Читать книгу La construcción social de la identidad colectiva en internet: el derecho a la memoria digital - Leyre Burgera Ameave - Страница 19

Desde la aprobación de la Directiva 95/46/CE, cinco sentencias del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), una de 2003 y las restantes de entre 2014 y 2015, han venido a perfilar lo establecido en la directiva, obligando a su modificación.

Estas sentencias son la Sentencia Lindqvist (C-101/01), Sentencia Google Spain (C-131/12); Sentencia Digital Rights Ireland (C-2093/12); Sentencia Weltimmo (C-230/14); y la sentencia Facebook (C-362/14).

Por lo que respecta a la primera, la Sentencia Lindqvist, de 6 de noviembre de 2003, que conecta el derecho fundamental a la protección de datos con el derecho fundamental a la libertad religiosa, versa sobre una catequista de nacionalidad sueca decide crear, para impulsar la labor pastoral de su parroquia, varias páginas web en la que se cuelga información relativa a otros miembros de la parroquia, sin su consentimiento. La información de carácter marcadamente personal tampoco fue comunicada a la autoridad nacional sueca en materia de protección de datos. Tras un recurso de los afectados a dicha autoridad nacional, la sanción a Lindqvist llega al TJUE, quien entiende que la labor realizada en las páginas web se enmarca en lo que la Directiva 95/46 entiende como “tratamiento total o parcialmente automatizado de datos personales”, al incluir no sólo nombres y apellidos, sino también números de teléfono o circunstancias laborales y profesionales. Lo realizado por Lindqvist, además, no puede considerarse una actividad privada o familiar, por lo que sí entra de lleno en lo incluido como protegido por la Directiva 95/46. La importancia de esta sentencia radica no sólo en los derechos fundamentales en conflicto, sino que se trata de la primera ocasión en que el TJUE evaluó el impacto extraterritorial de la Directiva europea27.

En relación con la segunda, muy conocida por ser la primera relativa al derecho al olvido, constituido también después como un nuevo derecho fundamental autónomo de la protección de datos. En ella, dictada el 13 de mayo de 2014, el TJUE resolvía varias cuestiones prejudiciales de la Audiencia Nacional en relación con el derecho al olvido que se sustanciaron en el asunto Mario Costeja vs. Google Spain28, en el que también intervino la Agencia Española de Protección de Datos. La sentencia resolvía un contencioso sobre este derecho larvado tiempo atrás, que se manifestaba en las más de doscientas cuestiones que la propia Audiencia Nacional tenía pendientes de resolver y que tenían, como sustrato común, los motores de búsqueda y el derecho a la privacidad.

Ab initio, la cuestión prejudicial planteaba, en síntesis, tres grandes cuestiones29:

– La aplicación territorial de la Directiva de protección de datos 95/46/CE conforme a los criterios previstos en su artículo 4 y, por consiguiente, de la ley que la incorpora en España, la Ley Orgánica 15/1999, de protección de datos de carácter personal, en su artículo 2.1, y el impacto del artículo 8 de la Carta de los Derechos Fundamentales de la UE.

– El papel de “responsable del tratamiento” respecto de las actividades realizadas por el buscador a efectos de la Directiva 95/46/CE.

– El alcance de los derechos de cancelación y oposición en relación con el derecho al olvido.

– el Tribunal señaló que el tratamiento de datos personales es efectuado por el buscador en calidad de responsable de los mismos, ya que éste establece el alcance del tratamiento, al margen de un eventual control a realizar sobre los datos personales publicados en otras páginas.

– Junto a ello, y en relación con el concepto de establecimiento, nuclear para la aplicabilidad de la normativa europea, el TJUE entiende que la filial española forma parte indisoluble de la matriz norteamericana al resultar indispensable para el desarrollo de su labor publicitaria, por lo que la filial española no puede ser separada de la estadounidense.

– Por otro lado, y en relación con el aspecto quizá más sustantivo, el relativo al derecho al olvido, el TJUE se aparta del criterio del Abogado General, respaldando la existencia del derecho al olvido como derecho amparado en la Directiva 95/46/CE para ejercer los derechos de oposición y cancelación. Para ello, establece un interesante deslinde conceptual en relación con la llamada “causa legítima”, que es separada entre el tratamiento otorgado al buscador y a la fuente, clave de bóveda para el complejo análisis de los datos de especial relevancia por su directa conexión con la intimidad del sujeto afectado y, por lo tanto, con el derecho a la información. Cuestión, esta última, que, como es natural, no posee un alcance individual, sino también colectivo, en la medida en la que el titular de los datos puede afectar a otros titulares conexos en virtud de información o datos compartidos, dado que en esos casos confluye el interés de quien puede desear ejercer el derecho al olvido y quien, por un motivo u otro, no comparte el parecer.

