doi: http://dx.doi.org/10.18601/16571959.n22.09.
Cuando Google juega con la información privada...
El derecho al olvido digital en Europa, una lucha de titanes
When Google plays with private Information…
The Right to digital oblivion in Europe, a Fight of Titans
Ana María Pérez Gómez*
* Abogada, Avocat à la Cour de la barra de abogados de París. Socia de Lexplana Avocats. Doctor en Derecho de las universidades Ludwig Maximilians Universitët München (Alemania) y de Nantes (Francia). LL.M. en Análisis Económico del Derecho de la Universidad de Utrecht, Alemania. dea en Propiedad Intelectual de la Universidad de Nantes, Francia. Docente de la cátedra Aspectos Económicos de la Propiedad Intelectual en el máster en Derecho con énfasis en Propiedad Intelectual de la Universidad Externado de Colombia y de la cátedra Derecho Internacional Privado Comparado en el Máster 1 de la Universidad Paris X Ouest Nanterre, Francia. Contacto: [amperez@lexplana.com].
Para citar el artículo: Pérez Gómez, A. M. Cuando Google juega con la información privada… El derecho al olvido digital en Europa, una lucha de titanes. Revista La Propiedad Inmaterial n.º 22, Universidad Externado de Colombia, julio-diciembre 2016, pp. 173-186. doi: http://dx.doi.org/10.18601/16571959.n22.09.
Fecha de recepción: 16 de octubre de 2016. Fecha de aceptación: 30 de noviembre de 2016.
Resumen
El desarrollo de internet ha traído consigo la posibilidad de almacenar informaciones personales que pueden ser visionadas en los cuatro rincones del planeta, creando así una vasta memoria digital que perenniza la información. Los motores de búsqueda facilitan el acceso a la información a través de métodos de indexación. En Europa, el legislador ha tratado de regular el equilibrio de intereses entre el internauta que lucha por su derecho a la vida privada y los motores de búsqueda que defienden su interés económico. Dentro de este contexto, el juez europeo ordenó a Google la desindexación de url que atentaban contra el derecho a la vida privada y el motor de búsqueda se limitó a desindexar la información solo en las extensiones geográficas europeas esgrimiendo el interés general. La autoridad francesa de defensa de datos personales ha librado una batalla contra Google para extender el derecho al olvido digital a todas las extensiones geográficas de los motores de búsqueda. Esta lucha de poderes constata la dificultad de hacerse olvidar en internet.
Palabras clave: derecho al olvido digital, datos personales, reglamentación europea, Francia, Google.
Abstract
The development of the Internet has brought with it the ability to store personal information that can be viewed on the four corners of the globe, creating a vast digital memory that perpetuates information. Search engines are key players indexing the information in the virtual memory thus contributing to their access. In Europe, the legislator has tried to regulate the balance of interests between the Internet user protecting their right to privacy and search engines who defend their economic interest. Within this context, the European judge ordered to Google the de-indexing of urls that violated the right to privacy and it just deindexed information exclusively from European geographical extensions brandishing the general interest. The French personal data authority then waged a battle against Google to extend the right to digital oblivion to all geographical extensions of the search engines. This power struggle stress the difficulty of becoming forgotten in Internet.
Keywords: Right to oblivion, personal data, European regulation, France, Google.
Las tecnologías de la información y de la comunicación han traído consigo la creación de la memoria virtual. Anteriormente a la existencia de los medios informatizados, la memoria quedaba limitada a lo impreso en la mente humana y en el papel. Tanto el hombre como el papel, con un ciclo de vida limitado, hacían que informaciones preciosas cayeran en el olvido o simplemente desaparecieran con el paso del tiempo. Hoy por hoy, la memoria virtual es de larga duración y sobrepasa largamente la esperanza de vida tanto del hombre como del papel. En la era informática, el olvido deviene por tanto una paradoja.
¿Qué hacer entonces cuando una información que nos afecta queda grabada en la memoria virtual? Esta podría parecer una pregunta banal, pero no lo es si se tiene en cuenta que en la era de la informática cualquier persona que tenga acceso a internet puede publicar en un abrir y cerrar de ojos informaciones y contenidos que nos conciernen. Estos contenidos quedan grabados en la memoria virtual y son consultables libremente a nivel mundial por cualquier persona. Cuando los contenidos vulneran los derechos a la vida privada, la necesidad de borrarlos de la memoria virtual se torna urgente.
La tendencia a publicar información personal en el entorno digital ha aumentado progresivamente a lo largo de la historia de internet. Cada quien va dejando allí su huella. Las nuevas generaciones han nacido y crecido dentro de este entorno digital y el intercambio de información personal en redes sociales es consiguientemente algo común.
