comunicación, simplemente porque

carecen ya de relevancia, cuando, en realidad, es porque no convienen a sus actuales

intereses. “Tal pretensión puede ser además de opuesta a los derechos humanos

402 Ibídem.

167

felizmente reconocidos en todos los países democráticos. En todo caso, tal pretensión es

opuesta al interés de la historia”.403

Aunque quede poco tiempo para mayo de 2018, el derecho al olvido no está reconocido

como tal aún en un texto normativo vigente y en aplicación, pero sí se puede afirmar

que sus bases ya han sido perfiladas con la aprobación y entrada en vigor del RGPD. El

artículo 17 del RGPD lo regula ampliamente. En la actual normativa española, la

LOPD, que es la norma de transposición al ordenamiento español de la Directiva

95/46/CE, no se recoge un derecho al olvido como tal, sino que lo más parecido al

mismo en la actual norma española, como ya se ha dicho, son los denominados

derechos ARCO. Sin embargo, tanto la norma española como la propia Directiva de la

que la primera deriva, no estaban pensadas ni diseñadas para el entorno digital ni para

Internet, ni dan una solución a la problemática relativa a la privacidad en entornos

digitales. Precisamente porque la democratización en el uso de la Red y el hecho de que

a día de hoy haya más de 3.000 millones de personas en el planeta conectadas a Internet

es algo sobrevenido y no se contaba con ello en el momento en el que se adoptó la

Directiva 95/46/CE.

El fundamento general del derecho al olvido reside en el respeto al principio del

consentimiento para el tratamiento. Además, con base en el principio de finalidad, los

datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la

403 Así se manifiesta Milagros del Corral en un artículo de opinión publicado en el ABC, el 28 de abril de

2012, destacando que un reconocimiento del derecho al olvido falsearía la historia. La autora es asesora

de organismos internacionales y fue directora de la Biblioteca Nacional de España.

http://sevilla.abc.es/historico-opinion/index.asp?ff=20120428&idn=1502726688681.

168

finalidad para la cual hubieran sido recabados y precisamente esto constituye la base

legal para la cancelación de datos personales en Internet404.

Precisamente a través del derecho al olvido regulado en el RGPD, tal y como está

contemplado en el mismo, cualquier web o red social que almacene datos de los

ciudadanos estará obligada a eliminarlos a petición del interesado y a abstenerse de

darles más difusión. En conclusión, el derecho al olvido contempla la garantía de

privacidad, reforzando el derecho de cancelación de datos de las personas en la Red. A

través de la inclusión del derecho al olvido en el RGPD se busca establecer un marco

más sólido y coherente, que otorgue a las personas el control de sus propios datos,

reforzando la confianza en los mismos y la seguridad jurídica405. La reforma del marco

regulatorio europeo de protección de datos, a través del RGPD se halla en la línea de dar

el protagonismo a la persona, dueña de sus datos e intimidad. En definitiva, de que sean

las personas quienes tengan el control sobre sus datos. Como decía George Orwell en su

novela ‘1984’, ‘quién controla el pasado, controla el futuro, y quien controla el presente,

controla el pasado’.406

El texto literal del artículo 17 de la Propuesta de Reglamento General de Protección de

Datos de enero de 2012, del “derecho al olvido y la supresión” dice así:

“1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos

personales que le conciernen y se abstenga de darles más difusión, especialmente en lo que

404 Bacaria, Jordi: “El derecho al olvido digital: la eliminación de datos personales de Internet”,

Economist & Jurist, Vol.20, nº 158, 2012, pags. 12 a 20. 405 Ivars, José J.: “Propuesta de Reglamento Europeo de Protección de Datos: especial atención al

Derecho al olvido”, en Diariojurídico.com. http://www.diariojuridico.com/opinion/propuesta-reglamento-

europeo-proteccion-datos-especial-atencion-al-derecho-al-olvido/. 406 Vid. Orwell George: 1984, The Penguin complete novels of George Orwell, Harmondsworth, Penguin,

ed. 1984.

169

respecta a los datos personales proporcionados por el interesado siendo niño, cuando concurra

alguna de las circunstancias siguientes:

a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o

tratados;

b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con

lo dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación

autorizado y no existe otro fundamento jurídico para el tratamiento de los datos;

c) el interesado se opone al tratamiento de datos personales con arreglo a lo dispuesto en

el artículo 19;

d) el tratamiento de datos no es conforme con el presente Reglamento por otros motivos.

2. Cuando el responsable del tratamiento contemplado en el apartado 1 haya hecho públicos

los datos personales, adoptará todas las medidas razonables, incluidas medidas técnicas, en lo

que respecta a los datos de cuya publicación sea responsable, con miras a informar a los

terceros que estén tratando dichos datos de que un interesado les solicita que supriman

cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. Cuando el

responsable del tratamiento haya autorizado a un tercero a publicar datos personales, será

considerado responsable de esa publicación.

3. El responsable del tratamiento procederá a la supresión sin demora, salvo en la medida en

que la conservación de los datos personales sea necesaria:

a) para el ejercicio del derecho a la libertad de expresión de conformidad con lo

dispuesto en el artículo 80;

b) por motivos de interés público en el ámbito de la salud pública de conformidad con lo

dispuesto en el artículo 81;

c) con fines de investigación histórica, estadística y científica de conformidad con lo

dispuesto en el artículo 83;

d) para el cumplimiento de una obligación legal de conservar los datos personales

impuesta por el Derecho de la Unión o por la legislación de un Estado miembro a la que

esté sujeto el responsable del tratamiento; las legislaciones de los Estados miembros

deberán perseguir un objetivo de interés público, respetar la esencia del derecho a la

protección de datos personales y ser proporcionales a la finalidad legítima perseguida;

170

e) en los casos contemplados en el apartado 4.

4. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento

de datos personales cuando:

a) el interesado impugne su exactitud, durante un plazo que permita al responsable del

tratamiento verificar la exactitud de los datos

b) el responsable del tratamiento ya no necesite los datos personales para la realización

de su misión, pero estos deban conservarse a efectos probatorios;

c) el tratamiento sea ilícito y el interesado se oponga a su supresión y solicite en su lugar

la limitación de su uso;

d) el interesado solicite la transmisión de los datos personales a otro sistema de

tratamiento automatizado de conformidad con lo dispuesto en el artículo 18, apartado 2.

5. Con excepción de su conservación, los datos personales contemplados en el apartado 4 solo

podrán ser objeto de tratamiento a efectos probatorios, o con el consentimiento del interesado,

o con miras a la protección de los derechos de otra persona física o jurídica o en pos de un

objetivo de interés público.

6. Cuando el tratamiento de datos personales esté limitado de conformidad con lo dispuesto en

el apartado 4, el responsable del tratamiento informará al interesado antes de levantar la

limitación al tratamiento.

7. El responsable del tratamiento implementará mecanismos para garantizar que se respetan

los plazos fijados para la supresión de datos personales y/o para el examen periódico de la

necesidad de conservar los datos.

8. Cuando se hayan suprimido datos, el responsable del tratamiento no someterá dichos datos

personales a ninguna otra forma de tratamiento.

9. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo

dispuesto en el artículo 86, a fin de especificar:

a) los criterios y requisitos relativos a la aplicación del apartado 1 en sectores y

situaciones específicos de tratamiento de datos;

b) las condiciones para la supresión de enlaces, copias o réplicas de datos personales

procedentes de servicios de comunicación accesibles al público a que se refiere el

apartado 2;

171

c) los criterios y condiciones para limitar el tratamiento de datos personales

contemplados en el apartado 4.”

En el texto aprobado en marzo de 2014 por el Parlamento Europeo (PE), el artículo 17

sufrió algunas variaciones en su redacción. El primer cambio es que en el texto

aprobado por la Comisión en su Propuesta de 2012, el derecho al olvido se contemplaba

como derecho al olvido y la supresión. Por su parte, el Parlamento Europeo407 pasa a

denominarlo simplemente derecho a la supresión. El artículo 17 quedó, en el texto

aprobado por el Parlamento en marzo de 2014, de la siguiente manera408:

“1. El interesado tendrá derecho a que el responsable del tratamiento suprima los datos

personales que le conciernen y se abstenga de darles más difusión, especialmente en los que

respecta y, en relación con terceros, a que estos supriman todos los enlaces a los datos

personales, proporcionados por el interesado siendo niño, copias o reproducciones de los

mismos, cuando concurra alguna de las circunstancias siguientes:

a) los datos ya no son necesarios en relación con los fines para los que fueron recogidos o

tratados;

b) el interesado retira el consentimiento en que se basa el tratamiento de conformidad con

lo dispuesto en el artículo 6, apartado 1, letra a), o ha expirado el plazo de conservación

autorizado y no existe otro fundamento jurídico para el tratamiento de los datos;

c) el interesado se opone al tratamiento de datos personales con arreglo a lo dispuesto en el

artículo 19;

d) c bis), un tribunal o una autoridad reguladora con sede en la Unión ha dictaminado de

forma definitiva e irrevocable que han de suprimirse los datos de que se trate;

e) el tratamiento de los datosno es conforme con el presente Reglamento por otros

407 El Parlamento Europeo aprobó en primera lectura su resolución el 12 de marzo de 2014. Ver en

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-

0212+0+DOC+XML+V0//ES. 408 En negrita se destacan los cambios incorporados en la resolución del PE de 2014 con respecto a la

Propuesta de la CE de 2012. Para el caso de que se trate de un cambio de eliminación, se destaca tachado.

172

motivoshan sido tratados ilícitamente.

1bis. La aplicación del apartado 1 dependerá de la capacidad del responsable del tratamiento

para comprobar que es el interesado quien solicita la supresión de los datos.

2. Cuando el responsable del tratamiento contemplado en el apartado 1 haya hecho públicos

los datos personales sin una justificación basada en el artículo 6, apartado 1, adoptará todas

las medidas razonables, incluidas medidas técnicas, en lo que respecta apara que los

datoscuya publicación sea responsable, con miras a informar a los terceros que estén

tratando dichos datos de que un interesado les solicita que supriman cualquier enlace a esos

datos personales, o cualquier copia o réplica de los mismossean suprimidos, también por

terceros, sin perjuicio de lo dispuesto en el artículo 77. Cuando sea posible, el responsable del

tratamientohaya autorizado a un tercero a publicar datos personales, será considerado

responsable de esa publicacióninformará al interesado de las medidas tomadas por los

terceros en cuestión.

3. El responsable del tratamiento procederá y, en su caso, el tercero procederán a la supresión

sin demora, salvo en la medida en que la conservación de los datos personales sea necesaria:

a) para el ejercicio del derecho a la libertad de expresión de conformidad con lo dispuesto

en el artículo 80;

b) por motivos de interés público en el ámbito de la salud pública de conformidad con lo

dispuesto en el artículo 81;

c) con fines de investigación histórica, estadística y científica de conformidad con lo

dispuesto

d) para el cumplimiento de una obligación legal de conservar los datos personales impuesta

por el Derecho la legislación de la Unión o por la legislación de un Estado miembro a la

que esté sujeto el responsable del tratamiento; las legislaciones de los Estados miembros

deberán perseguir un objetivo de interés público, respetarla esencia del derecho a la

protección de datos personales y ser proporcionales a la finalidad legítima perseguida;

e) en los casos contemplados en el apartado 4. en el artículo 83;

4. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento

de datos personales, de forma que no sean objeto de las operaciones normales de acceso y

tratamiento y no puedan volver a modificarse, cuando:

173

a) el interesado impugne su exactitud, durante un plazo que permita al responsable del

tratamiento verificar la exactitud de los datos;

b) el responsable ya no necesite los datos personales para la realización de su misión,

pero estos deban conservarse a efectos probatorios;

c) el tratamiento sea lícito y el interesado se oponga a su supresión y solicite en su lugar

la limitación de su uso;

c bis) un tribunal o una autoridad reguladora con sede en la Unión haya dictaminado

de forma definitiva e irrevocable que ha de limitarse el tratamiento de los datos de que

se trate;

d) el interesado solicite la transmisión de los datos personales a otro sistema de

tratamiento automatizado de conformidad con lo dispuesto en el artículo 18, apartado

215, apartado 2 bis;

d bis) el tipo determinado de tecnología de conservación de los datos no permita su supresión,

siempre que dicha tecnología se hubiese puesto en práctica antes de la entrada en vigor del

presente Reglamento.

5. Con excepción de su conservación, los datos personales contemplados en el apartado 4 sólo

podrán ser objeto de tratamiento a efectos probatorios, o con el consentimiento del interesado,

o con miras a la protección de los derechos de otra persona física o jurídica o en pos de un

objetivo de interés público.

6. Cuando el tratamiento de los datos personales esté limitado de conformidad con lo dispuesto

en el apartado 4, el responsable del tratamiento informará al interesado antes de levantar la

limitación al tratamiento.

7. El responsable del tratamiento implementará mecanismos para garantizar que se respetan

los plazos fijados para la supresión de datos personales y/o para el examen periódico de la

necesidad de conservar los datos.

8. Cuando se hayan suprimido datos, el responsable del tratamiento no someterá dichos datos

personales a ninguna otra forma de tratamiento.

8 bis. El responsable del tratamiento implementará mecanismos para garantizar que se

respetan los plazos fijados para la supresión de los datos personales, así como para el

examen periódico de la necesidad de conservar los datos.

174

9. La Comisión estará facultada, tras haber solicitado un dictamen al Consejo Europeo de

Protección de Datos, para adoptar actos delegados, de conformidad con lo dispuesto en el

artículo 86, a fin de especificar:

a) los criterios y requisitos relativos a la aplicación del apartado 1 en sectores y

situaciones específicos de tratamiento de datos;

b) las condiciones para la supresión de enlaces, copias o réplicas de datos personales

procedentes de servicios de comunicación accesibles al público a que se refiere el

apartado 2;

c) los criterios y condiciones para limitar el tratamiento de datos personales

contemplados en el apartado 4.

En el texto aprobado por el Consejo de Ministros de Justicia e Interior de la UE, el

pasado 15 de junio409, el artículo 17 quedó de la siguiente manera y volviendo a

denominarse “derecho a la supresión y al olvido”: (texto literal en inglés)410

“1. The (…) controller shall have the obligation to erase personal data without undue delay,

especially in relation to personal data which are collected when the data subject was a child,

and the data subjet shall have the right to obtain from the controller the erasure of personal

data concerning him or her without undue delay where one of the following grounds applies:

a) the data are no longer necessary in relation to the purposes for which they were collected

or otherwise processed;

b) the data subject withdraws consent on which the processing is based according to point

(a) of Article 6 (1) or point (a) of Article 9(2)and (…)there is no other legal ground for

the processing of the data;

c) the data subject objects to the processing of personal data pursuant to Article 19 (1)

409 El Consejo de ministros de Justicia y Asuntos de Interior de la UE aprobó el pasado 15 de junio el

texto que servirá como base para las negociaciones a tres bandas (trílogo) para la aprobación final del

Reglamento. La aprobación del texto contó con el rechazo de Austria y Eslovenia. 410 Entre paréntesis “(…)” se destaca lo que ha sido eliminado en el texto del Consejo y destacado en

negrita las novedades en el texto aprobado por el Consejo el 15 de junio de 2015 con respecto a la

Propuesta de la CE de 2012.

175

and there are no overriding legitimate grounds for the processing or the data subject

objects to the processing of personal data pursuant to Article 19(2); d) the data have

been unlawfully processed; e) the data have to be erased for compliance with a legal

obligation to which the controller is subject;

1 a The data subject shall have also the right to obtain from the controller the erasure of

personal data concerning him or her, without undue delay, if the data have been collected in

relation to the offering of information society services referred to in Article 8 (1).

(…)

2. (…)

2 a Where the controller(…) has made the personal data public and is obliged pursuant to

paragraph 1 to erase the data, the controller, taking account of available technology and the

cost of implementation, shall take (…) reasonable steps, including technical measures, (…) to

inform controllers which are processing the data, that the data subject has requested the

erasure by such controllers of any links to, or copy or replication of that personal data.

3. Paragraphs 1, 1 a and 2 a shall not apply to the extent that (…)processing of the personal

data is necessary:

a. For excersiging the right of freedom of expression and information;

b. For compliance with a legal obligation which requires processing of personal data by

Union or Member State law to which the controller is subject or for the performance of a

task carried out in the public interest or in the exercise of official authority vested in the

controller;

c. For reasons of public interest in the área of public health in accordance with

Article 9 (2) (h) and (hb) as well as Article 9 (4);

d. for archiving purposes in the public interest or for scientific, statistical and historical

(…) purposes in accordance with Article 83;

e. (…)

f. (…)

g. for the establishment, exercise or defence of legal claims.

[…]”

176

Si bien hasta la Propuesta de Reglamento europeo de Protección de Datos no se había

regulado el derecho al olvido, algunos autores apuntan que la Directiva 95/46/CE ya

venía contemplándolo si bien no explícitamente como derecho al olvido. “Hasta cierto

punto la Directiva de protección de datos existente, de 1995, ya incluye el derecho al

olvido en Europa, aunque no se recoja de forma explícita”411. Implícitamente, se

consigue un efecto similar mediante dos mecanismos importantes recogidos en la

Directiva: el principio de la proporcionalidad y los derechos de los sujetos. A este

respecto, el principio de proporcionalidad está presente en toda la Directiva 95/46/CE, y

en relación con el aspecto temporal del derecho al olvido queda afirmado casi de forma

clara en el artículo 6.1 e) de la Directiva412: “los datos personales serán conservados en

una forma que permita la identificación de los interesados durante un período no

superior al necesario para los fines para los que fueron recogidos o para los que se

traten ulteriormente”. Asimismo, el artículo 6.1. d) de la Directiva especifica además

que, “los datos inexactos o incompletos, con respecto a los fines para los que fueron

recogidos, o para los que fueron tratados posteriormente serán suprimidos o

rectificados”.

Es decir, estas normas del artículo 6 de la Directiva exigen a los responsables del

tratamiento de los datos personales que borren dichos datos si ya no se necesitan para

los fines legítimos del tratamiento de datos. “Efectivamente esta obligación puede

considerarse de manera que cree un derecho pasivo a ser olvidado, en forma de una

obligación de justificación para los responsables de los datos: si ya no pueden demostrar

un motivo legítimo por el que se mantengan los datos personales, entonces deberían

411 Graux, H., Ausloos, J. y Valcke, P.: “El derecho al olvido en la Era de Internet” en el estudio El debate

sobre la privacidad y la seguridad en la Red: regulación y mercados, Editorial Ariel, Fundación

Telefónica, 2010, pag. 107 y ss. 412 Ibídem.

177

eliminarlos”413. No obstante, en la práctica, este derecho pasivo no debería

sobreestimarse. En la práctica, tiene muy poca aplicación. Por tanto, aunque el sistema

legal actual europeo establece varios principios y derechos sólidos que sustentan un

“derecho diluido a ser olvidado”414, las disposiciones específicas contienen puntos de

flaqueza que dificultan su efectividad en la práctica. Entre estos, se encuentran, en

particular, su ineficacia parcial cuando se da el consentimiento y el amplio margen de

apreciación que se deja a los responsables del tratamiento por medio de la dependencia

en los fines especificados.

Para Napoleón Xanthoulis, la redacción del artículo 17 de la Propuesta de RGPD era

“ambigua y vaga”415, por lo que en el caso de mantenerse la imprecisión en la redacción

de este artículo, según este autor sería necesario que el Tribunal de Justicia de la UE se

vaya encargando de determinar el alcance y sustancia del derecho al olvido y su relación

con otros derechos fundamentales. A lo largo de la tramitación de la norma, el artículo

17 tampoco ha variado de forma sustancial y es necesario que a través del WP29 así

como por vía jurisprudencial se aclaren algunos aspectos, como puede ser el relativo a

cómo, en la práctica, se articulará la obligación de notificación al resto de responsables

del tratamiento que estén tratando los datos, de la solicitud de derecho al olvido del

titular de los datos.

Un sector de la doctrina considera que, en lo que respecta al reconocimiento del derecho

al olvido digital, es importante plantearse la siguiente cuestión: ¿Cuándo un interés se

transforma en un derecho exigible a terceros?, o dicho con otras palabras, ¿Cuándo un

413 Ibídem. 414 Ibídem. 415 Xanthoulis, Napoleón: “The right to oblivion in the information age: a human-rights based approach”,

US-China Law Review, Vol. 10:84, California (EE.UU), 2013, pag.91 y ss.

178

interés personal tiene el peso suficiente para transformarse en deberes de otros para el

respeto y garantía de dichos intereses?416 La diferencia fundamental entre un derecho y

un mero interés en el que podría basarse un derecho es el hecho de que el contenido de

un derecho (particularmente un derecho humano) es también el contenido de un

correspondiente deber. En relación con el derecho al olvido, resulta clave acotar cuándo

y en qué circunstancias puede invocarse este derecho, ya que lo más probable es que un

individuo no sea informado sobre la existencia del uso de determinados datos en la Red

antes de que el daño haya sido efectivamente causado417.

Finalmente, el pasado 15 de diciembre de 2015, llegadas al final las negociaciones del

trílogo418, el artículo 17 que regula el derecho al olvido queda finalmente redactado en

el texto consolidado en los siguientes términos (texto literal en inglés):

“Right to erasure (right to be forgotten). 1. The data subject shall have the right to obtain from

the controller the erasure of personal data concerning him or her without undue delay and the

controller shall have the obligation to erase personal data without undue delay where one of

the following grounds applies:

a) The data are no longer necessary in the relation to the purposes for which they were

collected or otherwise processed;

b) The data subject withdraws consent on which the processing is based according to

point (a) of Article 6 (1), or point (a) of Article 9 (2), and where there is no other

legal groung for the processing of the data.

c) The data subject objects to the processing of personal data pusuant to Article 19 (1)

and there are no overriding legitimate grounds for processing, or the data subject

416 Koops, Bert Jaap: “Forgetting footprints, shunning shadows: A critical analysis of the right to be

forgotten in Big Data practice”, 2011 en Xanthoulis Napoleón, op.cit, pag.91 y ss. 417 Ibídem. 418 Las negociaciones del trílogo hacen referencia a las negociaciones que se producen a tres bandas, entre

la Comisión Europea, el Consejo de la UE y el Parlamento Europeo para la aprobación final del texto

normativo.

179

objects to the processing of personal data pursuant to Article 19 (2).

d) They have been unlawfully processed

e) The data have to be erased for compliance with a legal obligation in Union or

Member State law to which the controller is subject

f) The data have been collected in relation to the offering of information society services

referred to in Article 8 (1).

1. (a) (…)

2. (…)

2.a. Where the controller has made the personal data public and is obliged pursuant to

paragraph 1 to erase the data, the controller, taking account of available technology and the

cost of implementation, shall take reasonable steps, including technical measures, to informe

controllers which are processing the data, that the data subject has requested the erasure by

such controllers of any links to, or copy or replication of that personal data.

3. Paragraphs 1 and 2 shall not apply to the extent that processing of personal data is

necessary

a) for exercising the right of freedom of expression and information

b) for compliance with a legal obligation which requires processing of personal data by

Union or Member State law to which the controller is subject or for the performance of a

task carried out in the public interest or in the exercise of official authority vested in the

controller

c) for reasons of public interest in the area of public health in accordance with Article

9(2) (h) and (hb) as well as Article 9 (4)

d) for archiving purposes in the public interest or scientific and historical research

purposes or statistical purposes in accordance with Article 83 (1) in so far as the right

referred to in parragraph1 is likely to render impossible or seriously impair the

achievement ot the archiving purposes in the public interest, or the scientific and

historical research purposes or the statistical purposes.

e) for the establishment, exercise or defence of legal claims

4. (…)

5. (…)

180

6. (…)

7. (…)

8. (…)

9. (…)”

El RGPD 679/2016, de 27 de abril de 2016, se publicó en el Diario Oficial de la UE

(DOUE) el pasado 4 de mayo de 2016, quedando el artículo 17, derecho a la supresión

(el derecho al olvido) redactado en los siguientes términos:

“1. El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento, la

supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación

indebida los datos personales cuando concurra alguna de las circunstancias siguientes:

a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron

recogidos o tratados de otro modo;

b) El interesado retire el consentimiento en que se basa el tratamiento de conformidad con el

artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a) y este no se base en otro

fundamento jurídico;

c) El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no

prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al

tratamiento con arreglo al artículo 21, apartado 2;

d) Los datos personales hayan sido tratados ilícitamente;

e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal

establecida en el Derecho de la Unión o de los Estados miembros que se aplique al

responsable del tratamiento;

f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad

de la información mencionados en el artículo 8, apartado 1.

2. Cuando haya hecho públicos los datos personales y esté obligado, en virtud de lo dispuesto en

el apartado 1, a suprimir dichos datos, el responsable del tratamiento, teniendo en cuenta la

tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas

181

técnicas, con miras a informar a los responsables que estén tratando los datos personales de la

solicitud del interesado de supresión de cualquier enlace a estos datos personales, o cualquier

copia o réplica de los mismos.

3. Los apartados 1 y 2 no se aplicarán cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos

impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al

responsable del tratamiento, o para el cumplimiento de una misión realizada en interés

público o en el ejercicio de poderes públicos conferidos al responsable.

c) por razones de interés público en el ámbito de la salud pública de conformidad con el

artículo 9, apartado 2, letras h) e i) y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines

estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho

indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los

objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones”

Tras la publicación del Reglamento en el boletín oficial de la UE, comienza a contar el

plazo de dos años hasta que comience a ser de aplicación el Reglamento y sustituya a la

Directiva 95/46/CE, lo que se producirá en mayo de 2018.

Por su parte, el considerando 6 del RGPD señala que “la rápida evolución tecnológica y

la globalización han planteado nuevos retos para la protección de datos personales. La

magnitud de la recogida y del intercambio de datos personales ha aumentado de forma

significativa […]. Las personas físicas difunden un volumen cada vez mayor de

información personal a escala mundial […]”. Y, por su parte, el considerando 39 del

Reglamento destaca que “los datos personales deben ser adecuados, pertinentes y

limitados a lo necesario para los fines para los que sean tratados. Ellos requiere, en

182

particular, garantizar que se limite a un mínimo estricto para su conservación […] y

deben tomarse todas las medidas razonables para garantizar que se rectifiquen o

supriman los datos personales que sean inexactos”.

Además, el considerando 65 del RGPD afirma que “los interesados deben tener derecho

a que se rectifiquen los datos personales que les conciernen y un derecho al olvido si la

retención de tales datos infringe el Derecho de la UE, o de los Estados miembros

aplicable al responsable del tratamiento. En particular, los interesados deben tener

derecho a que sus datos se supriman y dejen de tratarse si ya no son necesarios para

los fines para los que fueron recogidos o tratados de otro modo, si los interesados han

retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos

personales que les conciernen, o si el tratamiento de sus datos personales incumple de

otro modo el presente reglamento”. Asimismo, continúa señalando el considerando

citado que “este derecho es pertinente, en particular, si el interesado dio el

consentimiento siendo un niño, no siendo plenamente consciente de los riesgos que

implicaba el tratamiento”.

De la lectura del artículo 17, en su versión finalmente aprobada y publicada en el DOUE

se puede observar que la denominación finalmente elegida ha sido la de derecho a la

supresión y, entre paréntesis, se incluye la referencia al derecho al olvido. Esta

denominación final refuerza la idea de que el derecho al olvido deriva de la propia

evolución de los clásicos derechos de acceso, rectificación, cancelación y oposición. No

en balde han sido numerosas las críticas a la denominación de derecho al olvido,

considerando que ésta no encaja con el contenido concreto del derecho en cuestión419.

419 Pazos Castro, Ricardo: “El mal llamado derecho al olvido en la era de Internet”, Boletín del Ministerio

de Justicia núm. 2183, Noviembre 2015, Año LXIX, p.40.

183

Por otra parte, el derecho al olvido contemplado en el artículo 17 del RGPD está en

estrecha conexión con los principios de calidad del dato, finalidad y proporcionalidad.

De hecho, el derecho al olvido actuaría como un instrumento que persigue el efectivo

cumplimiento del principio de finalidad, que exige que los datos sólo puedan utilizarse

para la finalidad concreta para la que fueron registrados y, una vez que ya no son

necesarios para tal efecto, se produciría su cancelación420. También, en el texto del

artículo 17 se contempla la obligación de notificar a otros responsables del tratamiento

que estén tratando los datos de la solicitud del sujeto y de la obligación de suprimir toda

réplica o copia. Ya el propio considerando 66 del RGPD señala “a fin de reforzar el

derecho al olvido en el entorno en línea, el derecho de supresión debe ampliarse de tal

forma que el responsable del tratamiento que haya hecho públicos datos personales

esté obligado a indicar a los responsables de tratamiento que supriman todo enlace a

ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe

tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su

disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado

a los responsables que estén tratando datos personales”.

Aunque no se recoja en la literalidad del artículo, se puede deducir que para cumplir con

la obligación de tomar medidas razonables teniendo en cuenta la tecnología y medidas

técnicas, y con el fin de informar a otros responsables del tratamiento que estén tratando

los datos, cabría entender que la utilización de protocolos robot.txt (códigos de

exclusión) es un mecanismo perfectamente válido para dar cumplimiento a dicha

420 Castellano, Pere Simón: “El derecho al olvido en el Universo 2.0”, Revista Bid, Universidad de

Barcelona, núm. 28, junio 2012.

184

obligación. Además, al respecto, ha habido varios pronunciamientos recientes que

avalan el uso de los códigos de exclusión421.

Por todo ello, desde un punto de vista práctico, el RGPD contempla un derecho al

olvido de modo que reconoce un derecho de los interesados a que sus datos sean

suprimidos por el responsable de tratamiento en determinadas circunstancias y salvo

que se den otros supuestos contemplados en el ámbito de las excepciones a este

derecho. Además, se incorpora una obligación de informar a otros responsables que

estén tratando los datos para que tomen las medidas oportunas.

6. 2. Caso Mario Costeja y AEPD v. Google (C-131/12)*422

El 13 de mayo de 2014 el Tribunal de Justicia de la UE dictaba la sentencia en el asunto

Mario Costeja y AEDP v. Google (C-131/12) que tiene por objeto una petición de

decisión prejudicial planteada por la Audiencia Nacional sobre la interpretación de la

Directiva 95/46/CE de protección de datos personales. Dicho fallo da respuesta a la

controvertida cuestión del derecho al olvido o cancelación de datos en Internet y, más

en concreto, en los motores de búsqueda. El fallo, aunque genera dudas conceptuales y

de aplicación jurídica, sienta las bases para resolver los conflictos que sobre esta materia

se puedan generar, avalando la aplicación extraterritorial de la citada Directiva.

Asimismo considera que el motor de búsqueda realiza un tratamiento de datos

421 Ver la sentencia de la Sala de lo Civil, del Tribunal Supremo, de 15 de octubre de 2015, núm.

Resolución 545/2015. 422 * Para la elaboración de este bloque de la tesis, sobre el análisis de esta sentencia del TJUE, se ha

tomado como referencia fundamental, el siguiente artículo jurisprudencial publicado por la doctoranda:

Álvarez Caro, María: “Reflexiones sobre la sentencia del TJUE en el asunto ‘Mario Costeja’ (C -131/12)

sobre derecho al olvido”, Revista Española de Derecho Europeo, Civitas Thomson Reuters Aranzadi, nº

51, 2014.

185

personales y es responsable del mismo, a la vez que reconoce el derecho al olvido del

titular de los datos, en el sentido de que éste se pueda dirigir al buscador para que

elimine dichos datos en determinados casos y con independencia de que éstos

permanezcan en la web de origen.

La sentencia referida del Tribunal Europeo de Justicia de la UE del 13 de mayo de

2014, que resuelve la cuestión prejudicial planteada por la Audiencia Nacional, en el

Asunto C-131/12, en el procedimiento entre Google Spain S.L, Google Inc contra la

Agencia Española de Protección de Datos (AEPD) y Mario Costeja González, da una

respuesta al derecho al olvido. El fallo del Tribunal de Luxemburgo ofrece así unas

directrices que necesariamente han de seguir los Estados miembros de la UE a la hora

de resolver los casos que se planteen y ofrece asimismo las bases y líneas para la

regulación del derecho al olvido en el RGPD. Este fallo judicial podría calificarse, si no

como la sentencia más importante en materia de protección de datos en la historia del

TJUE, sin duda, como una de los más trascendentales en dicho ámbito. La sentencia

cierra un caso mediático y polémico sobre el que han corrido ríos de tinta en periódicos

y revistas jurídicas especializadas. Sin embargo, aunque el caso se ha cerrado, es ahora

cuando se abre una nueva etapa, donde habrá que ver cómo se va ejerciendo en la

práctica el derecho al olvido y cómo se va perfilando el futuro con respecto al derecho

al olvido.

Como primera reflexión, quisiera insistir, en que no se puede extrapolar este fallo

judicial para ofrecer la misma solución a cualquier supuesto sobre derecho al olvido, ni

para afirmar, generalizando, que existe un derecho al olvido, absoluto, de todos los

ciudadanos, que estos pueden ejercer frente a un buscador ante informaciones que les

186

desagraden. La sentencia dista mucho de amparar la existencia de un derecho absoluto

al olvido, sino que contempla un derecho lleno de matices y condicionantes de alcance

general y particular. El fallo judicial resuelve un caso concreto, con unas determinadas

características, e insiste, en su argumentación, en que habrá que ir resolviendo, caso por

caso, para ver donde prima más el derecho al acceso a la información por parte del

internauta y, donde, la privacidad del sujeto. Asimismo, afirma que la Directiva

95/46/CE, de protección de datos personales de las personas físicas, ha de interpretarse

desde arriba, en el sentido de que ha de interpretarse a la luz del artículo 8 de la Carta de

Derechos Fundamentales de la UE423.

Es un fallo judicial que podría suponer, en parte, replantearse las reglas del juego en

Internet, y que más allá de a Google, podrá afectar a otros agentes de la Red. Pone en

cuestión el régimen de exención de responsabilidad del contenido de terceros que aplica

a los prestadores de servicios de la sociedad de la información424. Asimismo, y

precisamente por tratarse de una solución para un supuesto concreto, el fallo deja las

puertas abiertas a cuestiones relacionadas con el derecho al olvido para las que este caso

no da una solución, planteándose interrogantes y quedando algunas cuestiones en el

aire, a las que se hará referencia a lo largo de este capítulo.

La sentencia tiene su origen en una cuestión prejudicial planteada por la Audiencia

Nacional al órgano encargado de interpretar el Derecho comunitario, con arreglo al

423 El artículo 8 de la Carta de Derechos Fundamentales de la UE dice así: “1. Toda persona tiene

derechos a la protección de datos de carácter personal que le conciernan.2. Estos datos se tratarán de

modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de

otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos

que le conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de

una autoridad independiente”. 424Ver la Directiva 2000/31/CE de Comercio Electrónico, así como la norma de transposición al derecho

interno español; la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)

34/2002, de 11 de julio.

187

artículo 267 del Tratado de Funcionamiento de la UE (TFUE)425, que contempla este

tipo de recurso por órganos judiciales de los Estados miembros cuando se tienen dudas

de cómo interpretar el Derecho comunitario426. Las dudas se referían, en concreto, al

artículo 2, letras b) y d), artículo 4, apartado 1, letras a) y c), artículo 12 letra b) y

artículo 14 párrafo primero, letra a), de la citada Directiva, así como a la interpretación

del artículo 8 de la Carta de los Derechos Fundamentales de la UE427.

425 El artículo 267 del TFUE señala: “El Tribunal de Justicia de la Unión Europea será competente para

pronunciarse con carácter prejudicial: sobre la interpretación de los tratados; sobre la validez o

interpretación de los actos adoptados por las instituciones, órganos u organismos de la Unión. Cuando

se planee una cuestión de esta naturaleza ante un órgano jurisdiccional de uno de los Estados Miembro,

dicho órgano podrá pedir al Tribunal, que se pronuncie sobre la misma, si estima necesaria una decisión

al respecto para poder emitir su fallo. Cuando se plantee una cuestión de este tipo en un asunto

pendiente ante un órgano jurisdiccional nacional, cuyas decisiones no sean susceptibles de ulterior

recurso judicial de Derecho interno, dicho órgano estará obligado a someter la cuestión al Tribunal.

Cuando se plantee una cuestión de este tipo en un asunto pendiente ante un órgano jurisdiccional

nacional en relación con una persona privada de libertad, el Tribunal de Justicia de la Unión Europea se

pronunciará con la mayor brevedad”. 426La Audiencia Nacional plantea el auto el 27 de febrero de 2012, teniendo entrada en el TJUE el 9 de

marzo. 427 Artículo 2, letra b, Directiva 95/46/CE: “tratamiento de datos personales es cualquier operación o

conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos

personales, como la recogida, registro, organización, conservación, elaboración o modificación,

extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que

facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción”. El

apartado d) del dictado artículo destaca: “responsable del tratamiento es la persona física o jurídica,

autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los

fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del

tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias,

el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el

Derecho nacional o comunitario”. El artículo 4.1 señala: “Los Estados Miembros aplicarán las

disposiciones nacionales que hayan aprobado para la aplicación de la presente Directiva a todo

tratamiento de datos personales cuando: a) el tratamiento sea efectuado en el marco de las actividades de

un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo

responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar

las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones

previstas por el Derecho nacional aplicable, b) […], c) el responsable del tratamiento no esté establecido

en el territorio de la Comunidad y recurra, para el tratamiento de datos personales, a medios,

automatizados o no, situados en el territorio de dicho Estado miembro, salvo en el caso de que dichos

medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea”. El artículo

12, letra b) señala: “Derecho de acceso. Los Estados miembros garantizarán a todos los interesados el

derecho de obtener del responsable del tratamiento: en su caso, la rectificación, la supresión o el bloqueo

de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a

causa del carácter incompleto o inexacto de los datos; .Por su parte, el artículo 14.1.a) de la citada

Directiva destaca, en relación con el derecho de oposición del interesado, que “Los Estados miembros

reconocerán al interesado el derecho a oponerse, al menos, en los casos contemplados en las letras e) y f)

del artículo 7 en cualquier momento y por razones legítimas propias de su situación particular, a que los

datos que le conciernan sean objeto de tratamiento, salvo cuando la legislación nacional disponga otra

cosa. En caso de oposición justificada, el tratamiento que efectúe el responsable, no podrá referirse ya a

estos datos”.

188

El caso se plantea en el marco de un litigio entre, por un lado, a Google Inc y Google

Spain S.L y, por otro, el ciudadano español Mario Costeja y la autoridad de protección

de datos española. Con respecto a la norma sobre la cual la Audiencia Nacional tiene

dudas interpretativas, como ya se ha dicho, se trata de la Directiva 95/46/CE, del

Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la Protección de

las personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos, una norma que data ya de una época en la que Internet no es

lo que era hoy en día y, desde luego, no está pensada para mucha de la problemática que

se plantea en la actualidad en materia de protección de datos. De hecho, tal y como

señaló el Abogado General Niilo Jääskinen en sus conclusiones428, “cuando la Comisión

Europea elaboró la propuesta de Directiva, en 1990, Internet, en el sentido actual de

World Wide Web, no existía, ni tampoco existían motores de búsqueda”. Por ello, en el

ámbito de la UE se ha decidido actualizar la normativa aplicable en esta materia, desde

que en enero de 2012 la Comisión Europa aprobó la Propuesta de Reglamento Europeo

de Protección de Datos429.

Para contextualizar el caso objeto del litigio, y antes de entrar a abordar la

argumentación de la sentencia, se hará un breve repaso de los hechos. El comienzo se

remonta al 5 de marzo de 2010, cuando el ciudadano Mario Costeja presenta una

reclamación ante la AEPD contra La Vanguardia Ediciones SL, empresa que publica un

periódico de gran difusión en Cataluña, y contra Google Spain y Google Inc, para

ejercer un derecho de cancelación de los datos publicados relacionados con un anuncio

428 Ver las conclusiones del abogado general Niilo Jääskinen relacionadas con este caso y presentadas el

pasado 25 de junio de 2013. 429 En octubre de 2013, el Comité LIBE (Comisión de Libertades Civiles, Justicia y Asuntos de Interior)

del Parlamento Europeo emitió un informe emitiendo su posición con respecto al borrador de Reglamento

Europeo de Protección de Datos, incluyendo algunas modificaciones con respecto al texto original de la

CE. Posteriormente, en marzo de 2014, la Eurocámara respalda en primera lectura el paquete legislativo

de Protección de Datos, con 621 votos a favor, 10 en contra y 22 abstenciones.

189

de subasta de un inmueble por deudas a la Seguridad Social de 1998. La reclamación

del señor Costeja se basaba en que cuando un internauta introducía su nombre y

apellidos en el motor de búsqueda, el internauta obtenía, como resultado, vínculos hacia

dos páginas del periódico mencionado, del año 1998, en las que figuraba un anuncio de

subasta de inmuebles relacionada con un embargo por deudas a la Seguridad Social,

deudas que el ciudadano en cuestión ya había saldado tiempo atrás. El afectado, titular

de los datos, acude primero tanto al medio de comunicación como al buscador y pide la

retirada de los datos en cuestión. Ninguno de los dos accede a su petición, por lo que el

afectado acude a la AEPD. Por su parte, la AEPD430 considera en su resolución de julio

de 2010 que La Vanguardia no está obligada a cancelar los datos al haber sido éstos

publicados con una justificación legítima, al haber sido ordenada la publicación por el

Ministerio de Trabajo y Asuntos Sociales con el fin de dar la mayor publicidad a la

subasta. Al contrario, obliga a Google a proceder a cancelar o borrar los datos de su

buscador. El gigante tecnológico plantea un recurso ante la Audiencia Nacional, y éste

órgano judicial, ante las dudas sobre la interpretación de la Directiva 95/46/CE, plantea

una cuestión prejudicial ante el TJUE. La Audiencia Nacional pregunta tres cuestiones

prejudiciales al Tribunal de Luxemburgo431. Ya antes de la sentencia del TJUE del 13

430 El 30 de julio de 2010, mediante resolución, la AEPD desestimó la reclamación en la medida en que se

refería a La Vanguardia, al considerar que la publicación que ésta había llevado a cabo estaba legalmente

justificada, mientras que estima la reclamación en lo que respecta a Google Inc. y Google Spain, al

considerarlos responsables del tratamiento y sometidos a la Directiva europea. 431 Las tres cuestiones prejudiciales que plantea la Audiencia Nacional son: 1) ¿Por lo que respecta a la

aplicación territorial de la Directiva 95/46 y, consiguientemente de la normativa española de protección

de datos: a) Debe interpretarse que existe un ‘establecimiento’, en los términos descritos en el art.4.1.a)

de la Directiva 95/46 cuando concurra alguno o algunos de los siguientes supuestos: i) cuando la empresa

proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la

promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes del

Estado o, ii) cuando la empresa matriz designa una filial ubicada en ese Estado miembro como su

representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos

de los clientes que contrataron publicidad con dicha empresa o, iii) cuando la oficina o filial establecida

en un Estado miembro traslada a la empresa matriz, radicada fuera de la UE, las solicitudes y

requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el

respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?,

b) ¿Debe interpretarse el artículo 4.1.c de la Directiva 95/46 en el sentido de que existe un recurso a

medios situados en el territorio de dicho Estado miembro? i) cuando un buscador utilice arañas o robots

190

de mayo de 2014, el abogado general del TJUE, Niilo Jääskinen, dicta sus conclusiones

generales –en todo caso no vinculantes-, el pasado 25 de junio de 2013, unas

conclusiones que, aunque con algunos puntos en común, como en lo que respecta a la

aplicación extraterritorial de la Directiva 95/46/CE, difieren notablemente de la línea

que finalmente siguió la sentencia432.

