Olvidar es un fenómeno muy complejo.

In principio creavit Deus caelum et terram. Terra autem erat inanis et vacua et tenebrae super faciem abyssi et spiritus Dei ferebatur super aquas. Dixitque Deus fiat lux: et facta est lux. Et vidit Deus lucem quod esset bona et divisit lucem ac tenebras. Appellavitque lucem diem et tenebras noctem factumque est vespere et mane dies unus.
Biblia Sacra Vulgata

 

La sentencia de 13 de mayo del Tribunal de Justicia de la Unión Europea en el asunto Google, ha causado un hondo impacto social y mediático. El sector profesional no escapa en absoluto a la influencia de una noticia que, en general, ha sido recibida con enorme satisfacción. No cabe ocultar que el reconocimiento de la eficacia del derecho de oposición en el contexto de internet, puesto que de eso se trata, es una buena noticia. La evolución imparable de los tratamientos de información en internet necesita ineludiblemente del contrapunto de la garantía de la privacidad como instrumento indispensable para preservar no sólo nuestra autonomía individual sino también nuestra libertad. Y hasta aquí la coincidencia.

La referida sentencia constituye la más clara y manifiesta demostración de la incapacidad del legislador europeo para lograr una regulación generalista en sus principios, aplicable en la práctica, y capaz de conciliar los intereses públicos y privados con la garantía de los derechos fundamentales de los ciudadanos. Fracaso al que se une la anulación de la Directiva 2006/24/CE en materia de conservación de datos de tráfico. Así que, aunque sea a contracorriente, tenemos bastante poco que celebrar y mucho en lo que pensar.

El Abogado General manifestó que ante una situación como la que se le planteaba era necesario abordar la respuesta desde la moderación y la proporcionalidad. En particular, le preocupaba cómo podía impactar en la realidad aplicar una herramienta normativa de segunda o tercera generación, eso depende de quién cuente, pero claramente pre-internet. Pero donde el Abogado dudaba, el Tribunal encuentra claridad, luz y criterio.

Para entender bien este breve comentario hay que considerar dos elementos esenciales. El primero de ellos, reside en el hecho de que el Tribunal responde a lo que se le pregunta. Por tanto mientras todos vamos a realizar una lectura general a la búsqueda de criterios, el TJUE está respondiendo a preguntas concretas de un órgano jurisdiccional específico para un caso determinado. Y esto de algún modo supone que se aplique un enfoque concentrado que renuncia a una visión periférica o de conjunto. Porque lo que sin duda constituye un hecho es que los criterios de interpretación normativa son generalizables, y este es el segundo elemento central.

El primer problema para el Tribunal residía en encontrar un punto de conexión con la norma europea que permita su aplicación. No es una cuestión banal, y de hecho la Propuesta de Reglamento General de Protección de Datos plantea novedosas aportaciones. El criterio aplicado puede definirse como el del establecimiento basado en una relación instrumental. Esto es, no es relevante si materialmente la filial toma decisiones relacionadas con el tratamiento sino el hecho de que siendo una sociedad instrumental su actividad se ordene a captar publicidad para el buscador. Las consecuencias operativas del criterio aplicado se me escapan habida cuenta mi nefasta relación con el Derecho Mercantil, pero podrían ir desde una huida masiva de filiales instrumentales a directamente la subcontratación de prestadores de servicios europeos.

La segunda cuestión a dilucidar era si Google tenía la condición de responsable. La respuesta es afirmativa. Y ello tiene sus consecuencias. Debemos centrar nuestra atención en un detalle nada sutil: el TJUE se cuestiona si podemos ejercer un derecho de oposición. Y la respuesta es “si”. Al Tribunal, nadie le pregunta nada sobre las obligaciones previas de ese responsable, o sobre las condiciones de sus tratamientos. Pero hay que plantearse este escenario ya que el Tribunal expresamente declara que «38. (…) el gestor de este motor, como persona que determina los fines y los medios de esta actividad, debe garantizar, en el marco de sus responsabilidades, de sus competencias y de sus posibilidades, que dicha actividad satisface las exigencias de la Directiva 95/46 para que las garantías establecidas en ella puedan tener pleno efecto». Así que, no cabe sino hacerse algunas preguntas.

¿En virtud de que legitimación trata el buscador los datos en concepto de responsable?