La memoria virtual se vuelve entonces parte de nuestra historia, lo que puede generar un perjuicio en determinados casos. ¿Quién no tiene el reflejo inmediato de hacer una pequeña búsqueda en internet sobre la persona con quien quiere firmar un contrato o a quien va a emplear? Internet tiene memoria, pero esta memoria es de larga duración, no se destiñe, no se raya, no se arruga, no desaparece, y es así como en la web quedan impresas informaciones delicadas, comprometedoras o difamatorias sobre las personas y las empresas. Es así como muchas personas han perdido una oportunidad de empleo a causa de una foto comprometedora publicada en línea, o han perdido un contrato a causa de un blog que contiene información difamatoria en su contra, o han sido estigmatizadas por la publicación de un artículo sobre una condena de la que fueron objeto.
¿Cómo hacer que ciertas informaciones caigan en el olvido de la memoria virtual? Esta es una pregunta que muchos legisladores se han hecho. El tema del derecho al olvido en el entorno digital ha sido largamente debatido en Europa. El presente artículo pretende esbozar sumariamente la evolución del derecho al olvido digital en el Viejo Continente tomando como referencia particular la legislación francesa y su manera de adaptar en el ordenamiento nacional las disposiciones europeas.
1. Primeros esbozos de regulación sobre protección a la información personal en Europa
Francia ha sido uno de los países pioneros en el desarrollo legislativo en torno a asuntos digitales. Es así como en 1978 se promulgó la ley n.º 78-17 del 6 de enero relativa a la informática, los expedientes y las libertades1. En su época fue un instrumento legislativo revolucionario que se centró en regular la libertad del tratamiento de informaciones personales. Esta ley dispuso un principio de derecho al olvido digital2 a través de varios mecanismos: el establecimiento de un derecho de oposición por razones legítimas, el derecho al acceso a la información personal que concierne a cada internauta y el derecho a rectificar informaciones erróneas3. Estos mecanismos obligan al responsable del tratamiento de la información a definir la duración para la conservación de las informaciones recolectadas y a facilitar técnicamente el ejercicio de los derechos antes señalados. Igualmente creó la Comisión Nacional de Informática y Libertades (cnil), un organismo que desde su creación no ha cesado de trabajar por la protección de los datos personales y los derechos y libertades de los internautas4.
Posteriormente, como consecuencia del desarrollo de la libre circulación de personas, bienes y servicios a nivel europeo, se hizo necesario crear un marco reglamentario que permitiera efectuar un tratamiento seguro de los datos personales recolectados por las entidades administrativas. Es así como surgieron una serie de directivas que regularon progresivamente el tratamiento de datos personales, primero en el medio ambiente físico y posteriormente en el digital. Las relaciones comerciales y por consiguiente el tratamiento de la información se iría extendiendo con el tiempo, en Europa, a actores privados recolectores de información. La primera Directiva sobre protección de datos personales vio la luz en 1995, promulgada por el Consejo Europeo5. Esta Directiva tiene por fin principal asegurar un alto nivel de protección al tratamiento de datos personales sobre todo el territorio de la Unión Europea con el objetivo de que se levanten las barreras que impiden la libre circulación de la información6. Igualmente establece un derecho de oposición por razones preponderantes o legítimas y un derecho de rectificación. La cuestión de la transmisión transfronteriza de la información constituye un punto esencial de la directiva, punto que será abordado en las subsiguientes directivas.
La Directiva fue traspuesta en el ordenamiento francés por la ley del 6 de agosto de 20047 y completada por el decreto de aplicación n.º 2005-1309 del 20 de octubre de 2005, reformando así la ley de 1978 (sobre informática y libertad). En el asunto que nos atañe, la ley de 2004 tuvo como consecuencia un endurecimiento de las sanciones por el irrespeto al tratamiento de informaciones personales. Esta ley trajo como novedad la integración de:
- Sanciones penales para la persona responsable de manejar la información: hasta 5 años de prisión y una multa de 300.000 euros8.
- Sanción administrativa promulgada por la CNIL contra cualquier persona que viole el tratamiento de información personal. La CNIL tiene la posibilidad de poner en mora, de solicitar la suspensión de un tratamiento en curso y de pronunciar sanciones pecuniarias o advertencias administrativas9. Tanto la puesta en mora como la sanción puede ser impuesta por la CNIL públicamente, lo que puede afectar la imagen y la reputación de los responsables del tratamiento de datos.
El marco reglamentario europeo fue completado con la Directiva 2002/58/CE sobre la vida privada y las comunicaciones electrónicas y con la Directiva 2006/24/ CE sobre la conservación de datos personales.
Como lo mencionamos en la introducción, en la década de 1990 y en los inicios de la de 2000, la información era recolectada principalmente con fines administrativos, de control policivo y fiscal. Es por esta razón que en Francia fueron promulgadas las leyes sobre la seguridad cotidiana de 2001 y sobre terrorismo de 2006, imponiendo obligaciones de conservación de la información a los responsables del tratamiento de datos. Informaciones que deben ser reveladas bajo condiciones específicas a las autoridades policiales.