Sobre la pregunta de si hay o no un tratamiento de datos personales por parte de Google

Inc, la Directiva, en concreto el artículo 2.b) deja claro que un tratamiento es “cualquier

operación o conjunto de operaciones, efectuadas o no mediante procedimientos

automatizados, y aplicadas a datos personales, como la recogida, registro,

para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado

miembro o ii) cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y

los resultados en función del idioma de ese Estado miembro?; c) ¿puede considerarse como un recurso a

medios, en los términos del art. 4.1.c de la Directiva, el almacenamiento de la información temporal

indexada por los buscadores en Internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede

entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde

almacena estos índices alegando razones competitivas?, d) Con independencia a la respuesta a las

preguntas anteriores y especialmente en el caso de que se considerase por el Tribunal de Justicia de la UE

que no concurren los criterios de conexión previstos en el art.4 de la Directiva 95/46: ¿debe aplicarse la

Directiva 95/46 a la luz del art.8 de la Carta en el país miembro donde se localice el centro de gravedad

del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Union?. 2) Por lo

que respecta a la actividad de los buscadores como proveedor de contenidos en relación con la Directiva

95/46/CE: a) en relación con la actividad (de Google Search), como proveedor de contenidos, consistente

en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática,

almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de

preferencia cuando dicha información contenga datos personales de terceras personas, ¿Debe interpretarse

una actividad como la descrita comprendida en el concepto de “tratamiento de datos”, contenido en el

artículo 2.b) de la Directiva 95/46?; b) en caso de que la respuesta anterior fuera afirmativa y siempre en

relación con una actividad como la ya descrita, ¿Debe interpretarse el artículo 2.d de la Directiva 95/46 en

el sentido de considerar que la empresa que gestiona (Google Search) es “responsable del tratamiento” de

los datos personales contenidos en las páginas web que indexa?; c) En el caso de que la respuesta anterior

fuera afirmativa: ¿Puede la AEPD tutelando los derechos contenidos en el artículo 12.b y 14.a) de la

Directiva 95/46, requerir directamente a (Google Search) para exigirle la retirada de sus índices de una

información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en

la que se ubica la información?; d) en el caso de que la respuesta a esta última pregunta fuera afirmativa,

¿se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene

esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?; 3)

Respecto al alcance del derecho de cancelación y oposición en relación con el derecho al olvido se

plantea la siguiente pregunta: ¿debe interpretarse que los derechos de supresión y bloqueo de los datos,

regulados en el art.12 b) y el de oposición, regulado en el art.14.a) de la Directiva 95/46 comprenden que

el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información

referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma

no sea conocida por los internautas cuando considere que pueda perjudicarle o desea que sea olvidada,

aunque se trate de una información publicada lícitamente por terceros? 432 Las conclusiones del abogado general, Niilo Jääskinen, se pueden ver en el siguiente enlace:

http://curia.europa.eu/juris/document/document.jsf?docid=138782&doclang=ES

191

organización, conservación, elaboración o modificación, extracción, consulta,

utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite

el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o

destrucción”. Para el Tribunal, queda claro que la actividad de un motor de búsqueda

proveedor de contenido, en la medida en que encuentra información publicada o puesta

en Internet por terceros, la indexa de forma automática, la almacena temporalmente y,

por último, la pone a disposición de los internautas según un orden de preferencia

determinado e implica un tratamiento de datos personales cuando la información los

contiene.

En mi opinión, se podría afirmar claramente que hay un tratamiento de datos personales

por parte del buscador, tomando como base la sentencia Lindqvist433, aunque en este

caso se hiciera referencia a datos en una página web y no a datos en un buscador y no

tuviese nada que ver con la actividad de indexación. Según esta sentencia, la conducta

que consiste en que el titular de una página web haga referencia en su web a datos

personales, implica un tratamiento de datos personales. Aunque no trataba sobre

buscadores sí abordaba la cuestión de datos personales en Internet.

La sentencia del TJUE del 13 de mayo de 2014 claramente subraya que el buscador, una

vez explora Internet de forma automatizada, constante y sistemática, en busca de la

información que allí se publica, el gestor de un motor de búsqueda recoge tales datos

que extrae, registra y organiza posteriormente en el marco de sus programas de

indexación, conserva en sus servidores y, en su caso comunica y facilita el acceso a sus

usuarios en forma de listas de resultados de sus búsquedas. Tal y como destaca el TJUE,

433Ver la sentencia Lindqvist, del TJUE, C-101/01, EU:C:2003-596, apdo 25).

192

estas operaciones, que están recogidas “de forma explícita e incondicional” en el

artículo 2 letra b) de la Directiva, deben calificarse de tratamiento en el sentido de dicha

disposición.

El TJUE ha sido muy riguroso y acertado con esta argumentación, cuando además,

insiste en que es irrelevante que el gestor del motor de búsqueda también realice las

mismas operaciones con otros tipos de información y no distinga entre éstos y los datos

personales. Y asimismo es irrelevante que esas operaciones vayan referidas sólo a

informaciones ya publicadas por los medios de comunicación. En cualquier caso, sigue

siendo un tratamiento de datos y tampoco contradice esta afirmación el hecho de que los

datos hayan sido previamente publicados en Internet. Por su parte, el abogado Jääskinen

también consideró que había un tratamiento de datos personales por parte del motor de

búsqueda, llegando a destacar en sus conclusiones que el hecho de si Google realiza o

no un tratamiento de datos no requiere para él demasiada discusión y resulta algo obvio.

El hecho de que Google no edite y transforme el contenido sino que lo indexe, como un

mensajero, intermediario o transmisor, no impide la existencia de un tratamiento de

datos personales conforme a la Directiva 95/46/CE. Sin embargo, hay un punto

importante de divergencia entre la sentencia y las conclusiones del Abogado General,

que es precisamente el hecho de que Google no diferencia entre datos personales y datos

no personales, que unido al hecho de que se trate de un proceso automático basado en

un algoritmo y sin intervención humana, no siendo Google consciente de la existencia

de datos personales en sus resultados de búsqueda lleva, en parte, a Jääskinen a concluir

que Google no es responsable del tratamiento de datos personales que realiza. Así, el

hecho de que su labor como buscador en Internet sea una labor intermediaria, debe tener

un reflejo en la atribución de responsabilidad.

193

El considerando 19 de la Directiva dice así: “Considerando que el establecimiento en el

territorio de un Estado miembro implica el ejercicio efectivo y real de una actividad,

mediante una instalación estable; que la forma jurídica de dicho establecimiento sea

una simple sucursal o una empresa filial con personalidad jurídica, no es un factor

determinante al respecto […]”. Con respecto a cómo interpretar el artículo 4 de la

Directiva sobre el derecho nacional aplicable, el TJUE considera que la normativa

europea le es aplicable amparándose en el art. 4.1 apartado a) de la Directiva que dice

así: “Los Estados miembro aplicarán las disposiciones nacionales que hayan aprobado,

para la aplicación de la presente Directiva a todo tratamiento de datos personales

cuando: a) el tratamiento sea efectuado en el marco de las actividades de un

establecimiento del responsable del tratamiento en el territorio del Estado miembro.

Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios

Estados miembros deberá adoptar las medidas necesarias para garantizar que cada

uno de dichos establecimientos cumple las obligaciones previstas por el derecho

nacional aplicable. b)…[…]”434.

La Audiencia Nacional se pregunta, con carácter principal, sobre el concepto de

establecimiento, en el sentido del citado artículo de la Directiva, y sobre el recurso a

medios situados en el territorio de dicho Estado miembro. El TJUE considera que se

cumple con ello, en el sentido de que el tratamiento es efectuado en el marco de las

actividades de un establecimiento del responsable en el territorio del Estado miembro.

Ante la pregunta de si debe considerarse que existe un establecimiento a los efectos del

art. 4.1 a) de la Directiva, cuando la empresa proveedora del motor de búsqueda crea en

434 Art. 4 Directiva 95/46/CE.

194

un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios

publicitarios del buscador que dirige su actividad a los habitantes de ese Estado, el

Tribunal entiende que sí. Por ello, no entra a valorar si puede considerarse que existe

establecimiento ante los otros dos supuestos que plantea la pregunta: a) cuando la

empresa matriz designa una filial ubicada en ese Estado miembro como su representante

y responsable del tratamiento de dos ficheros concretos que guardan relación con los

datos de los clientes que contrataron publicidad con dicha empresa o b) cuando la

oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada

fuera de la UE, las solicitudes y requerimientos que le dirigen tanto los afectados como

las autoridades competentes, en relación con el respeto al derecho de protección de

datos, aun cuando dicha colaboración se realice de forma voluntaria. El Tribunal

considera que el tratamiento de datos realizado por Google se encuadra en el marco de

la actividad de un establecimiento del buscador y, por tanto, no entra a valorar los otros

supuestos planteados.

Si bien se puede argumentar que el buscador utiliza un algoritmo para la búsqueda

solicitada, trabajando de forma automática y sin intervención humana, no diferenciando

entre datos personales de personas físicas y datos que no entran en esta categoría, no es

menos cierto que la actividad publicitaria que se lleva a cabo en el buscador, y de la que

la compañía obtiene una nada desdeñable cantidad de ingresos publicitarios, está

intrínsecamente ligada al marco de actividad del buscador, en la medida en que los

términos, parámetros o palabras que se utilicen en las búsquedas van a influir en la

publicidad mostrada en el buscador. Es decir, los hábitos de navegación de los usuarios

del buscador son utilizados para servir un tipo de publicidad u otro y, para dar con esos

hábitos de navegación, se utiliza información y datos, que en algunos casos supone

195

información de índole económica, social, permiten establecer perfiles de personalidad o

hábitos de consumo y, son por tanto, en ocasiones, datos de carácter sensible. La

publicidad en el buscador –medio a través del cual Google obtiene ingresos-y la propia

actividad automática del buscador de localizar la información solicitada, están

intrínsecamente ligadas.

Con respecto a si es aplicable a Google la normativa europea -la Directiva 95/46/CE-,

por una parte, está la relación que Google, en concreto Google Spain, tiene con sus

clientes, las empresas anunciantes que, sin duda, está sometida a la legislación española

de protección de datos y a la Directiva, porque Google trata datos personales de

empleados de dichas empresas que se anuncian en el buscador y que son la fuente de

ingresos principal para la compañía. Y, por otra parte, está el debate sobre si Google ha

de cumplir con la Directiva en lo que respecta a la propia actividad del buscador, debate

que tanto el Abogado General del TJUE como el propio Tribunal de Luxemburgo dan

por zanjado. Ambos son coincidentes y consideran que Google Inc debe someterse a la

normativa comunitaria. Y, por tanto, una conclusión relevante de la sentencia es la

extraterritorialidad de la aplicación de la Directiva 95/46/CE, considerando que ésta

puede ser aplicable a empresas de fuera de la UE.

El Tribunal encuadra correctamente el tratamiento de datos personales en el marco de

actividad del buscador. Y, por tanto, y dado que se cumpliría el requisito del artículo 4.1

a), no se entra a valorar las otras preguntas sobre otros supuestos en los que se podría

tener la consideración de establecimiento en los otros supuestos que la Audiencia

Nacional plantea.

196

¿Cuándo podemos considerar que hay un tratamiento de datos personales en el marco de

la actividad del establecimiento del responsable del tratamiento en un Estado miembro?

El TJUE destaca que la actividad de promoción y venta de espacios publicitarios, de la

que Google Spain es responsable para España, constituye la parte esencial de la

actividad comercial del grupo Google, y puede considerarse que está estrechamente

vinculada a Google Search o al buscador de Google, que se gestiona directamente desde

EE.UU, por Google Inc. El TJUE resalta aquí que hay un vínculo indisociable entre la

actividad del motor de búsqueda gestionado por Google Inc. y la de Google Spain y, por

ello, esta última debe considerarse un establecimiento de aquélla. Aquí, y con respecto a

este punto, el TJUE acude acertadamente al considerando 19 de la Directiva, resaltando

que éste considerando alude a la necesidad de que haya un establecimiento estable, sin

importar si se trata de una simple sucursal o una filial con personalidad jurídica. En este

caso, no cabe duda de que Google se dedica a una actividad real y efectiva mediante un

establecimiento estable que, además tiene la categoría de filial de Google Inc. en

territorio español, con personalidad jurídica propia.

El argumento que utiliza Google para defender que Google Spain no trata los datos sino

que lo hace Google Inc, al ser responsable o gestor del buscador, pierde fuerza al tener

en cuenta la diferencia de significado entre la preposición por y la preposición en

cuando el TJUE acertadamente insiste en que “como subrayaron el Gobierno español y

la Comisión, en el artículo 4. 1 a) de la Directiva 95/46, no se exige que el tratamiento

de datos controvertido sea realizado por el propio establecimiento en cuestión, sino que

“se realice en el marco de las actividades de éste”435. Por ello, es irrelevante que el

tratamiento lo realice Google Inc si se realiza en el marco de las actividades del

435Ver apartado 52 de la STJUE de 13 de mayo de 2014.

197

establecimiento de Google Spain. Es importante, además, recordar, que esta expresión

no puede ser objeto de una interpretación restrictiva436.

Según se destaca en la sentencia del pasado 13 de mayo de 2014, “dado que las

actividades relativas a los espacios publicitarios constituyen el medio para que el

motor de búsqueda en cuestión sea económicamente rentable y, dado que este motor es,

al mismo tiempo, el medio que permite realizar las mencionadas actividades, […]”437,

debemos considerar que se realiza un tratamiento de datos personales en el marco de las

actividades de un establecimiento del responsable de dicho tratamiento en el territorio

de un Estado miembro, cuando el gestor de un motor de búsqueda crea en un Estado

miembro una sucursal o filial, cuyo objetivo es promocionar y vender espacios

publicitarios propuestos por el mencionado motor, como es el caso de Google Spain, y

que dirige, además su actividad, a los habitantes de ese Estado miembro”438. Asimismo,

el TJUE apunta que, en la medida en que se cumple el primero de los tres requisitos

mencionados por el tribunal remitente, no entra a valorar los otros dos. Queda claro que

es aplicable a Google Inc la Directiva 95/46/CE y que realiza un tratamiento de datos en

el marco de la actividad de un establecimiento situado en la UE. La aplicación

extraterritorial de la Directiva es un importante hito en lo referente a tratamientos de

datos llevados a cabo fuera de la UE, lo que asimismo refuerza el art. 3 del RGPD,

donde se recoge la aplicación extraterritorial para determinados supuestos439.

436 Ver el apartado 53 de la sentencia en la que se hace referencia a la imposibilidad de interpretación

restrictiva, según la sentencia de L’Oreal y otros-C324/09, EU:C: 2011: 474, apdo 62 y 63. 437 Apartado 60 de la STJUE de 13 de mayo de 2014. 438 Ibídem. 439Piñar Mañas, José Luis, «Aplicación extraterritorial de la Directiva 95/46/CE sobre protección de datos

y derecho al olvido frente a los motores de búsqueda. Comentario rápido a la Sentencia del Tribunal de

Justicia de la Unión Europea de 13 de mayo de 2014, Caso GOOGLE», Revista IURIS (LA LEY -

Wolters Kluwer), núm. 215, 1ª quincena de junio de 2014, págs. 20 a 23.

198

En lo que respecta a si Google es responsable del tratamiento, aquí resulta interesante

hacer una comparación entre la opinión del Abogado General y la sentencia del TJUE,

pues difieren de manera sustancial. Según la Directiva, “el responsable del tratamiento

es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo

que sólo o conjuntamente con otro determine los fines y los medios del tratamiento de

los datos personales; en caso de que los fines y los medios del tratamiento estén

determinados por disposiciones legislativas o reglamentarias nacionales o

comunitarias, el responsable del tratamiento o los criterios específicos para su

nombramiento podrían ser fijados por el Derecho nacional o comunitario”440.

Por su parte, el Abogado General Jääskinen entendió en 2013 que Google sí realiza un

tratamiento de datos, partiendo del concepto amplio de tratamiento que ha realizado la

Directiva441, en su artículo 2. Letra b). Es más, en su argumentación, el Abogado

General insiste de manera reiterada en que no requiere demasiada discusión el hecho de

si Google realiza o no un tratamiento, siendo algo obvio y evidente. Sin embargo, el

Abogado General consideraba que Google no era responsable de dicho tratamiento,

desde el momento en que no distinguía entre datos personales y datos que no tienen esta

condición y operaba de forma automática y sin intervención humana. Asimismo,

argumentaba que Google no indexaba las informaciones en las que el editor web

hubiese utilizado los protocolos de exclusión o códigos robot.txt y, por tanto, era esta

fuente de origen la que debía utilizar esos protocolos conocidos por la industria, para el

caso de que esa información publicada no debiera de permanecer publicada. El

440 Ver el artículo 2 de la Directiva 95/46/CE. 441 Se entiende por tratamiento de datos de carácter personal según la Directiva 95/46/CE, “cualquier

operación o conjunto de operaciones efectuadas o no mediante procedimientos automatizados, y

aplicadas a datos personales como la recogida, registro, organización, conservación, elaboración o

modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra

forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o

destrucción”.

199

Abogado General Jääskinen considera que la Directiva 2000/31/CE de Comercio

Electrónico (transpuesta al ordenamiento jurídico español a través de la Ley de

Servicios de la Sociedad de la Información y Comercio Electrónico, LSSI), no es

aplicable al motor de búsqueda Google, porque para el internauta el servicio de

búsqueda del motor de Google es gratuito. En mi opinión, y ateniéndonos a la

literalidad de la Directiva, no necesariamente el prestador de servicios de la sociedad de

la información debe ofrecer el servicio de forma remunerada, sino que, en la citada

Directiva de comercio electrónico, se utiliza la expresión “normalmente

remunerada”442, con lo que se estaría dejando abierta la posibilidad de que el servicio se

preste de forma gratuita, a distancia, y que suponga una actividad económica para el

prestador del servicio, por lo que, considero que podría ser aplicable, al gestor de

motor de búsqueda de Google, la citada Directiva y la LSSI española que contemplan la

exención de responsabilidad del intermediario con respecto al contenido de terceros que

aloja, salvo conocimiento efectivo. En cualquier caso, y con independencia de que sea o

no sea aplicable la Directiva, el Abogado General Jääskinen estima que, por analogía,

debe aplicarse dicha exención de responsabilidad y el intermediario, el gestor del motor

de búsqueda, no debe ser responsable del contenido del editor web si no hay una

resolución administrativa o judicial que indique la ilicitud, inadecuación o inexactitud

del contenido- en este caso de los datos personales- y si al mismo tiempo, en la página

web de origen se borra ese contenido. Pues bien, esta pregunta sobre el alcance de la

responsabilidad es la que, en función de cuál sea la respuesta, va a determinar si existe o

no un derecho al olvido en el sentido de poder dirigirse al buscador para la eliminación

de contenido.

442 Ver el ámbito de aplicación de la Directiva 2000/31/CE y la definición de prestador de servicios de la

sociedad de la información.

200

Conviene analizar la finalidad perseguida con el derecho de cancelación de datos en

Internet: el titular de los datos debe tener control de los mismos y debe poder

cancelarlos cuando resulten inadecuados, excesivos o no pertinentes. El dato

controvertido, objeto de este caso, fue obtenido en 1998 y publicado en un periódico

con una finalidad determinada, que era dar publicidad a la subasta para obtener el mayor

número de licitadores posible, por orden del Ministerio de Trabajo y Asuntos Sociales.

La legitimidad de la publicación en origen era ésta. ¿Se podría decir que ese interés

legítimo o la finalidad con la que los datos fueron publicados a día de hoy permanecen?

La única justificación para que ese dato permanezca a día de hoy en la fuente de origen

es la legítima existencia de hemerotecas digitales para poder acceder vía online a

informaciones que fueron publicadas hace años en el periódico. Por tanto, se basaría en

un interés legítimo del editor web. Las hemerotecas digitales de los periódicos cumplen

una finalidad necesaria en todo lo que es la investigación periodística e histórica; pero,

no se puede poner en duda, que la existencia de Internet y de buscadores como Google,

amplifica y pone a disposición de una gran cantidad de personas, de modo cuasi

automático, toda esa información de los periódicos online. Y precisamente por esto, la

finalidad de la hemeroteca digital, que no es otra que ser un pequeño recopilatorio de la

historia para ser utilizado con fines de consulta o investigación, puede pervertirse y

permitir un uso de la información en Internet con otros fines que claramente pueden

atentar contra la intimidad, honor o privacidad de las personas.

Lo que pretendo explicar con la reflexión anterior es poner de manifiesto que Internet

o un buscador como Google es, a fin de cuentas, mucho más invasivo y amenazante

para la privacidad y la protección de datos que una hemeroteca de un periódico, por las

propias características de Internet, en el sentido de que permite llegar a un gran número

201

de personas, fácilmente, y casi en tiempo real. Sin embargo, debemos de tener en cuenta

las características del medio del que hablamos, Internet y los prestadores de servicios de

la sociedad de la información intermediarios, que, según la normativa que les aplica

están exentos de responsabilidad con respecto a los contenidos de terceros que alojan.

Tras una lectura de la sentencia, la primera reflexión que podríamos hacer es cuestionar

la compatibilidad del fallo judicial con el Derecho comunitario, en concreto con la

propia Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico

(LSSI) y con la Directiva 2000/31/CE de Comercio Electrónico. Cierto es que aquí, en

esta normativa, se hace referencia al conocimiento efectivo como una excepción a esta

exención de responsabilidad, pero supone un elemento de incertidumbre y arbitrariedad

llegar a extender el concepto de conocimiento efectivo, de manera que la propia

reclamación del titular afectado , en todo caso, suponga un conocimiento efectivo de la

ilicitud, inexactitud o inadecuación del contenido alojado, sin necesidad de que deba

mediar la resolución de un órgano administrativo o judicial o, al menos, en el caso que

nos ocupa, sin que el editor web o fuente de origen deba proceder asimismo a la

eliminación de los datos.

A mi juicio, el proveedor de servicios de motores de búsqueda en Internet no puede

cumplir de forma aislada con las obligaciones del responsable del tratamiento

establecidas en los artículos 6, 7 y 8 de la Directiva en relación con los datos personales

contenidos en páginas web fuente alojadas en servidores de terceros. El derecho al

olvido puede llegar a ser ineficaz. Si lo verdaderamente pretendido es la cancelación de

los datos en Internet, el hecho de hacer única y exclusivamente responsable a un

prestador de servicios de la sociedad de la información, puede resultar un procedimiento

ineficaz para el fin pretendido, al poder seguir estando esa información accesible desde

202

la web de origen, así como desde otros buscadores. Aunque la cuota de mercado de

Google, como buscador, sea muy elevada, hay unos cuantos buscadores en el mercado,

así como otro tipo de páginas webs, blogs o redes sociales, en que se podría seguir

haciendo referencia a la información y, en algunos casos, dar con la misma utilizando el

nombre y apellidos de una persona como parámetro de búsqueda, igual que en el

supuesto planteado. Asimismo hay que tener en cuenta que este caso concreto plantea la

búsqueda utilizando como parámetros sólo el nombre y apellidos de la persona, con lo

que otros supuestos quedarían, en principio, fuera. En resumen, hay que recordar que

este caso trata sobre un supuesto muy concreto, en el que la búsqueda de la información

en Google se hace utilizando el nombre y apellidos de una persona como parámetro de

búsqueda y hay otros supuestos de búsqueda de información bajo otros parámetros que

aquí no se analizan.

Aunque quizá la expresión no sea la más adecuada, da la impresión de que en la

resolución de este caso concreto, se trata de una forma un tanto privilegiada al medio de

comunicación, considerando que el buscador debe proceder a eliminar de sus resultados

de búsqueda, en determinados casos, una información, con independencia de que en la

web de origen (versión online del periódico) permanezca. Descargar toda la ira en el

buscador de Google no es la mejor opción, o al menos, la más eficaz. Si existen medios

para evitar la indexación y pueden ser utilizados por la web de origen, dar cabida a la

utilización de estos, lograría mejor la finalidad pretendida. La sentencia del TJUE del 13

de mayo de 2014, cuando ofrece argumentos para atribuir la responsabilidad al gestor

del motor de búsqueda y lo considera responsable del tratamiento de los datos - ver el

apartado 34- destaca que para lograr una protección eficaz y completa de los interesados

no se puede excluir de esta disposición al gestor de un motor de búsqueda, por lo que en

203

la Directiva se ofrece una definición amplia de responsable del tratamiento.

Precisamente por este argumento, considero que el hecho de no otorgar ningún tipo de

responsabilidad al editor web impide el logro del objetivo de la disposición –artículo 2

letra d), imposibilitando una protección eficaz y completa, ya que se podría seguir

accediendo a la información por otras vías. Si existen medios para evitar la indexación y

pueden ser utilizados por la web de origen, dar cabida a la utilización de éstos como

modo para evitar la indexación, sería más apropiado desde el punto de vista de lograr la

finalidad pretendida con el ejercicio del derecho al olvido: lograr la cancelación de esos

datos en Internet. A fin de cuentas, no hay que olvidar que Google no es Internet. Hay

más agentes que operan en la Red.

De esta manera, y suponiendo que el medio de comunicación tuviese que utilizar los

protocolos de exclusión, todos tendrían que seguir las instrucciones de no indexación

que daría la web de origen y, desde luego, el procedimiento sería mucho más efectivo.

Asimismo, y frente al argumento de que hay una base legal para la publicación en

origen, nada tengo que objetar a ese punto; pero sin embargo, el TJUE deja abierta la

vía a considerar que una información que en su día fue publicada sobre una base legal

pueda cuestionarse pasado un tiempo, en el sentido de no ser legítima su indexación ,

dado que la razón de la publicación en origen (que, en el caso que nos ocupa era dar la

mayor publicidad en una subasta, por orden de un órgano administrativo, para la

concurrencia de un mayor número de licitadores) ya no existe y, precisamente, la

indexación y el fácil acceso masivo a esa información en Internet, suponen un atentado

contra la protección de datos del titular. Son datos irrelevantes para el conocimiento

público y acaecidos largo tiempo atrás, con lo cual, ¿cabe preguntarse si debemos de

someter la información a una fecha de caducidad? o dicho de otra forma, nos

204

preguntamos si algo que fue publicado sobre una base legítima, puede con el transcurso

del tiempo, dejar de tener legitimidad. Con respecto a este punto, resulta interesante leer

a Victor Mayer-Schönberger443, quien plantea precisamente el concepto de la caducidad

de la información y defiende vehementemente el olvido como una función humana “tan

importante, o más si cabe, que el recuerdo”444.

El apartado 93 de la sentencia destaca que “incluso un tratamiento inicialmente lícito de

datos exactos, puede devenir con el tiempo, incompatible con dicha Directiva cuando

estos datos ya no sean necesarios en relación con los fines para los que se recogieron o

trataron. Este es el caso, en particular, cuando son inadecuados, no pertinentes o ya no

pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”.

La sentencia del TJUE apunta literalmente que, en efecto, respecto al hecho de que los

editores web dispongan de protocolos “no archive”, “no index” o códigos de exclusión,

“esta circunstancia no modifica el hecho de que el gestor determina los fines y los

medios de este tratamiento. Además, aun suponiendo que dicha facultad de los editores

de los sitios de Internet signifique que estos determinen conjuntamente con dicho gestor

los medios del mencionado tratamiento, tal afirmación no elimina en modo alguno la

responsabilidad del gestor, ya que el artículo 2. Letra d) de la Directiva prevé

expresamente que esta determinación pueda realizarse “sólo o conjuntamente con

otros”445. Considero que, sobre todo desde un punto de vista de eficacia y logro del fin

pretendido, hubiera sido más acertado considerar que la responsabilidad es conjunta y

que Google puede estar obligado a borrar la información en determinados casos pero, a

su vez, el editor web, en determinados casos también, tenga que estar obligado a previa

443 Victor Mayer-Schönberger: op.cit, pag. 16 y ss. 444 Ibídem. 445 Artículo 2, letra d), de la Directiva 95/46/CE.

205

o simultáneamente incluir protocolos de exclusión para evitar la indexación. No parece

descabellado plantearse si la responsabilidad de este tratamiento podría ser una

responsabilidad conjunta entre el gestor del motor de búsqueda y el editor web.

Google Inc y Google Spain utilizaban como argumento que el editor web era quien

disponía de los medios más eficaces y menos restrictivos para hacer que la información

fuese inaccesible. Para una mayor eficacia y logro del fin pretendido, comparto que el

editor web debería incorporar las medidas para evitar la indexación de la información,

ya que, de ser únicamente Google search quien borre la información, esos datos dejarían

de estar disponibles en el buscador de Google en territorio europeo, pero, sin embargo,

se seguiría pudiendo acceder a los mismos desde otros buscadores y sitios web, así

como desde fuera del territorio de la UE. En el apartado 84 de la sentencia se reconoce

que “habida cuenta de la facilidad con la que la información publicada en un sitio de

Internet puede ser copiada en otros sitios y de que los responsables de su publicación

no están siempre sujetos al Derecho de la UE, no podría llevarse a cabo una protección

eficaz y completa de los interesados si éstos debieran obtener con carácter previo o en

paralelo la eliminación de la información que les afecta de los editores de los sitios de

Internet”446.

Precisamente y por esa misma razón no se puede llevar a cabo una protección eficaz y

completa si la información sigue permaneciendo en la página web de origen o puede ser

indexada por otros buscadores.

446 Apartado 84 de la sentencia.

206

A tenor del artículo 6 de la Directiva 95/46/CE, “1. Los Estados miembros dispondrán

que los datos personales sean: a) tratados de manera leal y lícita; b) recogidos con

fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera

incompatible con dichos fines; no se considerará incompatible el tratamiento posterior

de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados

miembros establezcan las garantías oportunas; c) adecuados, pertinentes y no

excesivos con relación a los fines para los que se recaben y para los que se traten

posteriormente; d) exactos y, cuando sea necesario, actualizados; deberán tomarse

todas las medidas razonables para que los datos inexactos o incompletos , con respecto

a los fines para los que fueron recogidos o para los que fueron tratados posteriormente

sean suprimidos o rectificados; e) conservados en una forma que permita la

identificación de los interesados durante un período no superior al necesario para los

fines para los que fueron recogidos o para los que se traten ulteriormente. Los Estados

miembros establecerán las garantías apropiadas para los datos personales archivados

por un período más largo del mencionado, con fines históricos estadísticos o

científicos”. Y, en este marco, el responsable del tratamiento debe adoptar todas las

medidas razonables para que los datos que no responden a los requisitos de esta

disposición sean suprimidos o rectificados. Entre las medidas razonables, en mi opinión,

cabe que el buscador de Google se vea obligado a eliminar los datos pero, para

suprimirlos de Internet, la medida más efectiva, insisto, es que el propio editor web en

donde los datos se publicaron en origen, incorpore los mencionados protocolos de

exclusión. ¿Qué ocurriría si el mercado no lo tuviese tan copado Google search y se

repartiese de otra manera la presencia o el uso de buscadores en Internet en España?

Pues que un titular afectado se dirigiría a un buscador determinado, que podría verse

obligado a borrar los datos, pero esos mismos datos seguirían accesibles desde otros

207

buscadores o webs y si el titular tuviese que ir, buscador por buscador, reclamando sus

derechos, llegaría a ser un procedimiento muy costoso e ineficaz para el ciudadano, lo

que podría ser claramente mejorado si, desde un principio, el editor web incorpora los

citados códigos de exclusión.

Los códigos de exclusión, conocidos también como protocolos robot.txt son

herramientas para evitar que ciertos programas informáticos que analizan sitios web

agreguen información. Son herramientas de uso frecuente por los motores de búsqueda,

para categorizar archivos de los sitios web y utilizados también por los editores web

(webmasters) para corregir o filtrar el código fuente. El protocolo de exclusión de

robots.txt hace referencia a una serie de estándares web que regulan el comportamiento

de los robots o arañas y la indexación de los motores de búsqueda. Más concretamente,

se puede utilizar el archivo robot.txt para lo siguiente: a) evitar que ciertas páginas y

directorios de una página web sean accesibles a los buscadores, b) bloquear el acceso a

archivos de código o utilidades, c) impedir la indexación de contenido duplicado en un

sitio web, como copias de prueba o versiones para imprimir, d) indicar la localización

del sitemap o mapa del sitio en XML.447

La propia esencia de los derechos fundamentales nos transmite que se trata de derechos

no absolutos que pueden entrar a su vez en conflicto con otros derechos de igual rango y

que el conflicto entre derechos de esta índole, siempre demanda un ejercicio de

ponderación de los intereses en conflicto, para la búsqueda de un punto de equilibrio448.

447 https://support.google.com/webmasters/answer/6062608?hl=es 448A este respecto, ver cómo se ha venido siempre resolviendo el conflicto entre derecho a la información

o libertad de expresión y derecho a la intimidad, honor y propia imagen en los medios de comunicación.

208

El artículo 7 de la Directiva permite el tratamiento de los datos cuando es necesario para

la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el

tercero o terceros a los que se comuniquen los datos, siempre que no prevalezcan el

interés o los derechos y libertades fundamentales del interesado. De este modo, la

sentencia destaca que se precisa de una ponderación de los derechos e intereses en liza.

El TJUE en esta sentencia deja claro que el derecho del titular de los datos afectado está

por encima del interés económico del gestor del motor de búsqueda, y en general,

aunque hay que ver caso por caso, por encima del derecho del internauta al acceso a la

información. Según el Tribunal, el mero interés económico del gestor del motor de

búsqueda no justifica la injerencia en los derechos del interesado. La sentencia destaca

que, sin embargo, “en la medida en que la supresión de vínculos de la lista de

resultados podría en función de la información de que se trate, tener repercusiones en

el interés legítimo de los internautas potencialmente interesados en tener acceso a la

información en cuestión, es preciso buscar en situaciones como las del litigio, un justo

equilibrio”449.

El artículo 12.b) de la Directiva habla de la obligación de los Estados miembros de

garantizar a todos los interesados el derecho a obtener de los responsables del

tratamiento, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no

se ajuste a las disposiciones de la Directiva. En particular, alude al carácter incompleto

o inexacto de los datos. Como observación, sin duda, un dato referido al carácter

moroso de una persona que ya ha saldado sus deudas hace más de 15 años, y además,

ofrecido de forma descontextualizada, es inexacto. Esta materia sobre la protección de

449 Apartado 81 de la sentencia.

209

datos, y más en concreto sobre el caso que nos ocupa y que es la base de este fallo

judicial, aborda el conflicto entre el derecho al acceso a la información, a la libertad de

información y de expresión y el derecho a la protección de datos. No obstante, y a

diferencia de las conclusiones del Abogado General, en la sentencia del TJUE no se

hace ninguna referencia expresa al derecho a la información y libertad de expresión,

sino al interés económico del gestor del motor de búsqueda y al interés legítimo del

internauta en acceder a la información.

El derecho a la protección de datos entra en conflicto o puede entrar en conflicto con

otros derechos e intereses, como por ejemplo, con la innovación, el desarrollo

tecnológico o la seguridad. Además, y como ya se ha mencionado, más allá de tratarse

de una cuestión sobre un conflicto entre derechos e intereses, la cuestión que tratamos

también afecta de lleno a los prestadores de servicios de la sociedad de la información

como, en este caso, por ejemplo, un buscador en Internet, e invita a reflexionar sobre el

encaje de esta sentencia con la condición de intermediario neutral de un buscador.

Si partimos de la base de que el derecho a la protección de datos tiene el carácter de

derecho fundamental –un derecho autónomo, independiente del derecho a la intimidad

aunque derive del mismo450-, lo lógico es que la resolución de conflictos que se puedan

plantear entre éste y otro derecho, que también puede que sea fundamental, como en el

caso de que entre en conflicto con el derecho a la información, se produzca dentro de lo

que es un ejercicio de ponderación de los derechos, la búsqueda de un punto de

equilibrio o un balancing test como dirían los anglosajones. Por tanto, no ha de

sorprender el hecho de que el TJUE haya resuelto en la línea de que el buscador –el

450Ver las sentencias del Tribunal Constitucional, STC 292/2000, de 30 de noviembre y 290/2000, de 30

de noviembre.

210

prestador de servicios de la sociedad de la información, que considera responsable del

tratamiento de los datos- debe hacer una ponderación de los intereses en juego, yendo

caso por caso, para ver cuándo debe primar el acceso a la información por parte del

internauta y cuándo el derecho a la protección de datos de un ciudadano afectado. El

TJUE subraya la necesidad de analizar las circunstancias del caso concreto sin que haya

una respuesta generalizada.

La actividad informativa de los medios de comunicación, en ocasiones, puede colisionar

con otros derechos, como por ejemplo, con el derecho al honor, intimidad y propia

imagen de los ciudadanos. Por ello, los periódicos y otros medios ya vienen haciendo

ese ejercicio de ponderación de los derechos en conflicto para decidir si una

determinada información está amparada por el derecho a la información y libertad de

expresión o, por el contrario, no reúne los requisitos para estar amparada por ese

derecho constitucional y de rango fundamental. Los periódicos son empresas privadas

que vienen estando obligadas a hacer esa valoración todos los días cuando deciden si

algo reúne los requisitos para ser noticia y poder quedar al amparo del artículo 20 de la

Constitución Española451. Sin embargo, y aunque tanto un prestador de servicios de la

sociedad de la información como un medio de comunicación sean ambos empresas

privadas, un buscador como Google, tiene un estatus jurídico diferente al de un medio

451El artículo 20 de la Constitución Española de 1978 dice así: “1. Se reconocen y protegen los derechos:

a) A expresar y difundir libremente los pensamientos, las ideas, opiniones, mediante la palabra, el escrito

o cualquier otro medio de reproducción. b) a la producción y creación literaria, artística y científica. c) a

la libertad de cátedra. d) a comunicar o recibir libremente información veraz por cualquier medio de

difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de

estas libertades. 2. El ejercicio de estos derechos no puede restringirse mediante ningún tipo de censura

previa. 3. La Ley regulará la organización y el control parlamentario de los medios de comunicación

social dependientes del Estado o de cualquier ente público y garantizará el acceso a dichos medios de los

grupos sociales y políticos significativos, respetando el pluralismo de la sociedad y de las diversas

lenguas de España.4. Estas libertades tienen su límite en el respeto a los derechos reconocidos en este

Título, en los preceptos de las leyes que lo desarrollen, y especialmente, en el derecho al honor, la

intimidad y la propia imagen, y a la protección de la juventud y de la infancia. 5. Sólo podrá acordarse el

secuestro de publicaciones, grabaciones y otros medios de información en virtud de resolución judicial”.

211

de comunicación en su condición de prestador de servicios de la sociedad de la

información.

En concreto en el artículo 16 de la LSSI se hace referencia a la exención de

responsabilidad de los prestadores de servicios de la sociedad de la información de

alojamiento o almacenamiento de datos y, en concreto, en el artículo 17452 se hace

referencia a la exención de responsabilidad de los buscadores.

Por tanto, según la Ley de Servicios de la Sociedad de la Información y del Comercio

Electrónico, Ley 34/2002, de 11 de julio (LSSI) que traspone al ordenamiento jurídico

español la Directiva 2000/31/CE de Comercio Electrónico, un buscador no sería

responsable del contenido que aloja, en su condición de mero intermediario, salvo que

tenga conocimiento efectivo de la ilicitud del contenido. Este fallo judicial, obliga a

hacer una reflexión sobre la posible contradicción entre un derecho al olvido que

obligue a Google a borrar datos sin una resolución administrativa o judicial de por

medio, dada la exención de responsabilidad que contempla la Directiva de Comercio

Electrónico. No obstante, se debe tener en cuenta que la LSSI habla de conocimiento

efectivo de la ilicitud del contenido y, en el caso que nos ocupa de esta sentencia del

TJUE de 13 de mayo de 2014, no se trataba de contenido ilícito, pues la publicación de

452El artículo 17 de la LSSICE dice así: “1. Los prestadores de servicios de la sociedad de la información

que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda

de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus

servicios, siempre que: a) no tengan conocimiento efectivo de que la actividad o la información a la que

remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de

indemnización o b) si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace

correspondiente. Se entenderá que el prestador de servicios tiene el conocimiento efectivo al que se

refiere el apartado a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su

retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión y

el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y

retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios

de conocimiento efectivo que pudieran establecerse. 2 La exención de responsabilidad establecida en el

apartado 1 no operará en el supuesto de que el proveedor de contenidos al que se enlace o cuya

localización de facilite actúe bajo la dirección, autoridad o control del prestador que facilite la

localización de esos contenidos”.

212

la información por parte del editor web o fuente de origen (en este caso el periódico La

Vanguardia) estaba amparada por la Ley. Más que contenido ilícito, en este caso sería

contenido inexacto, inadecuado o desproporcionado.

Por otra parte, la sentencia equipara a Google con un medio de comunicación (cuando

no lo es) obligándole a hacer una ponderación de los intereses en conflicto, una

ponderación de derechos y ver cuál prima más, ofreciendo sólo el criterio de la

condición de personaje público o interés público de la información453. Google no es un

medio de comunicación que cree contenido. Tampoco es un órgano administrativo ni

judicial, entes más propios para decidir sobre materias que afectan a derechos

fundamentales.

Al fin y al cabo, la labor de ponderación de intereses tiene claras semejanzas con la

labor que tienen que hacer los medios de comunicación todos los días para valorar si

una información es o no noticia, si está amparada por el derecho a la información y

tiene interés público y, por tanto debe ser publicada. El conflicto principal que se

plantea cuando se trata de medios de comunicación no es con la protección de datos

sino con la intimidad, el honor o propia imagen, pues en numerosos conflictos en los

que están implicados los medios de comunicación, el problema surge por la falta de

veracidad de la información. Aquí resulta importante señalar el deber de diligencia; que

el periodista o medio está amparado por lo que se conoce como haber actuado con

diligencia, contrastando las debidas fuentes y demás, aunque luego resulte que no es

453 Ver el apartado 81 de la sentencia, que destaca que el punto de equilibrio entre los intereses o derechos

en conflicto puede depender “en supuestos específicos, de la naturaleza de la información de que se trate

y del carácter sensible para la vida privada de la persona afectada y del interés público en disponer de esta

información, que puede variar, en particular, en función del papel que esta persona desempeñe en la vida

pública”.

213

verdad lo publicado454. No obstante, en ocasiones, los conflictos en los medios surgen

por publicar algo que vulnera la intimidad aunque sea verdad.

La obligación de ponderar los intereses en conflicto a la que la sentencia obliga a

Google cual si fuera un medio de comunicación, es decir, a tener que realizar un juicio

de valor, caso por caso, para ver cuándo prima el derecho de los internautas al acceso a

la información y cuándo el derecho a la protección de datos del ciudadano afectado,

coloca a Google en la delicada posición de tener que decidir sobre cuestiones altamente

sensibles relativas a derechos fundamentales, ofreciendo sólo unos criterios muy

genéricos para resolver dichos conflictos, criterios que son muy generales y poco

precisos. En concreto, dice que se utilizará como criterio para decidir cómo resolver el

conflicto de derechos, la relevancia en la vida pública del afectado, o si la información

es de interés público. En mi opinión, son criterios poco precisos que dan pie a la

interpretación, y realmente la casuística puede ser muy variada y compleja. Sin

embargo, y en contra de algunas interpretaciones de esta sentencia que han venido a

considerar que el fallo supone un varapalo para el gigante tecnológico, si bien le quita la

razón en el litigio concreto, está otorgando a Google un amplio poder al permitirle

decidir sobre cuestiones delicadas relacionadas con el ámbito de los derechos

fundamentales.