Para esto tenemos respuesta. El TJUE invoca el principio de interés legítimo del artículo 7.f) de la Directiva 95/46/CE. Así que mientras todos nos andábamos devanando los sesos sobre cuál era el sentido último del interés legítimo, el Tribunal nos da una respuesta muy sencilla: el mero interés empresarial. Y así lo creo, porque el TJUE lo invoca cómo punto de partida sin mayor detalle. Porque si no es esta la respuesta, ni Google, ni Yahoo, ni BING, ni los buscadores especializados pueden tratar un solo dato personal. Pero, lo  más interesante es que este posicionamiento anula por completo la regulación española sobre las fuentes accesibles al público y la posición tradicional sobre internet que afirma que “no es una fuente accesible al público”. Si lo es para Google, lo es para todos y cada uno de los responsables que acrediten un legítimo interés empresarial en husmear, acumular y tratar esos datos. Porque la regla, no puede ser una para el buscador y distinta para el resto.

¿Cómo cumplirá el buscador sus obligaciones en España?

Empecemos por la más sencillita de ellas discriminar si el buscador es un fichero o un tratamiento y proceder en consecuencia. Si los datos se almacenan, si el algoritmo de búsqueda les proporciona estructura, igual deberíamos pensar que como gigantesca base de datos toca proceder a su inscripción. ¿Y cómo respondemos a la pregunta sobre las tipologías de los datos? ¿Diríamos que todas?

Pero, seamos ordenados y volvamos a la sistemática de la LOPD. Empecemos por el artículo 4. ¿Cómo va a garantizar el buscador que los datos son adecuados, veraces y puestos al día? Es más, para el común de los mortales la rectificación y la cancelación opera de oficio. Así, partamos de preguntarnos qué haría un buen profesional, si de los de la media, al descubrir que ha tratado un dato manifiestamente erróneo en origen. A Vd. y a mí nos toca cancelarlo de oficio, ¿y al buscador?

Por otra parte, nos pasamos años reivindicando el borrado completo de la caché de Google. Afirmamos, y escrito está, que si Vd. tiene 1000 videocámaras debe proceder al “bloqueo” de las imágenes. Cabe entender que Google deberá desarrollar sus sistemas para:

• Discriminar cuando lo que indexa es un dato personal y cuando no lo es. Teniendo en cuenta que eso afecta también a la mera identificabilidad.

• Deberá saber cuándo cancelar el dato de oficio.

• Deberá programar un bloqueo y conservación de ¿3, 5, 15 años?

Pero no nos paremos ante cosas tan evidentes como extender un deber de bloqueo, facultativo en las normas europeas, y previsto por el artículo 15 LOPD que nunca por el 4 y vayamos a lo mollar.  Procedamos a informar garantizando una de las facultades ínsitas en el contenido esencial del derecho fundamental a la protección de datos. Si no lo olvide Vd., cuando el responsable trata un dato que no ha sido directamente obtenido del afectado debe informarle en el plazo de tres meses. No se trata de tener una política de privacidad que uno lea o no, hay que dirigirse al afectado. Bueno tenemos una opción, solicitar en los términos del artículo 5.5 LOPD a la Agencia de Protección de Datos algún tipo de exención ya que la información al interesado resulta imposible o exige esfuerzos desproporcionados en consideración al número de interesados. Y la pregunta es obvia, ¿es posible la aparición en el mercado de un data broker asimilable al buscador? Y si la respuesta es afirmativa la pregunta resulta inevitable. ¿Sería lícito la obtención masiva de datos en virtud de un interés legítimo empresarial sin satisfacer el derecho a la información?

Apliquemos, además, medidas de seguridad y comencemos por determinar el nivel de éstas. Resulta que al buscador yo le puedo preguntar “»¿Cuál es la opción sexual de Ricard Martinez?» o «¿Cuál es la opción política de Ricard Martinez?» Y eso da cero resultados. Pero si busco «opción política»  «Ricard Martinez» o «política» «Ricard Martinez», acabamos haciendo el perfil de un concejal catalán. Y el Reglamento de desarrollo de la LOPD, no distingue si soy un buscador, o una asociación de pelotaris. Ergo, nivel alto de medidas de seguridad, ¿no? Bueno, claro si los servidores están en Irlanda el art 17 de la Directiva dice que las de allí, y si en Madagascar….

