LOS NUEVOS LÍMITES AL DERECHO AL OLVIDO EN EL SISTEMA JURÍDICO DE LA UNION EUROPEA: LA DIFÍCIL CONCILIACIÓN ENTRE LAS LIBERTADES ECONÓMICAS Y LA PROTECCIÓN DE DATOS PERSONALES[*]
The new limits on the right to be forgotten in the legal system of the European Union: the difficult conciliation between economic freedoms and the protection of personal data
Mónica Martínez López-Sáez
Investigadora predoctoral MECD-FPU
Universitat de València
doi: http://dx.doi.org/10.18543/ed-65(2)-2017pp139-176
Recibido: 22.06.2017
Aceptado: 28.11.2017
Resumen
El presente trabajo aborda los nuevos desarrollos del derecho al olvido digital en el sistema jurídico de la Unión Europea a través de una temática de gran actualidad que, no obstante, ya es clásica: las libertades económicas como límite a derechos fundamentales, en este caso los reconocidos en los artículos 7 y 8 de la Carta de los Derechos Fundamentales en relación con el citado derecho al olvido. En efecto, si en el Asunto Google Spain SL, el TJUE dio carta de naturaleza al emergente derecho al olvido, estableciendo al tiempo una serie de límites para su ejercicio, la adopción del nuevo Reglamento Europeo General de Protección de Datos y de la Sentencia Manni hace necesario actualizar ese listado de límites. Desde esta perspectiva, el Asunto Manni constituye el núcleo del ensayo y se enfrenta a la conciliación de dos intereses en conflicto: el ejercicio del derecho al olvido digital y el derecho de información/acceso (a través del principio de publicidad registral, extrapolado del principio de seguridad jurídica) por parte de terceros, para el correcto y armonizado ejercicio de las actividades mercantiles dentro del mercado interior europeo. La solución del TJUE se decanta por lo segundo, haciendo prevalecer el origen económico de la UE y su principal objetivo (el funcionamiento del mercado interior). En todo caso, el Asunto Manni presenta una gran relevancia para la dogmática de los derechos fundamentales en la jurisprudencia del TJUE bajo el ángulo de la técnica de la ponderación y la aplicación del principio de proporcionalidad. La autora del trabajo concluye que, si bien el enfoque del TJUE es técnicamente correcto, presenta ciertas debilidades que tendrá que depurar en el futuro, puesto que, entre el Asunto «estrella» Google Spain SL, que consagra el derecho emergente al olvido digital y el Asunto «estrella» Manni, que establece límites emergentes, surgen muchos matices que habrán de resolverse caso por caso.
Palabras clave
Derecho al olvido; derecho fundamental a la protección de datos; datos de carácter personal; registro de sociedades; principio de publicidad registral; límites a los derechos fundamentales; Asunto Manni.
Abstract
This paper focuses on and analyses the new developments of the right to be forgotten within the EU legal system through a classic but topical and timely theme, i.e. classic basic economic freedoms as a limit to fundamental rights. In the present study, these fundamental rights are none other than those recognized in Articles 7 and 8 of the Charter of Fundamental Rights of the EU, in relation to the aforementioned right to be forgotten. If, in the Google Spain SL judgment, the CJEU legitimized the emerging right to be forgotten, while establishing a number of limits to its exercise, both the adoption of the new European General Data Protection Regulation and the recent Manni judgment require clarification and an updated list of rights and limitations. In this light, the latter has the core of my analysis in this paper, confronting and balancing two competing interests: the exercise of the right to (digital) oblivion and the right to information (via the principle of public access, extrapolated from the legal certainty principle) by third parties, so as to guarantee a correct and harmonized commercial practice within the European internal market. The CJEU seems to opt for the second, making the proper development and functioning of the internal market, origin and one of the main objectives of the EU, prevail. In any case, the Manni judgment is also very relevant in discussing fundamental rights theory in the CJEU case-law vis-à-vis the weighing technique and the application of the principle of proportionality. The author of the present paper concludes that, although the CJEU approach is technically correct, it introduces significant weaknesses and raises difficulties that will need to be addressed in the near future. This is especially so when looking at the leading Google Spain SL judgment, enshrining a right to be forgotten and now the leading Manni judgment, establishing emerging limits, which undoubtedly raises questions and nuances, which will need to be resolved on a case-by-case basis.
Keywords
Right to be forgotten; fundamental right to data protection; personal data; Company registers; public access principle; limits to fundamental rights; Manni judgment.