Cabe destacar que se observan ciertas semejanzas entre cómo se resuelve el conflicto

sobre si una información debe o no ser publicada por un medio de comunicación, con la

labor de ponderación a la que Google está obligado a partir de esta sentencia. Sin

embargo, cuando un tribunal considera que una información carece de interés público

454 Ver, ente otras, la STC 6/1988, de 21 de enero, FJ 6º; STC 51/1989, de 22 de febrero; STC 190/1992,

de 16 de noviembre; STC 123/93; STC 136/1994, de 9 de mayo.

214

para ser publicada por un periódico, ¿acaso no se está impidiendo a todos los medios de

comunicación dicha publicación? Es decir, que no se permitiría a un medio publicarla y

a otro no, ya que si se considera que es irrelevante para el conocimiento público, ningún

medio de comunicación tendría legitimidad para publicarlo. Sin embargo, considerando

que sólo Google debe proceder al borrado de los datos, no tiene mucho sentido justificar

el borrado alegando que carece de interés público, mientras que se permita que tales

datos permanezcan en la web de origen o, peor aún, mientras estén accesibles a través

de otros buscadores de Internet. Si carece de interés público, debería carecer de dicho

interés para todos los buscadores y la única manera de asegurar la no indexación por

ningún buscador es la toma de medidas simultáneas o previas por parte del editor web,

incorporando los protocolos de exclusión, de modo que aunque se pueda acceder a los

datos desde la propia página del editor web, no se permita la indexación por ningún

buscador.

Esta sentencia sobre derecho al olvido marca un hito en la historia de la jurisprudencia

del Tribunal de Justicia de la UE en materia de derecho de protección de datos

personales. Ha marcado, sin duda, un antes y un después y sienta las bases para ir

resolviendo los casos que en relación con el derecho al olvido se planteen en los

distintos Estados miembros. No obstante, no son pocas las dudas que generan. Por una

parte, este supuesto es un caso muy concreto de búsqueda de información en el

buscador de Google a partir del nombre y apellidos de una persona. ¿Qué ocurre si se

hace la búsqueda a través de un cargo y del cargo se puede deducir que hace alusión a

una persona determinada? Para este y otros supuestos de búsqueda de información bajo

otros parámetros de búsqueda diferentes al nombre y apellidos, la sentencia no ofrece

respuesta.

215

¿En qué medida se logrará la efectividad del derecho o el fin pretendido si se sigue

pudiendo acceder a la información desde fuera de la UE, desde otros buscadores o desde

la propia página web de origen? Son bastantes las preguntas en torno al derecho al

olvido que aún permanecen sin respuesta clara. Los ciudadanos pueden no saber dónde

están sus datos como consecuencia de que Google tenga que borrarlos y puedan seguir

siendo indexados por otros buscadores. Si, por el contrario, se utilizase la vía de que

también se pueda acudir ante la fuente de origen para dar satisfacción a las demandas de

los ciudadanos para ejercitar el derecho al olvido y fuese ante esta fuente de origen ante

quien debieran ejercitarlo en primera instancia, habría un mayor control por parte del

ciudadano, ya que se evita el hecho de que esa misma información pueda aparecer en

otros lugares. Aun con la amplia cuota de mercado de Google, eliminar un dato del

buscador de Google no es eliminar un dato de Internet. Asimismo la sentencia está

personalizada en Google pero, ¿qué ocurre con un buscador de un medio de

comunicación, por ejemplo, una hemeroteca online? Esto es una pregunta a la que la

sentencia no da respuesta. Google no es Internet, Google no edita contenido, no

interpreta los datos ni introduce juicios de valor ni es un medio de comunicación.

Asimismo, ¿qué ocurre con respecto a los blogs o redes sociales que puedan hacerse eco

de los datos que permanecen en la web de origen?, ¿se podría llegar a ejercer el derecho

al olvido frente a blogs o redes sociales u otros prestadores de servicios de la sociedad

de la información diferentes a los motores de búsqueda? Estas son preguntas a las que la

sentencia analizada no da una respuesta.

Asimismo a Google se le otorga un amplio margen de interpretación para valorar

cuándo debe primar un derecho y cuando otro derecho o interés, ofreciendo sólo dos

216

criterios muy generales e imprecisos. Habrá que ir viendo cómo se van resolviendo en la

práctica las peticiones de derecho al olvido, abriéndose ahora una nueva etapa en la

interpretación y aplicación de esta sentencia, así como en la aplicación del derecho al

olvido con base en el RGPD, cuando comience a aplicarse a partir de mayo de 2018.

Tras conocerse el fallo del TJUE, Google formó un Comité de expertos para valorar las

cuestiones sobre derecho al olvido y habilitó un formulario para canalizar las peticiones

relativas al derecho al olvido.

Esta sentencia del TJUE, como se ha explicado, deriva de una cuestión prejudicial

planteada por la Audiencia Nacional española. Por su parte, este órgano judicial español

dictó sentencia el pasado 29 de diciembre de 2014, publicada el 23 de enero de 2015455,

resolviendo el recurso pendiente planteado por Google ante la resolución de la AEPD.

La Sala de lo Contencioso-Administrativo dictó esta sentencia, desestimando el recurso

planteado por Google frente a la resolución de la AEPD456. En esta sentencia, la

Audiencia Nacional afirma con rotundidad que no cabe duda de que el motor de

búsqueda realiza un tratamiento de datos de carácter personal con su servicio de

búsquedas cuando un usuario final le solicita una búsqueda y la plataforma le ofrece

unos resultados. A este respecto, el FJ 6º apunta: “Ninguna duda cabe de que la

actividad del motor de búsqueda como proveedor de contenido debe calificarse de

tratamiento de datos personales”457. Asimismo apunta que “un motor de búsqueda es

un intermediario de la sociedad de la información que, conforme a la sentencia del

TJUE de 13 de mayo de 2014, cuando realiza una actividad consistente en localizar

información publicada o incluida en Internet por terceros relativa a personas físicas,

455 Sentencia de la Sección 1ª, Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 29 de

diciembre de 2014, nº recurso 725/2010 (ponente: Ilmo. Sr. D. Fernando de Mateo Menéndez). 456 Resolución del director de la AEPD de 30 de julio de 2010. 457 Sentencia de la Sección 1ª, Sala de lo Contencioso-Administrativo de la Audiencia Nacional, de 29 de

diciembre de 2014, nº recurso 725/2010, FJ 6º.

217

indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a

disposición de los internautas según un orden de preferencia, efectúa un tratamiento de

datos personales sometido a la normativa de protección de datos (Directiva 95/46/CE),

siendo el gestor del motor de búsqueda el responsable de dicho tratamiento”458.

En lo que respecta al ámbito territorial de la norma, la Audiencia Nacional señala que

(FJ7º) se trata de una cuestión que ha quedado claramente resuelta en la sentencia del

TJUE de 13 de mayo de 2014. En este sentido insiste en que, en base a la sentencia del

TJUE, queda claro que “Google Spain S.L constituye un establecimiento de los

referidos en el artículo 4.1.a) de la Directiva 95/46/CE, por constituir una instalación

estable en España dotada de personalidad jurídica propia y tratarse de una filial de

Google Inc. en territorio español, y realizarse el tratamiento de datos en el marco de

las actividades de Google Spain S.L, que está destinado a la promoción y venta en

España de los espacios publicitarios del motor de búsqueda, que sirven para

rentabilizar el servicio propuesto por el motor”459.

Asimismo la sentencia de la Audiencia Nacional, y pese a tratarse de un argumento ex

novo y extemporáneo, dedica algunas consideraciones (FJ 11º) al argumento esgrimido

por Google (de forma extemporánea con base en el Derecho procesal aplicable) relativo

a la vulneración de la libertad de empresa recogida en el artículo 38 de la Constitución

española460. Y, en este sentido, destaca que el derecho a la libertad de empresa no es

458 Ibídem. 459 FJ7º de la citada sentencia de la Audiencia Nacional, Sala Tercera de 29 de diciembre de 2014. 460 El artículo 38 de la CE 1978 dice así: “Se reconoce la libertad de empresa en el marco de la economía

de mercado. Los poderes públicos garantizan y protegen su ejercicio y la defensa de la productividad, de

acuerdo con las exigencias de la economía general, y en su caso, de la planificación”.

218

absoluto461 y que, además, no puede ceder ante él el derecho a la protección de datos.

Aplicando la doctrina del Tribunal Constitucional, “el derecho a la libertad de empresa

no puede justificar una violación del derecho a la protección de datos (regulado en la

sección 1ª del Capítulo 2º de la Constitución) cuando resulta que el derecho a la

libertad de empresa se contempla en la sección 2ª y no goza de la misma protección

reforzada que menciona el artículo 53.2. de la Constitución”462.

En lo que respecta a la ponderación del interés en juego y a cómo se resuelve el

conflicto entre derechos fundamentales, resulta recomendable la lectura del fundamento

jurídico duodécimo de la comentada sentencia de la Audiencia Nacional. Aquí se

destaca que, “el objeto del derecho fundamental a la protección de datos no se reduce

sólo a los datos íntimos de la persona, sino a cualquier tipo de dato personal, sea o no

íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos […]”463.

El objeto del derecho a la protección de datos no es sólo la intimidad individual

protegida en el artículo 18.1 de la Constitución Española, sino también los datos de

carácter personal. Por consiguiente, también alcanza a aquellos datos personales

públicos que, por el hecho de ser accesibles al conocimiento de cualquiera no escapan al

poder de disposición del afectado porque así lo garantiza su derecho a la protección de

datos, tal y como se destaca en la analizada sentencia de la Audiencia Nacional de 29 de

diciembre de 2014.

461 La Audiencia Nacional hace referencia a la doctrina del Tribunal Constitucional (STC 18/2011, de 5

de julio o 135/2012, de 19 de junio) entre otras. En concreto, en estas dos sentencias mencionadas del TC

se dice que “el derecho a la libertad de empresa no es absoluto e incondicionado sino limitado por la

regulación que, de las distintas actividades empresariales en concreto, puedan establecer los poderes

públicos, limitaciones que han de venir establecidas por la ley, respetando, en todo caso, el contenido

esencial del derecho”. 462 Ver el FJ 11 de la sentencia de la Audiencia Nacional de 29 de diciembre de 2014. 463 Ver el FJ 12 de la sentencia de la Audiencia Nacional de 29 de diciembre de 2014.

219

Asimismo, esta sentencia de diciembre de 2014 también dedica algunas consideraciones

a la libertad de expresión e información. A este respecto destaca que al igual que sucede

con los restantes derechos fundamentales, el ejercicio del derecho a la libertad de

expresión, está sometido a límites que el Tribunal Constitucional ha ido perfilando

progresivamente. Así, no ampara la presencia de frases o expresiones injuriosas,

ultrajantes y ofensivas sin relación con las ideas o expresiones y, por tanto, innecesarias

a este propósito, ni protege la divulgación de hechos que no son sino simples rumores,

invenciones o insinuaciones carentes de fundamento, ni tampoco reconoce un

pretendido derecho al insulto. Una vez más recurre a la jurisprudencia del Tribunal

Constitucional, al afirmar que la protección de derechos constitucionales, como el

derecho a la intimidad o protección de datos de carácter personal, entre otros, se ve

debilitada “frente a las libertades de información y expresión cuando se ejerciten en

conexión con asuntos que son de interés general, por las materias a las que se refieren

y por las personas que en ellos intervienen y, contribuyan, en consecuencia, a la

formación de la opinión pública, como ocurre cuando afectan a personas públicas, que

ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública,

obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la

personalidad resulten afectados por opiniones o informaciones de interés general”464.

Por todo ello, la Audiencia Nacional, en lo que respecta a la ponderación de intereses en

conflicto concluye que debe ponerse de manifiesto que la libertad de información, en

principio, se encuentra satisfecha por su subsistencia en la fuente, es decir, en el sitio

web donde se publica la información por el editor. Cuestión distinta es si cabe apreciar

la existencia de un interés del público en encontrar la información, en relación con la

464 Ver las STC 107/1988, de 8 de junio; STC 20/2002, de 28 de enero; STC 160/2003, de 15 de

septiembre; STC 151/2004, de 20 de septiembre y 9/2007, de 15 de enero, a las que se hace referencia en

la citada sentencia de la Audiencia Nacional de 29 de diciembre de 2014.

220

cual se ejercita el derecho de oposición, en una búsqueda que esté basada en el nombre

del afectado y que deba prevalecer sobre el derecho a la protección de datos personales

de éste.

Finalmente, y por todo lo anterior, la Audiencia Nacional desestima el recurso

contencioso-administrativo interpuesto por Google frente a la resolución dictada por la

AEPD, en la que cual se instaba a Google a que adoptase las medidas necesarias para

retirar los datos de su índice e imposibilitase el acceso futuro a los mismos. La

Audiencia Nacional, por tanto, desestima el recurso del gigante tecnológico y concluye

que la obligación impuesta por la resolución recurrida debe interpretarse en el sentido

de que se deben adoptar las medidas necesarias para retirar o eliminar de la lista de

resultados, obtenida tras una búsqueda efectuada a partir del nombre del reclamante, los

vínculos a las páginas web objeto de reclamación.

6. 3. Guidelines del Grupo de Trabajo del Artículo 29 (WP29) sobre la

interpretación de la sentencia del TJUE en el asunto C-131/12

Unos meses después de conocerse la sentencia del TJUE de 13 de mayo de 2014, el

WP29 emitió unas directrices (Guidelines)465 sobre cómo interpretar dicha sentencia,

publicadas en noviembre de ese mismo año, que sirven de ayuda a las agencias de

protección de datos de los distintos países de la UE para saber cómo tienen que

interpretar los distintos criterios facilitados en la sentencia, para decidir si procede o no

la desindexación. Al tratarse de un documento emitido por el órgano integrado por las

autoridades de protección de datos de los distintos Estados miembros, además del

465 Guidelines on the implementation of the Court of Justice of the European Union judgment on “Google

Spain and Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, C-

131/12”, de 26 de Noviembre de 2014.

221

Supervisor Europeo de Protección de Datos y de la Comisión Europea, sin duda, tiene

un elevado valor doctrinal y son textos que los tribunales y el legislador suelen tener

muy en cuenta.

El primero de los puntos analizados en el documento del WP29 es el papel de los

motores de búsqueda en Internet como responsables del tratamiento. A este respecto, el

documento destaca que el buscador en Internet realiza un tratamiento de datos de

carácter personal en el sentido del artículo 2 de la Directiva 95/46/CE. Al respecto,

destaca que la base legal para dicho tratamiento se encuentra en el artículo 7.f) de la

citada Directiva 95/46/CE, que hace referencia al legítimo interés del motor de

búsqueda en el tratamiento de los datos. Asimismo, apunta que la sentencia deja claro

que el tratamiento que lleva a cabo el buscador, en su propio contexto de motor de

búsqueda, es distinto del tratamiento efectuado por editores o websites de terceros. Las

Guidelines destacan que no sólo se trata de distintos tratamientos sino que también su

impacto en la privacidad es muy diferente. A este respecto cabe destacar el efecto

amplificador con respecto a la información que muestra, que tiene un motor de

búsqueda con una cuota de mercado, como es el caso de Google, que alcanza

aproximadamente el 80%. Por tanto, no cabe duda de que el impacto en la privacidad es

mucho mayor cuando una información aparece en los primeros lugares en los resultados

de un motor de búsqueda cuando se intenta acceder a ella utilizando como parámetros

de búsqueda el nombre y apellidos del protagonista de la información que cuando dicha

información está tan sólo disponible en la fuente de origen pero no se accede a la misma

a través de motores de búsqueda utilizando como parámetro de búsqueda el nombre y

apellidos del titular de los datos.

222

Un punto relevante que abordan las directrices o Guidelines del WP29 es que, en su

opinión, el impacto de la desindexación en el derecho al acceso a la información,

derecho a la información o libertad de expresión es mínimo, habida cuenta del ejercicio

de ponderación de intereses y derechos en juego que las autoridades de protección de

datos deberán realizar y, también, el propio motor de búsqueda. Es decir, el Grupo del

Artículo 29 considera que el impacto es mínimo, ya que cuando se dé la circunstancia

de que se trata de un personaje público y la información en cuestión sea de interés

público, primará el derecho al acceso a la información. Entre los argumentos que da el

WP 29 para justificar ese mínimo impacto en el derecho de acceso a la información y en

la libertad de expresión está el hecho de que aunque el motor de búsqueda desindexe

determinada información, ésta sigue encontrándose disponible en la fuente de origen y

puede seguir accediéndose a la misma en ese mismo buscador con otros parámetros de

búsqueda diferentes al nombre y apellidos de la persona. Por tanto, la desindexación

hace referencia a los resultados de la búsqueda concreta y no a cualquier vía dentro de

Google para llegar a la información.

En este punto, resulta de vital importancia, además, distinguir entre el derecho a la

información y el derecho de acceso a la información. Y el motor de búsqueda en

Internet no se encuentra en la misma posición que un editor o medio de comunicación.

Este último posibilita el derecho a la información mientras que el primero permite el

acceso a la información, tal y como se destaca en el documento del WP29. Con respecto

al ejercicio de ponderación de intereses al que la sentencia del TJUE alude, el WP29

apunta que es importante recalcar que dicha ponderación de derechos e intereses en

juego no la debe hacer siempre el gestor del motor de búsqueda, en todos los casos en

los que lleva a cabo un tratamiento de datos de carácter personal como consecuencia de

223

la propia actividad de búsqueda, sino que sólo deberá realizarlo en aquéllos casos en los

que los individuos titulares de los datos afectados hayan ejercitado su derecho ante

dicho motor de búsqueda. Por tanto, tal y como aclaran las Guidelines, el motor de

búsqueda no debe llevar a cabo siempre ese balancing test, sino sólo cuando se lo

reclamen.

A la hora de analizar los intereses en juego, el WP29 recalca que el interés del gestor del

motor de búsqueda es económico pero, por otro lado, también debe tenerse en cuenta el

derecho del internauta a acceder y localizar la información, algo que precisamente

posibilitan los motores de búsqueda en Internet. A este respecto, debe ser tenido en

cuenta el derecho a la libertad de expresión e información, entendido como el derecho a

recibir y transmitir ideas e informaciones, recogido en el artículo 11 de la Carta Europea

de Derechos Fundamentales466.

Por otra parte, el WP29 afirma que la sentencia del TJUE deja claro que no es necesario

acudir ni previa ni simultáneamente a la fuente de origen para pedirle que retire la

información o que utilice los protocolos de no indexación. Sin embargo, esto no obsta a

que, en ocasiones, el titular de los datos considere que, dadas las circunstancias del caso,

pueda ser mejor para sus intereses acudir primero a la fuente de origen para pedir la

retirada de la información. De hecho, no cabe duda de que, en caso de que dicha

petición de retirada de la información ante la fuente de origen, fuese exitosa para el

titular de los datos, los efectos de borrado serían mucho mayores que una desindexación

por un motor de búsqueda. Si la fuente de origen retira la información, ésta desaparece

466 El artículo 11 de la CDFUE señala: “1. Toda persona tiene derecho a la libertad de expresión. Este

derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin

que pueda haber injerencias de autoridades públicas y sin consideración de fronteras. 2. Se respetan la

libertad de los medios de comunicación y su pluralismo”.

224

y, como consecuencia, tampoco será indexada por ningún motor de búsqueda puesto

que ha desaparecido.

En cuanto a la información que debe facilitar el sujeto que pide al motor de búsqueda el

borrado de determinada información, el WP29 afirma que es necesario que el buscador

tenga toda la información necesaria sobre el contexto de la información para valorar

todas las circunstancias del caso concreto. A este respecto apunta que el titular de los

datos debe proporcionar las razones o motivos por los que quiere que no se permita el

acceso a dicha información en el motor de búsqueda, a partir de su nombre y apellidos

como parámetro de búsqueda. No obstante, en este sentido las Guidelines apuntan que

habrá que respetar el principio de proporcionalidad y que dichos requerimientos de

información que implanten los motores de búsqueda, han de ser acordes con las

respectivas legislaciones nacionales de protección de datos467.

Del mismo modo que el titular de los datos debe facilitar información relativa a su

identidad, los URL (Uniform Resource Locator)468 específicos que pretende desindexar

y las motivaciones para dicha desindexación, las autoridades de protección de datos

europeas señalan que el motor de búsqueda debe dar asimismo sus razones y

explicaciones, para el caso de que deniegue la desindexación, así como informar al

titular de los datos que le asiste el derecho a recurrir dicha decisión del buscador ante

los órganos administrativos (autoridad de protección de datos nacional) o los tribunales.

467 Ver el punto 14 de las Guidelines del GT29, donde se destaca (en inglés): “search engines must follow

national data protection laws with regard to the requirements for making a request for the timeframes

and contents of the answers. In particular, when a data subject requests delisting, some form of

identification may be demanded by the data controller, but again, in line with what national laws

consider necessary and proportionate in order to verify the identity of the applicant in the context of the

request. …[…]” 468 URL (Uniform Resource Locator) hace referencia a la secuencia de caracteres que sigue un estándar y

que permite denominar recursos dentro del entorno de Internet para que puedan ser localizados. Hace

referencia a la dirección de la página web concreta para localizar un determinado contenido.

225

Un bloque interesante e importante de las Guidelines del WP29 es el referente al

alcance de la sentencia del TJUE de 13 de mayo de 2014. En este sentido, el WP29

pone de manifiesto que, el fallo judicial del Tribunal de Luxemburgo va referido

concretamente a la desindexación en un motor de búsqueda, sin embargo, deja la puerta

abierta a que la desindexación o eliminación de un enlace pueda producirse en otros

servicios de la sociedad de la información diferentes al motor de búsqueda. Éste, sin

duda, es un punto importante, que deja la puerta abierta a la desindexación de

información, o lo que viene a ser lo mismo, a la eliminación de enlaces, en otros

prestadores de servicios de la sociedad de la información, como puede ser, en general,

un marketplace, tienda online o ecommerce, un blog o una red social. No obstante, el

WP29 también afirma que el derecho al olvido reconocido en la sentencia no es

aplicable a motores de búsqueda con campo de acción restringido, es decir, aquellas

búsquedas cuyo campo de búsqueda esté acotado y no sea universal en toda la Red, lo

cual dejaría fuera del alcance a muchos prestadores de servicios de la sociedad de la

información469. Por ejemplo, el buscador de la hemeroteca online de un periódico es un

ejemplo de buscador con campo de acción restringido, pues sólo busca dentro del

periódico en cuestión y no en toda la Red. Asimismo se resalta que, aunque en el

artículo 8 de la Carta Fundamental de Derechos Humanos de la UE se atribuya el

derecho a la protección de datos de carácter personal a toda persona, en la práctica las

autoridades de protección de datos pondrán el foco en aquellas reclamaciones en las que

exista un vínculo entre el titular de los datos y la UE, como por ejemplo, cuando se trate

de un ciudadano o residente en un Estado miembro de la UE.

469 A este respecto, resulta clave la lectura del punto 17 a 21 de las Guidelines del GT29: “17. The ruling

is specifically address to generalist search engines, but that does not mean that it cannot be applied to

other intermediaries”. The rights may be exercised whenever the conditions established in the ruling are

met”.

226

Asimismo un punto relevante que merece ser analizado con detenimiento es el alcance

de la decisión de desindexación del motor de búsqueda: si la desindexación debe

limitarse sólo a dominios europeos o extenderse globalmente a todos los dominios para

una mayor eficacia del derecho. En relación con este punto, además, chocan

frontalmente las Guidelines del WP29 con el informe del Grupo de expertos

independiente de Google470, que posteriormente se analizará en profundidad. Sobre este

punto, el WP29 destaca que una interpretación adecuada de la sentencia es aquella que

permite la protección efectiva de los sujetos titulares de los datos, una protección contra

la diseminación y accesibilidad universal a información personal que posibilitan los

motores de búsqueda en Internet cuando la búsqueda se realiza en base al nombre de

una persona. Asimismo apunta que, aunque las soluciones concretas puedan variar en

función de la estructura y diseño específico de cada motor de búsqueda, siempre se debe

ofrecer una solución que permita dicha protección efectiva del individuo sin sortear la

normativa comunitaria de protección de datos. A este respecto, el WP29 destaca que

“limitar la desindexación a los dominios europeos bajo el pretexto de que los usuarios

suelen acceder a la información en buscadores a través de sus dominios nacionales no

puede ser considerado suficiente para garantizar satisfactoriamente los derechos de los

titulares de los datos de acuerdo con la sentencia. En la práctica la desindexación debe

ser efectiva en todos los dominios relevantes, incluyendo el .com”471.

470 Ver el informe del grupo de expertos independiente de Google sobre la sentencia del TJUE, de 13 de

mayo, sobre derecho al olvido en https://www.google.com/advisorycouncil/

471 Ver el punto 20, en la página 9 de las Guidelines del GT 29, donde se señala literalmente: “although

concrete solutions may vary depending on the internal organization and structure of search engines de-

listing decisions must be implemented in a way that guarantees the effective and complete protection of

these rights and that EU law cannot be easily circunvented. In that sense, limiting de-listing to EU

domains, on the grounds that users tend to access search engines via their national domains cannot be

considered a sufficient means to satisfactorily guarantee the righst of data subjects acoording to the

judgement. In practice, this means that in any case de-listing should also be effective an all relevant

domains, including .com”.

227

En lo que respecta a la posibilidad de informar a la fuente de origen (webmaster), de la

desindexación llevada a cabo, el WP29 considera que no existe una base legal para

comunicar, de forma sistemática, al editor web, cada vez que el motor de búsqueda

desindexa, a petición del titular de los datos, una información originalmente publicada

por el editor web472. Sin embargo, el WP 29 sí considera que, en algunos supuestos

especialmente complejos, puede ser legítimo que los motores de búsqueda contacten

con los webmasters o editor web, es decir, la fuente original, antes de tomar la decisión

de desindexación. Asimismo el WP29 anima a los motores de búsqueda a que hagan

públicos sus criterios de desindexación y a facilitar estadísticas de desindexación, algo

que Google ya está haciendo.

Precisamente, en lo relativo a los criterios de desindexación, el WP29 destaca que las

autoridades de protección de datos deberán valorar todos los criterios de forma

conjunta, no siendo ningún criterio determinante per se. Además, destaca que el derecho

al olvido, en el contexto de la sentencia del TJUE, es aplicable a las búsquedas en

motores de búsqueda tomando como parámetro de búsqueda el nombre y apellidos de

una persona pero, no obstante, insiste el WP29 que engloba pseudónimos o apodos si

estos identifican claramente a una persona.

En lo relativo al criterio del rol de la persona, si ésta desempeña o no un rol en la vida

pública o es considerada una persona pública, el WP29 destaca que el TJUE ha hecho

una excepción al considerar que no se deben desindexar informaciones si éstas se

472 A este respecto, el punto 23 del WP29 destaca: “search engines managers should not as a general

practice inform the webmasters of the pages affected by the de-listing of the fact that some webpages

cannot be acceded from the search engine in response to specific queries. Such a communication has no

legal basis under EU data protection law”.

228

refieren a personas que desempeñan un rol en la vida pública (people who play a role in

public life).

No obstante, y según reconoce el propio grupo en el que están integradas las autoridades

de protección de datos de los Estados miembros de la UE, no está claro qué perfiles

engloba el concepto de persona que desempeña un rol en la vida pública. Sin embargo,

el WP29, “a título de ejemplo, destaca que los políticos, hombres de negocio o

miembros de profesiones reguladas, generalmente desempeñan un rol en la vida

pública”. En relación con el acceso a la información que involucra a personas con este

perfil público, el WP29 estima que existe un interés del público al acceso de la

información sobre personas públicas si se trata de información relevante para dicho rol

público o actividades públicas473. Por otra parte, además de personas que desempeñen

un rol en la vida pública, el WP29 se refiere al subgrupo de personas públicas (public

figure en su denominación en inglés) y destaca que, en general, alude a personas que

debido a sus funciones y compromisos tienen cierto grado de exposición mediática.

Cabe preguntarse, por tanto, si el derecho al olvido no es un derecho que asista a las

personas con un rol en la vida pública. Con respecto a este punto, y teniendo en cuenta

la evolución del propio derecho al olvido, que viene y deriva del derecho a la intimidad

y es una manifestación del derecho a la protección de datos de carácter personal,

conviene hacer un repaso de cómo ha venido interpretando la jurisprudencia el derecho

473 Ver la pregunta y respuesta nº 2, pag. 13 de las Guidelines del WP29, relativas a los criterios de

desindexación. Literalmente se destaca “It is not posible to establish with certainty the type of role in

public life an individual must have to justify public access to information about them via a search result.

However, by way of illustration, polititians, senior public officials, business-people and members of the

(regulated) professions can usually be considered to fulfill a role in public life. There is an argument in

favour of the public being able to search for information relevant to their public roles and activities”.

229

a la intimidad de las personas con proyección pública en su confrontación con el

derecho a la información y libertad de expresión.

Con respecto a en qué medida son titulares de un derecho a la intimidad las personas

que desempeñan un rol en la vida pública, una de las sentencias más destacadas del

Tribunal Europeo de Derechos Humanos es la sentencia Von Hannover V. Alemania474.

La sentencia del Tribunal de Estrasburgo considera que hay que diferenciar la

información que contribuye al debate sobre temas de interés público en un Estado de

Derecho democrático, de aquel tipo de información que no contribuye a dicho debate.

Asimismo hace referencia a un nuevo género informativo, el infoteinment, a medio

camino entre el entretenimiento y la información. Según los fundamentos de hecho de

esta sentencia, se trataba de la publicación de fotografías y artículos que hacen

referencia a la vida privada de la princesa Carolina de Mónaco y que no contribuían a

un debate de interés general para la sociedad.

En los asuntos relativos a la protección de la vida privada y la libertad de expresión, en

el Tribunal Europeo de Derechos Humanos, siempre se ha hecho hincapié en la

contribución de la información al debate de interés general475.

El TEDH deja claro en esta sentencia Von Hannover v. Alemania476 que “conviene

efectuar una distinción fundamental entre un reportaje que relata unos hechos, incluso

controvertidos, que pueden contribuir a un debate en una sociedad democrática,

referentes a personalidades políticas en el ejercicio de sus funciones oficiales, por

474 Sentencia del TEDH, Sección 3ª, de fecha 24 de junio de 2004, Von Hannover v. Alemania. 475 A este respecto ver las sentencias News Verlags GMBH & CoKG v. Austria, núm.31457/1996,

(TEDH, 2000, 2), ap. 52 y ss; sentencia Tammer contra Estonia, TEDH, de 6 de febrero de 2001. 476 Ver asimismo la sentencia Observer y The Guardian c. Reino Unido, de 26 de noviembre de 1991

(TEDH, 1991, 51).

230

ejemplo, y un reportaje sobre los detalles de la vida privada de una persona que,

además, como en este caso, no desempeña dichas funciones. Si bien en el primer caso

la prensa juega su rol esencial de perro guardián en una democracia contribuyendo a

comunicar ideas e informaciones sobre cuestiones de interés público, no sucede lo

mismo en lo segundo”477.

Uno de los criterios de ponderación más utilizados por el Tribunal Constitucional en el

análisis de la libertad de expresión y de información es la condición de las personas

implicadas. Los denominados personajes públicos deben soportar que sus actuaciones se

vean sometidas al escrutinio de la opinión pública478. El personaje público deberá

tolerar, en consecuencia, las críticas dirigidas a su labor como tal, incluso cuando estas

puedan ser especialmente molestas o hirientes, sin que pueda esgrimir inmunidad o

privilegio, teniendo además más medios que cualquier particular para defenderse

públicamente479.

Tanto la jurisprudencia europea del TEDH como la española coinciden en la necesidad

de exigir que las informaciones cumplan los requisitos de veracidad e interés público, a

fin de que puedan ser consideradas prevalentes en caso de conflicto con otro derecho

fundamental. El fin último del derecho a comunicar información es crear una opinión

pública libre y, para ello, las noticias han de cumplir estos dos requisitos480. Por su

477 Sentencia del TEDH, Von Hannover v. Alemania, de 24 de junio de 2004. 478 STC 148/2001, de 27 de junio. 479 Ver las sentencias STC 104/1986, de 17 de julio; STC 85/1992, de 8 de junio; STC 19/1996, de 12 de

febrero; STC 240/1997; STC 1/1998, de 12 de enero. Ver asimismo la sentencia del TEDH caso Sunday

Times, de 26 de abril de 1979, STEDH caso Lingens, de 8 de julio de 1986; STEDH caso Schwabe, de 28

de agosto de 1992; STEDH caso Praeger y Oberschlick, de 26 de abril de 1995; STEDH caso Tolstoy

Milosavski, de 13 de julio de 1995; STEDH caso Worm de 29 de agosto de 1997; STEDH caso Fressoz y

Roire de 21 de junio de 1999. 480 Serrano Maíllo, Isabel: “El derecho a la libertad de expresión en la jurisprudencia del Tribunal

Europeo de Derechos Humanos: dos casos españoles”, Teoría y Realidad Constitucional, nº 28, 2011,

pag.586.

231

parte, el concepto de interés público no es fácil de determinar481. Por su parte, Nuñéz

Ladeveze considera que es de interés público aquella información que “procede de la

objetivación de las relaciones políticas y de la interacción social”482. Asimismo, en

torno al concepto de interés público destaca este autor que el interés público “emana de

la condición política de la persona en cuanto forma parte de una comunidad en la que

los intereses individuales han de adaptarse a un interés común […]. y éste interés

público es distinto del interés del público por acontecimientos que genéricamente

conmueven a la mayoría de las personas generalmente por motivos psicológicos”483.

Asimismo, el WP29 hace referencia a la Resolución 1165 (1998) de la Asamblea

Parlamentaria del Consejo de Europa484 sobre el derecho a la intimidad, que ofrece una

posible definición de persona o figura pública.

Por otra parte, el WP29 en su documento dedica un espacio a la posibilidad de que el

titular de los datos sea un menor485. A este respecto destaca que, por regla general, las

autoridades de protección de datos serán partidarias de la desindexación cuando la

información afecta a un menor. En este sentido destaca que el mejor interés del menor

debe ser tenido siempre en consideración y a este respecto hace referencia al artículo 24

de la Carta Fundamental de Derechos Humanos de la UE486.

481 Muñoz Machado, S.: Libertad de prensa y procesos por difamación, Barcelona, Ariel, 1998, pag.152. 482 Núñez Ladeveze, L.: El lenguaje de los media, Madrid, Pirámide, 1979, pags. 76 a 84. 483 Núnez Ladeveze, L.: Manual de Periodismo, Barcelona, Ariel, 1991, pag.40. 484 La citada Resolución apunta, en relación con el concepto de public figure: “it states that public figures

are persons holding public office and/or using public resources and, more broadly speaking, all those

who play a role in public life, whether in politics, economy, the arts, the social sphere, sport or any other

domain”. 485 A este respecto resulta interesante ver el formulario creado por Google para ejercitar el derecho al

olvido, en donde se ofrece la posibilidad de que un adulto, padre o tutor, solicite la desindexación de

información relativa a un menor, en nombre de ese menor.

https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=es 486 El artículo 24 de la Carta Fundamental de Derechos Humanos de la UE dice: “1. Los menores tienen

derecho a la protección y a los cuidados necesarios para su bienestar. Podrán expresar su opinión

libremente. Ésta será tenida en cuenta en relación con los asuntos que les afecten, en función de su edad

232

En relación con los apuntes que realiza el WP29 con respecto a la precisión o

adecuación de la información o datos, las Guidelines destacan que hay que diferenciar

entre la información que hace referencia a hechos o datos fácticos, y aquella que es

opinión. A este respecto apunta que las autoridades de protección de datos darán más

prioridad a los asuntos relacionados con hechos fácticos que con opiniones, en el

sentido de que los primeros podrán terminar en la desindexación con mucha más

frecuencia que en el caso de juicios de valor u opiniones. Asimismo apunta que en

aquellos casos en los que la precisión o adecuación de los datos o información esté

dilucidándose, sub iudice o con una investigación policial abierta, el WP29 apunta que

las autoridades de protección de datos podrán elegir no intervenir hasta que el proceso

judicial o la investigación policial concluya.

Con respecto al criterio temporal o en relación con el peso que se debe dar al hecho de

que la información o datos publicados hagan referencia a hechos acaecidos largo tiempo

atrás, en conexión con lo ya plasmado en la sentencia de 13 de mayo de 2014 del TJUE,

el WP29 apunta que, por regla general, las informaciones antiguas en el tiempo tendrán

un menor interés general en ser indexadas por buscadores que aquellas informaciones

recientes en el tiempo. No obstante, la sentencia no determina qué se entiende por

información antigua en el tiempo ni cuántos años se consideran que son muchos en el

tiempo como para considerar que una información está desfasada y, por tanto, es

inadecuada o desproporcionada. A este respecto, y a título de ejemplo, el WP29 ofrece

el dato de que una información publicada hace 15 años o relacionada con un hecho

y su madurez. 2. En todos los actos relativos a los menores llevados a cabo por autoridades públicas o

instituciones privadas, el interés superior del menor constituirá una consideración primordial. 3. Todo

menor tiene derecho a mantener de forma periódica relaciones personales y contactos directos con su

padre y con su madre, salvo si son contrarios a sus intereses.”

233

acaecido hace tres lustros es menos relevante para el interés general que una

información de hace un año.

Por otra parte, el WP29 insiste en que la información relacionada con la vida

profesional de un sujeto es más proclive a ser información de interés general, y por

tanto, quedar justificada su indexación, mientras que la información no relacionada con

la vida profesional sino con aspectos de la vida privada, normalmente, implica que no

esté justificado el acceso a la información, a través de buscadores en Internet en base al

nombre y apellidos de una persona, por razones de interés público.

Asimismo el grupo de trabajo que reúne a las autoridades de los Estados miembros de la

UE hace hincapié en explicar que su ámbito de actuación es el de la protección de datos

de carácter personal, y por tanto, las autoridades de protección de datos de la UE deben

entrar a valorar peticiones de desindexación en aquellos supuestos en los que

posiblemente haya habido una vulneración de la legislación de protección de datos. Sin

embargo, cuando la información que se pretende desindexar está relacionada con

ofensas criminales, injurias o calumnias o graves insultos vejatorios, el WP29 insiste en

que deben entrar en juego otras autoridades, judiciales y policiales, y dar entrada al

orden jurisdiccional civil y/o penal, según los supuestos, sin perjuicio de que las

autoridades de protección de datos valoren la posible vulneración de la normativa de

protección de datos de carácter personal. Además, las Guidelines aluden a los datos

especialmente sensibles -vida sexual, salud, ideología, etc- afirmando que en estos

supuestos existe un interés preponderante en la desindexación. También se destaca que

no es necesario demostrar el perjuicio de la indexación de la información o, dicho de

otra manera, no es necesario que el titular de los datos, para solicitar la desindexación,

234

considere que la información le es perjudicial. Sin embargo, dicho perjuicio será un

elemento de peso a tener en cuenta a la hora de valorar la desindexación, del mismo

modo que en aquellos supuestos en los que a través de la indexación de la información

en motores de búsqueda, se pone al sujeto en una posición de riesgo. Es decir, en los

casos en los que exista un riesgo para el individuo, las autoridades de protección de

datos considerarán que está justificada la desindexación.

Con respecto a cómo interpretar el hecho de que la información tenga como soporte un

medio de comunicación o la haya publicado un periodista, el WP29 considera que dicha

condición tiene un peso importante para inclinar la balanza a favor de la indexación. No

obstante, no es una condición o situación que pueda valorarse de forma aislada, sino que

hay que ponerla en contexto y valorar asimismo otras circunstancias del supuesto

concreto, ya que, como ya se ha explicado en el momento del análisis de la sentencia, el

TJUE en el fallo del caso Mario Costeja y la AEPD v. Google deja muy claro que se

está ante dos tratamientos de datos diferenciados, en el sentido de que un tratamiento de

datos de carácter personal es el que realiza el medio de comunicación en donde se

publica la información en origen y, otro tratamiento diferente, es el que realiza el gestor

del motor de búsqueda en Internet, al ofrecer una lista de resultados con enlaces

diversos a informaciones, tras realizar una búsqueda utilizando como parámetros de

búsqueda el nombre y apellidos de una persona.

Con respecto a la desindexación de información relacionada con ofensas criminales, las

Guidelines del WP29 remiten a las legislaciones nacionales correspondientes, en el

sentido de que afirman que las autoridades de protección de datos de los Estados

miembros de la UE deberán valorar, caso por caso, la adecuación con la correspondiente

235

legislación nacional. Asimismo, menciona una regla general: la información sobre

ofensas menores acaecidas largo tiempo atrás son más propensas a la desindexación que

informaciones relacionadas con ofensas criminales graves que han tenido lugar en un

momento más reciente en el tiempo. No obstante, y como ya veremos en otro capítulo

de esta tesis doctoral487, en la protección de datos de carácter personal y, en general, en

todo lo relacionado con la innovación, privacidad y regulación digital-, hay que tener en

cuenta las diferencias en las distintas legislaciones nacionales. A este respecto cabe

destacar la legislación alemana, según la cual todo delincuente condenado, por grave

que haya sido el delito, siempre que haya cumplido su condena y, por tanto, pagado su

deuda con la sociedad, tiene derecho a la intimidad, en el sentido de que no tiene por

qué soportar la publicación de informaciones sobre los hechos delictivos por los que ya

ha cumplido condena488.

En relación con la legislación alemana, resulta interesante destacar la jurisprudencia del

Tribunal Constitucional Federal alemán sobre el alcance de la protección constitucional

del derecho general a la personalidad (artículo 2.1 de la Ley Fundamental de Bonn),

dentro del cual junto a otros derechos de la personalidad, se reconoce un derecho a

controlar la presentación de uno mismo ante la sociedad489. Para el Tribunal alemán490,

“si bien los medios pueden informar sobre hechos de relevancia penal y sobre las

personas que han participado en ellos, la protección del derecho a la personalidad

impide que éstos puedan, más allá de la noticia sobre hechos de actualidad, divulgar

487 Ver el capítulo 7 de esta tesis doctoral sobre las diferencias entre EE.UU y la UE en lo que respecta al

derecho a la privacidad, intimidad, protección de datos personales y libertades informativas. 488 Ver el caso Wolfgang Werlé y Manfred Lauber, Tribunal de Justicia de Hamburgo, 18 de enero de

2008. 489 Mieres Mieres, Luis Javier: “El derecho al olvido digital”, Documento de trabajo 186/2014, Fundación

Alternativas, 2014, pag.16. 490 Ver la sentencia del Tribunal Federal Constitucional alemán, caso Lebach, sentencia de 5 de junio de

1973, BVerfG 35,202.

236

informaciones sin límite de tiempo sobre la persona condenada y su esfera privada”.491

Lo contrario, implicaría imponer una nueva sanción social, por lo que la doctrina

alemana considera que debe ampararse el interés del recurrente en reinsertarse en la

sociedad tras el cumplimiento de la pena.

6. 4. Formulario online habilitado por Google para la solicitud de

desindexación

Poco tiempo después de conocerse la sentencia del TJUE que resolvió el caso C-131/12,

del 13 de mayo de 2014, Google creó su formulario online492 para que las personas

físicas que quisieran solicitar la desindexación de información en el motor de búsqueda,

tuvieran un medio fácil, cómodo y sencillo, para realizar la solicitud. Casi al mismo

tiempo, el gigante tecnológico comenzaba a recibir miles de solicitudes de

desindexación en los distintos Estados miembros de la UE, relacionados con las más

variadas temáticas.