2. Evolución de la ley en función del perfeccionamiento de la tecnología y del tratamiento de datos personales
El siglo XXI ha sido testigo de un desarrollo importante de la tecnología. Este desarrollo ha tenido un impacto consecuente en la transmisión y el tratamiento de la información personal. Es una costumbre regular de los usuarios de internet y particularmente de las nuevas generaciones compartir información personal en diferentes medios, desde blogs hasta redes sociales. La masa de información disponible en internet es por ende importante. Su disponibilidad es casi perenne teniendo en cuenta el desarrollo de los mecanismos de transmisión de datos en altos volúmenes y de las opciones para almacenar virtualmente la información. Este fenómeno, aunado al rol que desempeñan los motores de búsqueda en la indexación automática de contenidos, hace que caigamos no en una amnesia digital (olvido) sino en una hipermnesia digital10.
La información en el siglo XXI adquiere un rol preponderante. El tratamiento de la información no se limita a una finalidad administrativa como en los inicios de internet sino que constituye una realidad comercial. Actualmente es considerada un objeto mercantil de gran valor comercial.
Internet guarda en su memoria virtual no solo las informaciones que conscientemente guardamos sino nuestro paso por sus páginas. Tanto los sitios web como las redes sociales tienen la capacidad de recolectar información sobre nuestro perfil, nuestros gustos, nuestros hábitos comerciales, etc. Esta información es valiosa cuando es utilizada con fines de prospección comercial. La disponibilidad inmediata de esta información personal es explotada por los diversos actores del mundo digital y ha dado paso a múltiples aplicaciones y al desarrollo de sofisticados programas de ordenador (data mining - big data) que permiten una prospección comercial individualizada a bajo costo11. En este sentido se podría afirmar que la información constituirá el petróleo del mañana.
La evolución de internet ha obligado a los legisladores a afinar la legislación aplicable en diversas materias, incluyendo la protección al consumidor. La determinación de la ubicación de los datos guardados en la memoria virtual y la ley aplicable a esos datos en función de su ubicación constituye un punto sensible en el nuevo entorno digital. El legislador francés instauró así la ley n.º 2014-344 sobre la protección del consumidor el 17 de marzo de 201412, la cual regula diversos aspectos de la venta a distancia (incluyendo la venta en línea), integra las acciones de grupo13 y regula la duración de conservación de datos de conexión a sitios web, las menciones obligatorias que deben incluir los sitios web en relación a la información recolectada y la explotación de la información pública o publicidad directa por correo, entre otras. Esta ley otorgó a la CNIL la capacidad de efectuar controles en línea de los tratamientos. Como consecuencia, el número de sanciones pronunciadas ha aumentado considerablemente. Según las estadísticas presentadas por la CNIL, en el año 2015 se presentaron 7.908 quejas, de las cuales se llegó a 93 puestas en mora14. Como lo veremos, estas sanciones administrativas y pecuniarias pueden generar un impacto considerable en los diversos actores del mundo de internet.
De cara a la comercialización y a la transferencia creciente de datos personales, el Parlamento y el Consejo Europeo emitieron el Reglamento (ue) 2016/679 del 27 de abril 201615 relativo a la protección de las personas físicas en relación al manejo de la información de datos de carácter personal y a la libre circulación de los mismos. Las disposiciones del Reglamento buscan en cierta medida aligerar la carga que pesa sobre las empresas en el tratamiento de los datos personales16.
3. La balanza de intereses entre el consumidor y los responsables del tratamiento de datos
Como consecuencia del desarrollo antes descrito, los intereses del consumidor que se libra a dejar su información personal en internet y los de los responsables del tratamiento de la información recolectada son generalmente opuestos17. Los primeros a menudo se ven obligados a dar sus datos personales para acceder al servicio en internet y los segundos recolectan la información con una finalidad claramente comercial.
Esta oposición de intereses puede generar muchos inconvenientes a la hora de hacer respetar los derechos de las dos partes. Desde los inicios de internet hasta nuestros días la problemática es idéntica: las herramientas digitales tienen una aplicación mundial y su restricción está limitada territorialmente por las legislaciones pertinentes a nivel nacional. De este modo, la utilización y visualización de los datos es global, pero la regulación legislativa es limitada18.
Así pues, el consumidor que reside en un país europeo puede ver respetados sus derechos bajo la reglamentación europea. Sin embargo, cabe preguntarse: ¿es aplicable la reglamentación europea a una sociedad cuya sede social está fuera del territorio europeo y procede a recolectar y a tratar los datos en un país miembro de la Unión?, o ¿qué sucede cuando la información es albergada en servidores que se encuentran fuera de la Unión Europea?
Para responder a estas y otras preguntas, el así llamado Grupo del artículo 29 (G29) de la Directiva del 24 de octubre de 199519 retuvo una interpretación amplia del criterio de medios de tratamiento. Así, el empleo de medios de tratamiento tales como los cookies empleados por empresas que tengan su sede social fuera de la Unión Europea sobre el ordenador de un internauta en Europa estaría sometido a la aplicación de la ley europea y a la ley del domicilio del internauta20. En la práctica esta opinión no es compartida por los grandes industriales de la información, quienes en su mayoría tienen las sedes sociales fuera de la Unión Europea.