– Por otro lado, el TJUE también sostiene, en relación con el motor de búsqueda, que cualquier particular, mediante su acceso directo, puede conseguir ingente información, no precisamente deslavazada y desorganizada, sobre circunstancias relevantes de la vida privada del sujeto, lo que conlleva, necesariamente, que dicho sujeto posea un indudable interés legítimo comprendido en el artículo 7, letra f), de la Directiva 95/46/CE, produciéndose una evidente colisión, que exige ponderar caso por caso, entre el derecho a la información de cualquier internauta que accede a los datos, y la protección de datos del sujeto afectado.

– En el caso concreto del asunto Costeja, entiende el TJUE que el derecho a la libertad de información ejercido por el periódico en su momento estuvo justificado pero que, dada la antigüedad, –más de quince años–, de la información, el buscador debe proceder a la eliminación de los vínculos a los resultados con el nombre y apellidos del demandante si aprecia que la información “es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relación con los fines del tratamiento en cuestión realizado por el motor de búsqueda”.

– Esta aseveración del Tribunal entraña una enorme complejidad, toda vez que traslada la responsabilidad de ponderación, de valoración, en definitiva, al propio buscador. Buscador que, por la naturaleza de su función, no debiera realizar dicha ponderación, más bien propia del Poder Judicial.

– En ese sentido, la sentencia, pese al natural revuelo que suscitó, no ampara la existencia de un derecho absoluto al olvido, pero sí introduce una serie de orientaciones y criterios cuya trascendencia dista mucho de estar resuelta, ya que exige ponderar, caso por caso, la difícil colisión que se produce entre el derecho a la intimidad y el derecho de acceso a la información30.

La tercera sentencia, la Digital Rights Ireland, de 8 de abril de 2014, incide de forma notable en el ámbito regulado por la Directiva 2006/24 del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE31.

En esta importante sentencia, el TJUE aborda la directiva de 2006 y sus implicaciones en relación con la autorización de la lícita transmisión de datos desde el prisma de los derechos fundamentales en colisión, –sustancialmente, intimidad y libertad de información junto con la protección de datos–. Lo hace analizando el objetivo pretendido con la Directiva, si procede o no recoger los datos que la propia norma establece de forma prolija, y cuáles son los requisitos para permitirlo, dado que los mismos inciden sobremanera en la configuración jurídica de los derechos fundamentales en liza. Su conclusión, tras realizar la ponderación, es que se ha producido una indebida intromisión, una injerencia sustancial, ya que la propia Directiva suministra más datos de los imprescindibles. Pero, además, la sentencia del TJUE que la norma adolece de las garantías suficientes para los usuarios; falta que se extiende, incluso, a los propios contenidos, por lo que, en suma, no hay suficientes garantías de confidencialidad. Como consecuencia, se anuló la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, ya que el TJUE consideró que se inmiscuía de manera especialmente grave en los derechos fundamentales32.

Por lo que respecta a la cuarta sentencia, Weltimmo, de 1 de octubre de 2015, versa sobre un conflicto entre una empresa eslovaca con actividades comerciales en Hungría, es decir, con establecimiento en Eslovaquia. Esta empresa posee una página web que, generando negocio en territorio húngaro, su sede digital se encuentra en un servidor en un país extranjero. Esta cuestión, por lo demás bastante común, es compleja si se tiene en cuenta cuál es el régimen sancionador aplicable en materia de protección de datos, dado que la autoridad húngara en materia de protección de datos consideraba aplicable su normativa, mientras que el Tribunal Supremo del país plantea una cuestión prejudicial al considerar que el establecimiento, en sede eslovaca, conlleva que la autoridad de Eslovaquia es la responsable para multar.

El TJUE considera que es Hungría la responsable, aunque el establecimiento se encuentre en Eslovaquia, y lo hace mediante una interpretación extensiva del mismo concepto de establecimiento recogido en la Directiva 95/46/CE. En virtud de ello, procede realizar un análisis dirigido a considerar no la sede física de la empresa, sino aquella en la que de forma efectiva se desenvuelve su actividad, por lo que, para el TJUE, las autoridades nacionales en materia de protección de datos no pueden extender su eficacia más allá de las fronteras de su país.

Por último, la Sentencia Schrems, de 6 de octubre de 2015, es la conocida como Sentencia Facebook33, por la que un ciudadano que contrata con la empresa Facebook Irlanda ve cedidos sus datos a Facebook Estados Unidos quien, a su vez, los cede a la Agencia de Seguridad Nacional del país. En ella, el TJUE establece una firme defensa de la privacidad y la protección de datos en un contexto de masiva injerencia por parte de terceros estados amparados en la lucha contra el terrorismo34.

En ese sentido, la sentencia aborda el nivel de fiscalización sobre un convenio entre la Unión Europea y terceros estados sobre transferencia de datos, concluyendo que las autoridades nacionales sí poseen la capacidad de fiscalizar.