La denominación que Google eligió para su formulario online para la solicitud de

desindexación de información es Solicitud de retirada de resultados de búsqueda en

virtud de la normativa de protección de datos europea. Al entrar en el formulario

habilitado por Google, lo primero que aparece es la propia denominación del

formulario, seguida de unos antecedentes, en los que se hace mención a la sentencia del

caso Costeja y AEPD v. Google, destacando que es un fallo jurisprudencial por el que la

491 Miéres Miéres, Luis Javier: “El derecho al olvido digital”, Documento de trabajo 186/2014,

Fundación Alternativas, 2014, pag.17. 492 Ver el formulario online de Google para el ejercicio del derecho al olvido en

https://support.google.com/legal/contact/lr_eudpa?product=websearch#

237

compañía se ve obligada a habilitar un medio para permitir la solicitud de retirada de

información en la lista de resultados de búsqueda del buscador.

En los antecedentes del formulario, Google explica que realizará una ponderación entre

el derecho a la privacidad de los usuarios y los derechos del público a conocer y

distribuir información, para lo cual, afirma que, tendrá en cuenta, si la información es

obsoleta así como el interés público de la información. Asimismo, expresa que Google

podrá negarse a retirar determinada información sobre estafas financieras, condenas

penales, comportamiento público de funcionarios del Gobierno o negligencia

profesional.

Por otra parte, solicita una serie de información a la persona que rellene el formulario,

mucha de la cual está marcada con un asterisco por tratarse de información obligatoria.

Entre la información obligatoria a proporcionar, figura: nombre con el que se realiza la

búsqueda, país de la UE cuya legislación aplica a la solicitud, dirección de correo

electrónico a la que enviar la información relativa a la solicitud, DNI u otro documento

que acredite la identidad del solicitante, URL de los resultados que se quiere retirar, así

como los motivos por los que se desea eliminar dicha información. A este respecto,

Google expresamente destaca que, “si su solicitud hace referencia a más de un resultado

indique la URL de cada resultado y explique los motivos por los que la inclusión de ese

resultado en los resultados de búsqueda resulta irrelevante, obsoleta o inaceptable de

cualquier otro modo”493. Asimismo insiste en que “sin esta información, no podemos

procesar su reclamación”494. Es decir, la compañía deja claro que para que ésta pueda

procesar la solicitud de retirada de información, es necesario que se proporcionen los

493 Ver el citado formulario de Google. 494 https://support.google.com/legal/contact/lr_eudpa?product=websearch#

238

motivos por los cuales se desea retirar dicho enlace. Además, es obligatorio firmar con

el nombre completo del solicitante, así como indicar la fecha de la solicitud.

Además, en relación con la identificación del solicitante a través de un documento

identificativo, se destaca que no es necesario que sea el documento oficial –en España

denominado Documento Nacional de Identidad o DNI- sino, que serviría cualquier otro

documento donde la identificación de la persona fuese clara sin que, según señala la

compañía americana, sea necesario que se vea el documento íntegro ni sea necesario

facilitar una fotografía, salvo que la información que se pretenda retirar incluya una

fotografía.

Asimismo, existe la posibilidad de que otra persona, distinta de la interesada o titular de

los datos, realice la solicitud. Por ejemplo, un padre o tutor con respecto a un menor o

un abogado con respecto a su cliente. En ese caso, es necesario declarar el tipo de

relación que une al representante con el representado y, además, es necesario declarar,

marcando una casilla a tal efecto, que se cuenta con la debida autorización para actuar

en nombre de esa persona. Para el caso de que el solicitante actúe en nombre de sí

mismo, es decir, para eliminar información que a él mismo afecta, habría que marcar

casilla declarando ser la persona afectada por la información en cuestión.

239

6.5. Informe del Consejo Asesor de Google sobre el Derecho al olvido

Tras publicarse la sentencia del caso C-131/12 del TJUE, del pasado 13 de mayo de

2014, Google decide crear un grupo independiente de expertos495, para que le ayude a

interpretar los criterios dados por el Tribunal en la sentencia. El objetivo, por tanto, de

la creación de este grupo, es obtener asesoramiento sobre los principios que la compañía

tecnológica debe aplicar para resolver, caso por caso, las solicitudes de retirada de

información en el buscador. El pasado 6 de febrero de 2015, el Grupo de expertos

independiente de Google emitió su informe final496, estableciendo una serie de

conclusiones que, en algunos puntos, no son coincidentes con las alcanzadas por el

WP29 en sus Guidelines de noviembre de 2014. Con respecto al formulario online

habilitado por Google, el grupo de expertos independiente de Google concluyó que era

necesario incluir determinadas mejoras, tanto en el propio formulario como mejoras

procedimentales.

Para la preparación de sus conclusiones, el grupo de expertos, además de haber

realizado un tour por siete ciudades europeas497, recabando información y opiniones de

expertos en la materia, utilizó diversos canales para obtener datos que le ayudasen a

alcanzar las conclusiones de su informe final. De este modo, se habilitó un canal online

495 Los expertos miembros del grupo son: Luciano Floridi, profesor de Filosofía y Ética de la Información

de la Universidad de Oxford; Silvie Kauffman, directora editorial de Le Monde; Lidia Kolucka-Zuk,

directora de Trust for Civil Society en Europa Central y del Este; Frank La Rue, relator especial de las

Naciones Unidas para la Promoción y Protección del derecho a la libertad de opinión y expresión; Sabine

Leutheusser-Schnarrenberger, ex ministra federal de Justicia de Alemania; José Luis Piñar, catedrático de

Derecho Administrativo en la Universidad San Pablo CEU y ex director de la Agencia Española de

Protección de Datos; Peggy Valcke; profesora de Derecho en la Universidad de Lovaina; y Jimmy Wales,

fundador de la Fundación Wikipedia. 496 Ver el informe final del Grupo de expertos independiente de Google en

https://drive.google.com/a/google.com/file/d/0B1UgZshetMd4cEI3SjlvV0hNbDA/view?pli=1 497 Las fechas y ciudades visitadas en 2014 por el Grupo de expertos independiente de Google son:

Madrid, el 9 de septiembre; Roma, 10 de septiembre; Paris, 25 de septiembre; Varsovia, 30 de

septiembre; Berlín, 14 de octubre; Londres, 16 de octubre; Bruselas, 14 de noviembre.

240

para que internautas o, en general, los ciudadanos que quisieran compartir sus

conocimientos u opinión en la materia, pudieran enviar Papers, documentación o

cualquier aportación que pudiera resultar de interés para las deliberaciones del grupo de

expertos. Asimismo, tal y cómo figura en el apéndice que acompaña al informe, se

tuvieron en cuenta los comentarios individuales que, a título particular, manifestaron los

miembros del grupo de expertos, transcripciones de consultas públicas, la jurisprudencia

del Tribunal Europeo de Derechos Humanos, las Policy Guidelines de grupos

editoriales o informativos, así como las comentadas Guidelines del WP29 de 2014.

El Grupo de expertos independiente de Google alcanzó una serie de conclusiones que

analizaremos en las próximas líneas. Con respecto al alcance de la decisión de

desindexación de Google, uno de los puntos más relevantes, existe una evidente

contradicción entre las Guidelines del WP29 y el informe de este grupo de expertos.

Mientras las autoridades de protección de datos europeas consideran que la decisión de

desindexación del motor de búsqueda en Internet no debe circunscribirse a los dominios

europeos, sino que debe producir sus efectos en todos los dominios, incluido el .com, el

grupo de expertos independiente de Google cree que la decisión de desindexación debe

limitarse a los dominios europeos. Al respecto, en el informe del grupo de expertos de

Google se destaca que la sentencia del TJUE de 13 de mayo de 2014 no es precisa con

respecto al alcance geográfico de la desindexación o a qué versiones del buscador debe

aplicar. De este modo, Google eligió aplicar, en principio, la desindexación a los

dominios europeos, lo cual no está exento de polémica498. El Grupo de expertos

independiente de Google, en su informe, apunta que, según fuentes de la propia

498 La CNIL francesa (órgano homólogo a la Agencia Española de Protección de Datos) aboga por la

aplicación global de la desindexación a todos los dominios y un Tribunal de París ya ha pedido la

desindexación también en los dominios '.com.http://www.derechoolvido.es/francia-presiona-a-google-

para-una-aplicacion-global-del-derecho-al-olvido/

241

compañía con sede en Mountain View, el 95% de las peticiones de búsquedas que se

producen en Europa proceden de versiones locales del buscador (‘.es’, ‘de, ‘fr’, ‘it’, etc)

y, además es práctica habitual que a los usuarios que utilizan en Europa el .com se les

redirija de manera automática a una versión local. Por ello, en opinión de este grupo de

expertos, se produce una protección de los derechos de los usuarios si, por regla general,

la desindexación se limita a los dominios europeos. Asimismo, considera que es un

asunto de soberanía territorial y podría entrar en conflicto con otros derechos protegidos

fuera de las fronteras de la UE relacionados con el acceso a la información, aunque

pueda suponer mayor protección de los derechos de los usuarios en la UE. A este

respecto destaca (literal en inglés): “In considering whether to apply a delisting to

versions of search targeted at users outside of Europe, including globally, we

acknowledge that doing so may ensure more absolute protection of a data subjec’s

rights. However it is the conclusión of the majority that there are competing interests

that outweight the additional protection afforded to the data subject…[..]. These

considerations are bolstered by the legal principle of proportionality and

extraterritoriality in application of European Law”499.

Si bien en un principio Google, en línea con la opinión del grupo de expertos

independiente de Google, venía sólo aplicando la desindexación a los dominios

provenientes de un país de la UE (.co.uk, .fr,.es, .de), posteriormente, en febrero de

2016, la compañía tecnológica anunció la ampliación de su política de desindexación a

todos los dominios, siempre que se acceda desde la UE500.

499 Informe del Grupo de expertos independiente de Google sobre derecho al olvido, de febrero de 2015.

Punto 5.4., pag.18. 500 https://r3d.mx/2016/02/12/google-ampliara-su-politica-de-derecho-al-olvido-a-todos-sus-dominios-

accesados-desde-europa/

242

Otro punto interesante del informe del Grupo de expertos es el relativo a la

conveniencia, en su opinión, de habilitar mecanismos para que la parte que se pueda ver

afectada por la decisión de Google de aceptar una solicitud de derecho al olvido y

proceder a la desindexación (por ejemplo, intereses del editor que se puedan ver

dañados), pueda recurrir dicha decisión. Es decir, de algún modo, estos expertos echan

de menos que sólo el titular de los datos pueda recurrir ante una autoridad de control o

ante los tribunales y, sin embargo, la otra parte afectada por una decisión de

desindexación, no tenga ningún mecanismo de recurso. En este sentido, se destaca en el

citado informe que “data subjects can challenge delisting decisions before either their

local DPAs or Courts. Because delisting affects the rights and interests of publishers,

many experts suggested, and we agree that publishers should have means to challenge

improper delistings before a DPA or a simlar public authority”501.

Asimismo, y en relación con las divergencias entre el WP29 y el Grupo de expertos

independiente de Google, no son coincidentes las opiniones en lo relativo a la

notificación a la fuente de origen sobre la decisión de desindexación. Mientras el WP29

estima que no existe una base legal para dicha notificación, el grupo de expertos

independiente de Google cree que en ocasiones, en casos complejos, incluso es

recomendable y aconsejable dicha notificación de un modo previo, de modo que pueda

ayudar al motor de búsqueda a tomar la decisión.

El grupo de expertos analiza también cómo debe interpretarse el factor tiempo502 o qué

criterios deben seguirse para determinar la condición de personaje público de un

individuo y cómo ambas cuestiones interactúan. Así, destaca que la sentencia del TJUE

501 Ibídem. 502 Ver el punto 4.4 del citado informe del grupo de expertos independiente de Google.

243

hacía referencia a que con el transcurso del tiempo el interés público de determinados

hechos puede decaer. Con respecto a este punto, el grupo de expertos considera que será

necesario asimismo ponerlo en relación con el tipo de información de que se trate. En

este sentido, apunta que ante crímenes contra la humanidad o hechos delictivos graves,

el transcurso del tiempo no justificaría la desindexación. Para el grupo de expertos, el

factor tiempo tiene que ponerse en relación asimismo con el rol en la vida pública de la

persona en cuestión.

Precisamente, y en relación con este punto del rol público del titular de los datos, el

grupo de expertos distingue tres categorías de sujetos: a) personas con roles claros en la

vida pública (políticos, CEOs, celebrities, líderes religiosos, estrellas deportivas o

artistas), b) personas sin un papel en la vida pública y c) personas con un papel público

limitado o circunscrito a un contexto concreto (determinados empleados públicos,

directores de colegios o personas que desempeñan un rol público debido a su profesión).

En lo que respecta a la primera de las categorías de personas señaladas en el párrafo

anterior, el grupo de expertos considera que hay una alta probabilidad de que el interés

general y el derecho al acceso a la información prevalezcan. Al contrario, en las

solicitudes de desindexación referentes a sujetos incluidos en la segunda de las

categorías señaladas, hay una mayor probabilidad de que sean aceptadas. Y en lo que

respecta a la última de las categorías, el grupo de expertos apunta que dependerá

fundamentalmente del contexto y contenido de la información en cuestión.

En lo relativo a la naturaleza de la información, en el punto 4.2, el grupo de expertos

ofrece, por un lado, tipos de información en los que el interés del individuo en la

244

protección de sus datos debe pesar más que el interés del público en acceder a la

información. A su vez, ofrece, por otro lado, tipos de información en los que se presume

justamente lo contrario, es decir, que pesaría más el derecho de los internautas al acceso

a la información frente a la protección de datos del sujeto.

Dentro del primer tipo de información comentada, el grupo de expertos destaca:

informaciones relacionadas con la vida íntima o sexual del individuo; información

personal financiera; datos de contacto o de identificación; información considerada

sensible según la normativa europea de protección de datos (con matices para los

personajes públicos); información privada sobre menores; información falsa, que

implica una errónea asociación o pone al individuo en riesgo de daños; o información

que aparezca en formato vídeo o mostrando la imagen de la persona, que pueda hacer

prevalecer los intereses del individuo.

Dentro del segundo tipo de información, es decir, aquella en la que prevalecería más un

interés en acceder a la misma, estarían las siguientes categorías: información relevante

para el compromiso ciudadano, debate político o gobernanza; información relevante

para el debate filosófico o religioso; información relacionada con salud pública y

protección de los consumidores; información relacionada con actividad delictiva o

criminal; información que contribuya al debate sobre materias de interés general;

información fáctica y verdadera; información histórica; e información científica o

relacionada con la expresión artística.

En el informe del grupo de expertos se pueden leer asimismo las opiniones disidentes o

particulares de algunos de sus miembros, las respuestas a las consultas públicas, así

245

como el listado de expertos que fueron escuchados en cada ciudad del Tour, además de

ideas alternativas y propuestas técnicas que recibieron durante el proceso de consultas.

En lo relativo a opiniones disidentes o compartidas sólo por algunos miembros del

Consejo o grupo de expertos, cabe destacar lo referente a la sección referente a

información relevante para el discurso filosófico o religioso. Al respecto, Piñar Mañas y

Kolucka-Zuk manifestaron que hubiese sido mejor no incluir esta sección o, al menos,

en el informe debería constar que este tipo de datos sobre aspectos religiosos o

filosóficos son datos sensibles. Asimismo, ambos expertos consideraron que, “en el

caso de que el sujeto objeto de parodia fuese un ciudadano anónimo y no una persona

pública, no debía apreciarse el elemento de interés público”503.

6. 6. Sentencia del Tribunal Supremo, de 15 de octubre de 2015: rechazo del

derecho al olvido en hemerotecas digitales de los medios de comunicación

Poco más de un año después de que el TJUE dictase la sentencia del caso Mario Costeja

y AEPD v. Google, la Sala de lo Civil del Tribunal Supremo, en sentencia de 15 de

octubre de 2015504, resolvió un interesante caso relacionado con el derecho al olvido y

las hemerotecas digitales de los medios de comunicación.

503 Ver la página 23 del informe donde se recogen las opiniones particulares de José Luis Piñar Mañas y

Lidia Kolucka-Zuk. Ambos autores destacan (literal en inglés): “On page 6, in point 4.2.2: (2)

Information relevant to religious or philosophical discourse: we believe it would have been better not to

include this section. In any event, and at least in this case the report should reference the fact that the

data on religious or philosophical beliefs are sensitive data, as was underlined above in point 4.2.1. […]

On page 7, in point 4.2.2: (8), our view the only time in which a data subject portrayed as artistic parody

weighs in favor of public interest is when the data subject is a public figure. We do not believe that a

parody of a “normal person”, who may be identified on the basis of his or her name, should be

considered of general public interest”. 504 Sentencia del Tribunal Supremo, Sala de lo Civil, de 15 de octubre de 2015, nº de recurso 2772/2013.

Ver en

246

El caso hace referencia a informaciones que habían sido publicadas en el diario El País,

en los años 80, relacionadas con el consumo, dependencia y tráfico de drogas, por

ciudadanos que, en la actualidad, llevaban una vida normal y plenamente reinsertada en

la sociedad, por lo que ejercitaban su derecho al olvido o cancelación de datos, en este

caso, ante el periódico en cuestión. Cabe destacar que ya la propia Agencia Española de

Protección de Datos, la legislación vigente de protección de datos así como la

legislación civil relativa a la protección del honor, intimidad y propia imagen, siempre

han contemplado la posibilidad de acudir en primera instancia a la fuente de origen (y

no al buscador en Internet) para solicitar la cancelación de datos personales o, en su

caso, ante informaciones que atenten contra el honor, una rectificación o reparación del

daño. Tras la propia sentencia del TJUE de 13 de mayo de 2014 que avaló la existencia

de un derecho al olvido, en el sentido de un derecho a dirigirse al motor de búsqueda

para que desindexe determinada información sin necesidad de acudir previa o

simultáneamente a la fuente de origen, nada impedía tampoco la decisión del afectado

de acudir en primer lugar a la fuente de origen.

Precisamente, la sentencia del Tribunal Supremo de octubre de 2015, viene a alinearse

más con las conclusiones del Abogado General del TJUE Niilo Jääskinen que con la

propia sentencia del TJUE de mayo de 2014, cuando afirma que, en determinados casos,

los medios de comunicación están obligados a incorporar los protocolos de no

indexación robot.txt. En relación con este punto, la sentencia del Supremo afirma que

aunque la sentencia del TJUE del caso Mario Costeja y AEPD v. Google analizó la

responsabilidad de los gestores de motores de búsqueda por el tratamiento de datos

http://www.poderjudicial.es/search/doAction?action=contentpdf&databasematch=TS&reference=749488

9&links=derecho%20al%20olvido&optimize=20151019&publicinterface=true

247

personales contenidos en páginas web cuyos vínculos aparecían en las listas de

resultados de dichos buscadores cuando se utilizaba el nombre y apellidos como

parámetro de búsqueda, “ello no significa que los editores de las páginas web no tengan

la condición de responsables del tratamiento de esos datos personales, con los

consiguientes deberes de respetar el principio de calidad de datos y atender el ejercicio

de los derechos que la normativa de protección de datos otorga a los afectados […]”505.

Según este fallo jurisprudencial del Alto Tribunal español, los medios de comunicación

tienen la consideración de responsables del tratamiento de los datos de carácter personal

contenidos en sus páginas web. A este respecto, destaca la sentencia del Tribunal

Supremo –cita la sentencia del TJUE de 6 de noviembre de 2003 del caso Lindqvist y la

sentencia del TJUE de 13 de mayo de 2014 del caso Mario Costeja- que “el editor de

una página web en la que se incluyen datos personales realiza un tratamiento de datos

personales y como tal es responsable de que dicho tratamiento de datos respete las

exigencias de la normativa que lo regula, en concreto de las derivadas del principio de

calidad de los datos”506.

Asimismo, el TS, citando la jurisprudencia del TEDH, distingue la función informadora

que juegan los medios en la emisión de noticias actuales, calificándola de primaria y la

distinguen del rol que desempeñan cuando gestionan y publican una hemeroteca digital.

A esta última función la califican de secundaria y entiende que aquí, y en base a la

jurisprudencia del TEDH, los Estados miembros tienen más margen de apreciación para

ordenar medidas de restricción de las hemerotecas. En este sentido resalta que “la

función que cumple la prensa en una sociedad democrática cuando informa sobre

505 FJ 5º de la citada sentencia. 506 Ibídem.

248

sucesos actuales y cuando ofrece al público sus hemerotecas es distinta y debe tratarse

de modo diferente. Así lo ha hecho el TEDH, que ha considerado que “mientras la

actividad de los medios de comunicación cuando transmiten noticias de actualidad es la

función principal de la prensa en una democracia (la de actuar como perro guardián

según este tribunal), el mantenimiento y puesta a disposición del público de las

hemerotecas digitales con archivos que contienen noticias que ya se han publicado, ha

de considerarse como una función secundaria, en la que el margen de apreciación del

que disponen los Estados para lograr el equilibrio entre derechos es mayor, puesto que

el ejercicio de la libertad de información puede considerarse menos intenso”507.

Al igual que lo hizo el TJUE en la sentencia del caso Mario Costeja y AEPD v. Google,

la analizada sentencia del Tribunal Supremo de 2015 afirma que hay que tener en

consideración el factor tiempo, de modo que una información publicada con una base

legal hace años, con el paso del tiempo pueda perder el interés público que legitimó en

su día la publicación. A su vez, alude a la necesaria ponderación de derechos en juego,

del mismo modo que lo hacía la sentencia del Tribunal de Luxemburgo de 2014. “El

problema no es que el tratamiento de los datos sea inveraz, sino que pueda no ser

adecuado a la finalidad con la que los datos personales fueron recogidos y tratados

inicialmente. El factor tiempo tiene una importancia fundamental en esta cuestión,

puesto que el tratamiento de los datos personales debe cumplir con los principios de

calidad de datos, no sólo en el momento en que son recogidos e inicialmente tratados,

sino durante todo momento. El tratamiento de datos, además, inicialmente pudo ser

adecuado a la finalidad que lo justificaba pero puede devenir con el transcurso del

tiempo inadecuado para esa finalidad, y el daño que cause en derechos de la

507 Ver el FJ 6º de la citada sentencia.

249

personalidad como el honor y la intimidad, puede ser desproporcionado en relación al

derecho que ampara el tratamiento de datos”508, destaca la Sala Primera del TS.

Por otro lado, este fallo jurisprudencial del Supremo hace interesantes reflexiones en

torno al concepto de interés público. Al respecto, señala que el interés público no puede

confundirse con el cotilleo o la maledicencia, distinguiendo así el interés público del

interés del público, siendo el primero aquel que permite “formarse una opinión fundada

sobre asuntos con trascendencia para el funcionamiento de una sociedad

democrática”509. A su vez, distingue entre persona pública y aquélla que no lo es,

considerando que el primer tipo de personas tiene que soportar mayores injerencias que

las segundas en su vida privada y, para ellas, el factor tiempo no tiene el mismo peso.

Esta sentencia resulta relevante por varios aspectos. Primero, una conclusión o

interpretación obvia de esta sentencia es que los medios de comunicación no están

obligados a eliminar ni a tomar medidas para que se eliminen datos de las hemerotecas

digitales. Es decir, no cabe el ejercicio del derecho al olvido en las hemerotecas

digitales de los medios de comunicación (en los buscadores internos de dichos medios),

ya que entraría en clara contradicción con el derecho a la libertad de información

contemplado en el artículo 10 del CEDH. En línea con este punto, la Sala también

exime a los medios de comunicación que gestionan hemerotecas, de tener que tomar

medidas técnicas tendentes a desindexar los datos de carácter personal de los buscadores

internos. El TEDH ha declarado que las hemerotecas digitales entran en el ámbito de

protección del artículo 10 CEDH510.

508 FJ 6º de la sentencia citada. 509 Ibídem. 510 Ver la sentencia del TEDH, de 10 de marzo de 2009, caso Times Newspaper Ltd-núms 1 y 2 c. Reino

Unido, y la sentencia del TEDH, de 16 de julio de 2003, caso Wegrzynowski y Smolczewski c. Polonia, en

250

Por otra parte, esta sentencia del Supremo entra en cierta contradicción con la sentencia

del TJUE de mayo de 2014, al considerar que los medios de comunicación están

obligados a incorporar los protocolos de no indexación en determinadas circunstancias

cuando haya transcurrido tiempo que implique que no se respete el principio de calidad

de los datos (cuando no se trate de una persona con relevancia pública y no tenga interés

público la noticia). La sentencia que resuelve el caso Mario Costeja y AEPD v. Google,

pasó por alto y obvió en todo momento esta posibilidad de inserción de estos protocolos

no index por parte de los medios de comunicación, a lo que sí había aludido con rigor el

Abogado General del TJUE en sus conclusiones de junio de 2013. Ni en la sentencia del

TJUE de 13 de mayo de 2014, ni en las Guidelines del WP29 que interpretan la

sentencia se habla en ningún momento de la vía de la desindexación por los medios de

comunicación o fuente de origen a través de la utilización de los protocolos robot.txt.

Ahora bien, la opción de acudir al medio de comunicación o fuente origen es una opción

que siempre ha existido y que, por otra parte, ha sido la opción defendida por el

Abogado General del TJUE Niilos Jääskinen en sus conclusiones. Por otra parte, el

propio WP29 en sus Guidelines de noviembre de 2014 insistía en que la sentencia del

TJUE iba en todo caso referida a motores de búsqueda sin campo de acción restringido,

lo que implica dejar fuera a los motores de búsqueda de hemerotecas digitales que,

obviamente, tienen un campo de búsqueda restringido al propio medio de comunicación

al que pertenecen.

las que se afirma que los archivos de Internet suponen una importante contribución para conservar y

mantener noticias e información disponibles, pues constituyen una fuente importante para la educación y

la investigación histórica, sobre todo porque son fácilmente accesibles al público y son generalmente

gratuitos.

251

Considero que, en línea con lo ya expuesto en esta tesis doctoral en el capítulo relativo

al análisis de la sentencia del caso Mario Costeja y AEPD v. Google, este reciente fallo

del Supremo se alinea con las conclusiones del Abogado General y cabe preguntarse si

en el tratamiento de datos realizado por el motor de búsqueda de Google ante búsquedas

solicitadas por los internautas, debe ser el medio de comunicación (o fuente de origen)

también corresponsable del tratamiento o incluso el único responsable del tratamiento

realizado por el motor de búsqueda en relación con las búsquedas solicitadas por los

internautas y que enlazan a medios de comunicación o páginas web donde se encuentra

la información en origen. Además, surge la pregunta siguiente: ¿se debe obligar a un

motor de búsqueda a desindexar cuando a un medio de comunicación, la sentencia del

TJUE no le obliga a incorporar los protocolos de exclusión, robot.txt? En mi opinión, no

resulta la opción más acertada, ni mucho menos la más eficaz, el tratar de diferente

manera al motor de búsqueda y al medio de comunicación. Si una información carece

ya de interés público, debería de carecer de dicho interés para todo buscador o cualquier

tercero que pretenda enlazar a esa información.

Cabe asimismo hacer alguna reflexión en torno a la Ley Orgánica 2/1984 del derecho a

la rectificación511 y, más en concreto, de las diferencias entre el derecho a la

rectificación que se regula en la normativa de protección de datos y del que se

contempla en esta norma de 1984512. Una importante diferencia entre el derecho a la

rectificación y el derecho al olvido contemplado en la normativa de protección de datos

y el regulado en la L.O 2/1984, es que el primero faculta a las personas físicas y no a las

jurídicas a modificar los datos inexactos o incompletos que están siendo tratados por un

responsable de fichero. En realidad, esta facultad que tiene el titular de los datos es uno

511 Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación. 512 Para un mayor conocimiento sobre el derecho de rectificación ver la obra de Abad Alcalá, Leopoldo:

“el derecho de rectificación”, Derecho de la información, Ariel, 2003, pags. 397-420.

252

de los instrumentos que pone a su disposición la normativa con el fin de garantizar la

autodeterminación informativa. Por su parte, el derecho de rectificación regulado en la

L.O 2/1984513 se debe contextualizar en un momento en el que el protagonista no era el

entorno digital, sino el analógico, donde unos pocos grandes grupos empresariales

tenían el control de los medios de comunicación y, por ende, el control de los medios a

los que los ciudadanos accedían para formarse una opinión fundada sobre temas de

actualidad y de interés público. Este derecho está al alcance tanto de personas físicas

como jurídicas y consiste en la posibilidad de aportar una nueva visión de los hechos

divulgados por un medio de comunicación social.

El Tribunal Constitucional514 ha destacado que el ejercicio del derecho a la rectificación

de la información publicada en un medio de comunicación social, a diferencia del

derecho de protección de datos, garantiza por un lado que se proteja el derecho al honor

de la persona afectada y, por otro, que el derecho de información pueda salir reforzado,

al permitir la ampliación del contenido de la noticia, a través del contraste de versiones

contrapuestas. “La rectificación queda conformada, ante todo, como un derecho de la

persona aludida a ejercer su propia tutela, un derecho reaccional de tutela del honor, o

de bienes personalísimos asociados a la dignidad, al reconocimiento social o a la

autoestima frente a informaciones que incidan en la forma en que una persona es

presentada o expuesta ante la opinión pública. […] Pero junto a ese carácter, la

rectificación opera como un complemento de la información que se ofrece a la opinión

pública, mediante la aportación de una ‘contraversión’ sobre hechos en los que el

sujeto ha sido implicado por la noticia difundida por un medio de comunicación. La

513 El art.1 de la LO 2/1984, reguladora del derecho de rectificación señala: “Toda persona, natural o

jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación

social, de hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio”. 514 STC 99/2011 de 20 de junio de 2011 del Tribunal Constitucional (FJ 4º).

253

relevancia pública del espacio informativo en el que queda comprometida la formación

de la opinión, justifica la acogida de versiones que permitan el contraste de

informaciones en ese mismo espacio mediante la aportación de datos por quién se ve

implicado en alusiones que considera inciertas y lesivas de su reputación. Por ello, si

bien el derecho de rectificación constituye un derecho autónomo del tutela del propio

patrimonio moral, a la vez opera como instrumento de contraste informativo que

supone un ‘complemento de la garantía de libre formación de la opinión […]”515.

Por otra parte, la LO 2/1984 establece un plazo de siete días naturales posteriores a la

publicación o difusión de la información para poder ejercer el derecho de rectificación

ante el director del medio de comunicación. En un entorno digital, en el que la

información permanece de forma indefinida, esos siete días naturales se quedan cortos.

Por último, otro punto muy interesante que pone de manifiesto esta sentencia del

Tribunal Supremo es que la tradicional legislación civil del honor, intimidad y propia

imagen –esta es la legislación con la que se ha venido solucionando los habituales

conflictos entre derecho a la información y derecho a la intimidad-podría bastar, al

menos en muchos casos en los que el contexto es el de los medios de comunicación,

para resolver los problemas derivados del derecho al olvido, sin necesidad de haber

encajado este derecho en el ámbito del Derecho administrativo y la protección de datos

de carácter personal y haber hecho del gestor del motor de búsqueda –plataforma

prestadora de servicio de la sociedad de la información, intermediaria-un juez. De

hecho, en la gran mayoría de los casos, lo que realmente se pretende eliminar no son

datos personales sin más, sino información, lo que implica que nos situaríamos en el

515 Ibídem.

254

clásico conflicto entre información y privacidad. Como ya se ha explicado con

anterioridad en esta tesis, datos e información no son lo mismo.

255

7. La privacidad en Internet en un mundo global: EE.UU versus Europa

Las diferencias entre el sistema en EE.UU y el europeo –y más en concreto el español-

son palpables y tienen fundamentalmente su explicación en la distinta base del Derecho

y del sistema judicial en ambos territorios: el common law, derecho de corte anglosajón

-basado en el precedente-, frente al derecho continental donde la legislación tiene un

mayor peso. Europa y, en concreto, España, junto con otros países europeos como

Francia, tiene una de las legislaciones más restrictivas y protectoras en materia de

privacidad. Ahora, con la nueva normativa europea de protección de datos, se persigue

un marco regulador único europeo, con un Reglamento, que por su propia naturaleza, es

directamente aplicable en los 28 Estados miembros, a diferencia de una Directiva que

necesitaría normativa interna de transposición al ordenamiento jurídico español.

No obstante, pese a los esfuerzos de armonización y unificación normativa a nivel

comunitario, existe en Europa una preocupación relativa sobre si, pese a tener una de las

regulaciones más protectoras, ésta vaya a ser desbordada por la existencia de un mundo

globalizado516. Si Internet es global y universal, al igual que lo son muchos de los

negocios basados en la infraestructura de Internet, lógico sería perseguir o buscar un

tratamiento a nivel mundial en materia de privacidad o, al menos reducir las diferencias

regulatorias. A día de hoy, las diferencias existentes en el sistema jurídico en EE.UU y

en Europa dificultan este tratamiento universal o global de la materia, al margen de los

problemas derivados de la soberanía territorial de los Estados.

516 Así se manifestaba el ex ministro Tomás de la Cuadra Salcedo en el citado seminario organizado por la

Cátedra Google el 8 de noviembre de 2012.

256

Para la elaboración de esta tesis se hace necesario exponer el sistema de los Estados

Unidos, teniendo en cuenta que el origen del derecho a la intimidad y privacidad, tal y

como lo conocemos hoy en día en el mundo occidental, se sitúa precisamente en EE.UU

a finales del siglo XIX. Por supuesto, esa necesidad se agudiza si tenemos en cuenta que

precisamente en Estados Unidos es donde hay un mayor avance tecnológico.

Anteriormente hemos mencionado que el concepto o lo que entendemos por privacidad,

o más específicamente, lo que debe quedar protegido bajo el paraguas de la intimidad,

no es idéntico en todas y cada una de las zonas geográficas del planeta, en todas y cada

una de las culturas y, por supuesto varía a lo largo del tiempo. Antes comentamos

algunas de las prácticas de culturas ancestrales en las que era corriente realizar en

público actos que hoy en día la gran mayoría de humanos realizan en privado. Dejando

de lado las prácticas exóticas de culturas ancestrales, las diferencias en torno a lo que

debe quedar protegido bajo la esfera de la privacidad difiere sensiblemente en la cultura

estadounidense frente a la europea, siendo ambas, culturas modernas occidentales. De

hecho, “estamos en medio de significativos conflictos en materia de privacidad entre

Europa y Estados Unidos, conflictos que reflejan las diferentes sensibilidades en torno a

qué es lo que debe de permanecer en privado”517.

Ni la Constitución Federal de EE.UU de 1787 ni sus enmiendas reconocen

expresamente un right to privacy. Sin embargo, el Tribunal Supremo de EE.UU lo ha

venido reconociendo en su jurisprudencia. Es decir, la privacy no es un derecho

fundamental reconocido por su Constitución, a diferencia de la libertad de expresión,

recogida en su primera enmienda a la Constitución Federal de EE.UU (First

517 Whitman, James Q.: op.cit, pág.1155.

257

Amendment)518. Por ello, se puede afirmar que el derecho a la privacidad o intimidad, en

EE.UU ha sido creado y perfilado por la jurisprudencia.

No obstante, de forma implícita, en varias enmiendas de la Constitución de EE.UU se

reconocen aspectos del derecho a la intimidad y privacidad. Así, se considera que el

right to privacy está implícito en la libertad de asociación reconocido en la primera

enmienda; en la cuarta enmienda en la que se establecen límites a los registros y

requisas físicas y electrónicas, no pudiendo estos ser arbitrarios519; en la quinta

enmienda, que reconoce el derecho a la no incriminación personal y a no revelar datos

personales520; en la novena enmienda en la que se contempla la reserva de derechos del

518 La primera enmienda a la Constitucion de EEUU señala (literal en inglés): “Congress shall make no

law respecting an establishment of religión, or prohibiting the free exercise thereof; or abridging the

freedom of speech, or of the press; or the right of the people peaceably to assemble and to petition the

government for a redress of grievances”. En su traducción al castellano, sería: “El Congreso no podrá

hacer ninguna ley con respecto al establecimiento de la religión, ni prohibiendo la libre práctica de la

misma; ni limitando la libertad de expresión, ni de prensa, ni el derecho a la asamblea pacífica de las

personas, ni solicitar al gobierno una compensación de agravios”. 519 La cuarta enmienda a la Constitución de EEUU señala (literal en inglés): “The right of the people to be

secure in their persons, houses, papers, and effects, against unreasonable searches and seizures shall not

be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and

particularly describing the place to be searched, and the persons or things to be seized”. En su traducción

al castellano sería: “El derecho de los habitantes de que sus personas, domicilios, papeles y efectos se

hallen a salvo de pesquisas y aprehensiones arbitrarias será inviolable, y no se expedirán al efecto

mandamientos que no se apoyen en un motivo verosímil, estén corroborados mediante juramento o

protesta y describan con particularidad el lugar que deba ser registrado y las personas o cosas que han

de ser detenidas o embargadas”. 520 La quinta enmienda a la Constitución de EEUU señala (literal en inglés): “No person shall be held to

answer for a capital, or otherwise infamous crime, unless on a presentment or indictment of a grand jury,

except in cases arising in the land or naval forces, or in the militia, when in actual service in time of war

or public danger; nor shall any person be subject for the same offence to be twice put in jeopardy of life

or limb; nor shall be compelled in any criminal case to be a witness against himself, not be deprived of

life, libery, or poverty, without due process of law; nor shall private property be taken for public issue,

without just compensation”. En su traducción al castellano, sería: “Nadie estará obligado a responder de

un delito castigado con la pena capital o con otra infamante si un gran jurado no lo denuncia o acusa, a

excepción de los casos que se presenten en las fuerzas de mar o tierra o en la milicia nacional cuando se

encuentre en servicio efectivo en tiempo de guerra o peligro público; tampoco se pondrá a persona

alguna dos veces en peligro de perder la vida o algún miembro con motivo del mismo delito; ni se le

forzará a declarar contra sí misma en ningún juicio criminal; ni se le privará de la vida, la libertad o la

propiedad sin el debido proceso legal; ni se ocupará su propiedad privada para uso público sin una justa

indeminización”.

258

pueblo521; y en la decimocuarta enmienda en la que se reconoce el derecho a un due

procedure522.

En EE.UU se aprecia más que en Europa la preeminencia de la propiedad, no sólo de lo

material, sino también de todo lo concerniente a la persona, por lo que “no resulta difícil

comprender que el ámbito de la intimidad fuera concebido como una esfera en la que

sólo cada persona puede decidir si permite o no a los demás participar de su

conocimiento, de modo que la facultad principal consiste en algo negativo-excluir-, y no

en llevar a cabo determinadas acciones o en controlar determinados datos”523. Es decir,

en EE.UU la privacidad gira más en torno a la exclusión de terceros de ámbitos que se

entienden reservados al titular del derecho524.

Uno de los juristas posteriores a la guerra civil norteamericana más influyentes, Thomas

M. Cooley, afirmaba en la primera edición de su tratado de Derecho Constitucional A

Treatise on the Constitutional Limitations which rest upon the Legislative Power of the

States of the American Union (1883), que las garantías de la tercera, cuarta y quinta

enmiendas constituyen vehículos de protección de la esfera individual, señalando que la

521 La novena enmienda a la Constitución de EE.UU señala (literal en inglés): “The enumeration in the

Constitution, of certain rights, shall not be construed to deny or disparage others retained by the

people”. En su traducción al castellano: “La enumeración en la constitución de ciertos derechos no ha de

interpretarse como que niega o menosprecia otros que retiene el pueblo”. 522 La decimocuarta enmienda señala (literal en inglés): “Section 1. All persons born or naturalized in

the United States, and subject to the jurisdiction thereof, are citizens of the United States and of the State

wherein they reside. No state shall make or enforce any law which shall abridge the privileges or

inmunities of citizens of the United States; nor shall any state deprive any person of life, liberty or

poverty, without due process of law; nor deny to any person within its jurisdiction the equal protection of

the laws. […]”. En su traducción al castellano: “Sección 1. Toda persona nacida o naturalizada en los

Estados Unidos, y sujeta a su jurisdicción, es ciudadana de los Estados Unidos y del Estado en que

resida. Ningún Estado podrá crear o implementar leyes que limiten los privilegios o inmunidades de los

ciudadanos de los Estados Unidos; tampoco podrá ningún Estado privar a una persona de su vida,

libertad o propiedad sin un debido proceso legal; ni negar a una persona alguna dentro de su

jurisdicción la protección legal igualitaria […]”. 523 Megías Quirós, José Justo: “Privacidad e Internet: intimidad, comunicaciones y datos personales”, en

Anuario de Derechos Humanos, nº 3,2002, pag. 522. 524 Ballesteros, Jesús: Postmodernidad: decadencia o resistencia, Tecnos, Madrid, 1989, pag. 56 y ss.

259

máxima del common law de a man’s house as his castle, que garantiza la inmunidad del

ciudadano en su domicilio frente a la acción del Gobierno y la protección de su persona,

propiedad y documentación personal, formaba parte del Derecho constitucional

norteamericano a través de la cláusula de la cuarta enmienda que prohíbe registros y

requisas injustificadas de personas y domicilios525. Incluso Cooley establecía una

especie de bisagra de privacidad que ensambla la cuarta y quinta enmienda, afirmando

que no es admisible invadir la esfera del domicilio con el sólo propósito de obtener

evidencias frente a su titular. Asimismo este juez afirmaba que el derecho del individuo

a protegerse frente a invasiones de su esfera privada alcanza tanto frente a la intromisión

ilegal de agentes del Gobierno como frente a la curiosidad lasciva del público en

general526.

Pocos años más tarde, en 1886, el Tribunal Supremo de EE.UU acogió la

argumentación de Cooley en el caso Boyd v. United States527, considerando que la

aprehensión de documentos privados, previo requerimiento, y su utilización como

evidencia probatoria es contrario a la cuarta y quinta enmienda. Así al expresar la

opinión del tribunal, el juez Bradley retoma la máxima inglesa a man’s home as his

castle para declarar the sanctity of a man’s home and the privacies of life, conectando

por primera vez las garantías de la cuarta y quinta enmiendas frente a la invasión

gubernamental en el ámbito privado para obtener información reservada de la persona a

525 Cooley, Thomas: A Treatise on the Constitutional limitations whith rest upon the legislative power of

the Amercian Union, 5ª edición, Boston, Little, Brown and Company, 1883, pag.45 y ss. 526 Saldaña, María Nieves: “El derecho a la privacidad en los Estados Unidos: aproximación diacrónica a

los intereses constitucionales en juego”, Teoría y Realidad Constitucional, nº 28, 2011, pag.283. 527 Boyd v. United States, 232 US, 383, (1886).

260

través del registro ilegal de su domicilio, al objeto de utilizarla como evidencia contra

ella528.