No entraremos en mayores detalles, para que aburrir el lector con las cuestiones relacionadas con cesiones de datos, transferencias internacionales etc. Es evidente adonde llegaremos a parar.

Vd. el buscador y la LOPD.

Una última cuestión, que ni de lejos agota las derivadas de esta sentencia reside en una construcción jurídica de honda raigambre. El llamado responsable del tratamiento. La cuestión, parte de la idea de que si Vd., es un administrador de fincas es encargado del tratamiento de unos cuantos miles de ficheros de comunidades de vecinos que no han visto un software de gestión en su vida, pero si es un fichero común de solvencia va a ser responsable del fichero. Pero no seamos malvados. En España puede darse el caso de que una entidad sea titular de un fichero, en sentido físico y jurídico, y otra pueda tomar decisiones sobre los tratamientos por ejemplo en el ámbito de la inscripción de morosos en ficheros de solvencia patrimonial y crédito, en publicidad o en prevención de riesgos laborales. Si hemos concluido que el sistema del buscador puede ser un fichero, ¿qué ocurre cuando en un proceso de selección Vd. googlea un candidato? Honestamente, a mi suena a responsable del tratamiento y tal vez debería plantearse informar cuando recoja los datos de los candidatos.

¿Y cómo vamos a proteger al ciudadano?

La sentencia establece una neta distinción entre el origen de la información y la indexación por el buscador. La consecuencia práctica es que no espere Vd. recibir tutela alguna cuando la información este en un periódico. Dicho con un ejemplo práctico si a Vd. se le ocurre colgar una relación de puestos de trabajo con sus nombres, apellidos y situación profesional en la web de un sindicato la cosa vale 60.000. Si es en un blog, le auguro el mismo destino salvo que cambie el viento y entienda que lo que define la prevalencia del derecho a la información es el ejercicio de este derecho y no la titularidad. Si esto lo hace un periódico, de los de toda la vida ni habrá sanción, y es muy probable que el secreto de las fuentes conduzca a no investigar ni siquiera el origen de los datos. En conclusión, Vd. nunca será olvidado en origen. Pero afortunadamente si lo podemos exigir al buscador. Y, aunque sólo sea por fastidiar se me ocurren dos escenarios interesantes.

El primero de ellos, pura ficción se produce cuando comparto página web en un contexto en el que alguien quiere ser olvidado y otra persona no quiere serlo. Si se quiere salvaguardar el derecho del primero la primera búsqueda eliminará la información, pero la segunda y otras no lo hará. Y si por el contrario, se elimina el enlace, se vulneran los legítimos derechos de la segunda persona.

El segundo tiene que ver con posibilidades de acción del buscador al margen del de la ponderación caso por caso. Por ejemplo, el buscador podría satisfacer de oficio, sin ponderación alguna y en automático todos los ejercicios del derecho de oposición. Con el riesgo que ello conlleva para el oscurecimiento de información relevante. El segundo, escenario es aquél en el que el buscador, recuérdese que actúa en virtud de un legítimo interés empresarial, concluye que ese interés ha decaído y borra todo el registro del solicitante, en lo bueno y en lo malo. A todos nos viene a la cabeza aquello del servicio público, de la neutralidad tecnológica… Y quien esto escribe lo comparte. Pero, es una hipótesis que hay que poner sobre la mesa. Una última posibilidad, consistiría en rechazar sistemáticamente toda petición e indicar amablemente cómo tramitar la tutela. ¿Podrá soportar el regulador la tramitación de miles de expedientes?

El estado de la técnica.

Hay una brecha en el texto de la sentencia. Los operadores, hasta los más respetuosos diseñan sus sistemas de información partiendo de la legalidad vigente. Esto es, en el mejor de los casos los buscadores deberían haber contemplado la Ley de 1999. Pero con el criterio imperante podrían pensar, que eran un servicio de la sociedad de la información, -con una responsabilidad indirecta-, e incluso que no estaban establecidos en España. Así que el reajuste estructural que comporta la sentencia deberá acometerse en seco, sin el lubricante de una vacatio legis.

Los juristas tendemos a concebir la informática de un modo mágico, parece que si uno afirma “hágase la luz” esta se hace. No solemos hacer el ejercicio de simulación con el que quien esto escribe acaba de torturarles. Precisamente por ello, no puede sino concluirse como al principio, que esta sentencia no es sino clara expresión del rotundo fracaso en la capacidad de respuesta del legislador europeo.