Sumario: 1. Consideraciones introductorias: breve repaso en clave iuscibernética de las cuestiones en juego. 2. El asunto Manni (c-398/15), STJUE de 9 de marzo de 2017. 2.1. Antecedentes de hecho y cuestiones prejudiciales. 2.2. Aportaciones interesantes del Abogado General. 2.3. Fallo del TJUE. 3. Juicio de valor sobre el asunto Manni y la configuración del derecho al olvido digital: ¿avance o retroceso? 3.1. Actualización y delimitación jurídica del derecho al olvido en la Unión Europea vis-à-vis el Asunto Manni. 3.2. El derecho al olvido: ¿derecho efectivo o espejismo jurídico? 3.2.1. El marco jurídico actual del derecho al olvido digital. 3.2.2. Los derechos fundamentales como límites y los límites de los derechos fundamentales. 3.2.3. El principio de proporcionalidad como instrumento de salvaguarda y como principio general de interpretación del derecho al olvido digital. 3.2.4. Los actuales límites del derecho al olvido. 4. Reflexiones finales y retos pendientes: la necesaria relatividad del nuevo límite general al derecho al olvido y elementos clave todavía no abordados.
1. Consideraciones introductorias: breve repaso en clave iuscibernética de las cuestiones en juego
La revolución tecnológica y la digitalización han propiciado un aumento inaudito de la cantidad de información personal disponible en la red para múltiples usos; información que cobra un nuevo valor en la economía y sociedad actual, y por ende, presenta nuevos riesgos para los derechos fundamentales. Entre los principales elementos de la era digital se pueden destacar la desaparición de la distancia espacio-temporal en la creación y difusión de contenidos, el desarrollo de los motores de búsqueda y el surgimiento de las libertades de la información como consecuencia directa de un aumento umbral de la tolerancia pública y del deber de transparencia (y, mutatis mutandi, el derecho a la información). De ahí que una de las mayores preocupaciones de esta nueva realidad socio-digital sea la facilidad de obtener datos personales y de relacionarlos. En efecto, la creación y difusión instantánea e universal[1] de la información, y por tanto, como consecuencia natural, la indeleble perennidad de la información publicada y compartida en Internet, facilita su identificación, clasificación y distribución de manera casi irrestricta.
Así, en una era como la actual, en la que la memoria está relegada a un cúmulo sin fin de bancos de datos y a la apertura de múltiples formas y finalidades para su almacenamiento por tiempo indefinido, se asienta la «memoria digital» y se crea la llamada «identidad digital»[2]. En una sociedad y economía como la actual, que aspira a verlo y saberlo todo de manera automática, requiere de una reformulación de los modelos tradicionales y un nuevo marco jurídico-virtual. Como solución al problema de la infinita memoria digital y de la confección de la peligrosa identidad digital, se ha planteado reconocer y regular un «derecho al olvido», como derecho a asegurar que el pasado no se convierta en un presente continuo[3], o, en otras palabras, se configura, a grandes rasgos, como un derecho a borrar, ocultar e incluso cancelar aquellos datos personales vinculados a hechos pasados que pueden afectar a la dignidad y el libre desarrollo de la persona.
Este nuevo paradigma obliga a considerar el problema de proteger la dignidad, y aquellos derechos personalísimos vinculados a la misma, de los riesgos potenciales de todo tipo de tratamiento automatizado de datos personales, facilitados por las nuevas tecnologías, bajo un nuevo prisma socio-económico-digital. Todo ello explica los desarrollos, a nivel normativo y jurisprudencial, en el seno de la Unión Europea. La adopción del famoso instrumento jurídico internacional denominado Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, se puede calificar, sin lugar a dudas, como uno de los grandes hitos en el desarrollo de normas sobre la protección de la intimidad y la vida privada ante la innovación tecnológico-digital en el continente europeo[4] pues sus principios han servido como base para toda la legislación posterior, de la Unión Europea y de los Estados miembros, tanto en materia de protección de datos, como en su vertiente específica plasmada como la garantía del derecho al olvido. Así, aunque no existe una mención explícita a un derecho al olvido digital, dado que este parte del derecho a la protección de datos, cabe apuntar que goza de un reconocimiento y regulación en la Unión Europea. En el derecho originario, esto se refleja, sobre todo, en el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFUE, en adelante) al incluir una nueva competencia general de la UE para legislar en materia de protección de datos. Asimismo, el catálogo de derechos que constituye la Carta de Derechos Fundamentales de la Unión Europea («CDFUE», en adelante), desde el Tratado de Lisboa un documento jurídicamente vinculante y con el mismo valor que los demás tratados constitutivos, reconoce y garantiza una serie de derechos directamente vinculados al derecho al olvido digital. De este modo, no solo se garantiza el respeto a la vida privada y familiar (artículo 7 CDFUE), indirectamente vinculados a la intimidad y privacidad, sino que también establece un derecho fundamental a la protección de datos (artículo 8 CDFUE).