4. Puesta en Marcha del Derecho al Olvido Digital, una Lucha de Poderes Entre Titanes
El legislador ha querido dotar al consumidor de herramientas que le permitan tener un cierto control sobre su información personal. De esta manera, tanto las directivas como las leyes nacionales han instaurado límites al responsable del tratamiento en cuanto al término legal permitido para conservar los datos de conexión de un internauta, y ha impuesto obligaciones de declaración e incluso sanciones aplicables al almacenamiento de datos personales que se encuentren fuera del territorio europeo. Asimismo ha dotado al consumidor de herramientas que le permiten oponerse a un tratamiento de datos que le concierna. Sin embargo, el derecho de oposición es personal y solo puede efectuarse en relación a datos que el mismo internauta ha proporcionado, por lo que no aplica respecto de datos que han sido publicados por terceras personas21.
“Enterrar” una información publicada en internet que nos concierne puede ser un verdadero calvario. Poco importa si las informaciones fueron publicadas personalmente por el internauta o por una tercera persona; tomaremos dos situaciones como ejemplo. En el primer caso, el internauta comunicó personalmente sus datos para acceder a un sitio, pero pudo haberlo efectuado en un sitio que utilizaba la función caché, lo que permite al sitio web conservar las diferentes versiones del sitio web a través de su historia. Una vez el internauta ejerce su derecho de oposición, puede advertir que su información personal ha sido retirada de solo una de las versiones del sitio y que continúa apareciendo en las otras. En el segundo caso se puede tratar de una publicación efectuada por una tercera persona, por ejemplo, de un blog difamatorio o una nota informativa sobre una decisión de justicia. En ocasiones puede tratarse de un delito de prensa en derecho francés, como en el caso de la difamación, que obligaría a la víctima a solicitar al proveedor de hosting retirar el contenido difamatorio. La ley sobre la confianza en la economía digital22 puso en marcha un sistema de señalamiento de informaciones susceptibles de vulnerar la reputación y la imagen de los individuos. La persona víctima de tal publicación puede solicitar al proveedor del hosting eliminar de su servidor las informaciones que la afectan. Los proveedores de hosting que tienen la sede social en Francia son muy reactivos a este tipo de solicitudes, lo que no es el caso de sus homólogos que tienen la sede social fuera de la Unión Europea. Para este tipo de sociedades se requiere una acción ante los tribunales, y reaccionan solamente cuando se encuentran frente a una decisión judicial que les obliga a retirar los contenidos so pena de la aplicación de una multa por cada día de retardo en el retiro de la información.
Hasta el momento hemos visto que es posible poner en marcha un derecho al olvido digital parcial. Las dificultades para aquellos que se quieren hacer olvidar son más complejas de lo que se puede imaginar, y esto en parte a causa del rol desempeñado por los motores de búsqueda y su función de indexadores de información. Los motores de búsqueda son el primer medio utilizado por la mayoría de los internautas para obtener información, y es por esta razón que quien emplea el motor de búsqueda para efectuar una indagación puede encontrar fácilmente información que en ciertos casos atenta contra la vida privada de su titular.
El mercado de los motores de búsqueda es oligopólico, toda vez que nos encontramos en un mercado con pocos oferentes, que proponen un servicio uniforme y tienen cierto poder de mercado. Los motores de búsqueda más conocidos son Google, Yahoo, Bing y Lycos. Todos tienen su sede social en Estados Unidos.
En una decisión judicial dictada por el Tribunal de Gran Instancia de París el 4 de abril 2012, el juez ordenó a Google retirar el contenido, desindexar los url y transmitir la información personal del creador de una serie de blogs publicados por una tercera persona sobre un arquitecto que se vio difamado. El arquitecto era tratado de ladrón y estafador, y acusado de hacer trabajar al personal sin el pago de los impuestos correspondientes. De igual modo, se utilizaron imágenes de su perfil de Facebook, y a ellas se anexaron comentarios negativos sobre su aspecto físico. Al momento de ejecutar la sentencia, Google afirmó que la decisión judicial no le era territorialmente aplicable y se valió de todas las astucias para hacer pasar el tiempo y así no estar técnicamente en la posibilidad de entregar la información concerniente al titular de los blogs. Se contentó entonces con suprimir el contenido e indicar que este había sido retirado como consecuencia de una exigencia judicial. Los url nunca fueron desindexados. Al efectuarse una pesquisa en los motores de búsqueda a partir del nombre patronímico del arquitecto se obtienen resultados que permiten leer el título de la url, en sí mismo de carácter difamatorio, y el resumen del blog que presenta un extracto del contenido difamatorio. Este arquitecto, años después de dictada la decisión judicial, sigue siendo fustigado por los contenidos difamatorios indexados en los motores de búsqueda, lo que le causa por consiguiente un perjuicio a su imagen y a su actividad comercial.