Durante la primera mitad del siglo XX, el Tribunal Supremo de EE.UU adoptó una

protección muy literal de las garantías frente a registros arbitrarios exigiéndose una

efectiva intrusión física en los domicilios, documentos y efectos personales. Frente a

esta protección estrictamente material de las garantías relacionadas con la privacidad e

intimidad, se opuso el juez Louis Brandeis en su célebre voto discrepante del caso

Olmstead v. United States (1928)529, defendiendo los mismos argumentos que había

avanzado treinta y ocho años antes en el ensayo The right to privacy. En este caso, el

Tribunal resolvió un caso sobre registros y escuchas telefónicas por agentes del

Gobierno, relativas a actividades comerciales sospechosas de violar las normas sobre

importación, almacenamiento y venta de bebidas alcohólicas. La mayoría de los

miembros del Tribunal consideraron que, dado que no había habido un registro sobre

cosas materiales (casa, persona, documentos, etc), sino que la evidencia había sido

obtenida a través de escuchas telefónicas, no se había producido una vulneración de la

privacidad. Sin embargo, Brandeis expresó su opinión discrepante530 y manifestó su

preocupación por los avances tecnológicos, especialmente aquellos que podían

528 El juez Bradley destaca en la citada sentencia, en relación con la protección de la cuarta enmienda

(literal en inglés): “It does not requiere acual entry upon premises and search for and seizure of papers to

constitute an unreasonable search and seizure within the meaning of the fourth Amendment”. 529 Olmstead v. United States, 277 US 438, 465, 466, (1928). 530 En su opinión discrepante en el caso Olmstead v. United States, Brandeis destacó: “Siempre que una

línea telefónica está intervenida, la privacidad de las personas que hablan en ambos extremos de ella es

invadida y todas sus conversaciones sobre cualquier tema, por muy íntimas, confidenciales o privilegiadas

que sean, pueden ser escuchadas por otros […]. Los autores de nuestra, constitución se propusieron

garantizar las condiciones propicias para la búsqueda de la felicidad. Reconocieron la importancia del

carácter espiritual del hombre, sus sentimientos y su intelecto. Sabían que en las cosas materiales sólo se

puede hallar una parte del dolor, el placer y las satisfacciones de la vida. Trataron de proteger a los

estadounidenses de sus creencias, ideas, emociones y sensaciones. Otorgaron frente al Gobierno el

derecho a ser dejado solo-el más completo de los derechos, y el más apreciado por el hombre civilizado.

Para proteger ese derecho, toda intrusión no justificable del Gobierno en la vida privada del individuo,

cualquiera que sean los medios empleados, debe considerarse una violación de la Cuarta Enmienda. Y la

utilización como prueba en un proceso penal de hechos averiguados por esa intrusión debe considerarse

una violación de la Quinta Enmienda”.

261

interceptar las comunicaciones por cable. Brandeis denuncia la potencial invasión

estatal de la privacidad por avanzados dispositivos de reproducción o grabación,

argumentando que el descubrimiento o invención de mecanismos más sutiles y los

avances tecnológicos, en general, suponen un peligro para la protección de la intimidad,

algo que dejó plasmado para la posteridad en su voto discrepante en el caso Olmstead v.

United States. Brandeis recondujo el derecho a la intimidad a la inviolabilidad del

domicilio de las enmiendas cuarta y quinta, formulando de esta manera el que llamó el

derecho más valorado por los hombres civilizados, es decir derecho a que lo dejen a

uno en paz (right to be let alone), adelantándose así a lo que sería posteriormente un

claro y asumido aspecto de los derechos de la personalidad531.

Hasta la década de los sesenta no se inicia una jurisprudencia más favorable y más

abierta en la protección de la privacidad e intimidad, ya que hasta la fecha, la

jurisprudencia mayoritaria se decantaba por considerar violación de la privacidad o

intimidad cuando había una violación física de documentos, domicilio o persona.

(invasión material o physical trespass). En 1967, el Tribunal Supremo afirma en

Camara v. Municipal Court532que el propósito básico de la cuarta enmienda es

salvaguardar la privacidad y seguridad de las personas frente a intrusiones arbitrarias de

funcionarios gubernamentales533. En junio de ese mismo año, en Berger v. New York534,

el Tribunal declaró inconstitucional por violación de la cuarta enmienda una ley de

Nueva York que autorizaba la grabación de comunicaciones secretas por agentes

encubiertos, por períodos de hasta sesenta días, afirmando que las conversaciones

531 Cámara Villar, Gregorio: Votos particulares y Derechos Fundamentales en la práctica del Tribunal

Constitucional Español (1981-1991), Madrid, Ministerio de Justicia, Secretaria General Técnica, 1993,

pag.39. 532 Camara v. Municipal Court, 387 US 523, 528, 1967. 533 En la sentencia Camara v. Municipal Court se destaca (literal en inglés): “Except in certain carefully

defined classes of cases, a search without proper consent is “unreasonable” unless it has been authorized

by a valid search warrant”. 534 Berger v. New York, 388 US, 41, 1967.

262

estaban protegidas por la Cuarta Enmienda y que el uso de artefactos electrónicos para

incautarlas no determinan que fuesen registros constitucionalmente admisibles. El

registro por parte del Gobierno de una señal electrónica intangible durante su

transmisión también queda dentro del ámbito de la Cuarta Enmienda, por tanto, siendo

aplicable a una comunicación por teléfono en el contexto de una escucha telefónica535.

Hasta finales de 1967, el Tribunal Supremo no admitió definitivamente la interpretación

de la cuarta enmienda defendida por Brandeis en Olmstead v. United States. El Tribunal

Supremo de EE.UU afirmó en Katz v. United States536 que el espionaje electrónico

constituye registro en el sentido de la Cuarta Enmienda, cuyo propósito es proteger a las

personas y no simplemente los lugares, amparando constitucionalmente la privacidad en

el marco de la Cuarta Enmienda. Con respecto a la sentencia Katz v. United States,

algún autor ha destacado que “abre paso a una concepción más espiritualista basada en

la tutela de la privacy desligándola, al menos en parte, del modelo propietario”537.

A partir de entonces, la jurisprudencia norteamericana ha venido reconociendo una

expectativa razonable de privacidad garantizada por la Cuarta Enmienda, en los diversos

supuestos de acciones policiales dirigidas a la prevención y detección de actividades

criminales, y así como en relación con los datos bancarios individuales, como en el caso

United States v. Miller538. En este último caso, el Tribunal Supremo de EE.UU negó

eficacia a la Cuarta Enmienda, pues la información bancaria que se solicitaba a los

535 Ver el documento Registro y confiscación de ordenadores y obtención de pruebas electrónicas en

investigación criminal, Sección de Delitos Informáticos y Propiedad Intelectual, División de Delitos,

Ministerio de Justicia de EE.UU, junio 2002. http://www.poderjudicial.es/cgpj/es/Temas/e-

Justicia/Registro-y-confiscacion-de-ordenadores-y-obtencion-de-pruebas-electronicas-en-investigacion-

criminal 536 Katz v. United States, 389 US, 347, (1967). 537 Martínez, Ricard: “Privacidad, Estados Unidos y España: tan lejos, tan cerca”, Revista TELOS

Cuadernos de Comunicación e Innovación, Fundación Telefónica, Febrero-Mayo 2014, pag.4. 538 United States v. Miller, 425 US, 435, (1976)

263

bancos no era privada o referente a personas físicas sino que era información de una

empresa539. Más adelante, el Tribunal Supremo sostuvo en Kyllo v. United States540, que

la utilización de un escáner localizado en un lugar público, que capta imágenes térmicas

del interior de una vivienda para vigilar la radiación del calor del domicilio de una

persona sospechosa de cultivar marihuana, constituye un registro en el sentido de la

Cuarta Enmienda, afirmando que en la santidad del hogar cualquier aspecto reservado

de la persona está incluido en la esfera de su privacidad. En este caso, “la Corte

Suprema concluyó que la obtención de imágenes a través de rastreo térmico en la

habitación de ciudadanos corresponde a una ventaja inadmisible de la Fiscalía que no

consulta la Cuarta Enmienda y, en consecuencia, dicha técnica requiere de orden

judicial”541. En este caso, la Fiscalía obtuvo imágenes térmicas del techo y las paredes

interiores de una casa en la que las irradiaciones eran más intensas que en el resto del

inmueble. Los agentes tenían sospechas de que Kyllo cultivaba plantas de marihuana en

el interior de su casa y por ello requería iluminación especial en los lugares de

sembradío para que las plantas pudieran realizar la fotosíntesis y guardaran una

temperatura adecuada para su crecimiento. Con estas imágenes, se solicitó la orden

judicial de allanamiento y registro que, a la postre, confirmó las sospechas de los

agentes. Sin embargo, Kyllo llevó su asunto hasta la Corte Suprema, que definió el

asunto como vulneración de la Cuarta Enmienda”542.

539 Planas i Silva, Carlota: “Cookies cloudy, cooked Google: ¡Al loro, bibliotecas en la Nube!”, Ibersid

Revista de Sistemas de Información y Documentación, nº 6, Zaragoza, 2012, pags. 31 y ss. 540 Kyllo v. United States, 533 US, 27 (2001). 541 Guerrero Peralta, Óscar Julián: “La expectativa razonable de intimidad y el derecho fundamental a la

intimidad en el proceso penal”, Derecho Penal y Criminología, vol.32 nº 92, Universidad Nacional de

Colombia, Octubre 2011, pag.67. 542 Blitz, Marc Jonathan: “Video surveillance and the Constitution of Public Space: Figtting the Fourth

Amendment to a World that Tracks Imagen and Identity”, Texas Law Review, vol. 82, 2004, nº 6, pags.

1350 y ss.

264

Desde Katz v. United States se ha venido generando una extensa y vacilante

jurisprudencia, que supedita el concepto de ‘expectativa razonable de privacidad’ a las

cambiantes mayorías del Tribunal, que pueden ampliar o restringir su alcance hasta

vaciarlo de contenido. De ahí la generalizada crítica de la doctrina mayoritaria

norteamericana que viene denunciando la progresiva reducción del ámbito de protección

de la Cuarta Enmienda543.

Aunque durante más de la mitad del siglo XX, el Tribunal Supremo de EE.UU ha

venido señalando expresamente como intereses protegidos por la Cuarta Enmienda la

libertad individual, la integridad personal, la inviolabilidad de la persona, la dignidad de

la persona, e incluso, el derecho a la libertad de movimientos, sin embargo, desde Katz

v. United States el interés central de la Cuarta Enmienda ha sido la protección de la

privacidad individual, de aquellos ámbitos de la esfera privada que tienden a preservar

esos intereses de secreto, santuario, soledad individual frente a la ilegítima intromisión

estatal, que han fundamentado su protección constitucional y están implícitos en la

centenaria formulación del derecho a la privacidad como the right to be let alone544.

La década de los sesenta presenta un giro importante en la jurisprudencia

norteamericana relativa a la privacidad545. Precisamente hasta los sesenta el

reconocimiento constitucional del derecho a la privacidad había girado en torno a la

protección de la Cuarta Enmienda, en los registros arbitrarios personales y

domiciliarios. Es a mediados de los sesenta, cuando se produce un giro importante en la

jurisprudencia norteamericana, al reconocer un derecho fundamental a la privacidad en

543 Clancy, Th.k.: “What does the fourth Ammendment protect: property, privacy or security”, Wake

Forest Law Review, vol.33, 2009, pags. 307-370. 544 Saldaña, María Nieves.: op.cit, pag.289. 545 Ibídem.

265

la toma de decisiones de especial relevancia para el desenvolvimiento de la personalidad

individual, implícito en el ‘concepto de libertad’. El Tribunal Supremo ha venido

reconociendo que el due process of law (decimocuarta enmienda) ampara el derecho a

casarse, tener hijos y decidir sobre su educación, el derecho a la privacidad marital y al

uso de anticonceptivos, derecho a la orientación sexual, prácticas homosexuales

consentidas en el ámbito privado, al aborto, derecho a rechazar un tratamiento médico o

a decidir sobre la propia muerte546.

Una de las sentencias que mejor refleja la primacía de la Primera Enmienda en EE.UU,

en su conflicto con el derecho a la intimidad, es la del caso Florida Star (1989)547. Este

caso hace referencia a la publicación por parte de un periódico del nombre de una

víctima de una violación, habiéndose obtenido esa información a través de un informe

policial. Si bien en una primera instancia se reconoció la responsabilidad del medio de

comunicación y el derecho de la víctima a ser indemnizada, en el recurso de apelación

la Corte Suprema de EE.UU revocó la sentencia de instancia y afirmó que es

inconstitucional imponer una sanción o condena a un periódico por publicar

información pública y veraz, si esta información ya ha sido dada a conocer por la

Administración y si no se ha accedido a la misma de un modo ilegal. “La Corte

interpretó el término significado público con extrema amplitud, enfocándose en el

contenido general del problema (crimen violento) en vez de en la naturaleza de la

información en sí misma (el nombre de la víctima) y la importancia de transmitir la

546 Entre otras sentencias, ver Cruzan v. Director Missouri Department of Health, 497 US 261 (1990). En

ella, el Tribunal Supremo de EE.UU reconoció la existencia de un derecho a morir pero enfatizó que tal

derecho no deriva de un derecho constitucionalmente protegido a la intimidad (privacy), sino del derecho

a la autonomía individual firmemente asentado en el Common law y confirmado en la cláusula del due

process of law de la Decimocuarta enmienda a la Constitución. Ver asimismo la sentencia Roe v.Wade

410 US 113 (1973) en relación con el derecho al aborto bajo el amparo de la Decimocuarta enmienda. 547 Caso Florida Star v. B.J. F, 491 US, 524, (1989).

266

historia informativa”548. “Como tal, la Corte señaló que, de lo contrario la información

privada se convierte legítimamente en un valor informativo cuando contiene una

conexión -sin importar cuán atenuada- al asunto de interés público”549.

Un argumento que relativiza el alcance absoluto de la primera enmienda a la

Constitución de Estados Unidos, es que ésta “no se aprobó para garantizar la libertad de

los ciudadanos frente al Congreso, sino para distinguir las competencias de la

Federación frente a los Estados miembros. Es decir, que prohibía regular la libertad de

expresión al Congreso pero no a las cámaras legislativas de los Estados miembros”550.

“No se puede decir, con base en la primera enmienda, que la libertad de expresión es

más amplia en Estados Unidos que en Europa, al menos hasta 1925, aunque sí a partir

de esta última fecha”551. Asimismo, otro argumento que relativiza el carácter absoluto

de la primera enmienda en sus primeros estadios, “deriva de los tipos penales y civiles

heredados del common law, y agravados a menudo por el legislador, que amordazaban

la libertad de expresión estableciendo para los autores de escritos o afirmaciones

tendenciosas importantes sanciones”552.

En 1925, con la sentencia Gitlow v. People of New York553, el Tribunal Supremo decide

configurar el derecho a la libertad de expresión y la libertad de prensa como un derecho

fundamental oponible a los Estados. Más tarde en el tiempo, nos hallamos con una

sentencia clave en la jurisprudencia del Tribunal de EE.UU sobre la materia, que es la

548 Abril, Patricia S. y Pizarro, Eugenio: “La intimidad europea frente a la privacidad americana: una

visión comparativa del derecho al olvido”, InDret Revista para el análisis del Derecho, vol. 1, Barcelona,

enero 2014, pag. 23. 549 Ibídem. 550 Tenorio Sánchez, Pedro J.: “La libertad de Comunicación en Estados Unidos y en Europa”, ReDCE,

año 10, nº 19, enero-junio 2013, pag. 282. 551 Ibídem. 552 Tenorio Sánchez, Pedro J.: op.cit, pag.279. 553 Sentencia del Tribunal Supremo de EE.UU, Gitlow v. People of New York, 286 US 652 (1925).

267

referente al caso New York Times Co v. Sullivan554 (1964). En ella, el Tribunal

fundamenta que la libertad de prensa no se pierde por la falsedad o el contenido

injuriante de la publicación, ya que lo contrario daría lugar a la autocensura. Por tanto,

ante la publicación de datos ofensivos para un funcionario público, la responsabilidad

del medio periodístico quedaba condicionada a que el funcionario afectado acreditara la

malicia, que la noticia había sido publicada a sabiendas de que era falsa o con notoria

preocupación acerca de su veracidad. El Tribunal Supremo de EE.UU revocó la

sentencia de instancia en este caso y fijó una postura, que defiende que los errores en la

comunicación de informaciones no se pueden evitar y ha de probarse la intención de

difamar así como la falta de veracidad. De esto modo, el Tribunal Supremo de EE.UU

otorgaba a la prensa un rol de ‘perro guardián’ de la información, que ha sido reflejado

posteriormente por la jurisprudencia del TEDH en la sentencia Goodwin c. Reino

Unido555, entre otras.

En cuanto a jurisprudencia reciente en EE.UU sobre libertades informativas, cabe

destacar la sentencia del Tribunal del distrito de Oregón de 2014 en el caso Obsidian

Finance Group, LLc v. Cox556, en la que por primera vez se consideró que un blogger

tiene las mismas protecciones en relación con las libertades informativas que un

periodista tradicional, por lo que no podría ser responsable por difamación salvo por

falta de diligencia.

En lo que respecta al concepto de interés público y sus límites en Estados Unidos, cabe

realizar algunas reflexiones, puesto que si bien no se cuestiona la supremacía de la

554 Sentencia del Tribunal Supremo de EE.UU, New York Times Co v. Sullivan, 376 US 254 (1964). 555 Sentencia del TEDH Goodwin c. Reino Unido, de 11 de julio de 2002. 556 Sentencia del Tribunal del Distrito de Oregón, Obsidian Finance Group, LLC and Kevin D. Padrick v.

Crystal Cox, de 11 de enero de 2014.

268

primera enmienda de la Constitución de EE.UUn en su aplicación por los tribunales,

existen ciertos límites. Así, en el caso Dun & Bradstreet Inc. v. Greenmoss Builders557

se consideró que un informe crediticio que contenía el dato de una condena por robo

acaecida hacía 24 años, el perdón subsiguiente y el borrado de esa condena de los

registros estatales violaba el espíritu de la Fair Credit Reporting Act (FCRA). En este

fallo, la Corte Suprema de EE.UU declaró que no todas las expresiones gozan de la

misma protección constitucional, siendo ésta máxima en relación con el debate político

y menor en el lenguaje comercial, donde se admiten más restricciones558. En este caso

la Corte Suprema consideró que un informe erróneo sobre la quiebra de una persona,

efectuado por una agencia de crédito a cinco de sus subscriptores, no era un asunto de

interés público, por lo que podía ser considerado como una difamación559. Por otra

parte, el caso Melvin v. Reid560(1931) introdujo el right to privacy en el common law del

Estado de California. La actora Gabrielle Darley había ejercido la prostitución y había

estado involucrada como imputada en un juicio por homicidio. Tiempo después se casa

con un hombre, de apellido Melvin, y comienza a llevar una vida digna y respetable con

nuevos amigos y conocidos que desconocen su pasado. Según la Corte Suprema de

California, “any person living a life of rectitude has that right to happiness which

includes a freedom from unnecessary attacks on his character, social standing or

reputation”561 (texto literal en inglés). La película The Red Kimono562, narra la

verdadera historia de la mujer. En este caso el Tribunal consideró que, aun cuando se

estaba revelando un dato verdadero, el uso innecesario del nombre de la actora y la

557 Dun & Bradstreet Inc. V. Greenmoss Builders 472 US 749 (1985). 558 Botero, C., Jaramillo J.F. y Uprimny R.: “Libertad de información, democracia y control judicial:

jurisprudencia constitucional colombiana en perspectiva comparada”, Anuario de Derecho constitucional

latinoamericano, Ed. Ciedla, Konrad, Adenauer Stiftung, Buenos Aires, Argentina, 2000, pag.301 y ss. 559 Ibídem. 560 Melvin v. Reid, Court of Appeal of California, 112 Cal. App. 285, 28 Febrero 1931. 561 Ibídem. 562The Red Kimono, película producida por Dorothy Davenport, protagonizada por Priscilla Bonner, en

1925.

269

revelación de su pasado a sus nuevos amigos y asociados introdujo un elemento que, en

sí mismo, era una transgresión a su derecho a la privacidad, concluyendo que el uso y

difusión de un dato verdadero puede atentar contra la intimidad del individuo si ese dato

no hace referencia a la actualidad. Sin embargo, ha habido sentencias que contradicen

este fallo dando una mayor relevancia a la Primera Enmienda y a libertad de expresión y

de prensa en ella consagrada563. No obstante, el Estado de California es uno de los

Estados que más ha desarrollado el derecho a la privacidad.

La Privacy Act (1974)564 fue una de las primeras protecciones contra un uso inadecuado

de los datos personales por parte del Gobierno, pero su alcance es limitado, ya que sólo

se aplica al procesamiento de datos por parte del Gobierno Federal, y no se aplica a los

gobiernos estatales ni al sector privado565. En su Exposición de Motivos, se afirma que

el creciente uso de ordenadores y de una tecnología compleja de la información, si bien

es esencial para el buen funcionamiento del Gobierno Federal, ha aumentado

considerablemente el detrimento que para la privacidad individual puede derivarse de

cualquier captación, conservación uso y difusión de información personal,

proclamándose el derecho a la privacidad como un derecho personal protegido por la

563 Ver, entre otras la sentencia Time Inc. v. Hill, 385 US 374 (NY 1967) o la sentencia Sidis v. F-R Pub.

Corp., 113 F. 2d 806 (1940) 564 La Privacy Act, aprobada en EE.UU en 1974, establece normas para la protección de datos en poder

del Estado. Su objeto es regular la obtención y el uso de la información personal dentro del sector

público. 565 En la Privacy act se destaca (literal en inglés): Congressional findigs (Secc. 2) “The Congress finds

that: (1) the privacy of an individual is directly affected by the collection, maintenance, use and

dissemination of personal information by Federal agencies; (2) the increasing use of computers and

sophisticated information technology, while essential to the efficient operations of the Government, has

greatly magnified the harm to individual privacy that can occur from any collection, maintenance, use or

dissemintation of personal information; (3) the opportunities for an individual to secure employment,

insurance and credit, and his right to due process, and other legal protections are endangered by the

misuse of certain information systems; 4) the right to privacy is a persona and fundamental right

protected by the Constitution of the United States; and (5) in order to protect the privacy of individuals

identified in information systems mantained by Federal agencies, it is necessary and proper for the

Congress to regulate the collection, maintenance, use and dissemination of information by such

agencies.” Ver la Privacy Act en https://www.gpo.gov/fdsys/pkg/STATUTE-88/pdf/STATUTE-88-

Pg1896.pdf

270

Constitución de Estados Unidos, que exige una adecuada regulación del tratamiento de

la información personal por las agencias y órganos federales.

Además de la importancia del reconocimiento del derecho a la privacidad como un

derecho personal, a través de la Privacy Act, -derecho que debe ser protegido-, y de la

necesidad de que la información personal que tratan organismos federales esté

adecuadamente regulada, un concepto que adquiere una fuerza relevante en el derecho

de EE.UU es el de Informational Privacy, clave en la sociedad de la información y del

conocimiento de principios del siglo XXI. Este concepto enlaza con la visión del

derecho a la privacidad como poder de controlar el flujo de información personal, como

un proceso de autodeterminación personal566. A fin de cuentas el proceso de

autodeterminación personal está intrínsecamente ligado a los procesos de comunicación

y participativos en los que interviene el individuo.

Otra definición interesante del concepto de Informational Privacy es aquella que la

define como la capacidad de la persona de controlar el flujo de información que le

concierne, como una capacidad esencial para el establecimiento de relaciones sociales y

el mantenimiento de la libertad personal que, con el auge de las nuevas tecnologías se

ha visto amenazada o limitada567. Miller analiza especialmente “los riesgos que afectan

al control de flujo de datos personales en el tratamiento automatizado del entorno

informático. En un entorno informático, el poder de control sobre el flujo de

información personal puede verse afectado fundamentalmente por dos situaciones: en

primer lugar, por la difusión de los datos personales a una audiencia mayor a la

consentida por el sujeto originariamente, lo que constituiría un supuesto de ausencia de

566 Fried, C.: “Privacy”, Yale Law Journal, vol.77, nº 3, 1968, pags. 475-493. 567 Miller, Arthur.: The assault on privacy: computers, databanks and dossiers, University of Michigan

Press, 1971, pag.26.

271

control de acceso; y en segundo término, por la introducción de incorrecciones en los

datos personales informatizados, generándose una impresión errónea de la conducta o

comportamiento real del sujeto en aquellos a los que la información fuese expuesta, lo

que constituiría un supuesto de ausencia de control sobre la exactitud de los datos”568.

Westin ha sido otro de los autores americanos que ha estudiado en profundidad la

Informational Privacy569. Realmente este concepto, que equivaldría en España a la

denominada autodeterminación informativa, ha sido ampliamente estudiado por

numerosos autores americanos570.

El Congreso de EE.UU ha aprobado numerosas disposiciones legislativas con el objeto

de regular eventuales invasiones de la “Informational Privacy”. Es a partir de 1974

cuando estas disposiciones se hacen más prolijas. La Privacy Act de 1974 modifica la

Freedom of Information Act (FOIA) de 1966. Modificada en diversas ocasiones, ésta

última regula con carácter general el acceso de los ciudadanos a la información

disponible en los archivos y registros públicos de las Agencias federales, eximiendo al

Gobierno de hacer públicos sus archivos cuando esto suponga una injustificada invasión

en la información personal571.

568 Miller, Arthur en Saldaña, María Nieves: “La protección de la privacidad en la sociedad tecnológica:

el derecho constitucional a la privacidad de la información personal en los Estados Unidos”, Araucaria

vol. 9 nº 18, Universidad de Sevilla, 2007, pag.99. 569 Westin, Alan F.: Privacy and Freedom, Ateneum, Nueva York, 1967. 570 Algunos de los más relevantes autores americanos que han estudiado la Informational Privacy son:

Cate, Fred H: Privacy in the Information Age, Brookings Institution Press, Washington DC, 1997. Ver

también Kang, Jerry: “Information Privacy in Cyberspace Transactions, Stanford Law Review, vol.50,

1998. Ver asimismo Froomkin, Michael: “The Death of Privacy?”, Stanford Law Review, vol.52, 2000.

Ver Schwartz, Paul: “Internet, Privacy and the State, Connecticut Law Review, vol.32, 2000. 571 Schwartz, Paul: “Privacy and participation: personal information and public sector regulation in the

United States, Iowa Law Review, vol. 80, 1995, págs. 553 y ss.

272

Se han ido promulgando numerosas disposiciones normativas en diversas materias. En

el ámbito de los servicios financieros; la Right to Financial Privacy Act (RFPA) de

1978; la Financial Services Modernization Act (1999), Fair and Accurate Credit

Transactions Act (FACTA) de 2003; en el ámbito de los datos médicos, Health

Insurance Portability and Accountability Act (HIPPA) de 1996, la Genetic Information

Nondiscrimination Act (GINA) de 2008. En el sector de las comunicaciones

electrónicas, la Electronic Communication Privay Act (ECPA) de 1986, Children’s

Online Privacy Protection Act (COPPA) de 1998, la E-Government Act de 2002. La

información personal de los usuarios de teléfonos se protege en la Telephone

Consumers Protection Act (TCPA) de 1991; los registros relativos al alquiler o compra

de vídeos en la Video Privacy Protection Act (VPPA) de 1988; la información contenida

en los registros de vehículos a motor en la Driver’s Privacy Protection Act (DPPA) de

1994; o la protección de la información de los usuarios de servicios por cable, en el

ámbito de las comunicaciones electrónicas, en la Cable Communications Policy Act

(CCPA).

El Tribunal Supremo de EE.UU acuñó el término o concepto del balancing test en

relación con la informational privacy -lo que sería adaptado al derecho español como la

ponderación de intereses en conflicto- y que podría definirse como la ponderación de

bienes jurídicos en conflicto, es decir, el interés individual en mantener la reserva de la

información personal frente al interés en su divulgación. Cada vez cobra mayor

relevancia garantizar espacios efectivos de privacidad frente a la injerencia estatal,

especialmente tras la legislación antiterrorista aprobada por EE.UU; la USA Patriot

Act572 (USAPA) de octubre de 2001 así como las reformas legislativas a las que ésta ha

572 Esta normativa fue aprobada el 26 de octubre de 2001 con una abrumadora mayoría tanto en la Cámara

de representantes como en el Senado americano después de los atentados del 11-S. El objetivo de esta ley

273

dado lugar. Esta ley, por tanto, fue promulgada como consecuencia de los ataques

terroristas del 11-S, como una medida para proteger la seguridad nacional, permitiendo

al Gobierno el acceso a información.

Dicha norma supone una “clara limitación del derecho a la intimidad personal y

familiar, así como al secreto de las comunicaciones de cualquier persona que se

encuentre en EE.UU, dado que, basándose en esta ley, el Gobierno Federal tiene plenos

poderes para intervenir cualquier tipo de comunicación interna o externa, de correo

electrónico, conversación telefónica, ya sean mensajes de voz o texto, los históricos de

navegación web, así como consultas de los principales buscadores en Internet”573.

Debido a los recortes en los derechos fundamentales que esta ley implicó, tuvo

inicialmente un rechazo por gran parte de la sociedad americana574.

Para los europeos, de hecho, “muchas veces resulta obvio que los americanos no

entienden para nada las demandas imperativas de privacidad”575. Por ejemplo, la

investigación en el caso Monica Lewinsky576, con sus numerosos disclousures, llevó a

es ampliar la capacidad de control del Estado con el fin de combatir el terrorismo. Gracias a esta ley se

promulgaron delitos y se endurecieron las penas por delitos de terrorismo. Sin embargo, diversos

organismos y organizaciones de Derechos Humanos han criticado esta ley por suponer restricciones a las

libertades y garantías constitucionales que ha implicado para ciudadanos estadounidenses y extranjeros.

La USA Patriot Act es un acrónico siendo el texto completo de la norma Uniting and Strenthening

America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001. 573 Ver Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes

sociales online, Observatorio de la Seguridad de la Información, Febrero 2009, pag.72. Disponible en

https://observatorio.iti.upv.es/media/managed_files/2009/02/13/estudio_intecoaepd_privacidad_redes_soc

iales_def.pdf 574 Gilbert, Ellen D.: “Confidentially speaking: American Libraries and the USA Patriot Act”, Library

Philosophy and Practice, vol.8, nº 1, University of Nebraska, 2005, pag.1. 575 Whitman, J.Q.: op.cit, pag. 1155. 576 El conocido caso Monica Lewinsky en 1998, también conocido como el escándolo Lewinsky o

Monicagate, hace referencia al escándalo sexual en el que se vio implicado el ex presidente de EE.UU

Bill Clinton y la entonces becaria de la Casa Blanca Monica Lewinsky. El citado caso planteó dudas y un

debate sobre lo público y lo privado y dónde se encuentra el límite entre ambos. Culminó con el

impeachment al ex presidente, quien terminó reconociendo la “relación inapropiada” con la becaria. Llegó

a formularse una acusación penal contra Clinton por un delito de perjurio. Tras conocerse el escándalo, el

8 de octubre de 1998, el Congreso de EE.UU votó 258 votos frente a 176 a favor del proceso de

destitución. Meses después, Clinton reconoció haber mantenido un “comportamiento físico inapropiado”,

274

muchos europeos a esa conclusión577. Muchos de los aspectos que los franceses o los

alemanes protegen con recelo, para los americanos son trivialidades del comportamiento

del día a día578. América es un lugar donde entre desconocidos pronto se comparte

información acerca de actividades privadas de una forma difícil de imaginar para los

europeos nórdicos o los asiáticos579. Por ejemplo, algún autor apunta a la costumbre

americana de hablar sobre salarios, algo que los europeos ven embarazoso580.

El hecho de que existan notorias diferencias de enfoque entre el sistema norteamericano

y el europeo en lo que respecta a la privacidad aleja también las posiciones con respecto

al derecho al olvido digital entre EE.UU y Europa. Según el profesor de Derecho de la

Universidad de Georgetown, Franz Werro, “el derecho a la privacidad está yendo por

muy diferentes caminos en Europa y EE.UU”581. En opinión de este jurista de origen

suizo, Europa ve la necesidad de hacer una ponderación o balance entre la libertad de

expresión y el derecho a saber, y el derecho individual a la privacidad y dignidad,

conceptos muy sólidos y arraigados en la legislación europea. La perspectiva europea en

torno a la privacidad fue tomando forma basándose en el modo en el que la información

era recogida y usada en contra de los individuos bajo regímenes dictatoriales como los

de Franco, Hitler o los sistemas comunistas.

aunque negó haber cometido perjurio. El 12 de febrero de 1999, la Cámara alta declaró a Clinton “no

culpable” del delito de perjurio por 55 votos frente a 45. 577 Vid. Lassaussois, Jacques: “Procès Clinton: “Où va la Justice Americaine?”, Gazzete du Palais, 18 de

Marzo de 1998. 578 Abril, Patricia S. y Pizarro, E.: “La intimidad europea frente a la privacidad Americana: una vision

compartida del derecho al olvido”, InDret Revista para el Análisis del Derecho, Universidad Pompeu

Fabra, enero 2014, pag.8. 579Whitman, J.Q: op.cit, pag.1155 y ss. 580Ibídem. 581 Werro, F.: “The right to inform v. the right to be forgotten: a transatlantic crash”, Liablility in the third

Millenium, Research Paper, nº 2, Georgetown University Law Center, Mayo 2009, pag.s 287-300.

275

Por ejemplo, en Alemania, Wolfgang Werlé y Manfred Lauber, quienes se hicieron

conocidos por matar a un actor alemán en 1990, demandaron a la Wikipedia582 por

realizar una entrada a su pasado criminal. Las leyes de privacidad alemanas permiten la

supresión de la identidad criminal en las informaciones una vez que los individuos

hayan pagado su deuda con la sociedad. El abogado de Werlé y Lauber argumentó que

los criminales tienen también un derecho a la privacidad y un derecho a ser dejados en

paz. Los alemanes, de hecho, han invocado el concepto de personalidad de una forma

frecuente mientras los americanos lo han hecho con el concepto de libertad. Y, con

respecto a la libertad, mientras los americanos veían la libertad como algo opuesto a la

tiranía, los alemanes del siglo XIX frecuentemente pensaban en ella como algo opuesto

fundamentalmente al determinismo. Según recuerda este autor, en Alemania, ser libre

significaba no ser libre del control gubernamental ni ser libre para implicarse en

transacciones bancarias, sino que significaba ejercitar la libre voluntad583. De hecho,

esta idea de libre autodeterminación es tan antigua como Leibniz o incluso Erasmo, o

incluso podría afirmarse que sus fuentes subyacen irremediablemente en el humanismo

cristiano. Los teutones van más allá, e incluso en Alemania las empresas tienen

derechos de la personalidad, en el sentido de que se las protege contra usos de los logos

o slogans que sean de carácter humillante. Cabe destacar a este respecto que en la Ley

Fundamental de Bonn las personas jurídicas tienen reconocidos los derechos

fundamentales584.

582 En enero de 2008 la Corte de Hamburgo respaldó los derechos de la personalidad de Werlé que bajo la

Ley alemana incluía remover su nombre de la cobertura informativa. 583 Whitman, J.Q: op.cit, pags. 1164 y ss. 584 Vid. López-Jurado Escribano, Francisco de Borja: “La doctrina del Tribunal Federal Constitucional

alemán sobre los derechos fundamentales de las personas jurídico-públicas: su influencia sobre nuestra

jurisprudencia constitucional”, Revista de Administración Pública, nº 125, 1991.

276

La protección que se otorga a la privacidad en EE.UU, tanto con respecto a las figuras

públicas o personajes públicos como con respecto a la información sobre historiales

criminales es más débil en EE.UU que en Europa585.

El desarrollo de un derecho al olvido digital en EE.UU, a diferencia de en Europa, no

deriva de una ponderación de intereses en conflicto o balancing test entre dos derechos

constitucionalmente reconocidos y que se encuentran al mismo nivel. Esta es la

diferencia principal entre ambos sistemas, norteamericano y europeo586. Como antes se

ha explicado, en Europa, y en concreto en España, tanto la libertad de expresión e

información como el derecho a la intimidad son dos derechos del mismo rango y

condición, ambos derechos fundamentales reconocidos en la Constitución de 1978. Sin

embargo, tal y como se ha visto, el derecho a la privacidad en EE.UU se recoge de

forma implícita en varias de las enmiendas de su Constitución pero no hay

explícitamente reconocido un derecho a la privacidad, como tal, en su Carta Magna.

Asimismo, existen notorias divergencias en lo relativo al enfoque de protección de la

privacidad del consumidor a ambos lados del Atlántico. Los europeos constantemente

se quejan de que los americanos no aceptan la importancia de proteger la privacidad del

consumidor587. Estas tensiones no han hecho más que crecer tras el 11-S588. Este tipo de

tensión se ha estado palpando durante las negociaciones del TTIP (Acuerdo

Transatlántico de Comercio e Inversiones) entre EE.UU y la UE, que persigue un

objetivo de crear un área comercial de 800 millones de consumidores. Asimismo, en el

ámbito de las transferencias internacionales de datos personales entre ambos territorios

585 Strahilevitz, L.J.: “Towards a positive theory of Privacy Law”, Harvard Law Review, vol.113, nº 1,

2013, pag.3 y ss. 586 Werro, Franz: op.cit, pags 287-300. 587 Salbu, S.R, 2002, y Scheer D, 2003, en Whitman: op.cit, pags. 1164 y ss. 588 Gola, P, 2001, y Klug, C, 2002, en Whitman: op.cit, pags. 1164 y ss.

277

dichas diferencias han hecho mella, hasta el punto de que recientemente el TJUE589

anuló la Decisión 520/2000/CE de Puerto Seguro (Safe Harbour)590, por la que se

reconocía que el sistema Safe Harbour para las transferencias de datos personales de la

UE a EEUU garantizaba un nivel de protección adecuado. El TJUE consideró que, en la

medida en que las autoridades americanas podían acceder a los datos personales por

motivos de seguridad, sin existir límites y condiciones claras, el sistema Safe Harbour

vulneraba el artículo 8 de la Carta de Derechos Fundamentales de la UE. Fue

precisamente, a partir de los ataques terroristas del 11-S cuando en el binomio

privacidad v. seguridad, los americanos empezaron a inclinar más la balanza hacia el

segundo, considerando que la seguridad nacional era una preocupación máxima por la

que velar y que había que garantizarla a toda costa.

Después de meses (casi un año) de incertidumbre tras la anulación de la Decisión de

Puerto Seguro, finalmente la UE y EE.UU han logrado alcanzar un acuerdo en julio de

2016 para crear un marco para las transferencias internacionales de datos personales de

la UE a EEUU, que se ha conocido con el nombre de Privacy Shield (Escudo de

privacidad)591 y al que las empresas norteamericanas pueden adherirse desde el pasado

1 de agosto de 2016. Éste puede ser considerado como un ejemplo del acercamiento

reciente entre la UE y EE.UU para reducir el espacio que les separa en lo que respecta a

la protección de la privacidad y su marco regulatorio. Sin duda, la aprobación y entrada

en vigor de Privacy Shield contribuye a la fluidez de las transferencias internacionales

de datos de la UE a EEUU. Del mismo modo, la US Consumer Privacy Bill of Rights

589 Ver la sentencia del TJUE, de 6 de octubre de 2015, caso Schrems, C -362/14. 590 Decisión 520/2000/CE, de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE

del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios

de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes,

publicadas por el Departamento de Comercio de EE.UU, DO 215 de 28 de agosto de 2000. 591 El 12 de julio de 2016 la Comisión Europea aprobó la Decisión de adecuación de Privacy Shield

(Commission implementing decision pursuant to Directive 95/46/CE of the European Parliament and of

the Council on the adequacy of the protection provided by the EU-US Privacy Shield).

278

Act592 (2015), supone otro ejemplo de acercamiento regulatorio reciente entre la UE y la

EE.UU, puesto que el principio de accountability o de rendición de cuentas

contemplado en el RGPD 679/2016 o las evaluaciones de impacto de privacidad

(privacy impact assessments), ya se contemplaban en esta ley de Estados Unidos.

En lo que respecta a la perspectiva o visión en el continente europeo, para los

ciudadanos europeos, el derecho a la privacidad tiene categoría de derecho fundamental

recogido en el artículo 8 de la Convención Europea de Derechos Humanos (CEDH),

protegiendo el derecho al respeto de la vida privada y familiar. Asimismo, se recoge en

el artículo 8 de la Carta de Derechos Fundamentales de la UE, lo que obliga a que las

normas de Derecho de la UE respeten el contenido esencial de este artículo593.

En la redacción y los trabajos preparatorios del artículo 8 CEDH594 se muestra una

clara influencia del artículo 12 de la Declaración Universal de Derechos Humanos

(DUDH)595 en el que se afirma que nadie puede ser objeto de injerencias en su vida

privada o de ataques a su honra y reputación. La relevancia del CEDH se manifiesta en

el hecho de que están legitimados para instar un procedimiento de demanda no sólo los

diferentes Estados Miembros, sino también los particulares, en caso de que un Estado

592 https://www.whitehouse.gov/sites/default/files/omb/legislative/letters/cpbr-act-of-2015-discussion-

draft.pdf 593 Nieto Garrido, Eva: “Los derechos a una buena administración, de acceso a los documentos y a la

protección de datos de carácter personal (arts. 8, 41 y 42 de la CDFUE)” en García Roca, J. y Fernández

Sánchez P.A Integración europea a través de los derechos fundamentales: de un sistema binario a otro

integrado, Madrid, CEPC, 2009, pags. 411 y ss. 594 El artículo 8 de la Convención Europea de Derechos Humanos (CEDH), de 1950, dice así: “Derecho

al respeto a la vida privada y familiar: 1. Toda persona tiene derecho al respeto de su vida privada y

familiar, de su domicilio y de su correspondencia. 2. No podrá haber injerencia de la autoridad pública

en el ejercicio de este derecho, sino en tanto en cuanto esta injerencia esté prevista por la ley y

constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la

seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la

protección de la salud o de la moral, o la protección de los derechos y libertades de los demás”. 595 El artículo 12 de la Declaración Universal de Derechos Humanos (1948) dice así: “Nadie será objeto

de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de

ataques a su honra y reputación. Toda persona tiene derecho a la protección de la ley contra tales

injerencias o ataques”.

279

haya violado alguno de los derechos que protege el Convenio. Este amparo contrasta

con el que brinda la ONU, donde los particulares no tienen atribuida legitimación para

demandar596.

El Tribunal Europeo de Derechos Humanos (TEDH), órgano supervisor del CEDH, ha

reconocido en varias ocasiones y de modo expreso el amplio abanico de

manifestaciones de la vida privada protegidas por el artículo 8 CEDH. Siguiendo la

fórmula más reiterada por el TEDH y que constituye lo más parecido a una definición

jurisprudencial del contenido del derecho, el artículo 8 del CEDH protege un “derecho a

la identidad y desarrollo personal y el derecho a establecer y desarrollar relaciones con

otros seres humanos y el mundo exterior”.597

El TEDH tiene una importante jurisprudencia sobre el derecho a libertad de expresión y

sus límites, entre los que se encuentra el derecho a la intimidad. Sin embargo, hasta hace

relativamente poco tiempo, sólo se refería al derecho al honor entre todos los límites598.

De un primer análisis del artículo 8 del CEDH, y en un ejercicio de comparación con la

redacción del artículo 18 de la CE1978, algún autor destaca la mayor amplitud en el

CEDH de algunos conceptos equivalentes, como es el caso de vida familiar en relación

con el concepto equivalente de intimidad familiar”599.

596 Vid. Bel Mallén, Ignacio y Corredoira, Loreto y Alfonso (dirs): Derecho de la información: el

ejercicio del derecho a la información y su jurisprudencia, Centro de Estudios Políticos y

Constitucionales, Madrid, 2015. 597 Ver la sentencia del TEDH Bensaid v. Reino Unido, de 6 de febrero de 2001. 598 Fayos Gardó, Antonio: “Los derechos a la intimidad y a la propia imagen: un análisis de la

jurisprudencia española, británica y del TEDH”, InDret Revista para el análisis del Derecho, 4/2007,

Barcelona, octubre 2007, pag.5. 599 Moliner Vicente, Celia: “Intimidad y vida familiar. La mayor amplitud del concepto ‘vida familiar’

sobre el de ‘intimidad familiar’ de nuestra Constitución”, Diario La Ley, nº 8316, Sección Tribuna, 22 de

mayo de 2014, Editorial La Ley, pag.5.

280

En lo que respecta a los posibles conflictos entre el derecho a la intimidad y otros

derechos fundamentales con los que el primero puede entrar en colisión, el TEDH, en su

jurisprudencia, ha realizado “algunas afirmaciones de interés como que las personas

públicas deben soportar una crítica más incisiva, reduciéndose el círculo protegido de su

reputación, o que el conocimiento de ciertas conductas de los personajes políticos puede

estar justificada en orden a juzgar su aptitud para las funciones públicas, o que los

límites de la libertad de prensa deben ser entendidos de forma muy estricta cuando la

controversia nace de la manifestación de ideas políticas o de la difusión de

informaciones de interés general o, entre otras, sobre la necesaria relación de

proporcionalidad entre la medida restrictiva o sancionadora adoptada y su (legítima)

finalidad en una sociedad democrática”. A este respecto, cabe destacar relevantes

sentencias del TEDH, como las dictadas en el caso Lingens600, el caso Al Fayed601, o el

caso Schwabe602, donde se pone de manifiesto el menor círculo protegido de reputación

que tienen los políticos, hombres de negocios conocidos o altos funcionarios públicos,

respectivamente.

Hacer un estudio del CEDH y de la doctrina de su órgano supervisor en lo que respecta

al derecho a la intimidad requiere dedicar especial atención a una importante sentencia

que debe ser citada en cualquier análisis que se haga sobre la materia, que es el caso

Von Hannover c. Alemania o caso Carolina de Mónaco. El Tribunal Constitucional

Federal Alemán dictó sentencia el 15 de diciembre de 1999, sentencia resolutoria de un

recurso de amparo formulado por Carolina de Mónaco y sostuvo la cobertura

constitucional de las formas de comunicación cada vez más frecuentes que conjugan

tanto el elemento del entretenimiento como el informativo, el infoteinment, y además,

600 STEDH, de 8 de julio de 1986, Lingens c. Austria. 601 STEDH, de 4 de diciembre de 1995, Fayed c. Reino Unido. 602 STEDH, de 28 de agosto de 1992, Schwabe c. Austria.

281

hizo extensiva esa cobertura constitucional al entretenimiento, argumentando que a éste

“no puede negarse de antemano su relación con la formación de la opinión pública”. El

Tribunal Constitucional Federal Alemán continua argumentando que, en lo que respecta

a los personajes de notoriedad pública, el tribunal admite que dicha opinión pública

pueda tener un “interés legítimo en saber si tales personas, que a menudo son

considerados ídolos o modelos, armonizan de forma convincente su comportamiento

funcional y personal”, justificando que en determinadas circunstancias sea lícita y

constitucional la difusión de imágenes que muestren cómo se comporta en general en

público, al margen de su correspondiente función. Resulta más que evidente que, en este

caso, el Tribunal Constitucional Federal Alemán, tomó una línea jurisprudencial

partidaria de favorecer la difusión de datos sobre personajes públicos.

Sin embargo, el caso Carolina de Mónaco llegó a instancias del TEDH, que acabó

condenando al Estado alemán y adoptó una postura más restrictiva en la sentencia de 24

de junio de 2004, von Hannover c. Alemania. En esta sentencia el TEDH advierte de la

necesidad de distinguir entre informar sobre hechos aptos para contribuir a un debate en

una sociedad democrática relativos a políticos en el ejercicio de sus funciones, a pesar

de que estos puedan ser controvertidos, e informar sobre datos relativos a la vida

privada de personas que, no ejercitando funciones oficiales, están en el punto de mira

por tener notoriedad y fama. El TEDH manifiesta que mientras en el primer caso los

medios de comunicación cumplen su papel fundamental de ‘guardianes’ en una

sociedad democrática, al contribuir a comunicar información e ideas sobre asuntos de

interés público, en el segundo supuesto no desempeña este rol, sino que más bien,

contribuye a saciar la curiosidad morbosa del lector. Aunque el público tiene un derecho

a ser informado, que constituye un derecho esencial en una democracia que, en ciertas

282

circunstancias especiales, puede incluso extenderse a aspectos de la vida privada de los

personajes públicos, particularmente cuando estén afectados políticos, aquí no se da este

caso. Según el TEDH, aquí no incide en la esfera del debate público o político porque

las fotografías publicadas y los comentarios que las acompañaban se referían

exclusivamente a detalles de la vida privada de la demandante.

La mencionada sentencia del TEDH revela que han de primar más los hechos que las

personas que los protagonizan. En la resolución de las colisiones entre el derecho a la

información y el derecho a la intimidad es prioritario que los hechos contribuyan al

debate público frente a que las personas que los protagonizan tengan la condición de

personaje público. En la sentencia Von Hannover c. Alemania, la condición de persona

pública pasa a un segundo plano, si bien se excluye el caso de los políticos, de tal modo

que el protagonismo en la resolución de conflictos lo tiene el examen de si los hechos

divulgados son aptos o no para contribuir a un debate en una sociedad democrática.

El TEDH en numerosas sentencias ha protegido la vida privada en sus diversas facetas.

En la doctrina del órgano supervisor del CEDH se observa la diversidad de aspectos que

pueden vincularse a la noción de vida privada. En la sentencia Niemitz c. Alemania, de

16 diciembre de 1992, el TEDH estableció que “no considera posible ni necesario

ofrecer una definición exhaustiva de la noción de vida privada. Sin embargo, sería

demasiado restrictivo limitar la noción a un círculo interior en el que el individuo puede

desarrollar su propia vida personal como él elija y excluir, por completo de él al mundo

exterior no integrado en ese círculo. El respeto de la vida privada debe también, hasta

283

cierto punto, englobar el derecho a establecer y desarrollar relaciones con otros seres

humanos”603.

El TEDH ha venido manejando un concepto de vida privada en el que han quedado

incluidos aspectos referentes a la vida, identidad sexual, integridad física y moral,

confidencialidad de datos sobre la salud, elección del propio nombre, garantía frente al

almacenamiento, registro y comunicación de datos personales, entre otras cuestiones, si

bien es imprescindible que se aprecie un nexo o vínculo directo inmediato entre las

medidas buscadas por el demandante y su vida privada y familiar, por lo que el TEDH

ha ido fijando ciertos límites a la extensión conceptual del derecho a desarrollar la vida

privada. La sentencia del TEDH Botta c. Italia, de 24 de febrero de 1998, es un buen

ejemplo de resolución del tribunal en la que se pone de manifiesto los diferentes

aspectos de la vida privada que protege el Convenio, así como de los límites a la

extensión conceptual de la noción de vida privada604.

“La estructura normativa de los derechos reconocidos en el artículo 8 CEDH es

ciertamente singular en el contexto del Convenio. […]. El artículo 8 no reconoce el

derecho a la vida privada y familiar como tal –a diferencia del artículo 18.1 CE- sino el

derecho al respeto de la vida privada y familiar. […]. Esto ha sido interpretado por

algunos autores como la voluntad de otorgar a los Estados cierta libertad para la

regulación de la vida privada y familiar”605.

603 Sentencia de TEDH, Niemitz c. Alemania, de 16 de diciembre de 1992. 604 Con respecto a la jurisprudencia del TEDH, resulta clave la obra de Lasagabaster Herrarte, I. (dir),

Convenio Europeo de Derechos Humanos, comentario sistemático, Madrid, Thomson Civitas, 2004. 605 Arzoz Santisteban, Xavier: “Artículo 8. Derecho al respeto de la vida privada y familiar” en

Lasagabaster Herrarte Iñaki: Convenio Europeo de Derechos Humanos, comentario sistemático, Madrid,

Thomson Civitas, 2004, pag. 254.

284

Con respecto al concepto de vida privada que se recoge en el artículo 8 del CEDH, el

propio TEDH ha advertido en numerosas ocasiones la amplitud de significado de dicho

concepto606, destacando (literal en inglés) que “private life is a broad term not

susceptible to exhaustive definition”607. Según el TEDH, el concepto de vida privada

debe ser interpretado a la luz de las condiciones actuales, al ser el CEDH un instrumento

vivo608.

De acuerdo con la fórmula reiterada por el TEDH y que supone lo más cercano a una

definición jurisprudencial del contenido del derecho, el artículo 8 del Convenio protege:

“un derecho a la identidad y al desarrollo personal, y el derecho a establecer y

desarrollar relaciones con otros seres humanos y el mundo exterior y puede incluir

actividades de naturaleza profesional o comercial. Existe, por tanto, una zona de

interacción de la persona con otras, incluso en un ámbito público, que puede incluirse

dentro de la noción de vida privada”609.

El CEDH proscribe la intervención de toda autoridad pública, salvo que esté prevista

por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para

la seguridad pública o nacional, el bienestar económico del país, la defensa del orden y

la prevención del delito, la protección de la salud o la moral o la protección de los

derechos o libertades de los demás. Es a la Administración a quien incumbe la carga de

probar que la restricción se encuentra justificada y amparada en el elenco de

limitaciones. La redacción del artículo 8 del Convenio conduce a pensar que estamos

606 STEDH, de 16 de diciembre de 1997, Raninen c. Finlandia, apdo 63. 607 Ibídem. 608 STEDH, de 9 de octubre de 1979, Airey v. Irlanda, apdo 26. 609 STEDH, de 6 de febrero de 2001, Bensaid c. Reino Unido, apdo 47.

285

ante un reconocimiento amplio del derecho a la intimidad, tratándose del derecho del

ciudadano a no ser molestado en el ámbito vital de su privacidad e intimidad.

No obstante, existen muy pocas sentencias donde el objeto de la cuestión sea el derecho

a la intimidad. Sin embargo, los pronunciamientos del TEDH donde entran en conflicto

la libertad de expresión e información y el derecho al honor, son más numerosos. El

TEDH brinda su protección garantizando la confidencialidad sobre los datos de salud,

otorgando una garantía protectora frente al almacenamiento, registro y comunicación de

datos personales. Por otra parte, es a la Administración a quien le incumbe la carga de

probar que la restricción o injerencia se encuentra justificada. Es decir, que las

excepciones a la prohibición de injerencias han de interpretarse de manera restrictiva

ante casos de conflicto o duda. En las sentencias del TEDH, caso Golder de 21 de

febrero de 1975610, y el caso Klass de 6 de septiembre de 1978611 se pone de relieve este

punto con respecto a las restricciones e injerencias.

Por su parte, el CEDH recoge el derecho a la libertad de expresión en el artículo 10. La

libertad de expresión en el CEDH no está configurada como un derecho inderogable. El

artículo 15 del CEDH612 permite que un Estado firmante derogue las obligaciones de la

Convención en caso de guerra u otros peligros amenazantes, siendo dichos derechos

610 Sentencia del TEDH Golder c. Reino Unido, de 21 de febrero de 1975. 611 Sentencia del TEDH Klass c. Alemania, de 6 de septiembre de 1978. 612 El artículo 15 CEDH dice así: “Derogación en caso de estado de urgencia.-“1. En caso de guerra o de

otro peligro público que amenace la vida de la nación, cualquier Alta Parte Contratante podrá tomar

medidas que deroguen las obligaciones previstas en el presente Convenio en la medida estricta en que lo

exija la situación, y supuesto que tales medidas no estén en contradicción con las otras obligaciones que

dimanan del derecho internacional. 2. La disposición precedente no autoriza ninguna derogación del

artículo 2, salvo para el caso de muertes resultantes de actos lícitos de guerra, y a los artículos 3, 4

(párrafo 1) y 7. 3. Toda Alta Parte Contratante que ejerza este derecho de derogación tendrá plenamente

informado al Secretario General del Consejo de Europa de la fecha en que esas medidas hayan dejado

de estar en vigor y las disposiciones del Convenio vuelvan a tener plena aplicación”.

286

inderogables el núcleo duro del CEDH, del que no forma parte el artículo 10613.La

Convención garantiza la libertad de expresión a todas las personas, sin hacer ningún

tipo de distinción en base a distintos factores como, por ejemplo, si se trata de una

persona física o de una jurídica.

El CEDH establece una diferenciación entre la opinión y la información, reconociendo

esa dualidad de la libertad de expresión y distinguiendo, por tanto, entre la

manifestación de hechos y la de juicios de valor. La jurisprudencia del TEDH habla de

un concepto amplio de libertad de expresión, que abarcaría la libertad de opinión y la de

información. En cuanto a la libertad de opinión, de manifestación de ideas,

pensamientos y juicios de valor, no se trata de un derecho absoluto. Ante supuestos

dudosos, el TEDH ha optado por resolver reconociendo el carácter de juicios de valor

de expresiones que aluden a pasado fascista, por ejemplo, o a campañas racistas en

referencia a un partido político o a un ministro614.

En cuanto a la libertad de información como parte de la libertad de expresión del

artículo 10 CEDH, también el TEDH ha venido exigiendo que se cumplan los requisitos

de veracidad y de ser un asunto de interés público. La jurisprudencia del TEDH se

revela como protectora de la prensa y de los periodistas, beneficiándose éstos, en cierto

613 El artículo 10 CEDH dice así: “Libertad de expresión-1. Toda persona tiene derecho a la libertad de

expresión. Este derecho comprenderá la libertad de opinión y la libertad de recibir o comunicar

informaciones o ideas, sin que pueda haber injerencias de autoridades públicas y sin consideración de

fronteras. El presente artículo no impide que los Estados sometan a las empresas de radiodifusión, de

cinematografía o de televisión a un régimen de autorización previa. 2. El ejercicio de estas libertades,

que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones,

restricciones o sanciones previstas por la ley, que constituyan medidas necesarias, en una sociedad

democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del

orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o

de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la

autoridad y la imparcialidad del poder judicial”. 614 Lazcano Brotons, Iñigo: “Artículo 10. Libertad de expresión”, en Lasagabaster Herrarte, Iñaki,

Convenio Europeo de Derechos Humanos, Comentario Sistemático, Madrid, Civitas, 2004, pag. 356 y ss.

287

modo, de un estatuto jurídico reforzado, en relación a la libertad de expresión general.

El artículo 10 CEDH protege el derecho y deber de los periodistas a comunicar

información veraz sobre cuestiones de interés público, desde el momento en que dicha

información se difunde de buena fe, tomando como base hechos exactos y ofreciendo

informaciones fiables y precisas, cumpliendo con la ética y deontología profesional. El

Tribunal Constitucional español ha hecho referencia en diversas sentencias a la prueba

de la diligencia debida en la búsqueda de la certeza615. En este sentido, todo profesional

tiene la presunción de actuar con un auténtico animus informandi, pero será necesario

exigirle una actitud de búsqueda de la verdad e incluso, cuando sea posible, que haya

conseguido pruebas que justifiquen la veracidad de la información616.

En líneas generales, el TEDH establece su doctrina sobre las relaciones libertad de

expresión/derechos de la personalidad, partiendo de las siguientes premisas: la libertad

de expresión no es un derecho absoluto, sino que está sujeta a diversos límites. Los

derechos de la personalidad también deben ser objeto de protección preferente y es

deseable una armónica coexistencia entre una y otros.

En el ejercicio de la libertad de expresión suele distinguirse entre la manifestación de

hechos y la de juicios de valor. La jurisprudencia del TEDH utiliza como conceptos

diferenciados los de libertad de expresión, que afectaría a ideas y opiniones, y la libertad

de información, que se referiría a hechos617.

615 Ver la STC 6/1998 y la STC 105/1990. 616 Cremades, Javier: “La exigencia de veracidad como límite a la libertad informativa”, Estudios de

Derecho Público en homenaje a Juan José Ruiz Rico, Tecnos, Madrid, 1997, pag.598 y ss. 617 Lazcano Brotons, Iñigo: “Artículo 10 Libertad de expresión”, en Lasagabaster Herrarte, Iñaki: op.cit,

Madrid, Civitas, 2004, pag 370.

288

Con respecto al ámbito que queda delimitado por el interés público, el TEDH puntualiza

que los límites de la crítica admisible son más amplios frente a un político, en su

cualidad de personaje público, que frente a un simple particular, principio que aún es

más contundente si las críticas se dirigen contra el propio Gobierno. El TEDH ha

considerado que no puede situarse en el mismo nivel la tolerancia exigible a un

miembro del Gobierno y la exigible a un experto designado por éste para la realización

de una actividad de investigación sobre un tema de interés público618.

El asunto Lingens v. Austria619 tiene su origen en una serie de artículos publicados por

el periodista Lingens en el que se criticaba al Canciller Kreisky. En esta sentencia, el

TEDH tras reiterar que la libertad de expresión también abarca las ideas, opiniones e

informaciones no favorables, también concluye que “los límites de la crítica permitida

son más amplios en relación a un político considerado como tal que cuando se trata de

un mero particular; el primero, a diferencia del segundo, se expone inevitablemente y

deliberadamente a una fiscalización atenta de sus actos y gestos, tanto por los

periodistas como por la multitud de ciudadanos, y por ello, tiene que mostrarse más

tolerante”620.

Otro elemento característico del correcto ejercicio de la libertad de información es la

veracidad de los hechos objeto de difusión. La publicación de artículos verídicos y que

describan acontecimientos reales, no obstante, puede ser prohibida en ciertos casos. La

obligación de respetar la vida privada de un tercero, o el deber de observar la

confidencialidad de ciertas informaciones comerciales constituyen ejemplos de ello. A

618 Sentencia del TEDH, Nielsen y Johnsen v. Noruega, de 25 de noviembre de 1989. 619 Sentencia del TEDH Lingens v. Austria, de 8 de julio de 1986. 620 Vid.Torres-Dulce Lifante, E.: “La libertad de expresión en la jurisprudencia del Tribunal Europeo de

Derechos Humanos”, Cuadernos de Derecho Judicial, CGPJ, Madrid, 1993.

289

este respecto, resulta fundamental hacer mención a la sentencia del TEDH Mark Itern

Verlag de 20 de noviembre de 1989621.

En lo que respecta a la jurisprudencia del TEDH relacionada con la autodeterminación

informativa y derecho de protección de datos de carácter personal, resultan de interés las

sentencias Ammann contra Suiza, de 16 de febrero de 2000622, así como Rotaru contra

Rumanía, de 4 de mayo de 2000623. En ambas sentencias, el TEDH destaca que el

término de vida privada no debería interpretarse restrictivamente y ninguna razón de

principio permite excluir las actividades profesionales del ámbito de la vida privada, así

como las actividades empresariales, emails, correspondencia producida en la esfera

mercantil y profesional.

También resulta imprescindible hacer un repaso de la doctrina del Tribunal de Justicia

de la UE (TJUE) en su interpretación de la Directiva 95/46/CE. Hay dos sentencias que

sobremanera destacan en la copiosa jurisprudencia y resultan clave en lo que respecta al

tratamiento de datos personales a través de Internet. En concreto, se trata de la sentencia

de 6 de noviembre de 2003, as. C-101/01 Lindqvist, y la sentencia de 20 de mayo de

2003 en los asuntos acumulados C-465/00, C-138/01 y C-139/01 Österreichischer

Rundfunk. Estas dos sentencias contienen pronunciamientos importantes en relación con

las exigencias interpretativas derivadas de la vinculación de las reglas sobre el

tratamiento de datos personales con las libertades fundamentales y el derecho a la

intimidad, así como sobre la aplicación de las reglas comunitarias sobre protección de

datos personales a la difusión de informaciones a través de Internet. En la sentencia de

621 Sentencia del TEDH, Mark Itern Verlag Gmbh y Klaus Beermann v. Alemania, de 20 de noviembre de

1989, apdo 35. 622 Sentencia del TEDH, Amann contra Suiza, de 16 de febrero de 2000. 623 Sentencia del TEDH, Rotaru contra Rumanía, de 4 de mayo de 2000.

290

20 de mayo de 2003, se afirma que la recogida de datos sobre los ingresos salariales de

una persona está comprendido en el ámbito de aplicación del artículo 8 del CEDH.

Aspecto clave en la sentencia Lindqvist son las consecuencias de la consideración como

tratamiento de datos, de la inclusión de ciertas informaciones personales en una página

de Internet. Aquí el TJUE afirmó que la actividad del responsable de una página de

Internet, dedicado a recoger ciertas informaciones personales para incluirlo en sus

páginas de Internet y ponerlas por este medio a disposición de terceros, sí constituye

tratamiento de datos personales. Cuestión más delicada, sin embargo, resulta en la

práctica determinar cuándo ese tipo de tratamientos pueden ser legítimos, en particular,

cuando se vinculen con el ejercicio del derecho fundamental a la libertad de

información o de expresión.

En el contenido de la citada sentencia del TJUE de 20 de mayo de 2003 destaca un

elemento de la interpretación de la Directiva 95/46/CE, que es decisivo en su impacto

práctico, en particular como consecuencia de la expansión del empleo de las redes

digitales con fines no sólo comerciales, sino con todo tipo de fines personales. El TJUE

aclara que la Directiva no se limita únicamente a situaciones que presenten un vínculo

efectivo con la libre circulación entre Estados miembros.

Con respecto a la sentencia Lindqvist, conviene hacer dos consideraciones. Por una

parte, la primera cuestión planteada al TJUE en realidad no ofrecía dudas a la luz de la

Directiva 95/46/CE. La acusada en el proceso de origen argumentaba que no constituye

tratamiento de datos la inclusión de éstos en el contenido de una página de Internet y su

difusión a través de este medio, sino que resulta precisa alguna actividad adicional,

291

como la inserción de los datos como palabra clave o metatags entre los elementos de

hipertexto de la página web que facilita la inclusión de ésta en directorios y en listas de

resultados de buscadores; pero es claro que el concepto de tratamiento de datos de la

Directiva es mucho más amplio. La noción de tratamiento de datos que emplea la

Directiva comprende “cualquier operación o conjunto de operaciones, efectuadas o no

mediante procedimientos automatizados, y aplicadas a datos personales, como la

recogida, registro, organización, conservación, elaboración o modificación, extracción,

consulta, utilización, comunicación por transmisión…[…]”624.

Por lo tanto, resulta plenamente acorde con este concepto la conclusión del TJUE en el

sentido de que la actividad del responsable de una página de Internet, dedicado a

recoger ciertas informaciones personales para incluirlo en sus páginas de Internet y

ponerlas por este medio a disposición de terceros, sí constituye tratamiento de datos

personales.

Cuestión más delicada es determinar en la práctica cuándo ese tipo de tratamientos

pueden ser legítimos, en particular, en la medida en que se vinculen con el ejercicio del

derecho fundamental a la información y expresión. Esta era una de las cuestiones que se

planteaba en el caso Lindqvist, y el TJUE señaló que corresponde a los órganos

jurisdiccionales de los Estados miembros garantizar el justo equilibrio entre los

derechos e intereses en juego. En realidad, el margen de apreciación reservado a los

Estados miembros en la concreción de ciertos aspectos de la Directiva y las diferencias

entre los Estados miembros en lo relativo al alcance de ciertos derechos fundamentales

624 Ver el artículo 2 de la Directiva 95/46/CE.

292

limitan excesivamente el alcance de la uniformización jurídica sobre el particular a

escala comunitaria.

Resultan clave, desde la perspectiva comunitaria, el enfoque y contenido de los

documentos elaborados por el WP29 de la Directiva 95/46/CE. En particular, el

documento Privacidad en Internet: enfoque comunitario integrado de la protección de

datos en línea, de 21 de noviembre de 2000, y en su Recomendación relativa a

determinados requisitos mínimos para la recogida de datos personales en la Unión

Europea, de 17 de mayo de 2001, así como el documento Recomendaciones al sector

del comercio electrónico, elaboradas por la AEPD en el año 2001.

La cuestión planteada en el caso Lindqvist sobre si la mera difusión de datos personales

a través de páginas de Internet es, con carácter general, susceptible de dar lugar a una

transferencia internacional de datos personales merece para el TJUE una respuesta

negativa. Importa destacar que tales transferencias son objeto de importantes

restricciones específicas en los artículos 25 y 26 de la Directiva, cuando el país de

destino no tiene un nivel de protección equivalente al de la Unión Europea. Sin

embargo, en las alegaciones ante el TJUE en este asunto, la Comisión sostuvo que “la

introducción de datos personales en una página web, con ayuda de un ordenador, de

modo que dichos datos, resultan accesibles a nacionales de países terceros, constituye

una transferencia de datos en el sentido de la Directiva 95/46”625. En todo caso, se trata

de una cuestión en la que, ante una ausencia de definición de transferencia en la

Directiva, parecía no existir una respuesta uniforme y segura en las legislaciones de los

diferentes Estados miembros.

625 Ver las alegaciones de la Comisión ante el TJUE en el caso Lindqvist.

293

Como argumento práctico, el TJUE pone de relieve que si la Directiva se interpretara en

el sentido de que existe una transferencia de datos a un país tercero cada vez que se

publican datos personales en una página web, como consecuencia del alcance global de

Internet, el régimen especial previsto en los artículos 25 y 26 de la Directiva626 se

convertiría en la práctica en un régimen de aplicación general a las actividades de

Internet, de manera que los Estados miembros estarían obligados a impedir cualquier

difusión de los datos personales en Internet. Ello como consecuencia de que la mayoría

de los países de la comunidad internacional no garantiza un nivel de protección

626 Dentro del Capítulo IV de la Directiva, relativo a la transferencia internacional de datos personales, el

artículo 25 dice así: “Principios. 1. Los Estados Miembros dispondrán que la transferencia a un país

tercero de datos personales que sean objeto de tratamiento con posterioridad a su transferencia,

únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho

nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de

que se trate garantice un nivel de protección adecuado. 2. El carácter adecuado del nivel de protección

que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una

transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la

naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país

de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país

tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos

países. 3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que

consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2. 4.

Cuando la Comisión compruebe con arreglo a lo establecido en el apartado 2 del artículo 31, que un

tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo,

los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos

personales al tercer país de que se trate. 5. La Comisión iniciará en el momento oportuno las

negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en

aplicación del apartado 4. 6. La Comisión podrá hacer constar de conformidad con el procedimiento

previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado

de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus

compromisos internacionales ..[…].Por su parte, el artículo 26 hace referencia a las excepciones y, en

sentido, destaca: “1. No obstante, lo dispuesto en el artículo 25, salvo disposición contraria del derecho

nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una

transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado

con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando: a) el interesado haya

dado su consentimiento inequívocamente a la transferencia prevista, b) la transferencia sea necesaria

para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución

de medidas precontractuales tomadas a petición del interesado o, c) la transferencia sea necesaria para

la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el

responsable del tratamiento y un tercero, o, d) la transferencia sea necesaria o legalmente exigida para

la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un

derecho en un procedimiento judicial o e) la transferencia sea necesaria para la salvaguardia del interés

vital del interesado o, f) la transferencia tenga lugar desde un registro público que, en virtud de

disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté

abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés

legítimo, siempre que se cumplan en cada caso particular, las condiciones que establece la ley para la

consulta. 2. Sin perjuicio de […]”.

294

adecuado conforme a los estándares comunitarios. No obstante, hay excepciones a la

prohibición de transferencia, como la obtención del consentimiento inequívoco del

afectado que podrían contribuir a matizar en parte ese planteamiento.

La protección europea de los datos del consumidor es un buen reflejo de las diferencias

de puntos de vista entre Europa y Estados Unidos627. A este respecto, los europeos han

condenado el tráfico de los datos de consumidores, de modo que los abogados en

Europa creen que hay una violación seria potencial de los derechos de privacidad de los

consumidores si los mercados pueden comprar datos sobre sus preferencias de

consumo628. La Directiva 95/46/CE en materia de Protección de Datos así lo contempla

en su articulado. Sin embargo, para los americanos esta potencial violación del derecho

a la privacidad resulta difícil de entender, argumentando que después de todo hay un

beneficio en el tráfico de datos de los consumidores. Para ellos, si los mercados pueden

acceder más fácilmente a las preferencias del consumidor, pueden proporcionar bienes y

servicios personalizados, basados en las preferencias y gustos de consumidor. Es decir,

que el tráfico de datos de los consumidores baja los costes de búsqueda de preferencias

y facilita que oferta y demanda casen en la compraventa de bienes y servicios. La

recolección de datos de los consumidores sólo está permitida en Europa en supuestos

concretos y limitados, bajo consentimiento de la persona afectada y bajo supervisión.

Por el contrario, en EE.UU están más predispuestos a tolerar la autorregulación por

parte de la industria y también se perciben diferencias en el distinto enfoque que se le da

a los derechos sobre la imagen o publicidad sobre uno mismo. A este respecto, mientras

627 Tradicionalmente las diferencias entre EE.UU y Europa en lo referente a la protección del consumidor

han sido notorias. No obstante, y pese a las históricas divergencias, en la actualidad, EE.UU y Europa

llevan inmersos en las negociaciones para alcanzar un acuerdo comercial histórico, un pacto de libre

comercio muy ambicioso entre ambos lados del Atlántico, que juntos suman la mitad del PIB mundial y

representan un tercio de los flujos mundiales de comercio. Las diferentes normas técnicas, los distintos

estándares de seguridad y distintas regulaciones de competencia son realidades que están presentes en

estas negociaciones del acuerdo comercial. 628 Whitman, James Q.: op.cit, pag.1192.

295

los americanos ven la imagen como una cuestión relacionada con la propiedad, para los

europeos está vinculada con el honor. Al fin y al cabo, podría decirse que los

americanos son más pragmáticos o, incluso, mercantilistas que los europeos.

No obstante, y a pesar de todas estas diferencias entre EE.UU y Europa en torno a la

privacidad, no quiere decir que los europeos basen sus postulados sobre la privacidad en

su consideración de la existencia de verdades morales universales en las que no se basan

los americanos. La protección a la privacidad en Europa es tal porque “viven en

sociedades que se han formado bajo un determinado tipo de expectativas culturales y un

determinado tipo de ideales igualitarios”629. En América, fundamentalmente la

privacidad se protege frente al Estado o frente a las potenciales invasiones del Gobierno.

Es decir, se percibe, por un lado, un interés europeo en la dignidad personal amenazado

fundamentalmente por los medios de comunicación y, por otro lado, un interés

americano en la libertad, amenazado principalmente por el Gobierno y la autoridad. A

ambos lados del Atlántico, estos valores están fundados en ideales sociopolíticos

profundamente enraizados, que datan de finales del siglo XVIII. En cualquier caso, se

trata de diferencias relativas y no absolutas. Es más, incluso no hay nada que impida

una convivencia entre ambas formas de protección de la privacidad, frente al Estado y

frente al mercado o la prensa. Por otra parte, la privacidad no es un producto de la

lógica matemática, ni un producto de la experiencia o de la satisfacción de necesidades

que son compartidas por todas las sociedades modernas, en el sentido de que no es un

concepto universal y atemporal, sino relativo en el tiempo y en el espacio geográfico.

629 Whitman, James Q.: op.cit, pag.1161 y ss.

296

Tras haber hecho en este capítulo de la tesis doctoral una exposición del sistema de

protección del derecho a la privacidad en EE.UU, por un lado, y por otro, en Europa, si

se tiene en cuenta que en EE.UU la privacidad no tiene categoría de derecho

fundamental, podría llegarse a la conclusión de que la protección de la privacidad es

más débil al otro lado del Atlántico. Sin embargo, algún autor se posiciona en contra de

esta teoría y este es el caso de James Q. Whitman, a quien se hace referencia en

abundantes ocasiones a lo largo de este capítulo de la tesis. Al respecto, este autor

defiende con vehemencia que cualquier persona que haya vivido en EE.UU sabe que los

americanos pueden estar tan obsesionados con su privacidad y atados a ella como los

europeos, y pone como ejemplo el caso Roe v. Wade630 o el caso Lawrence v. Texas631,

ambos ante el Tribunal Supremo de EE.UU. “Es simplemente falso decir que la

privacidad no importa para los americanos”632. La noción de la privacidad asociada a la

dignidad es, no obstante, para gran parte de la doctrina, la noción prevalente en el

continente europeo. Así, los países europeos siguen de una u otra forma esta noción

centrada en la protección de la dignidad humana, y consecuentemente, la entienden

como un derecho inherente a la personalidad633.

Pese a todas las diferencias a ambos lados del Atlántico anteriormente expuestas, en los

últimos años se está produciendo un acercamiento de posiciones. En este sentido,

EE.UU se está aproximando a la perspectiva europea y la hegemonía absoluta de la

Primera Enmienda de la Constitución de EE.UU está perdiendo peso específico en

favor del balancing test o ponderación de intereses en conflicto, aproximándose, por

630 Roe v. Wade 410 US, 113 (1973). 631 Lawrence v. Texas (02-102) 539 US 558 (2003). 632 Whitman, James Q.: op.cit, pag.1158. 633 Abril, Patricia S. y Pizarro Moreno E.: “La intimidad europea frente a la privacidad americana”,

InDret 1/2014, Barcelona, Enero 2014, p.8 y ss.

297

tanto, el enfoque americano a la perspectiva europea634. Según algún sector de la

doctrina, en vez de colisión o conflicto entre EE.UU y la UE “deberíamos empezar a

hablar de convergencia hacia una nueva regulación de la privacidad en EE.UU”635,

como, por ejemplo, se observa en algunas ramas del Derecho como en lo relativo al

copyright y al fair use. En febrero de 2012, el Consumer Privacy Bill of rights en

EE.UU636 otorga un marco de protección de la privacidad de los consumidores,

realzando el valor de la privacidad en una sociedad democrática avanzada. Esta

iniciativa pretende abordar los controles de la UE en la materia poniendo el foco en la

autorregulación, la participación voluntaria y la arquitectura tecnológica, centrándose en

los datos en un contexto comercial. Esta iniciativa de Obama fue un intento modesto de

regular la recolección de datos personales y su uso637. En este sentido, la

Administración Obama propuso un conjunto de líneas de actuación entre las que se

incluyen el desarrollo de la Carta de Derechos de los Consumidores, el desarrollo de

códigos de conducta o autorregulación, el impulso del cumplimiento de los códigos o la

necesidad del reconocimiento mutuo de los marcos de privacidad en el contexto

internacional.

En el preámbulo del citado texto de la Administración Obama se destaca (texto literal en

ingles): “One thing should be clear, even though we live in a world in which we share

personal information more freely than in the past, we must reject the conclusion that

privacy is an outmoded value. It has been at the heart of our democracy from its

inception, and we need it now more than ever”. Asimismo, en este texto se puede

634 Ver Peltz-Steele, Richard J.: “The new American Privacy”, Georgetown Journal of International Law,

Vol. 44, nº 2, 2013. 635 Peltz-Steele, R.J.: op.cit, pag.410. 636 Consumer Data Privacy in a Networked World: A framework for protecting privacy and promoting

innovation in the global digital economy de febrero de 2012, Administración Obama.

https://www.whitehouse.gov/sites/default/files/privacy-final.pdf 637 Peltz-Steele, R.J: op.cit.

298

observar cómo en EE.UU la privacidad se liga también con la dignidad de la persona y

no sólo con la libertad. En este sentido se destaca, en las conclusiones del citad texto,

que: “The United States is committed to protecting privacy. It is an element of

individual dignity and an aspect of participation in a democratic society. To an

increasing extent, privacy protections have become critical, to the information-based

economy. Stronger consumer data privacy protections will buttress the trust that is

necessary to promote the full economic, social, and political uses of networked

technologies. The increasing quantities of personal data that these technologies subject

to collection, use and disclosure have fuelled innovation and significant social benefits.

We can preserve these benefits while also ensuring that our consumer data privacy

policy better reflects the value that Americans place and bolters trust in the Internet and

other networked technologies”638.

Por su parte, la US Consumer Privacy Bill of Righst de 2015, y al igual que el texto de

2012, identifica siete principios clave para la salvaguarda de la privacidad y datos

personales: transparencia; control individual; respeto por el contexto; finalidad;

seguridad; acceso y exactitud; y accountability.

La adaptación del marco vigente para dar respuesta a nuevas tecnologías como el Big

Data es una preocupación común tanto en EE.UU como en la UE. Recientemente, la

Federal Trade Commission639 (FTC por sus siglas en inglés) publicó un Paper sobre Big

Data, donde reflexionaba sobre el rol de la analítica de datos como herramienta de

638 Consumer Data Privacy in a Networked …[…], pag.45. 639 La denominada Federal Trade Commission es el organismo, que tiene naturaleza de agencia

independiente, homólogo a nuestra Agencia Española de Protección de Datos, que se encarga de velar en

EE.UU por el respeto a la privacidad en las prácticas comerciales y publicitarias de las empresas. Este

organismo creado en 1914 trabaja para prevenir las prácticas engañosas, fraudulentas y desleales en el

mercado, en protección del consumidor.

299

inclusión o exclusión640, haciendo un repaso de las oportunidades y beneficios del Big

Data pero también de sus riesgos, como el riesgo para la privacidad o la discriminación.

En el marco de las negociaciones que desde enero de 2014 se han llevado a cabo para la

renovación del acuerdo para las transferencias internacionales de datos Safe Habour

Agreement641, una de las mayores inquietudes ha sido cómo se va a acomodar este

acuerdo al desarrollo de las tecnologías de Big Data y a la creciente capacidad de

almacenamiento de datos de los dispositivos electrónicos642.

Cuando en su día se aprobó la Directiva 95/46/CE, ello provocó cierto recelo en las

empresas de EE.UU, dado que la falta de una legislación sobre protección de datos

comprehensiva en EE.UU, conducía a pensar que las empresas estadounidenses estarían

limitadas en cuanto a su capacidad tanto para servir a los consumidores en la UE como

para adquirir información sobre ellos643. Esta preocupación condujo a que en 1998 el

Departamento de Comercio de EE.UU comenzara negociaciones con la UE para ver el

modo de fijar unos estándares de protección satisfactorios. El acuerdo Safe Harbour fue

derogado por el TJUE y, en su lugar, se ha aprobado el acuerdo Privacy Shield, que es

una prueba más del esfuerzo por acercar posiciones a ambos lados del Atlántico en

torno a la protección de la privacidad, aunque no estuvo exento de largas e, incluso

tensas negociaciones que se dilataron durante meses. Haber dilatado “por más tiempo

640 Big Data, a tool for inclusion or exclusión?: understanding the issues, FTC, enero 2016. 641 Ver la Decision 2000/520/UE, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del

Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de

puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes

publicadas por el Departamento de Comercio de EE.UU. Ver asimismo

http://www.export.gov/safeharbor/eu/eg_main_018365.asp. 642 Ver la sentencia relativa al caso Digital Rights Ireland, del TJUE, de 8 de abril de 2014, a través de la

cual se anula la Directiva europea de retención de datos de 2006, al considerar que no se cumple con el

principio de proporcionalidad y, en general, con lo dispuesto en el artículo 52 de la Carta de Derechos

Fundamentales de la UE en donde se exige una serie de requisitos y garantías para la limitación de los

derechos de carácter fundamental. 643 Sunosky James, T.: Privacy online: A primer on the European Union’s Directive and United States

Safe Harbour Privacy Principles en Soma, Jhon T. et al, “An analysis of the US Bilateral Agreements

between Transnational Trading Groups: The US/EU Ecommerce privacu Safe Harbour”, Texas

International Law Journal, vol. 39, 2008, pag.194.

300

un acuerdo que es necesario e inevitable, en el sentido de que cualquier otro escenario

será inconcebible, por las importantes implicaciones negativas que tendría en muchas

áreas”644, se hubiese traducido “en perjuicios para todas las partes y podría llegar a

convertirse en un obstáculo para las relaciones comerciales, tener impacto en la

innovación, así como tener consecuencias a la hora de garantizar la protección de datos

personales y la privacidad”645.

En definitiva, y después de lo expuesto en este capítulo, “la protección de la privacidad

de los ciudadanos es una máxima y un valor esencial a ambos lados del Atlántico, y

aunque tenga que convivir con otros intereses a veces contrapuestos, es un valor

fundamental tanto en EE.UU como en Europa, pese a que los mecanismos, instrumentos

y procedimientos para garantizarlo sean divergentes”646.

644 Álvarez Caro, M. y Recio Gayo, M.: “Hacia un acuerdo Safe Harbour renovado para la transferencia

internacional de datos entre EE.UU y la UE”, Working Papers on European Law and Regional

Integration, Instituto de Derecho Europeo e Integración Regional (WP IDEIR, nº 25), Cátedra Jean

Monnet, Universidad Complutense de Madrid, 2015, p.25. 645 Ibídem. 646 Álvarez Caro, María: Derecho al olvido en Internet: el nuevo paradigma de la privacidad en la Era

digital, Colección Derecho de las Nuevas Tecnologías, Madrid, Editorial Reus, 2015, pag. 105.

301

8. Reglamento General de Protección de Datos

8. 1. Una Directiva 95/46/CE ya obsoleta. Hacia un Reglamento europeo de

Protección de Datos: antecedentes del Reglamento

La Directiva 95/46/CE647 de protección de datos es una norma de la que ha emanado

nuestra LOPD así como el resto de normativas que tienen su origen en esta Directiva y

que trasponen la misma a los distintos Estados miembros de la UE. Esta Directiva fue

adoptada con un propósito doble. Por una parte, la defensa del derecho fundamental a la

protección de datos y, por otra, la garantía de la libre circulación de estos datos entre los

Estados miembros. Asimismo, la adopción de la citada Directiva fue acompañada de la

Decisión Marco 2008/977/JAI648, como instrumento general de la UE para la protección

de datos personales tratados en el marco de la cooperación policial y judicial en materia

penal.

El intercambio de datos e información en la Red ha crecido de modo exponencial, desde

que se aprobó la citada Directiva y, sin duda, se han presentado nuevos retos a los

cuales esta normativa no da respuesta. A título de ejemplo, la Computación en la nube o

Cloud Computing, las complejas transferencias internacionales de datos, las plataformas

digitales de intercambio social como pueden ser las redes sociales, las plataformas de la

llamada economía colaborativa o los modelos de negocio asociados al Big Data, son

ejemplos de nuevos modelos de negocio nacidos en los últimos años y, para los cuáles

647 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la

protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos. 648Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de

datos personales tratados en el marco de la cooperación policial y judicial en materia penal, DO L 350 de

30 de diciembre de 2008, p.60.

302

la Directiva de 1995 no está preparada. Tal y como consta en la Propuesta de la

Comisión Europea de Reglamento de Protección de Datos de la UE, de 25 enero de

2012, “la rápida evolución tecnológica ha supuesto nuevos retos para la protección de

los datos personales. Se ha incrementado enormemente la magnitud del intercambio y

la recogida de datos. La tecnología permite que tanto las empresas privadas como las

autoridades públicas utilicen datos personales en una escala sin precedentes a la hora

de desarrollar sus actividades. Las personas físicas difunden un volumen cada vez

mayor de información personal a escala mundial. La tecnología ha transformado tanto

la economía como la vida social”649.

Por estas razones de obsolescencia y falta de adecuación, la Comisión Europea llegó a

la conclusión hace unos años de que había una necesidad de adaptar la normativa de

protección de datos personales de las personas físicas a la realidad imperante de la Era

digital del siglo XXI. En este capítulo analizaremos la Propuesta de Reglamento de

Protección de Datos de la UE, elaborada por la Comisión Europea, de fecha 25 de enero

de 2012, así como los antecedentes que dieron lugar a la misma. Esta normativa aún no

ha comenzado a aplicarse y ha tenido un largo proceso de tramitación, en el que en

numerosas ocasiones se ha atascado y ha ido acumulando cierto retraso. Finalmente, el

pasado 15 de diciembre de 2015, el Parlamento Europeo y el Consejo alcanzaron un

acuerdo con respecto al texto definitivo, que fue respaldado por la Comisión LIBE

(Libertades Civiles, Justicia y Asuntos de Interior) del Parlamento Europeo. Dos días

después, fue aprobado el RGPD por el Pleno del Parlamento Europeo y se publicó el

pasado 4 de mayo de 2016 en el Diario Oficial de la UE650. No obstante, tras su

aprobación hay un período transitorio de dos años hasta que comience a ser aplicable, a

649 Ver la Exposición de Motivos de la Propuesta de la Comisión Europea Reglamento de Protección de

Datos de la UE, de 25 de enero de 2012, pag.1. 650 http://www.consilium.europa.eu/es/press/press-releases/2015/12/18-data-protection/

303

contar desde la fecha de entrada en vigor del RGPD, que se produjo a los veinte días de

la publicación en el Diario Oficial de la UE. Por tanto, el RGPD comienza a aplicarse el

25 de mayo de 2018.