5. Determinar Quién Gana la Partida, Google o las Autoridades Administrativas de Protección de Datos Personales
Google se encuentra frecuentemente en los radares de las autoridades de protección de datos en su calidad de principal actor en la indexación de información digital. Es por esta razón que la mayoría de decisiones de justicia relativas a los datos personales tienen a Google como una de las partes. Se advierte que tanto las autoridades administrativas de protección de datos personales como los jueces están tratando de delinear los contornos del ejercicio del derecho al olvido digital. Ambas entidades ejercen su presión a través de sanciones pecuniarias y solicitudes de retiro de informaciones.
Un primer ejemplo es la sanción impuesta por la CNIL a Google en relación a sus políticas de privacidad.
Dentro de su proceso de evolución y crecimiento, Google ha ido adquiriendo un cierto número de sociedades exitosas, entre las que se destacan Picasa y You-Tube. Después de la adquisición y dentro de la dinámica de comunicación y de estandarización de su oferta, Google decidió unificar las políticas de protección de datos aplicables a sus servicios23 y a los servicios brindados por el conjunto de sociedades adquiridas. Una vez publicadas las políticas de privacidad, el Grupo del artículo 29 recomendó a Google una serie de modificaciones a las políticas en aras de hacerlas compatibles con el marco reglamentario europeo. Google hizo caso omiso a estas recomendaciones y fue así como seis autoridades europeas de protección de datos iniciaron procesos contra la empresa. En el caso francés, la CNIL sancionó a Google con una multa de 150.000 euros el 3 de enero de 2014, y la autoridad española, la Agencia de Protección de Datos, la sancionó en diciembre de 2013 con una multa de 900.000 euros por los mismos hechos. Como es costumbre en los procesos del mundo virtual, Google se defendió alegando que la ley de los Estados miembros de la Unión Europea no le es aplicable. Sin embargo, las autoridades consideraron que la ley del Estado miembro es aplicable toda vez que Google trata datos personales de personas residentes en Europa.
Posteriormente fue la Corte de Justicia de la Unión Europea quien tuvo la oportunidad de pronunciarse contra Google en el caso Costeja24. Este caso permitió dar un vuelco total a la aplicación normativa actual sobre el derecho al olvido digital. La sentencia respectiva, promulgada el 13 de mayo de 201425, es considerada la consagración del derecho al olvido digital en favor de los internautas.
La Corte de Justicia de la Unión Europea juzgó que la indexación realizada por Google podría afectar significativamente los derechos fundamentales de respeto a la vida privada y a la protección de datos personales cuando la indagación es efectuada a través de un motor de búsqueda empleando el nombre de la persona. La sentencia dio luz sobre cuatro puntos fundamentales: primero, indicó que quienes explotan comercialmente los motores de búsqueda son los responsables del tratamiento de la información personal a la luz de la Directiva de 1995. Segundo, la Corte aplicó una concepción extensa de la noción de establecimiento, de manera tal que la sentencia es oponible a Google. Tercero, cualquier persona puede contactar directamente a los titulares de los motores de búsqueda para obtener la supresión de los vínculos hacia páginas web que comporten perjuicio a su vida privada; esta solicitud puede ser efectuada no solamente cuando la información es de contenido ilícito (caso de la difamación), sino también cuando su contenido es lícito (siempre y cuando comporte perjuicio, por ser las informaciones impertinentes o excesivas). Cuarto, no es un derecho absoluto, y aquí el juez europeo quiso dejar sentado el principio del equilibro de intereses entre el respeto a la vida privada y el interés económico de los motores de búsqueda. Es por esta razón que la supresión de la información debe ser efectuada caso por caso en función de criterios muy precisos: naturaleza de la información, su grado de sensibilidad en relación a la vida privada de la persona afectada, y el interés para el público de tener acceso a esta información, noción que cobra importancia cuando la persona objeto del tratamiento de información es conocida públicamente.
Conviene tener en cuenta que la información será desindexada del motor de búsqueda, pero no eliminada del sitio web que lo publica. Para esta supresión habría que acudir a otros procedimientos judiciales.
A partir del caso Costeja, los internautas europeos tienen la posibilidad de solicitar a los motores de búsqueda desindexar los resultados que aparezcan en los motores a partir de una búsqueda usando el nombre patronímico del solicitante, lo anterior siempre y cuando estos resultados sean inadecuados, impertinentes o excesivos26. Sin embargo este derecho no es unilateral y pone en la balanza el derecho de comunicar informaciones de interés público que puede ser esgrimido por los motores de búsqueda para rehusarse a proceder a la desindexación. Ahora bien, los criterios para rechazar la solicitud son estrictos: así por ejemplo, no es posible argumentar el carácter periodístico de una información para rechazar la desindexación.
El juez francés, por su parte, en una decisión del Tribunal de Segunda Instancia de París del 19 de diciembre 2014, ordenó a Google desindexar un vínculo de su motor de búsqueda referente a una condena penal emitida contra la solicitante y que años después de la publicación de la condena afectaba su imagen y le dificultaba la búsqueda de empleo27.