Comenzamos analizando los antecedentes que dieron lugar a la Propuesta que en este

bloque de la tesis analizamos. El Consejo Europeo invitó a la Comisión Europea a

evaluar el funcionamiento de los instrumentos de la UE en materia de protección de

datos y a presentar, en caso de considerarse oportuno y necesario, iniciativas tanto de

carácter legislativo como no legislativo651. Asimismo, el Parlamento Europeo, en su

Resolución sobre el Programa de Estocolmo652, acogió favorablemente un régimen

general de protección de datos en el ámbito comunitario y, entre otras cosas, abogó por

la revisión de la Decisión Marco.

El punto 16, en el bloque denominado Una Europa de los Derechos, de la citada

resolución del Parlamento Europeo, destaca que el PE “considera que una protección y

una promoción eficaces de los derechos fundamentales constituyen la base de la

democracia en Europa y son consideraciones previas para la consolidación del Espacio

de Libertad, Seguridad y Justicia; cree, firmemente, por lo tanto, que incumbe al

Consejo y a la Comisión la responsabilidad de proponer activamente medidas para

promover los derechos fundamentales;". Asimismo, en el punto 82 de la Resolución,

centrados en la protección de datos y seguridad, el PE señala lo siguiente: “la creciente

importancia de Internet y destaca que su carácter abierto y global exige unas normas

mundiales que garanticen la protección de datos, la seguridad y la libertad de

651 Ver Programa de Estocolmo-una Europa abierta y segura que sirva y proteja al ciudadano, DO C

115, de 4 de mayo de 2010, pag.1. 652 La citada Resolución fue adoptada el 25 de noviembre de 2009, bajo la denominación Un espacio de

libertad, seguridad y justicia al servicio de los ciudadanos-Programa de Estocolmo.

304

expresión; pide al Consejo y la Comisión que tomen la iniciativa para crear una

plataforma mundial para la elaboración de dichas normas, considera de suma

importancia fijar límites estrictos y definir y regular claramente los casos en que una

empresa privada de Internet puede ser obligada a comunicar datos a las autoridades

gubernamentales y garantizar que el uso de esos datos por dichas autoridades

gubernamentales esté sujeto a las más estrictas normas en materia de protección de

datos”.

En relación con el principio de la privacidad desde el diseño (privacy by design), que

hace referencia a la necesidad de que la perspectiva de la privacidad sea tenida en

cuenta desde un origen, cada vez que se diseña un producto o sistema nuevo, de modo

que se analice el impacto que pueda tener en los individuos en lo que respecta a la

privacidad, el punto 84 de la Resolución, el Parlamento Europeo apunta que es

necesario “integrar en todas las políticas la protección de datos personales y de la vida

privada a la hora de desarrollar tecnologías y crear sistemas de información a gran

escala”653.

Otro de los puntos relevantes destacados por el Parlamento Europeo en la citada

resolución de 2009, es el relativo al perfilado (profiling), al que se hace referencia en el

punto 88 del documento. A este respecto, el PE expresa su preocupación “por la

práctica cada vez más extendida de la elaboración de perfiles basada en el uso de

técnicas de extracción de datos y recopilación generalizada de datos pertenecientes a

ciudadanos inocentes con fines preventivos y policiales; recuerda la importancia de que

las acciones encaminadas a hacer cumplir la ley se basen en el respeto de los derechos

653 Ver punto 84 de la ya citada Resolución del Parlamento Europeo de 25 de noviembre de 2009.

305

humanos, desde el principio de la presunción de inocencia, derecho a la intimidad y

protección de datos. Asimismo, el Parlamento Europeo celebra, en la citada resolución,

que “en el Programa de Estocolmo se haya resaltado la importancia de la tecnología

en el contexto de la protección efectiva de los datos personales y la vida privada”.

La Comisión Europea publicó, en noviembre de 2010, la Comunicación Un enfoque

global de la protección de datos personales de la UE654. En este texto se destaca que la

Comisión Europea realizó un examen del marco jurídico actual, con una conferencia de

alto nivel en mayo de 2009, seguida de una consulta pública hasta finales de 2009.

Asimismo, también la propia CE llevó a cabo diversos estudios655. Entre los estudios

llevados a cabo por la CE destaca el denominado Comparative study on different

approaches to new privacy challenges in particular in light of technological

developments, publicado en enero de 2010, un estudio cuyo objeto era identificar los

retos para la protección de datos de carácter personal derivados de fenómenos sociales y

técnicos como:

Internet.

La globalización.

La ubicuidad creciente de los datos personales y de su recogida.

El poder creciente y la capacidad de las computadoras de procesamiento de

datos personales así como de otros dispositivos.

654 Ver la Comunicación de la Comisión Europa, al Parlamento Europeo, al Consejo, Comité Económico

y Social Europeo y Comité de las Regiones, Enfoque global de la protección de datos personales,

noviembre 2010. 655 Ver el estudio de la Comisión Europea: Study on the economic benefits of privacy enhancing

technologies. 2010. Ver asimismo el estudio Comparative study on different approaches to new privacy

challenges, in particular in the light of technological developments, enero 2010.

306

Nuevas tecnologías especiales como RFID, biometría, reconocimiento facial,

etc.

Aumento del uso de datos personales para propósitos diferentes para los que

originalmente fueron recabados.

Seguridad nacional, ciberseguridad y lucha contra el cibercrimen organizado.

Asimismo, y además de identificar estos retos, el objeto del citado estudio era realizar

un informe con un análisis comparativo de las respuestas que los diferentes regímenes

regulatorios así como sistemas no regulatorios (dentro y fuera de la UE) ofrecían para

estos retos. Por otra parte, dicho informe valoraría si la Directiva 95/46/CE de

protección de datos todavía ofrecía una protección adecuada o, sin embargo, debía ser

enmendada o revisada para dar una respuesta adecuada a los nuevos retos. En las

conclusiones del citado estudio656, se destaca que el derecho de protección de datos en

la Unión Europea, debe continuar apoyándose en los principios básicos y en los criterios

marcados por la Directiva 95/46/CE. La aplicación de estos estándares amplios es

necesario revisarla, pero en sí mismos, los principios no necesitan revisión para dar

respuesta a los nuevos retos ya que reflejan lo contemplado en las constituciones

nacionales, así como en la Convención Europea de Derechos Humanos y en la Carta de

Derechos Fundamentales de la UE y los estándares de derechos humanos, que deben ser

fuertemente reafirmados.

656 Ver página 21 del estudio de la Comisión Europa Comparative study on different approaches to new

privacy challenges in particular in light of technological developments, enero 2010. En las conclusiones

del estudio se destaca que: “Data Protection Law in the EU […] can and should continue to rest on the

basic data protection principles and criteria set out in Directiva 95/46/CE. The application of these

broad standards needs to be clarified, but they themselves do not require major revisión in order to meet

the new challenges. On the contrary, they reflect European and national constitutional human rights

standards of the kind just mentioned that need to be strongly reaffirmed”

307

La citada Comunicación destaca que los resultados obtenidos tras dicha investigación

confirman que los principios fundamentales de la Directiva 95/46/CE continúan siendo

perfectamente válidos y “conviene preservar su neutralidad desde el punto de vista

tecnológico”. No obstante, se detectaron problemas cuya resolución supone retos

específicos. La Comunicación de la CE de 2010, destaca que se trata en especial de lo

siguiente:

Abordar el impacto de las nuevas tecnologías.

Reforzar la dimensión de mercado interior de la protección de datos.

Hacer frente a la globalización y mejorar las transferencias internacionales de

datos.

Consolidar las disposiciones institucionales para la aplicación efectiva de las

normas de protección de datos.

Mejorar la coherencia del marco jurídico que regula la protección de datos.

La propia Exposición de motivos de la Propuesta de la CE de Reglamento Europeo de

Protección de Datos destaca que “generar confianza en el entorno en línea es esencial

para el desarrollo económico”. La falta de confianza hace que los consumidores vacilen

a la hora de adquirir productos en línea y adoptar nuevos servicios, con lo que se corre

el riesgo de que se ralentice el desarrollo de usos innovadores de las nuevas tecnologías.

La protección de datos personales desempeña, por tanto, una función esencial en la

Agenda Digital para Europa657 y más concretamente en la Estrategia Europa 2020.

657http://ec.europa.eu/digital-agenda/

308

La Agenda Digital Europea658 es uno de los siete pilares de la Estrategia Europa

2020659, que fija los objetivos para el crecimiento de la UE para 2020. La Agenda

Digital aborda cómo sacar un mejor provecho del potencial de las tecnologías de la

Comunicación e Información (ICT) para impulsar la innovación, el crecimiento

económico y el progreso. El principal objetivo de la Agenda Digital es desarrollar un

Mercado Único Digital para lograr un crecimiento inteligente, sostenible e inclusivo en

la UE. A su vez, la Agenda Digital está formada por siete pilares o bloques:

1. Lograr un Mercado Único Digital.

2. Mejorar la interoperabilidad y los estándares.

3. Fortalecer la confianza online y la seguridad.

4. Promover un acceso universal a Internet rápido y ultrarrápido.

5. Invertir en investigación e innovación.

6. Promover la alfabetización digital, skills o capacidades e inclusión.

7. Lograr beneficios derivados de las ICT para la sociedad de la UE.

En la Comunicación de la CE Agenda Digital para Europa, se señala que son

obstáculos que dificultan la Agenda Digital “la fragmentación de los mercados

digitales, falta de interoperabilidad, incremento de la ciberdelincuencia y el riesgo de

escasa confianza en las redes, ausencia de inversión en las redes, insuficiencia de los

esfuerzos de investigación e innovación, carencias en la alfabetización y capacitación

digitales, así como la pérdida de oportunidades para afrontar los retos sociales”. Por

ello, el objetivo de la Agenda es “trazar un rumbo que permita maximizar el potencial

658 Comunicación de la Comisión Europa, al Parlamento Europeo, al Consejo Europeo, al Comité de las

Regiones y al Comité Económico y Social Agenda Digital para Europa, de 19 de mayo de 2010. 659http://ec.europa.eu/europe2020/index_es.htm

309

de las TIC y, en particular, de Internet como soporte esencial de la actividad

económica y social: para hacer negocios, trabajar, jugar, comunicarse, y expresarse en

libertad”.

En lo que respecta a los documentos del WP29, destaca, entre otros, el dictamen El

futuro de la intimidad660. En este documento, el WP29 destaca que pese a los nuevos

retos en el ámbito de la protección de datos, los principios recogidos en la Directiva

95/46/CE siguen siendo perfectamente válidos, siendo necesaria una mejor aplicación

de los mismos. Al respecto, el WP 29 señala (literal en inglés). “the main principles of

data protection are still valid despite these important challenges. The level of data

protection in the EU can benefit from a better application of the existing data protection

principles in practice. This does not mean that no legislative change is needed”.

Tal y como se destacaba en la Exposición de Motivos de la Propuesta de Reglamento

General de Protección de Datos de la Comisión Europea, de 25 de enero de 2012, la

iniciativa legislativa del RGPD es consecuencia de una amplia consulta sobre la

revisión del marco jurídico vigente en materia de protección de datos de carácter

personal, consulta que se prolongó durante más de dos años, incluyendo una

conferencia de alto nivel, celebrada en mayo de 2009, y dos fases de consulta pública:

660 Dictamen del Grupo de Trabajo del Artículo 29, El futuro de la intimidad, (2009, WP 168). Ver

asimismo, otros documentos del WP29, como el dictamen sobre los conceptos de responsable y

encargado del tratamiento (1/2010, WP 169); dictamen sobre publicidad comportamental en línea

(2/2010, WP 171); dictamen sobre el principio de consentimiento (15/2011, WP 187); dictamen sobre

elprincipio de la obligación de rendir cuentas (3/2010, WP 173) y dictamen sobre la legislación

aplicable (8/2010, WP 179).

310

Del 9 de julio al 31 de diciembre de 2009, la Consulta sobre el marco jurídico

para el derecho fundamental a la protección de datos de carácter personal661.

Del 4 de noviembre de 2010 al 15 de enero de 2011, la Consulta sobre el

enfoque global de la Comisión sobre la protección de datos de carácter

personal en la Unión Europea662.

Asimismo, y como un antecedente importante al RGPD, cabe hacer referencia a la

encuesta o Eurobarómetro llevado a cabo a finales de 2010 y publicado en junio de

2011663. Dicha encuesta confirma que aunque la mayoría de usuarios europeos de

Internet se sienten responsables ellos mismos de la salvaguarda de sus datos personales,

“casi todos los europeos -un 90%- están a favor de una igual protección con los mismos

derechos en toda la UE”664. Además, “el 70% de europeos está preocupado por el

hecho de que los datos personales que tienen de ellos las compañías puedan ser usados

para un propósito distinto para el cual fueron recogidos”665. Por otra parte, y en lo que

respecta al derecho al olvido, “una clara mayoría-un 75%- de europeos quieren eliminar

datos personales de las websites cuando así lo decidan”666.

661 La CE recibió 168 respuestas, 127 de personas físicas, organizaciones y asociaciones empresariales, y

12 de autoridades públicas. http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. 662 La CE recibió 305 respuestas, de las cuales 54 procedían de ciudadanos, 31 de autoridades públicas y

220 de organizaciones privadas, especialmente de asociaciones empresariales y organizaciones no

gubernamentales. http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. 663 Eurobarómetro especial (EB) 359, Data Protection and Electronic Identity in the EU, 2011 664 Ibídem. 665 Ibídem. 666 Según el Eurobarómetro 2011 (cita textual según el texto original en inglés): “As regards the right to

be forgotten, a clear majority (75%) want to delete personal information on a website whenever they

decide to do so”.

311

En junio de 2015, en pleno proceso de tramitación del RGPD, se publicó el

Eurobarómetro de la CE sobre protección de datos personales667, que actualiza las

inquietudes o la percepción de los ciudadanos europeos en materia de protección de

datos. En esta encuesta se destaca que “dos tercios de los europeos cree que es

importante poder transferir información personal desde un proveedor de servicios a

otro”668. Además, según el eurobarómetro sólo un 15% se siente en pleno control de sus

datos personales. Por otra parte, se refuerza la idea de que es necesario un mismo nivel

de protección en toda la UE. En este sentido, “una gran mayoría de europeos demanda

homogeneidad legislativa y armonización en los 28 Estados miembros. De hecho, un

89% cree que es necesario un mismo nivel de protección en toda la UE, con

independencia del lugar donde se ubique la entidad que está tratando los datos”669.

Como parte del proceso de toma de decisiones de la CE, y de conformidad con su

política de legislar mejor, la CE realizó una evaluación de impacto (impact assesment en

su denominación en inglés) de distintas posibilidades de actuación670. La evaluación de

impacto se basó en tres objetivos estratégicos:

Mejorar la dimensión de mercado interior de la protección de datos.

Hacer más efectivo el ejercicio de los derechos de protección de datos por los

ciudadanos.

667 Eurobarómetro de la CE sobre Protección de Datos de carácter personal, 24 junio 2015.

http://ec.europa.eu/justice/newsroom/data-protection/news/240615_en.htm 668 Ibídem. 669 Ibídem. 670 Ver página 5 de la Propuesta de la CE de Reglamento de Protección de Datos de carácter personal, de

25 de enero de 2012. http://ec.europa.eu/justice/data-

protection/document/review2012/com_2012_11_es.pdf

312

Crear un marco general y coherente que abarque todos los ámbitos de

competencia de la UE, incluida la cooperación policial y judicial en materia

penal.

Asimismo, se evaluaron tres opciones de actuación. La primera, consistía en la

introducción de mínimas enmiendas legislativas y el uso de comunicaciones

interpretativas y medidas de apoyo estratégico, como programas de financiación y

herramientas técnicas; la segunda, abarcaba un paquete de disposiciones legislativas

que abordaban cada una de las cuestiones identificadas en el análisis. Finalmente, la

tercera opción consistía en la centralización de la protección de datos a nivel de la

UE mediante normas precisas y detalladas para todos los sectores y la creación de

una agencia de la UE destinada a la supervisión y ejecución de las disposiciones.

En septiembre de 2011, el Comité de Evaluación de Impacto (CEI) emitió su

dictamen, introduciendo los siguientes cambios en la evaluación de impacto:

Se aclararon los objetivos del marco jurídico en vigor, en qué medida se

alcanzaron y en qué medida no se lograron, así como los objetivos de la

reforma prevista.

Se añadieron más elementos de prueba y explicaciones o aclaraciones

adicionales, en la sección relativa a la definición de problemas.

Se añadió una sección sobre la proporcionalidad.

313

Se verificaron y revisaron en su integridad todos los cálculos y estimaciones

sobre la carga administrativa de la hipótesis de base y de la opción preferida,

y se aclaró la relación entre los costes de las notificaciones y los costes

totales de fragmentación.

Se especificó mejor el impacto en las microempresas, las pymes,

especialmente de los delegados de protección de datos y las evaluaciones de

impacto de la protección de datos.

Finalmente, se optó por la elaboración de una norma armonizadora en forma de

reglamento, directamente aplicable en todos los países de la UE sin necesidad de

normativa interna de transposición. Es una norma ambiciosa y aplicable a todos los

sectores de actividad económica. Por tanto, todos los responsables de tratamiento, de

cualquier sector, se verán afectados por esta nueva norma. En el siguiente apartado, se

analizarán las principales novedades de esta normativa tan esperada, que ha tardado más

de cuatro años en tramitarse.

8.2. Novedades del Reglamento 679/2016 General de Protección de Datos

El considerando 9 del RGPD671 destaca que si bien los principios y objetivos de la

Directiva de 1995 siguen siendo válidos, ha habido fragmentación en la aplicación de la

671 El considerando 9 del Reglamento destaca: “Aunque los objetivos y principios de la Directiva

95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la

Unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada

entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en

particular en relación con las actividades en línea. Las diferencias en el nivel de protección de los

derechos y libertades de las personas físicas, en particular del derecho a la protección de datos de

carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden

impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden

constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la Unión,

falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud

314

misma en los distintos Estados miembros, lo que ha derivado en inseguridad jurídica,

así como en distintos niveles de protección. Esta diferencia en los niveles de protección

en los distintos países de la UE se debe a la existencia de divergencias en la ejecución y

aplicación de la Directiva 95/46/CE. Por tanto, un primer objetivo que se persigue con

esta reforma es la armonización legislativa, de modo que en la UE haya una única

normativa europea de protección de datos y no veintiocho. En lo que respecta a las

disposiciones generales del RGPD, el artículo 1672 define el objeto de la norma y, como

el artículo 1 de la Directiva de 1995673, establece los dos objetivos del mismo. El

artículo 2674 define el ámbito de aplicación material del texto normativo y el artículo 3

el ámbito de aplicación territorial675.

del Derecho de la Unión. Esta diferencia en los niveles de protección se debe a la existencia de

divergencias en la ejecución y aplicación de la Directiva 95/46/CE”. 672 El artículo 1 del Reglamento dice así: “Objetivo y objetivos-1. El Presente Reglamento establece las

normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de

carácter personal y las normas relativas a la libre circulación de tales datos. 2. El presente Reglamento

protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la

protección de los datos personales. 3. La libre circulación de los datos personales en la Unión no podrá

ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que

respecta al tratamiento de datos personales”. 673 Artículo 1 de la Directiva 95/46/CE: “Objeto de la Directiva. 1. Los Estados miembros garantizarán,

con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y los derechos

fundamentales de las personas físicas y, en particular, del derecho a la intimidad, en lo que respecta al

tratamiento de los datos personales. 2. Los Estados miembros no podrán restringir ni prohibir la libre

circulación de datos personales entre los Estados miembros por motivos relacionados con la protección

garantizada en virtud del apartado 1”. 674 Artículo 2 del Reglamento de la CE: “Ámbito de aplicación material.-1- El presente Reglamento se

aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no

automatizado de datos personales contenidos o destinados a ser incluidos en un fichero. 2. El presente

Reglamento no se aplica al tratamiento de datos personales: a) en el ejercicio de una actividad no

comprendida en el ámbito de aplicación del Derecho de la Unión; b) por parte de los Estados miembros

cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 Título V del

Tratado de la Unión Europea; c) efectuado por una persona física en el ejercicio de actividades

exclusivamente personales o domésticas, d) por parte de las autoridades competentes con fines de

prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de

sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y a su prevención.

3. El Reglamento (CE) nº 45/2001 es de aplicación al tratamiento de datos de carácter personal por

parte de las instituciones, órganos y organismos de la Unión. El Reglamento (CE) nº 45/2001 y otros

actos jurídicos de la Unión aplicables a dicho tratamiento de datos de carácter personal se adaptarán a

los principios y normas del presente Reglamento de conformidad con su artículo 98.

4. El presente Reglamento se entenderá sin perjuicio de la aplicación de la Directiva 2000/31/CE, en

particular de las normas en materia de responsabilidad de los prestadores de servicios intermediarios

establecidas en los artículos 12 a 15 de la Directiva citada”. 675 El artículo 3 del Reglamento señala. “1.El presente Reglamento se aplica al tratamiento de datos

personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la

Unión, con independientemente de que el tratamiento tenga lugar en la Unión o no. 2. El presente

315

Precisamente, el ámbito de aplicación territorial del RGPD es un punto a todas luces

novedoso, en el sentido de que, por primera vez, la normativa europea pasaría a ser

aplicable a las empresas de fuera de la UE, que dirijan sus productos o servicios a

ciudadanos europeos o que monitoricen su conducta, siempre que ésta conducta tenga

lugar en la UE. Este es un punto en el que difiere notablemente de la Directiva

95/46/CE y no cabe duda de que la tendencia del legislador europeo es la de que a los

gigantes tecnológicos americanos les sea aplicable la normativa europea, en la medida

en que obtienen beneficio en la UE gracias al ofrecimiento de servicios a ciudadanos

europeos. En lo que respecta a la monitorización de la conducta, el RGPD apunta que

“para determinar si se puede considerar que una actividad de tratamiento controla la

conducta de los interesados, debe evaluarse si las personas físicas son objeto de un

seguimiento en Internet con técnicas de tratamiento de datos que consistan en la

aplicación de un perfil a un individuo con el fin, en particular, de adoptar decisiones

sobre él o de analizar o predecir sus preferencias personales, comportamientos y

actitudes”676.

Este artículo 3 representa, por tanto, “un importante avance con respecto a la situación

anterior, facilitando el sometimiento a la legislación europea y a la competencia de las

autoridades administrativas de sus Estados miembros, de quienes no se encuentran

Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por

parte de un responsable o encargado del tratamiento no establecido en la Unión, cuando las actividades

de tratamiento estén relacionadas con: a) la oferta de bienes y servicios a dichos interesados en la

Unión, independientemente de si a estos se les requiere su pago o ; o b) el control de su comportamiento,

en la medida en que éste tenga lugar en la Unión. 3. El presente Reglamento se aplica al tratamiento de

datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en el

que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho Internacional Público”. 676 Ver considerando 24 del Reglamento.

316

establecidos en la UE, pero tratan datos de residentes en la UE en circunstancias en las

que es apropiado que queden sometidos a la legislación europea”677.

El RGPD hace referencia a la irrelevancia de que el tratamiento se efectúe fuera de la

UE, a efectos del ámbito de aplicación territorial del RGPD, siendo claves otros

condicionantes pero no el lugar donde efectivamente se realice el tratamiento, que es

irrelevante678.

Por su parte, el WP29, considera que en lo relativo al ámbito de aplicación territorial es

necesario que la futura norma sea aplicable también a los encargados del tratamiento,

situados fuera de la UE, cuando actúan por encargo de un responsable del tratamiento

que está sometido al RGPD. A este respecto destaca: “The Working party would like to

draw attention to the need to cover non EU-processors where they act for controllers

subject to the Regulation”679.

Por tanto, ante la pregunta de quién se verá afectado por la reforma, la respuesta es que

afectará a cualquier empresa que haga negocios con ciudadanos europeos, con

independencia de dónde tenga su sede la empresa. Es decir, se aplicará el mismo

677 De Miguel Asensio, Pedro: “Algunas cuestiones internacionales de la Propuesta de Reglamento

general sobre protección de datos de la UE”, pedrodemiguelasensio.blogspot, 21 de noviembre 2013.

http://pedrodemiguelasensio.blogspot.com.es/2013/11/algunas-cuestiones-internacionales-de.html 678 A este respecto, el considerando 19 del Reglamento señala: “Todo tratamiento de datos personales en

el contexto de las actividades de un establecimiento de un responsable o encargado del tratamiento en la

Unión debe llevarse a cabo de conformidad con el presente Reglamento, independientemente de si el

tratamiento tiene lugar en la Unión o no. Por establecimiento se entiende el ejercicio efectivo y real de

una actividad mediante una instalación estable. Su forma jurídica, ya sea a través de una sucursal o una

filial con personalidad jurídica, no es el factor determinante al respecto”. 679 Documento del WP29, Appendix, Core Topics on the view of trialogue, 17 de junio 2015, pag.4.

Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-

document/index_en.htm

317

conjunto de reglas en materia de protección de datos a todas las empresas que hagan

negocios en la UE, dirigiéndose a ciudadanos europeos680.

Más allá del ámbito de aplicación territorial, el RGPD contiene numerosos aspectos

novedosos, que en este bloque de la tesis se desgranarán. Además de los principios ya

incluidos en la Directiva 95/46/CE, se incluyen principios nuevos de la protección de

datos de carácter personal: privacy by design, privacy by default y el principio de

accountability.

En lo que respecta al principio de privacy by design (o privacidad desde el diseño) hace

referencia a la necesidad de tener en cuenta la perspectiva de la privacidad desde el

origen o diseño del producto o servicio en cuestión, de modo que la privacidad esté

imbuida en el propio código genético del producto. Por otra parte, el principio de

privacy by default, hace referencia a que, en una aplicación, sistema operativo o, por

ejemplo plataforma o producto, a la hora de configurar los parámetros, por defecto y a

falta de que el destinatario del servicio o producto elija otra opción, la configuración se

decante por la opción de mayor privacidad. Al respecto, el RGPD apunta que “la

protección de los derechos y libertades de las personas físicas con respecto al

tratamiento de datos personales exige la adopción de medidas técnicas y organizativas

apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente

Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el

responsable del tratamiento debe adoptar políticas internas y aplicar medidas que

cumplan en particular los principios de protección de datos desde el diseño y por

defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el

680 Ver el documento Propuesta de Reglamento de Protección de Datos de la UE: próximos requisitos de

confidencialidad de datos y cómo cumplirlos, Sophos, 2014.

318

tratamiento de datos personales, seudonimizar lo antes posible los datos personales,

dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a

los interesados supervisar el tratamiento de datos y al responsable del tratamiento

crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar

aplicaciones, servicios y productos que están basados en el tratamiento de datos

personales o que tratan datos personales para cumplir su función, ha de alentarse a los

productores de los productos, servicios y aplicaciones a que tengan en cuenta el

derecho a la protección de datos cuando desarrollar y diseñen estos productos,

servicios y aplicaciones, y que aseguren, con la debida atención al estado de la técnica,

de que los responsables y los encargados del tratamiento están en condiciones de

cumplir sus obligaciones en materia de protección de datos. Los principios de la

protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el

contexto de los contratos públicos”681.

A este respecto, el RGPD destaca: “Protección de datos desde el diseño y por defecto.

1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza,

ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y

gravedad que entraña el tratamiento para los derechos y libertades de las personas

físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los

medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y

organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma

efectiva los principios de protección de datos, como la minimización de datos, e

integrar las garantías necesarias del tratamiento, a fin de cumplir los requisitos del

presente Reglamento y proteger los derechos de los interesados. 2. El responsable del

681 Ver el considerando 78 del Reglamento.

319

tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a

garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que

sean necesarios para cada uno de los fines específicos de tratamiento. Esta obligación

se aplicará a la cantidad de datos personales recogidos, a la extensión de su

tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas

garantizarán en particular que, por defecto, los datos personales no sean accesibles,

sin la intervención de la persona, a un número indeterminado de personas físicas. 3.

Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42

como elemento que acredite el cumplimiento de las obligaciones establecidas en los

apartados 1 y 2 del presente artículo”682.

La idea de incorporar la perspectiva de la protección de datos en el diseño de sistemas

de IT (Information Technology) no es completamente nueva683. El propio considerando

46 de la Directiva 95/46/CE684 hace mención a la necesidad de adoptar medidas técnicas

y organizativas tanto en el diseño del sistema de tratamiento de datos como en el propio

tratamiento de datos, lo que ha sido considerado por algún autor como una

manifestación del principio de privacy by design685.

682 Ver artículo 23 del Reglamento. 683 Schaar, Peter: “Privacy by design”, Identity in the Information Society, vol. 3, Issue 2, Holanda,

Springer Netherlands, Abril 2010, pag. 267. 684 El considerando 46 de la Directiva 95/46/CE señala: “Considerando que la protección de los derechos

y libertades de los interesados en lo que respecta a los tratamientos de datos personales exige la

adopción de medidas técnicas y de organización apropiadas, tanto en el momento de la concepción del

sistema de tratamiento como en el de la aplicación de los tratamientos mismos, sobre todo con objeto de

garantizar la seguridad e impedir, por tanto, todo tratamiento no autorizado; que corresponde a los

Estados Miembros velar por que los responsables del tratamiento respeten dichas medidas; que esas

medidas deberán garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y

el coste de su aplicación en relación con los riesgos que presente el tratamiento y con la naturaleza de

los datos que deban protegerse”. 685 Schaar, Peter: op.cit, pag.267.

320

Por su parte, el principio de accountability, que tiene su origen en el derecho anglosajón

hace referencia a la necesaria rendición de cuentas, due diligence o compromiso por

parte del responsable del tratamiento, siendo necesario que implante políticas de

privacidad y demuestre activamente el cumplimiento con la normativa de protección de

datos de carácter personal. No cabe duda de que en nuestra sociedad, tanto en el sector

público como en el privado, ha surgido una creciente necesidad de ser transparente y

demostrar el correcto cumplimiento. Es decir, no sólo hacer las cosas bien, sino que se

sepa que se hacen las cosas bien, dar a conocer cómo se hacen las cosas. A este

respecto, resulta clave hacer mención a la Ley 19/2013, de 9 de diciembre, de

Transparencia, Acceso a la Información Pública y Buen Gobierno, que tiene por objeto

ampliar y reforzar la transparencia en España de la actividad pública, regular y

garantizar el derecho de acceso a la información relativa a aquella actividad y establecer

las obligaciones de buen gobierno que deben cumplir los responsables públicos. Al

margen de esta norma clave que aplica al sector público, como comentamos, la

necesidad creciente en los últimos años de ser transparente y demostrar el compromiso

con el cumplimiento normativo abarca tanto al sector público como al privado.

Algunos autores consideran que la accountability o rendición de cuentas consiste en la

responsabilidad de responder por un desempeño particular ante las expectativas de

distintas audiencias o partes interesadas y que se trata de una parte esencial de proceso

de democratización686.

686 Ebrahim, Alnoor: “Accountability Myopia: Losing sight of Organizational learning”, Nonprofit and

Voluntary Sector Quarterly, Virgnia Polytechnic Institute and State University, Marzo 2005, 34, pags. 56

y ss. Ver asimismo Bonbright, David: “A Justice oriented Global Civil Society Infraestructure: vision or

illusion?”, Keystone Accountability for Social Change, Junio 2006. Para mayor conocimiento sobre este

principio ver el documento del Reino Unido, Standards in Public Life: First report of the Committee on

Standards in Public

Life,1995.https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/336919/1stInqui

ryReport.pdf

321

Los Estándares internacionales de Privacidad aprobados en la Conferencia Internacional

de Madrid de 2009 también abordan este principio de accountability687. El RGPD, en lo

referente a la responsabilidad del responsable del tratamiento, apunta: “1. Teniendo en

cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los

riesgos de diversa probabilidad y gravedad para los derechos y libertades de las

personas físicas, el responsable del tratamiento aplicará medidas técnicas y

organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es

conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán

cuando sea necesario. [….]. 3. La adhesión a códigos de conducta aprobados a tenor

del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42

podrán ser utilizados como elementos para demostrar el cumplimiento de las

obligaciones por parte del responsable del tratamiento”688.

En diversos considerandos del RGPD, así como en varios artículos se menciona el

concepto de responsabilidad proactiva del responsable del tratamiento. Sin duda, la

necesidad de demostrar cumplimiento (al margen de cumplir) se convierte en vital. A

este respecto, se destaca que, en particular, el responsable del tratamiento debe

garantizar y está obligado a demostrar que cada operación de tratamiento cumple lo

dispuesto en el RGPD. “No se trata ya del responsable del tratamiento que se encuentra

descrito en la LOPD y en la Directiva y que recogen un modelo más pasivo y reactivo.

[…] El Reglamento dibuja un responsable que debe velar de manera positiva y

687 Ver el artículo 22 de la Resolución de Madrid de estándares internacionales de privacidad de

2009.https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Cooperation/Conf

erence_int/09-11-05_Madrid_Int_standards_ES.pdf 688 Ver artículo 24 del Reglamento.

322

proactiva por que el tratamiento de los datos personales respete la legislación. Se trata

de un responsable con actitud propositiva”689.

Por su parte, el WP29690 considera que las medidas comunes de responsabilidad,

medidas en las que se materializaría este principio de accountability, entre otras,

podrían ser: “a) el establecimiento de procedimientos internos previos a la creación de

nuevas operaciones de tratamiento de datos personales, b) el establecimiento de

políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se

valoren en nuevas operaciones de tratamiento de datos (por ejemplo, cumplimiento de

los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc), que

deben ponerse a disposición de las personas interesadas, c) la cartografía de

procedimientos que garanticen la identificación correcta de todas las operaciones de

tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento

de datos, d) el nombramiento de un funcionario de protección de datos y otras personas

responsables de la protección de datos, e). la oferta adecuada de protección de datos y

formación a los miembros del personal […], f) el establecimiento de un mecanismo

interno de tratamiento de quejas, g) el establecimiento de procedimientos internos de

gestión y notificación eficaces de fallos de seguridad, h) la realización de evaluaciones

de impacto sobre la privacidad en circunstancias específicas, i) la aplicación y

supervisión de procedimientos de verificación que garanticen que las medidas no sean

689 Troncoso Reigada, Antonio: “Autoridades de control independientes”, en Piñar Mañas, J.L.,

Reglamento General de Protección de Datos, hacia un nuevo modelo europeo de privacidad, Editorial

Reus, 2016, pag. 468. 690 Dictamen 3/2010 sobre el principio de responsabilidad, de 13 de julio de 2010.

http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_es.pdf

323

sólo nominales sino que se apliquen y funcionen en la práctica (auditorías internas o

externas, etc)”691.

Otra de las novedades importantes que incorpora el RGPD es la relativa a la figura del

DPO (Data Protection Officer) o Delegado de Protección de Datos, como figura clave

en las organizaciones, encargada de velar por el cumplimiento de la normativa de

protección de datos. En el RGPD, en la sección cuarta, artículos 37 y siguientes se

ocupan de esta figura. El RGPD recoge las funciones del DPO y apunta: “1. El

responsable y el encargado del tratamiento designarán un delegado de protección de

datos, siempre que: a) el tratamiento lo lleve a cabo una autoridad y organismo

público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las

actividades principales del responsable o del encargado consistan en operaciones de

tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una

observación habitual y sistemática de interesados a gran escala, o c)las actividades

principales del responsable o del encargado consistan en el tratamiento a gran escala

de categorías especiales de datos personales con arreglo al artículo 9 y de datos

relativos a condenas e infracciones penales a que se refiere el artículo 10. 2. Un grupo

empresarial podrá nombrar un único delegado de protección de datos siempre que sea

fácilmente accesible desde cada establecimiento. 3. Cuando el responsable o encargado

del tratamiento sea una autoridad u organismo público, se podrá designar un único

delegado de protección de datos para varias de estas autoridades u organismos,

teniendo en cuenta su estructura organizativa y tamaño. 4. En los casos distintos de los

contemplados en el apartado 1, el responsable o encargado del tratamiento, o las

asociaciones y otros organismos que representen a categorías de responsables o

691 Ibídem.

324

encargados podrán designar un delegado de protección de datos o deberán designarlo

si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de

protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos

que representen a responsables o encargados. 5. El delegado de protección de datos

será designado atendiendo a sus cualidades profesionales y, en particular, a sus

conocimientos especializados del Derecho y la práctica en materia de protección de

datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39. 6. El

delegado de protección de datos podrá formar parte de la plantilla del responsable o

encargado de tratamiento o desempeñar sus funciones en el marco de un contrato de

servicios. 7. El responsable o encargado de tratamiento publicarán los datos de

contacto del delegado de protección de datos y los comunicarán a la autoridad de

control”692.

En cuanto a las funciones y tareas del DPO, el artículo 39693 destaca, entre otras,

informar y asesorar al responsable o encargado del tratamiento de las obligaciones que

les incumben, supervisar la implementación y aplicación de las políticas de privacidad

así como del cumplimiento con todo lo dispuesto en el RGPD, y realizar funciones de

conservación de documentación o notificación de brechas de seguridad. Asimismo

serviría como punto de contacto con la autoridad de control.

692 Ver el artículo 37 del Reglamento. 693 El artículo 39 del Reglamento, referente a las funciones del DPO señala: “1. El delegado de protección

de datos tendrá como mínimo las siguientes funciones: a) informar y asesorar al responsable o al

encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les

incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión

o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de

otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del

responsable o encargado del tratamiento en materia de protección de datos personales, incluida la

asignación de responsabilidades, la concienciación y formación del personal que participa en las

operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le

solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación

de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de

contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a

la que se refiere el artículo 36 y realizar consultas, en su caso, sobre cualquier otro asunto. […]”

325

Durante la tramitación del RGPD se ha venido discutiendo sobre esta figura del DPO,

en concreto, sobre su carácter obligatorio o no. De hecho, en la versión de enero de

2012 de la Propuesta de la CE, se establece como obligatorio para todas las empresas de

más de 250 trabajadores así como para Administraciones Públicas. En la versión

finalmente aprobada y publicada en el DOUE, se establece como una figura voluntaria

con algunas excepciones y deja en manos de los Estados miembros la decisión sobre su

carácter obligatorio. Entre otros ejemplos que dan margen de maniobra a los distintos

países de la UE, éste es un ejemplo de por qué se puede considerar que con la postura

adoptada por el Consejo de la UE se pierde homogeneidad y la fuerza armonizadora

propia de un Reglamento – el Reglamento es directamente aplicable en los Estados

miembros- para parecerse más a una Directiva, que permite más margen de maniobra a

los países con la transposición de los distintos ordenamientos jurídicos internos.

Por su parte, el WP29694, emitió un documento con vistas a las negociaciones del

trílogo,695 sobre el RGPD, una vez el Consejo de la UE adoptó su postura el pasado 15

de junio de 2016. En este documento, el WP29 consideró recomendable que la figura

del DPO fuese obligatoria en función del tipo de datos que se traten y su volumen y,

entre otras muchas cosas, considera que las Administraciones Públicas deberían ser

sancionadas económicamente ante infracciones del RGPD.

694Ver el documento del WP29, Appendix, Core topis in the view of trialogue, de 17 de junio de 2015.

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-

release/art29_press_material/2015/20150619_wp29_press_release_-_opinion_in_view_of_trilogue.pdf 695 El trílogo hace referencia a las negociaciones a tres bandas entre la Comisión Europea, Parlamento

Europeo y Consejo de la UE, que comenzaron el pasado 24 de junio de 2016, con el fin de adoptar el

texto definitivo del futuro Reglamento Europeo de Protección de Datos.

326

Asimismo, una de las grandes novedades es la reducción de carga burocrática para las

empresas, suprimiéndose la obligación de inscripción de ficheros ante la agencia de

protección de datos. Sin embargo, se introduce un nuevo concepto que es el de

Notificación de brecha de seguridad (Data Breach notification), que se recoge en el

artículo 33 y 34. “Notificación de una violación de la seguridad de datos personales a

la autoridad de control. 1. En caso de violación de la seguridad de los datos

personales, el responsable del tratamiento la notificará a la autoridad de control

competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a

más tardar, 72 horas después de que haya tenido constancia de ella, a menos que sea

improbable que dicha violación de la seguridad constituya un riesgo para los derechos

y libertades de las personas físicas. Si la notificación a la autoridad no tiene lugar en el

plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 2.

El encargado del tratamiento notificará […]. 3. La notificación contemplada en el

apartado 1 deberá, como mínimo: a) describir la naturaleza de la violación de la

seguridad de los datos personales, inclusive cuando sea posible, las categorías y el

número aproximado de interesados afectados, y las categorías y el número aproximado

de registros y datos personales afectados; b) comunicar el nombre y los datos del

delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse

más información; c) describir las posibles consecuencias de la violación de la

seguridad de los datos personales; d) describir las medidas adoptadas o propuestas por

el responsable del tratamiento para poner remedio a la violación de seguridad de datos

personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles

efectos negativos. 4. […]”696.

696 Ver artículo 33 del Reglamento.

327

Por su parte, fue el Consejo de la UE, con respecto a las violaciones de datos, quien

restringió la obligación de notificar a las autoridades de control y a los interesados a los

supuestos en los que se pueda producir un riesgo elevado para los derechos de los

interesados y amplió el plazo a 72 horas, ya que hubo momentos durante la tramitación

normativa del texto donde ese plazo era de 24 horas. El texto aprobado por el Consejo

de la UE en junio de 2015 tiene un enfoque más basado en el riesgo (risk based

approach) y cómo configura la notificación de brecha de seguridad es un claro ejemplo

de ello. Finalmente el texto aprobado y publicado en el DOUE mantiene el plazo de 72

horas y limita la notificación al sujeto interesado a las situaciones en las que se produce

un riesgo elevado para sus derechos.

Las denominadas Privacy Impact Assesments (PIAS) o Evaluaciones de Impacto de

Privacidad es otra de las grandes novedades del RGPD, entendido como el análisis o

estudio de los riesgos que en materia de privacidad entraña un nuevo producto, servicio

o sistema. “Evaluación de impacto relativa a la protección de datos: 1. Cuando sea

probable que un tipo de tratamiento, en particular, si utiliza nuevas tecnologías, por su

naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y

libertades de las personas físicas, el responsable del tratamiento realizará, antes del

tratamiento, una evaluación del impacto de las operaciones de tratamiento en la

protección de datos personales. Una única evaluación podrá abordar una serie de

operaciones de tratamiento similares que entrañen riesgos similares. 2. El responsable

del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha

sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos. 3

[…]”697.