Como consecuencia de lo anteriormente descrito, Google puso a disposición de los internautas un formulario de solicitud de desindexación de contenidos. Es una herramienta cuya puesta en marcha implicó la intervención de un equipo plurilingüe para crear un formulario en cada lengua europea28. El formulario no es ergonómicamente muy amigable y su diligenciamiento es fastidioso toda vez que la información diligenciada no es recapitulada durante el proceso de diligenciamiento. El interés de la medida es sin embargo muy positivo, toda vez que el reporte de transparencia de Google hace mención de 569.390 solicitudes de retiro en Europa relativas a 1.729.227 url entre mayo de 2014 y octubre de 2016, de las cuales el 43.2% fueron acogidas.
Cabe notar que las supresiones de url efectuadas conciernen exclusivamente las extensiones locales europeas del motor de búsqueda, es decir, .fr, .de, .es, .uk, etc. Sin embargo, las supresiones no conciernen otras extensiones del motor de búsqueda y en especial la extensión .com utilizada por un gran número de internautas. Como consecuencia, en mayo de 2015, la CNIL puso a Google en mora de proceder a la desindexación de los url en un plazo de quince días sobre todas las extensiones geográficas de su motor de búsqueda. Tras vanas discusiones en un grupo de trabajo conformado por ambas partes29, en julio de 2015 Google interpuso un recurso ante la CNIL solicitando el retiro de la puesta en mora pública, esto argumentando que la desindexación sobre terminaciones no europeas constituiría una censura que impediría al público ejercer su derecho a la información. Asimismo argumentó que la CNIL estaría obligando a hacer una aplicación extraterritorial del derecho francés. Por su parte, la CNIL rechazó el recurso con el argumento de que las extensiones geográficas solo son un camino de acceso al tratamiento de la información. Advirtió sobre el riesgo de violación de los derechos toda vez que sería muy fácil utilizar un camino de acceso no local para obtener la información. También puso de presente que el derecho a la información no es violado puesto que la información sigue publicada en el sitio de origen y lo único que se elimina es el url que lo indexa sobre el motor de búsqueda a partir de una pesquisa por el nombre patronímico del demandante. Finalmente la CNIL aclara que su intención no es solicitar una aplicación extraterritorial de la ley francesa sino simplemente hacer respetar el derecho europeo a sociedades no europeas que ofrecen sus servicios dentro del territorio europeo. Como consecuencia, la CNIL condenó a Google el 10 de marzo de 2016 a pagar una multa de 100.000 euros30. Como respuesta a la condena, Google propuso eliminar los resultados de todas las extensiones a partir de la dirección ipn del internauta, a lo que la CNIL se opuso argumentando que el solicitante francés podrá tener acceso a las informaciones fuera del territorio europeo haciendo una búsqueda utilizando una dirección ipn no europea (p. ej., utilizando la técnica VPN).
En consecuencia, Google interpuso un recurso ante el Consejo de Estado francés el 19 de mayo de 2016 contestando la sanción impuesta por la CNIL. Es ahora el Consejo de Estado quien está a cargo de decidir la suerte que correrá el derecho al olvido digital desde una perspectiva global en Francia.
Conclusión
El equilibrio de intereses entre el derecho a la vida privada de los consumidores y el desarrollo económico de los motores de búsqueda es muy frágil. La decisión del Consejo de Estado será fundamental para delimitar definitivamente el marco de aplicación del derecho al olvido digital. De cara a la creación de un nuevo reglamento de protección de datos personales, en preparación, el futuro Comité europeo de datos personales que remplazará el G29 tendrá como misión dar un marco reglamentario definido al derecho al olvido numérico prevaliéndose de respetar ese frágil equilibrio de intereses. ¿Hacia dónde se inclinará la balanza? Esperemos que pueda inclinarse hacia los consumidores, y que su derecho al olvido sea real en todas las extensiones de los motores de búsqueda.
Notas
1 Coloquialmente conocida como “loi informatique et libertés”.
2 Assemblée Nationale, Question écrite n.° 61516, Ministère de la Justice Télécommunications - Internet - Données personnelles - Effacement. Question écrite n.º 61516 efectuada por T. Lazaro, 22/07/2014.
3 Art. 6 num. 5 y arts. 38 a 40 de la ley n.º 78-17 del 6 de enero de 1978.
4 Ver el balance de resultados de la CNIL en Florence, Meuris-Guerrero, 2016, «Les plaintes reçues en 2015, l’invalidation du Safe Harbor, les caméras embarquées… le bilan de la CNIL est arrivé!» Communication commerce électronique n.° 5, p. 32.
5 Directiva 95/46/CE sobre la protección de datos personales.
6 Ligue du droit de l’homme. 2010. Protection des données personnelles. Analyse comparée des législations et des pratiques dans neuf pays européens, dans le contexte du cadre juridique européen. Ed. LDH, p. 11.
7 Ver más en detalle, Alex Türk. 2005. «Loi du 6 août 2004. Présentation générale ». Communication Commerce Électronique, n.° 2, p. 4; Sophie Nerbonne, 2005 «Loi du 6 août 2004. Régime d’autorisations pour le secteur privé». Communication Commerce Électronique, n.º 2, p. 5; Eric Caprioli. 2005. «Commerce à distance sur l’Internet et protection des données à caractère personnel». Communication Commerce Électronique, n.º 2, p. 7; Pierre Leclerc. 2005. «Loi du 6 août 2004. Les transferts internationaux de données personnelles». Communication Commerce Électronique, n.º 2, p. 8.
8 Art. 226-16 del Código Penal francés.
9 Ley del 6 de agosto de 2004.
10 Nathalie Metallinos. 2016. «Déréférencement». Communication commerce électronique, n.º 7-8, commentaire 64, p. 38.
11 Técnica comercial del one to one o customer relationship management. Sobre el impacto de esta evolución en la Unión Europea, ver UE, Communication (2012) 9/3, Safeguarding privacy in a connected world - A European data protection framework for the 21st Century.
12 Esta ley modificó sustancialmente las reglas relativas a la protección del consumidor en medios digitales, integrando obligaciones especiales a todos los propietarios de sitios de internet susceptibles de recolectar a través del sitio web informaciones personales. La ley dispone además reglas particulares obligatorias de información al consumidor que accede al sitio web. Igualmente impuso reglas relativas al ejercicio del comercio electrónico.
13 Ver más en detalle el estudio redactado por Piedelièvre. Stéphane Piedeliève, 2014. «La loi du 17 mars 2014 relative à la consommation». La Semaine Juridique, Entreprise et Affaires, n.º 14, pp. 25 s.
14 CNIL. 2016. Rapport d’activité 2015 de la personnalité qualifiée en matière de contrôle du blocage des sites internet.
15 Que deroga la Directiva 95/46/CE.
16 El Reglamento modifica particularmente las obligaciones de declaración del tratamiento de datos ante la CNIL y endurece las obligaciones del responsable del tratamiento de la información, quien debe llevar un registro interno de tratamientos. De esta manera, el manejo de la información será menos formalista cuando el Reglamento entre en vigor en el 2018. El Reglamento integra otras modificaciones sustanciales que no serán abordadas en este artículo.
17 Jean-Michel Bruguière, 2015. «Droit à l’oubli numérique des internautes ou… responsabilité civile des moteurs de recherche du fait du référencement? - (Retour sur l’arrêt de la CJUE du 13 mai 2014)». Communication commerce électronique n.º 5, p. 10.
18 Guillaume Desgens-Panasau, 2016. «Mettre en œuvre le droit à l’oublie numérique». Fiche pratique n.º 2154. LexisNexis.
19 Grupo conformado por representantes de cada una de las entidades de protección nacional de datos personales para reflexionar sobre la problemática relacionada con los mismos.
20 Grupo del artículo 29, opinión n.º 1/2008, del 4 de abril 2008 sobre los aspectos de la protección de datos ligados a los motores de búsqueda.
21 Por ejemplo, informaciones que han sido publicadas por terceras personas (parientes o amigos) en redes sociales. El titular de la información debe estar en el origen de la transmisión de la información para poder ejercer el derecho de oposición.
22 Ley del 21 de junio de 2004 sobre la confianza en la economía digital. En su artículo 9-I-8º otorga a la administración la posibilidad de acordar medidas susceptibles de prevenir un daño o hacer cesar un daño ocasionado por el contenido publicado en línea por un servicio de comunicación (sitio web, blog, red social, etc.).
23 Google search, Google drive, Google docs, Google maps, Google Adsense, Google academics, etc.
24 Ver más en detalle, Laure Marino. 2014. « Un “droit à l’oublie” numérique consacré par la CJUE ». La Semaine Juridique édition générale n.º 26, p. 768.
25 CJUE, Gran Cámara, 13 de mayo de 2014, aff. C-131/12, Google Spain y Google: JurisData n.º 2014-009597.
26 En el caso Costeja, la Corte de Justicia de la Unión Europea ordenó a Google desindexar dos artículos periodísticos que evocaban un litigio entre el señor Costeja y el sistema de seguridad social español por cuotas impagadas. Dado que el litigio había terminado y la deuda había sido pagada, la presencia de estos artículos en la lista de resultados que aparecen a partir del nombre del señor Costeja es impertinente. El editor del contenido rehusó eliminar la información y es por esto que el señor Costeja demandó a Google España, quien a su vez remitió la demanda a Google Inc., en su calidad de prestador del servicio de búsqueda.
27 En este caso, la solicitante de la supresión del vínculo había sido condenada a una pena de prisión en 2006 por estafa. Ocho años después, al efectuar una búsqueda usando el nombre completo de la persona, el motor de búsqueda de Google arrojaba un vínculo a un artículo de periódico que contenía informaciones sobre la condena. La solicitante demostró que esta referencia afectaba su imagen y le impedía tener buenos resultados en su búsqueda de empleo.