697 Ver el artículo 35 del Reglamento.

328

Por su parte, en los considerandos del RGPD se apunta a que “hay circunstancias en las

que puede resultar sensato y económico que una evaluación de impacto de la

protección de datos abarque a más de un único proyecto, por ejemplo, en caso de que

las autoridades u organismos públicos tengan la intención de crear una aplicación o

plataforma común de tratamiento o de que varios responsables se planteen introducir

una aplicación o un entorno de tratamiento común en un sector o segmento empresarial

o para una actividad horizontal de uso generalizado”698·

También la Agencia Española de Protección de Datos elaboró en 2014 una Guía sobre

las Evaluaciones de Impacto de Privacidad699, adelantándose de esta manera al propio

RGPD y publicando así un documento con el que pretende promover que las

organizaciones, fundamentalmente las que hacen un uso masivo de datos, no solamente

cumplan con lo dispuesto en la ley sino que adopten un enfoque más proactivo con sus

políticas de privacidad.

Por otra parte, en lo que respecta a los derechos de los interesados, además del

novedoso derecho al olvido, eje central de esta tesis, se recoge el derecho a la

portabilidad de los datos, que se contempla como un nuevo derecho para impulsar la

competencia y para evitar que el consumidor se quede atrapado en un proveedor de

servicios concreto, facilitando que el consumidor pueda portar sus datos y trasladarlos a

otros responsable del tratamiento. “Derecho a la portabilidad de los datos.1. El

interesado tendrá derecho a recibir los datos personales que le incumban, que haya

698 Ver considerando 92 del Reglamento. 699https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.

pdf

329

facilitado a un responsable del tratamiento, en un formato estructurado, de uso común

y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo

impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté

basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo

9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b),

y; b) el tratamiento se efectúe por medios automatizados. 2. Al ejercer su derecho a la

portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a

que los datos personales se transmitan directamente de responsable a responsable

cuando sea técnicamente posible.3. El ejercicio del derecho mencionado en el apartado

1del presente artículo se entenderá sin perjuicio del artículo 17 […]”700.

El consentimiento es uno de los puntos clave también en el RGPD. En relación con este

punto, la Comisión Europea ha sido más estricta defendiendo la idea de un

consentimiento explícito, si bien a lo largo de la tramitación del texto se han ido

suavizando las exigencias en torno al consentimiento, de modo que se configura como

un consentimiento inequívoco y específico, como regla general. No obstante, para el

supuesto de que el tratamiento tenga que ver con datos personales especiales o de

carácter sensible sí se requeriría el consentimiento explícito.

Por su parte, en el RGPD, en el artículo relativo a las definiciones, queda definido el

consentimiento del interesado como “toda manifestación de voluntad, libre, específica,

informada e inequívoca, por la que el interesado acepta, ya sea mediante una

declaración o una clara acción afirmativa, el tratamiento de datos personales que le

conciernen”701.

700 Ver artículo 20 del Reglamento. 701 Ver el artículo 4, apartado 11, del Reglamento.

330

El Parlamento Europeo, en su resolución de 12 de marzo de 2014, respaldó a la

Comisión Europea en lo que respecta a cómo debía configurarse el consentimiento en el

nuevo RGPD. Sin embargo, fue el Consejo de la UE, en junio de 2015, quien opta por

un consentimiento inequívoco, como uno de los elementos que legitiman el tratamiento

de datos. No obstante, manifiesta que este consentimiento debe expresarse mediante una

declaración o mediante cualquier acción afirmativa y clara. Tampoco cabe el silencio o

la inacción. Asimismo permite la obtención del consentimiento a través de los ajustes de

los navegadores u otras aplicaciones. Y, por otra parte, establece el consentimiento

explícito como obligatorio sólo para tratar datos sensibles, como el origen racional,

datos de salud, opciones políticas, etc702.

Por su parte, y una vez el Consejo de la UE adoptó su postura, el Supervisor Europeo de

Protección de Datos (EDPS)703 destaca (texto original en inglés), “consent is one

possible legal basis for processing, but we need to prevent coercive tick boxes where

there is no meaningful choice for the individual and where there is no need for data to

702 El artículo 9 hace referencia al tratamiento de categorías especiales de datos personales y destaca: “1.

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones

políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos

genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos

relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona. 2. El

apartado 1 no será de aplicación cuando concurra alguna de las circunstancias siguientes: a) el

interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más

de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca

que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado; b) el

tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del

responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y

protección social, en la medida en que así lo autorice el Derecho de la Unión, de los Estados miembros o

un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías

adecuadas del respeto de los derechos fundamentales y de los intereses del interesado; ….[….]. 4. Los

Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con

respecto al tratamiento de los datos genéticos, datos biométricos o datos relativos a la salud”, 703 El Supervisor Europeo de protección de datos es un organismo independiente de la UE que se encarga

de velar por el cumplimiento de la normativa de protección de datos por parte de las instituciones de la

UE. No tiene capacidad legislativa pero sí emite recomendaciones en materia de protección de datos de

carácter personal.

331

be processed at all. We recommend enabling people to give broad or narrow consent, to

clinical research for example, which is respected and which can be withdrawn”704.

Por su parte, el WP29, en relación con el consentimiento en el nuevo RGPD aboga por

un consentimiento explícito y señala: “The notion of unambiguous consent foreseen by

the Council of the EU in Recital 25 may create some confusion with respect to the aim

of the proposed text especially on the Internet where there is now too much improper

use of consent”. “Requiring it to be explicit is an important clarification, truly enabling

data subjects the exercise of their rights”705.

Otro ejemplo del intento de simplificar los procedimientos a las empresas y reducir la

carga burocrática es la introducción en el RGPD del mecanismo de one stop shop o

ventanilla única706, de modo que las empresas que operan en varios Estados miembros

de la UE tengan que lidiar con una única autoridad de control de protección de datos, al

ser una única autoridad la que toma decisiones en los casos transfronterizos. No es fácil

solucionar los posibles conflictos de competencia entre autoridades de control y

probablemente sean necesarias disposiciones que ayuden a clarificar las pautas a seguir

para dicha atribución de competencias entre autoridades de control707.

704 Ver la Opinion 3/2015, Europe’s big opportunity: EDPS recommendations on the EU options for data

protection reform, de 27 de Julio de 2015, pag.5.

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/

2015/15-07-27_GDPR_Recommendations_EN.pdf 705 Documento WP29, Appendix, Core topics in the view of trialogue, 17 de junio 2015, pag. 4.

Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-

document/index_en.htm 706 Ver artículos 51 y siguientes del Reglamento. 707 El considerando 127 del Reglamento señala: “Cada autoridad de control que no actúa como autoridad

principal debe ser competente para tratar asuntos locales, en los que si bien el responsable o encargado

del tratamiento está establecido en más de un Estado miembro, el objeto del tratamiento específico se

refiere exclusivamente al tratamiento efectuado en un único Estado miembro y afecta exclusivamente a

interesados de un único Estado miembro, por ejemplo cuando el tratamiento tiene como objeto datos

personales de empleados en el contexto específico de empleo de un Estado miembro. En tales casos, la

autoridad de control debe informar sin dilación al respecto a la autoridad de control principal. Una vez

informada, la autoridad de control principal debe decidir si tratará el asunto de acuerdo con la disposición

332

En lo que respecta al interés legítimo en el tratamiento, la posición del Consejo de la UE

era mucho más favorable para los intereses de las empresas que tratan datos de carácter

personal, al ser más flexible y amparar el interés legítimo de las empresas en el

tratamiento, mientras que la Comisión Europea ha sido más restrictiva. El Parlamento

Europeo también respaldaba el tratamiento en base al interés legítimo de las empresas.

Finalmente, el RGPD, sobre la licitud del tratamiento de datos, contempla los supuestos

en los que será lícito dicho tratamiento y, en concreto, entre los supuesto, destaca que

será lícito “cuando el tratamiento es necesario para la satisfacción de intereses

legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que

sobre dichos intereses no prevalezcan los intereses o los derechos y libertades

fundamentales del interesado que requieran la protección de datos personales, en

particular cuando el interesado sea un niño”708. Por su parte, el RGPD expresamente

señala que “el tratamiento de datos personales con fines de mercadotecnia directa puede

considerarse realizado por interés legítimo”709. Asimismo, el RGPD destaca que

“constituye un interés legítimo del responsable del tratamiento interesado el

tratamiento de datos personales en la medida estrictamente necesaria y proporcionada

para garantizar la seguridad de la Red y de la información […]”710.

aplicable a la cooperación entre la autoridad de control principal y otras autoridades de control interesadas

(mecanismo de ventanilla única) o si lo debe tratar localmente la autoridad de control que le haya

informado. Al decidir si trata el asunto, la autoridad de control principal debe considerar si existe un

establecimiento del responsable o del encargado en el Estado miembro de la autoridad de control que le

haya informado, con el fin de garantizar la ejecución efectiva de la decisión respecto del responsable o

encargado del tratamiento. Si la autoridad de control principal decide tratar el asunto, se debe ofrecer a la

autoridad de control informante, la posibilidad de presentar un proyecto de decisión, que la autoridad de

control principal ha de tener en cuenta en la mayor medida posible al preparar su proyecto de decisión al

amparo del mecanismo de ventanilla única”. 708 Ver el artículo 6.1.f) del Reglamento. 709 Ver considerando 47 del Reglamento. 710 Ver considerando 49 del Reglamento.

333

También se hace referencia en el articulado de la norma a los tratamientos para fines

incompatibles con aquel para el que se recogieron los datos. Al respecto se destaca: “

Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los

datos personales no esté basado en el consentimiento del interesado o en el Derecho de

la Unión o de los Estados miembros que constituya una medida necesaria y

proporcional en una sociedad democrática para salvaguardar los objetivos indicados

en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar

si el tratamiento con otro fin es compatible con el fin para el cual se recogieron

inicialmente los datos personales, tendrá en cuenta, entre otras cosas: a) cualquier

relación entre los fines para los cuales se hayan recogido los datos personales y los

fines del tratamiento ulterior previsto; b) el contexto en el que se hayan recogido los

datos personales, en particular por lo que respecta a la relación entre los interesados y

el responsable del tratamiento; c) la naturaleza de los datos personales, en concreto

cuando se traten categorías especiales de datos personales, de conformidad con el

artículo 9, o datos personales relativos a condenas e infracciones penales, de

conformidad con el artículo 10; d) las posibles consecuencias para los interesados del

tratamiento ulterior previsto; e) la existencia de garantías adecuadas, que podrán

incluir el cifrado o la seudonimización”711. Sin duda, éste ha sido uno de los puntos más

controvertidos en las negociaciones del trílogo, al igual que el consentimiento.

Por su parte, el WP29 ha destacado que los tratamientos posteriores sólo pueden

permitirse después de haber realizado un test minucioso, examen o análisis y siempre

además que el responsable del tratamiento tenga una base legal. En este sentido, apunta:

“Further processing should only be permitted once compatibility is established after a

711 Ver el artículo 6.4 del Reglamento.

334

careful assessment that takes into consideration all relevant circumstances of both the

original and the subsequent processing operations and provided that the controller may

find an adequate legal basis. Compatibility should not be confused with legitimacy”712.

Por su parte el EDPS recomienda (texto literal en inglés): “the requirements for all data

processing to be limited to specific purporses and on a legal basis are cumulative, not

alternatives. We recommend avoiding any conflation and thereby weakening of these

principles. Instead, the EU should preserve, simplify and operationalise the established

notion that personal data should only be used in ways compatible with the original

purposes for collection”713.

Otra de las novedades introducidas en este Reglamento es el concepto de datos

pseudónimos. A este respecto, el Parlamento Europeo considera que la elaboración de

perfiles basada únicamente en el tratamiento de datos pseudónimos no afecta de modo

significativo a los intereses, derechos o libertades de los interesados. Sin embargo, el

Consejo de la UE ignora la posibilidad de tratar datos que el responsable del tratamiento

ya ha obtenido de forma pseudonimizada y exige algún tipo de acción para que estén

dotados del atributo de la pseudonimización. Por su parte, el WP29 considera que el

RGPD debería tratar el proceso de pseudonimización como un sistema de minimización

y rechaza la creación de los datos pseudónimos como una nueva categoría de datos. En

este sentido apunta que: “The Working Party expresses its support for referring to the

pseudonymisation as a system of data minimisation […]. The WP29 expresses its

712 Ver el documento del WP29, Appendix, Core Topics in the View of Trialogue, 17 junio 2015, pag.7.

Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-

document/index_en.htm. 713 Ver el document del EDPS, Opinion 3/2015: Europe’s big opportunity: EDPS recommendations on

the EU’s options for data protection reform, pag.5.

335

support for referring to the pseudonymisation as a security measure and is opposed to

introducing a new catergory of data with the notion of pseudonymous data714”.

El RGPD contempla la seudonimización de datos como una medida de seguridad. A

diferencia de la anonimización, en el caso de la seudonimización, existiría posibilidad

de reversibilidad e identificación del sujeto. En concreto, se define la seudonimización

como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a

un interesado sin utilizar información adicional, siempre que dicha información

adicional figure por separado y que esté sujeta a medidas técnicas y organizativas

destinadas a garantizar que los datos personales no se atribuyan a una persona física

identificada o identificable”715. Además, el RGPD promueve la seudonimización como

medida de seguridad y para aportar garantías716.

Otro punto, sin duda controvertido del RGPD, es lo relativo al régimen sancionador. “El

régimen sancionador previsto en los artículos 83 y 84 del RGPD viene a introducir

importantes novedades en la materia respecto a lo establecido en la Directiva 95/46/CE

y en la LOPD. […] Una de las principales críticas sobre la Directiva 94/46/CE, de 24 de

octubre, se refería a la excesiva libertad con la que contaban los Estados miembros a la

hora de establecer el correspondiente régimen sancionador, de manera que el

tratamiento de las infracciones y sanciones podía variar radicalmente de un Estado a

714 Ver documento WP29, Appendix, Core topics on the view of trialogue, Bruselas, 17 junio 2015, pag.5.

Disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/other-

document/index_en.htm 715 Artículo 4. 5) del Reglamento. 716 El considerando 29 del Reglamento apunta: “para incentivar la aplicación de la seudonimización en el

tratamiento de datos personales, debe ser posible establecer medidas de seudonimización, permitiendo al

mismo tiempo un análisis general, por parte del mismo responsable del tratamiento, cuando este haya

adoptado las medidas técnicas y organizativas necesarias para garantizar que se aplique el presente

Reglamento al tratamiento correspondiente y que se mantenga por separado la información adicional

para la atribución de los datos personales a una persona concreta. El responsable que trate datos

personales debe indicar cuáles son sus personas autorizadas”.

336

otro”717. La nueva normativa contempla la posibilidad de sancionar a la Administración

pública, recogiendo expresamente que “sin perjuicio de los poderes correctivos de las

autoridades de control, cada Estado miembro podrá establecer normas sobre si puede,

y en qué medida, imponer multas administrativas a autoridades y organismos públicos

establecidos en dicho Estado miembro”718. En lo que respecta a las cuantías que pueden

alcanzar las sanciones, al finalizar las negociaciones del trílogo, quedó fijada la cuantía

máxima de sanción en el 4% del volumen de negocio anual a nivel global o 20 millones

de euros719. Por su parte, el texto de la Comisión Europea abogaba por multas de hasta

un 2% de volumen de negocio anual o 1 millón de euros, lo que ha sido respaldado por

el Consejo de la UE, mientras que el Parlamento Europeo elevó la cuantía máxima hasta

un 5% de la facturación anual o 100 millones de euros. Finalmente, se ha optado por

fijar el máximo en el porcentaje citado del 4% o 20 millones de euros.

Con respecto a este punto, la Confederación Española de Organizaciones Empresariales

(CEOE) manifestó que “el sometimiento del importe de la sanción a un porcentaje sobre

el volumen de facturación mundial de una empresa puede perjudicar gravemente a los

países con mercados más reducidos que sus matrices, ya que su facturación puede llegar

a ser igual o menor que el tanto por ciento de la facturación mundial de su compañía.

Este hecho puede llevar a que determinadas empresas puedan concentrar su actividad en

países económicamente más fuertes y no invertir en países con economías más débiles

por el riesgo de incurrir en pérdidas ante eventuales contingencias”720.

717 Corral Sastre, Alejandro; “El régimen sancionador en materia de protección de datos en el Reglamento

General de la UE”, Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad

(dir: Piñar Mañas, José Luis), Editorial Reus, 2016, pag. 573. 718 Artículo 83 del Reglamento. 719 Ibídem. 720 Ver el Documento de Observaciones de CEOE sobre la Propuesta de Reglamento Europeo de

Protección de datos, de febrero de 2013.

http://contenidos.ceoe.es/resources/image/documento_observaciones_ceoe_propuesta_reglamento_tratam

iento_datos_2013_02_12.pdf

337

Otro de los aspectos novedosos del RGDP es que, por primera vez en el Derecho de la

UE, se contempla el derecho a indemnización de las personas físicas por los daños

causados en el tratamiento ilegal de sus datos de carácter personal. A diferencia del

art.23 de la Directiva 95/46/CE, que contemplaba un mandato a los legisladores

nacionales para que regulasen el derecho a una indemnización de aquellos perjudicados

con un tratamiento ilícito de sus datos de carácter personal, “la regulación que introduce

el RGPD es de carácter uniforme y de obligatorio cumplimiento por los Estados

miembros, con las necesarias adaptaciones a los sistemas de responsabilidad civil o

patrimonial de cada uno de ellos”721. Además, el concepto de daños y perjuicios ha de

interpretarse en sentido amplio y el ámbito de la reclamación de responsabilidad abarca

no sólo toda infracción del RGPD sino también de los actos delegados y ejecutivos

derivados del mismo, así como, en España, de la LOPD y sus normas de desarrollo. Sin

embargo, en la LOPD española, el derecho a indemnización sólo se prevé para cuando

el responsable del tratamiento infrinjan lo dispuesto en la propia LOPD.

Asimismo se producirá un cambio institucional con la entrada en vigor del RGPD, de

modo que el WP29 de la Directiva 95/46/CE pasará a ser el Comité Europeo de

Protección de Datos (EDPB, o European Data Protection Board en su denominación en

inglés), que estará compuesto por los directores de las autoridades de control de cada

Estado miembro y el Supervisor Europeo de Protección de Datos (EDPS). La Comisión

Europea no es miembro del Comité Europeo de Protección de Datos, aunque tiene el

derecho a participar en sus actividades y a estar representada en el mismo. Entre las

funciones de este organismo, por tanto, estarían todas las funciones que ya tiene el

721 Nieto Garrido, Eva: “Derecho a indemnización y responsabilidad”, Reglamento General de Protección

de Datos, hacia un nuevo modelo […], op.cit, 2015, pag. 555 y ss.

338

WP29 como la presentación de informes anuales de actividad o emisión de dictámenes,

opiniones o recomendaciones. Dicho organismo debe asimismo, actuando con

independencia en el ejercicio de sus funciones “[…] contribuir a la aplicación

coherente del presente Reglamento en toda la Unión, entre otras cosas, asesorando a la

Comisión y fomentando la cooperación de las autoridades de control en toda la UE”722.

Con respecto a la tramitación del RGPD, no cabe duda que fue larga, comenzando con

la propuesta de la CE de enero de 2012. Tras haber adoptado su postura el Consejo de la

UE en junio de 2015, comenzaron las reuniones entre las tres instituciones de la UE

implicadas de Parlamento Europeo, Consejo y Comisión Europea, conocidas como

negociaciones del trílogo. Las bases para dichas negociaciones fueron la Propuesta de

Reglamento de la CE de 25 de enero de 2012, la Resolución del Parlamento Europeo de

12 de marzo de 2014 y la posición adoptada por el Consejo de Ministros de Justicia e

Interior de la UE el pasado 15 de junio de 2015. El 24 de junio de 2015 tuvo lugar la

primera de las reuniones, continuando el 14 de julio, 1 de septiembre y 16 y 17 de

septiembre y hasta la aprobación del texto el pasado 15 de diciembre723.

Aunque no se trate de órganos que tengan capacidad legislativa, tanto el WP 29 como el

Supervisor Europeo de Protección de Datos han publicado documentos con

recomendaciones. Por su parte, el WP29 publicó un documento, en el que se incluyen

cartas enviadas al Parlamento Europeo, Comisión Europea y Consejo de la UE, así

como un anexo con recomendaciones, de cara a las negociaciones del trílogo. También

722 Ver Considerando 135 y 136, entre otros, del Reglamento. 723 Ver el calendario de negociaciones en el siguiente enlace:http://www.eppgroup.eu/fr/news/Data-

protection-reform-timetable

339

el Supervisor Europeo de Protección de Datos publicó un documento con

recomendaciones724.

El Pleno del Parlamento Europeo aprobó finalmente el texto del RGPD el pasado 13 de

abril de 2016 y fue publicado en el DOUE el pasado 4 de mayo, entrando en vigor a los

veinte días de su publicación en el Diario Oficial. Comenzará a aplicarse en todos los

Estados miembros de la UE a partir del 25 de mayo de 2018. En los próximos meses

está previsto que el WP29 publique guidelines u orientaciones sobre cómo interpretar

algunas disposiciones de la normativa que necesitan aclaración como, entre otros

aspectos, el derecho a la portabilidad, el derecho al olvido o sobre la figura del Data

Protection Officer.

724 Ver Opinion 3/2015, del Supervisor Europeo de Protección de Datos (EDPS), Europe’s big

opportunity: EDPS recommendations on the EU’s options for data protection reform, 27 Julio 2015.

340

341

9. CONCLUSIONES:

1. La economía del dato, el desarrollo de la tecnología o de modelos de negocio

basados en el acceso y uso de los datos es una tendencia en auge a la que la

regulación no debería poner frenos. Las empresas ya son conscientes cada vez

más de la importancia de hacer un uso inteligente de los datos y de extraer valor

del dato, lo cual no es incompatible con el debido respeto a la legislación de

protección de datos y el respeto a la privacidad. El enfoque de la privacidad en el

S. XXI requiere colocar al individuo en verdadero control de sus datos, lo que

implica la necesaria transparencia por parte de las empresas responsables del

tratamiento de datos personales –información, transparencia y buenas prácticas-

son elementos fundamentales que adquieren una dimensión clave. En vez de

caer en regulaciones excesivamente proteccionistas es más recomendable abogar

por el refuerzo de la transparencia y de la información al individuo, por parte de

las empresas, informando sobre el uso que se dará a los datos y los derechos que

asisten a los titulares de los mismos para oponerse al tratamiento o ejercer sus

derechos. La utilización de símbolos o iconos que simplifiquen la información,

de modo claro y comprensible para el destinatario de la misma, con un lenguaje

sencillo y sin extenderse de forma innecesaria, es una iniciativa deseable. La

transparencia y la confianza, ambas dos caras de la misma moneda, son claves

en el entorno online. Por ello, es esencial adoptar iniciativas de políticas

públicas y también medidas de autorregulación para el refuerzo de la confianza

en Internet, que pasa por la necesaria mejora de la transparencia ejercida por los

prestadores de servicios en la Red. No menos importante es la necesidad de

342

educar y formar, tanto a nuestros jóvenes y menores como a la población más

adulta sobre los riesgos y oportunidades de Internet. También, educar en el valor

esencial que es la privacidad y la necesidad de protegerla para gozar de un

mínimo de calidad de vida, empezando esa protección por uno mismo, para así

estar en mejores condiciones de tomar decisiones con posibles consecuencias en

lo que respecta a la privacidad. Por ello, autorregulación, buenas prácticas,

transparencia y formación resultan esenciales. Poner puertas al campo en un

mundo digital lleno de oportunidades no es el camino.

Estamos ante un nuevo paradigma o un nuevo modelo de la privacidad en la era

digital, una nueva era en donde el Big Data o el Cloud Computing dejan de ser

tecnologías emergentes, para pasar a ser elementos esenciales en la

transformación digital que están protagonizando hoy en día las organizaciones.

Las plataformas de economía colaborativa o los motores de búsqueda han dado

lugar a modelos de negocio atractivos, donde la privacidad pasa a ser abordada

bajo un nuevo paradigma. La gratuidad de muchos servicios en Internet, unido a

la gran cantidad de datos que se recaban de los usuarios, como principal ventaja

competitiva de estos nuevos modelos, lleva necesariamente a replantearse cómo

debe ser abordada, analizada y estudiada la privacidad en este siglo XXI.. Este

cambio de paradigma ha implicado la necesidad de adaptar la normativa de

protección de datos al fenómeno de Internet. La necesidad de actualización de la

normativa, para permitir el despliegue y desarrollo de modelos de negocio

relacionados con el Internet de las Cosas (Internet of Things), Big Data o Cloud

Computing ha derivado también de la diferente implementación de la Directiva

95/46/CE en los distintos Estados miembros, creando una situación de falta de

343

armonización y homogeneidad en materia de protección de datos, que

obstaculiza la actividad de empresas presentes en más de un Estado miembro de

la UE, y que el RGPD pretende paliar.

2. La noción de intimidad es difícil de definir, pero todas las posibles definiciones

que se han dado del término tienen el elemento común, que es el significado de

esfera propia e individual, donde los demás, bien sea la Autoridad o los demás

conciudadanos, no tienen cabida. Es decir, tiene un cierto sentido de exclusión.

El origen de la intimidad, tal y como lo conocemos en la actualidad, encuentra

su punto de partida a finales del siglo XIX, en Estados Unidos, por obra de los

juristas Samuel Warren y Louis Brandeis. Sin embargo, con anterioridad,

podemos encontrar ciertos elementos de protección de una esfera íntima de las

personas en algunos momentos históricos previos o en civilizaciones incluso

antiguas en el tiempo, como puede ser la romana. No todas las sociedades y

épocas históricas han reflexionado en el mismo grado sobre la intimidad. Cuanto

más nos remontemos en el tiempo, menor será el grado de protección que la

sociedad otorga al individuo como tal y a su esfera de intimidad y menor será el

incentivo individual. La teoría racionalista sitúa el nacimiento del derecho a la

intimidad en el período del Racionalismo y la Ilustración, en conexión con el

ascenso de la burguesía como clase social, mientras que la teoría histórica

considera que el origen de este derecho se remonta más atrás en el tiempo. No

obstante, en los estadios iniciales del derecho a la intimidad, éste ha estado

ligado a la propiedad y a los privilegios, lo cual ha implicado que, desde un

punto de vista práctico, sólo pocos individuos de la sociedad pudieran ejercer

ese derecho y gozar de protección. El ser humano ha ido conquistando parcelas

344

de intimidad frente a sus semejantes y/o frente a la Autoridad, a lo largo del

tiempo. En contraposición a la vida en la polis griega, en la que todo tipo de vida

era comunitaria y pública, en el siglo XXI, el respeto a la privacidad se ha

convertido en uno de los soportes claves de toda sociedad democrática.

3. Con la excelente aportación teórica de Warren y Brandeis, la propiedad privada

deja de ser condición indispensable para acceder a la intimidad y ésta pasa a

estar vinculada a las libertades individuales y personalidad. A partir de la

misma, se han articulado distintas teorías en torno al derecho a la intimidad,

como la teoría del mosaico o la teoría de las tres esferas. El derecho fundamental

a la intimidad está recogido en la Constitución Española, en su artículo 18, al

igual que en numerosos textos internacionales como la Declaración Universal de

Derechos Humanos, el Pacto de Derechos Civiles y Políticos, el Convenio para

la Protección de los Derechos Humanos y las Libertades Fundamentales o la

Carta de los Derechos Fundamentales de la UE. Es un derecho fundamental que

goza de la máxima protección, pudiendo ser objeto de recurso de amparo ante el

Tribunal Constitucional y gozando también de la protección que le otorga el

Tribunal Europeo de Derechos Humanos. Por su propia naturaleza es un derecho

limitado, no absoluto, y debe coexistir, por tanto, con otros derechos

fundamentales como el derecho a la información y a la libertad de expresión. A

su vez, está ligado a conceptos como la autonomía personal, dignidad humana y

desarrollo individual. La intimidad es el núcleo duro de la privacidad, el reducto

más reservado de la persona. La privacidad implica el control de la información

sobre nosotros mismos, lo que se conoce como autodeterminacion informativa,

estrechamente relacionado con el concepto de autonomía de la voluntad.

345

El derecho a la protección de datos de carácter personal es un derecho que ha

surgido más tarde en el tiempo, ligado a los avances informáticos, y en la

jurisprudencia del Tribunal Constitucional, hasta la sentencia del Tribunal

Constitucional STC 292/2000, de 30 de noviembre, se consideraba una

manifestación del derecho a la intimidad y no un derecho autónomo e

independiente. Sin embargo, a partir de la citada sentencia, pasa a considerarse

un derecho fundamental, autónomo e independiente del derecho a la intimidad,

aunque derive del derecho a la intimidad. En España, el derecho fundamental a

la protección de datos de carácter personal es un derecho que se reconoce como

tal en el artículo 18.4 en conexión con el 10.1 de la Constitución Española. Los

datos personales pertenecen a la esfera de lo privado y, en determinados casos,

podrían pertenecer a la esfera de la intimidad. La Carta de Derechos

Fundamentales de la UE también reconoce el carácter autónomo e independiente

del derecho a la protección de datos de carácter personal. Ligado a la autonomía

informativa o poder de control del individuo sobre su información personal, el

derecho a la protección de datos personales otorga unas facultades a las personas

físicas para que puedan corregir o rectificar, acceder, cancelar u oponerse al

tratamiento de sus datos personales.

4. El derecho al olvido deriva del derecho a la protección de datos de carácter

personal y, a su vez, del derecho a la intimidad. El derecho al olvido es la

manifestación de un derecho ya existente, aplicado al entorno de Internet, que en

concreto sería la cancelación o supresión de los datos. La innovación tecnológica

ha llevado a que las informaciones o datos sobre las personas puedan

346

permanecer sine die en la Red, siendo el paso del tiempo un elemento que, si

bien antes implicaba el olvido, hoy en día la frágil memoria humana deja paso a

la poderosa memoria digital. Como destaca el investigador Mayer-Schönberger,

la relación entre recuerdo y olvido ha estado clara durante miles de años pero

ahora se ha invertido, lo cual puede colocar a las personas en una situación de

amenaza, exponiéndolas a una potencialmente devastadora sobrerreacción

humana ante los errores del pasado. El acceso a una información o datos sobre

una persona puede estar justificado, en un momento determinado en el tiempo

pero, con el paso de los años, dicha justificación puede perder su sentido. El

acceso a la información años después podría implicar el acceso a una

información descontextualizada, con el riesgo de interpretación errónea o

desproporcionada de la misma que ello conlleva. La Directiva 95/46/CE de

protección de datos de carácter personal, así como la LOPD que la traspone al

ordenamiento jurídico español, no dan una respuesta a este reto, puesto que los

derechos ARCO que reconoce, en relación a los datos personales (acceso,

rectificación, cancelación u oposición) estaban diseñados y pensados para un

mundo analógico, sin Internet, y no para un mundo interconectado y

globalizado.

A diferencia de la calumnia o la injuria o atentados contra el honor, en el

derecho al olvido, se parte de la premisa de la veracidad de los hechos. Al igual

que los derechos de los que deriva, el derecho al olvido no es un derecho

absoluto, sino que tiene sus límites y puede entrar en conflicto con otros

intereses o derechos como el derecho a la información y libertad de expresión, la

historia, el principio de transparencia, la libertad de empresa y el necesario

347

impulso a la innovación y el desarrollo tecnológico. Como siempre que entran

en conflicto derechos fundamentales, para solucionar las posibles colisiones

entre este tipo de derechos, es necesario realizar una ponderación de intereses en

conflicto. El fundamento del derecho al olvido reside en el principio del

consentimiento para el tratamiento de datos personales y en el principio de

finalidad, según el cual los datos serán cancelados cuando hayan dejado de ser

necesarios o pertinentes para la finalidad para la cual fueron recabados.

5. La sentencia del TJUE de 13 de mayo de 2014, en el caso Mario Costeja y la

AEPD v. Google, aborda el derecho al olvido enmarcado en el contexto de los

motores de búsqueda en Internet y en las búsquedas realizadas a partir del

nombre y/o apellidos de una persona. Por tanto, otros posibles supuestos no son

analizados en esta sentencia y tendremos que ver cómo se van interpretando los

supuestos, caso a caso por los tribunales, así como estar pendiente de la

aplicación concreta del RGPD una vez comience a aplicarse en 2018. La citada

sentencia de 2014 no hace referencia expresa a la condición relativa al régimen

de responsabilidad de los motores de búsqueda como prestadores de servicios de

la sociedad de la información intermediarios, según el cual no serían

responsables de la información de terceros que alojan si no tienen conocimiento

efectivo de su ilicitud. Este régimen se contempla en la Directiva de Comercio

Electrónico así como en la Ley de Servicios de la Sociedad de la Información y

Comercio Electrónico. Más acorde con dicho marco jurídico vigente de la

Directiva de Comercio Electrónico parece la sentencia del Tribunal Supremo de

15 de octubre de 2015 sobre el rechazo del derecho al olvido en las hemerotecas

348

digitales de los medios de comunicación. Obligar, en determinados casos, a los

medios de comunicación a incorporar los protocolos de no indexación es mejor

solución que obviar esta posibilidad y cargar toda la responsabilidad al motor de

búsqueda. En la actualidad, la Comisión Europea está analizando medidas en

relación con las plataformas online (incluyendo motores de búsqueda) y

replanteándose su rol y el alcance de su responsabilidad. Por tanto, la

responsabilidad de las plataformas online y una posible revisión de la Directiva

de Comercio Electrónico, será, muy probablemente, un tema en la agenda

política en el futuro próximo. En la medida en que la Directiva de Comercio

Electrónico fue aprobada en un momento en el que muchos de los modelos de

negocio de base tecnológica actuales no existían, tiene sentido un análisis de

posibles medidas legislativas a adoptar, para un mejor encaje dentro marco

normativo propio para los nuevos modelos de negocio innovadores. No obstante,

el régimen de responsabilidad de este tipo de prestadores de servicios, que

contempla la Directiva de Comercio Electrónico, que se basa en la exención de

responsabilidad de la plataforma con respecto al contenido de tercero que alojan

salvo conocimiento efectivo, debe ser preservado, siempre que hablemos de

meras plataformas intermediarias que no crean ni editan contenido y se limitan a

alojar contenido de terceros. Los motores de búsqueda en Internet se han

convertido en herramientas indispensables para el acceso a la información.

Permiten acceder a información y datos de manera casi inmediata y, cada vez

más, de un modo más preciso. Sin embargo, en ocasiones, pueden ofrecer

información distorsionada o fuera de contexto y, ante búsquedas realizadas

tomando como parámetros de búsqueda el nombre de una persona, puede ofrecer

información inexacta o descontextualizada, conclusión a la que acertadamente

349

llegó el TJUE en la citada sentencia de mayo de 2014. El derecho al olvido no

puede ser considerado un derecho absoluto ni se debería caer, por parte de los

tribunales, en una interpretación amplia de los supuestos en los que debería

ampararse, para preservar otros derechos fundamentales como el derecho al

acceso a la información.

La sentencia del TJUE de 13 de mayo de 2014 considera que un motor de

búsqueda puede ser responsable del tratamiento de datos de carácter personal.

Aparte de cumplir con la cancelación de datos, no está claro con qué otros

deberes del responsable del tratamiento está en condiciones de cumplir un motor

de búsqueda, en relación con el tratamiento de datos que realiza a través de las

búsquedas que le solicitan los usuarios. Baste pensar en obligaciones

elementales del responsable del tratamiento como la de recabar consentimiento o

informar al interesado sobre el tratamiento y finalidades para las que se recaban

los datos. La sentencia del TJUE no da respuesta al reto del derecho al olvido en

las redes sociales u otros prestadores de servicios de la sociedad de la

información, más allá de los motores de búsqueda. El RGPD, en su artículo 17,

habla de responsables del tratamiento y no de motores de búsqueda a diferencia

de la conocida sentencia del TJUE de 2014, por lo que claramente engloba a

todo responsable de tratamiento. No obstante, será necesario ver cómo se

articulará en la práctica por las empresas y cómo las personas afectadas podrán

ejercitar este derecho. Para cumplir de forma efectiva con la obligación de

notificar al resto de responsables del tratamiento que estén tratando esos mismos

datos que el interesado solicita suprimir, el RGPD no deja claro cuál será el

cauce. Si Internet se caracteriza por el enlace, tener bajo control a todos esos

350

posibles responsables del tratamiento es arduo complicado. En este momento,

son muchos, por tanto, los interrogantes que surgen en relación con el derecho al

olvido. Dichos interrogantes deberán ir despejándose, a través de la aplicación

del RGPD, la interpretación de las autoridades de protección de datos y la

jurisprudencia que se vaya creando.

La tradicional legislación civil del honor, intimidad y propia imagen ha venido

resolviendo durante años los conflictos entre información y privacidad. Por su

parte, la sentencia del TJUE de mayo de 2014 opta por enmarcar el derecho al

olvido en el ámbito de la protección de datos y del Derecho Administrativo,

cuando la controversia tiene su origen en información publicada en un medio de

comunicación, a la que luego se puede acceder a la misma a través de un

buscador online. Además, sitúa a Google en una posición o rol de juez. En el

contexto del derecho al olvido en el marco de los medios de comunicación,

quizá la legislación civil podría haber sido suficiente para resolver los conflictos

entre intimidad e información. Ahora bien, considero que cuando dicho marco

contextual no sea el de los medios de comunicación, sino que la información en

origen se encuentre en boletines oficiales u otras páginas web cuyos titulares no

sean medios de comunicación, la legislación civil del honor, intimidad y propia

imagen, no sería el instrumento adecuado, sino el ámbito del derecho

administrativo.

6. El mundo globalizado de hoy, con empresas multinacionales operando fuera de

las fronteras comunitarias o empresas extracomunitarias operando en la UE,

hace necesario que haya amplitud de miras por parte del legislador. Siendo

351

conscientes de las diferencias (no sólo jurídicas) que separan las distintas zonas

geográficas, en la medida de lo posible se debe aunar posiciones en lo que

respecta al ámbito de la privacidad y la protección de datos. En este sentido, y

aunque pueda ser tildado de utópico, el establecimiento de estándares globales y

respuestas globales, allí donde se pueda, siempre es positivo. Es cierto que

existen notorias diferencias, jurídicas y culturales, entre EE.UU y la UE en lo

que respecta a la materia de privacidad. En la UE la protección de datos es

considerada un derecho fundamental, recogido en las distintas constituciones de

los Estados de la UE y que, por tanto, goza explícitamente de la mayor

protección. Asimismo, el derecho a la protección de datos está regulado en

normas paraguas o normas horizontales, que se aplican a todos los sectores. En

este sentido, la Directiva 95/46/CE, la LOPD española o el RGPD son normas

paraguas o de aplicación horizontal. Por su parte, en EEUU el derecho a la

privacidad y protección de datos no está expresamente recogido en la

Constitución de EEUU ni en ninguna de sus enmiendas, aunque sí de forma

implícita. Por otra parte, en EEUU, la normativa de protección de datos es

sectorial, habiendo numerosas leyes para los distintos sectores (financiero,

audiovisual, farmacéutico, etc). La protección de la privacidad se la logrado en

EE.UU por la vía jurisprudencial y por normas sectoriales.

Sin embargo, no cabe duda de que, pese a todas las diferencias, a ambos lados

del Atlántico se protege la privacidad como un valor máximo en una sociedad

democrática avanzada. Además, en los últimos años ha habido ciertas

aproximaciones entre sistemas y es deseable continuar en la senda del

acercamiento. En este sentido, el nuevo marco de Puerto Seguro para las

352

transferencias internacionales de datos de carácter personal entre la UE y EE.UU

(Privacy Shield), que ha sido aprobado en julio de 2016 y al cual pueden

adherirse las empresas norteamericanas desde agosto de 2016, es un ejemplo de

dicho acercamiento de posturas y sin duda, un avance. También lo es la

aprobación de la denominada Consumer Privacy Bill of Rights Act de 2015, que

encuentra algunas semejanzas con el RGPD. Es importante seguir avanzando en

la reducción de las diferencias regulatorias en el ámbito de la privacidad entre

EE.UU y la UE, así como que la Comisión Europa siga aumentando el número

de acuerdos con otros territorios en los que se pueda considerar que hay un nivel

equivalente de protección de la privacidad.

7. El RGPD es una normativa ambiciosa y armonizadora en la materia, que paliará

el problema de fragmentación de la normativa de protección de datos en los

distintos Estados miembros de la UE. De todas las formas posibles de actualizar

la normativa de protección de datos personales, la forma de Reglamento y no de

una Directiva resulta más adecuada desde el punto de vista armonizador, al no

necesitar de una normativa interna de transposición y ser directamente aplicable.

Por otra parte, da respuesta a nuevos retos que han surgido con el avance

tecnológico, a través de nuevos principios y derechos. No obstante, los

principios esenciales de la protección de datos contemplados en la Directiva

95/46/CE se mantienen en el RGPD así como los derechos que la misma

contemplaba, aunque algunos de estos últimos resulten reforzados como pueden

ser los derechos de los interesados en relación con las decisiones automatizadas

de datos, incluyendo el perfilado. El RGPD incorpora a su vez nuevos principios

como el principio de privacy by design, el principio de privacy by default y el

353

principio de accountability. A su vez, incorpora nuevos derechos como el

derecho a la portabilidad de datos de carácter personal –pretende el estímulo de

la competencia y evitar que las personas se queden ‘atrapadas’ ante un prestador

de servicios concreto-o el derecho al olvido.

Una de las novedades más relevantes del RGPD con respecto a la Directiva

95/46/CE es el ámbito de aplicación territorial del mismo. De hecho, la

aplicación del RGPD a empresas de fuera de la UE que dirijan su oferta de

bienes y servicios a residentes en la UE o monitoricen su conducta, con

independencia de que sus servicios sean de pago o no, supone de facto que la

normativa europea de protección de datos sea de aplicación a gigantes

tecnológicos de Internet de Estados Unidos, lo que es un paso adelante hacia lo

que se denomina level playing field o igualación de las reglas de juego entre

empresas americanas y europeas que compiten en territorio europeo.

Con respecto al derecho al olvido, el RGPD lo contempla como un derecho a la

cancelación o supresión de datos personales, adaptado a la era digital, y que

aplica a cualquier responsable de tratamiento. Por tanto, mientras la sentencia

del TJUE de mayo de 2014 en el caso Mario Costeja y AEPD v. Google lo

acotaba al contexto de los motores de búsqueda, el RGPD lo amplía a cualquier

responsable del tratamiento. Al igual que el TJUE, el RGPD pone de relieve el

carácter no absoluto de este derecho, la necesidad de hacer una ponderación de

los intereses en conflicto caso por caso y el hecho de que éste pueda ceder ante

otros intereses o derechos dignos de protección. Asimismo, incorpora una

obligación de notificación al resto de responsables del tratamiento que estén

354

tratando la información de la solicitud del interesado de suprimir los datos. Si

bien el RGPD no detalla cómo se articulará dicha notificación, cabe pensar que

la incorporación de los protocolos de no indexación robot.txt podría ser una vía.

Hasta que comience a aplicarse el RGPD en mayo de 2018 será necesario que

las autoridades de protección de datos integradas en el WP29 (EDPB a partir de

mayo de 2018) publiquen algunas orientaciones sobre la interpretación del

RGPD en algunos aspectos que necesitan clarificación, entre otros, en relación

con el derecho al olvido. Para los ciudadanos, es un gran logro poder ejercer este

derecho y suprimir los datos personales en Internet. Para las empresas, supondrá

un gran reto tener que adaptar sistemas y procesos para articular y dar cabida al

ejercicio de este derecho. Los meses que tenemos por delante, sin duda,

responderán a algunos de los interrogantes que esta tesis deja abiertos, mientras

otros de ellos se irán respondiendo con la propia aplicación de la normativa, el

buen hacer de las empresas y el rigor académico.