28 Maria Gomri. 2016. «Comment le moteur de recherche Google appréhende-t-il le droit à l’oubli des internautes? - 3 questions à Maria Gomri, directrice juridique Google France, Moyen Orient et Afrique du Nord». Communication commerce électronique n.º 1, p. 1.
29 Olivia Tambou. 2016. «Droit au déréférencement: condamnatio symlolique de Google par la CNIL». Dalloz actualité, octobre 2016, p. 1.
30 Anne Debet. 2016. «Droit au déréférencement: suite du bras de fer opposant Google à la CNIL». Communication commerce électronique n.° 7-8, p. 65.
Bibliografía
Legislación
Código Penal Francés.
Decreto de aplicación n.º 2005-1309 del 20 de octubre de 2005.
Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones electrónicas (sobre la vida privada y las comunicaciones electrónicas).
Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Ley del 21 de junio de 2004 sobre la confianza en la economía digital.
Ley del 6 de agosto de 2004, relativa a la protección de las personas físicas frente a los tratamientos de datos a carácter personal.
Ley n.º 78-17 del 6 de enero de 1978, relativa a la informática, los archivos y las libertades.
Reglamento (UE) 2016/679 del 27 de abril 2016 relativo a la protección de las personas físicas en relación al manejo de la información de datos de carácter personal y a la libre circulación de los mismos.
Doctrina
Assemblée nationale, Question écrite n.° 61516, Ministère de la Justice Télécommunications - Internet - Données personnelles - Effacement. Question écrite n.° 61516 efectuada por T. Lazaro, 22/07/2014.
Bruguière, Jean-Michel, 2015 «Droit à l’oubli numérique des internautes ou… responsabilité civile des moteurs de recherche du fait du référencement? - (Retour sur l’arrêt de la CJUE du 13 mai 2014)». Communication commerce électronique n.° 5, p. 10.
Caprioli, Eric. 2005. «Commerce à distance sur l’Internet et protection des données à caractère personnel». Communication Commerce Électronique, n.° 2, p. 7.
CJUE, Gran Cámara, 13 de mayo de 2014, aff. C-131/12, Google Spain y Google: JurisData n.° 2014-009597.
CNIL. 2016. Rapport d’activité 2015 de la personnalité qualifiée en matière de contrôle du blocage des sites internet.
Comm. UE, Communication (2012) 9/3, Safeguarding privacy in a connected world - A European data protection framework for the 21st Century.
Debet, Anne. 2016. «Droit au déréférencement: suite du bras de fer opposant Google à la CNIL». Communication commerce électronique n.° 7-8, p. 65.
Desgens-Panasau, Guillaume. 2016. «Mettre en œuvre le droit à l’oublie numérique». Fiche pratique n.° 2154. LexisNexis.
Gomri, Maria. 2016. «Comment le moteur de recherche Google appréhendet-il le droit à l’oubli des internautes? - 3 questions à Maria Gomri, directrice juridique Google France, Moyen Orient et Afrique du Nord». Communication commerce électronique n.º 1, p. 1.
Grupo del Artículo 29, Opinión n.° 1/2008, del 4 de abril 2008 sobre los aspectos de la protección de datos ligados a los motores de búsqueda.
Leclerc, Pierre. 2005. «Loi du 6 août 2004. Les transferts internationaux de données personnelles». Communication Commerce Électronique, n.° 2, p. 8.
Ligue du droit de l’homme. 2010. Protection des données personnelles. Analyse comparée des législations et des pratiques dans neuf pays européens, dans le contexte du cadre juridique européen. Ed. LDH, p. 11.
Marino, Laure. 2014. «Un “droit à l’oublie” numérique consacré par la CJUE». La Semaine Juridique édition générale n.° 26, p. 768.
Metallinos, Nathalie. 2016. «Déréférencement». Communication commerce électronique, n.° 7-8, commentaire 64, p. 38.
Meuris-Guerrero, Florence. 2016, «Les plaintes reçues en 2015, l’invalidation du Safe Harbor, les caméras embarquées… le bilan de la CNIL est arrivé!» Communication commerce électronique n.° 5, p. 32.
Nerbonne, Sophie. 2005 «Loi du 6 août 2004. Régime d’autorisations pour le secteur privé». Communication Commerce Électronique, n.° 2, p. 5.
Piedeliève, Stéphane. 2014. «La loi du 17 mars 2014 relative à la consommation». La Semaine Juridique, Entreprise et Affaires, n.° 14, pp. 25 s.
Tambou, Olivia. 2016. «Droit au déréférencement: condamnatio symlolique de Google par la CNIL». Dalloz actualité, octobre 2016, p. 1.
Türk, Alex. 2005. «Loi du 6 août 2004. Présentation générale». Communication Commerce Électronique, n.° 2, p. 4.