No obstante, como se puede observar, el derecho al olvido digital no está explícitamente mencionado en ningún instrumento normativo originario en el seno de la Unión Europea, lo cual se puede explicar por su calificación de «nuevo derecho» o «derecho emergente» ante la innovación tecnológica. Además de tener bases jurídicas en el derecho originario o primario, también encontramos normativa, de carácter derivado, que regula el derecho a la protección de datos, y como veremos, de manera directa e indirecta, un derecho al olvido digital. El instrumento jurídico europeo principal[5] en materia de protección de datos hasta 2016 fue la Directiva 95/46/CE[6] (Directiva de protección de datos). Esta establecía la necesidad de dotar a los usuarios de unos derechos y la necesidad de crear unas obligaciones para los responsables del tratamiento de datos, en aras de proteger y garantizar los derechos fundamentales de las personas en la Red Internet, todo ello a través de derechos y deberes de rectificación, oposición y supresión del tratamiento de datos en determinadas circunstancias. El recientemente adoptado Reglamento General de Protección de Datos (RGPD, en adelante)[7] deroga y sustituye la supracitada Directiva[8], estableciendo un nuevo marco de garantía y tutela del derecho fundamental a la protección de datos[9], a través de un único conjunto paneuropeo a través de una revisión global del marco jurídico de protección de datos, tanto en el ámbito formal como sustantivo, uniformando nuevos retos y reformando problemas no debidamente regulados con anterioridad[10]. Una de las novedades más relevantes del RGPD se encuentra precisamente en la consagración específica y el refuerzo de ciertos derechos, permitiendo un mayor control sobre el uso y la existencia de datos personales, entre los que cabe destacar el «derecho al olvido digital», objeto del presente trabajo. Este derecho a obtener la eliminación o supresión de datos personales se reconoce[11] y se regula expresamente en el artículo 17 RGPD que establece la existencia de un derecho y un deber a la supresión de datos personales[12]. Todo lo cual muestra que el derecho al olvido supone la facultad o el poder de cada individuo de decidir sobre la facilidad o imposibilidad de acceso de sus propios datos de carácter personal, enmarcándose dentro de la dignidad y libertad personal de cada individuo y el respeto a su vida privada e intimidad en el ámbito informático.
El mayor control de los datos personales proporcionado por el derecho al olvido digital, tiene como finalidad, en última instancia, permitir a la persona desarrollarse libremente. Tal y como apunta parte de la doctrina, la construcción de la propia identidad o personalidad debe estar libre de restricciones[13], garantizando el control de aquellos datos de carácter personal proporcionados de manera directa y consciente, así como aquellas huellas dispersas y proyectadas en el seno de la World Wide Web. Así, se concibe el derecho al olvido digital, como nuevo derecho, vinculado al derecho fundamental a la protección de datos y enfrentado con las libertades de información[14].
En efecto, el almacenamiento o registro de informaciones se concibe bajo el paraguas de esta libertad informática, reconocida y desglosada en una serie de derechos y libertades que comportan, entre otras, garantizar a los individuos y colectivos la posibilidad de conocer información almacenada, en ocasiones en registros públicos, necesaria para ejercer sus derechos y libertades fundamentales. Si bien es cierto que existen bancos de datos de naturaleza pública disponibles de manera universal, no podemos negar, sin embargo, que el almacenamiento y acceso a este tipo de datos es imprescindible para una gestión eficaz del apartado jurídico-administrativo en aras de salvaguardar el bien común de la sociedad, garantizando el orden y dando respuesta a las necesidades socio-económicas; en otras palabras, protegiendo el interés público. Un ejemplo claro y controvertido de ello se manifiesta en materia mercantil, uno de los objetos de análisis en este trabajo[15].
La complejidad de las relaciones y los cambios e innovaciones en los hábitos comerciales, así como la apertura hacia una globalización multifacética, requiere de bancos de datos y registros que permitan ordenar y documentar las situaciones y relaciones jurídicas entre sujetos de derecho. Por ello, de antaño, en el marco de garantizar la seguridad jurídica en el ámbito de las relaciones comerciales, surgen unos principios básicos como el principio de publicidad registral (obligatoria o formal) y el carácter público de los registros mercantiles. El principio de publicidad registral, como su propio nombre indica, proporciona publicidad a determinadas situaciones jurídicas relativas a personas físicas (empresarios) y jurídicas (empresas) con el fin de proteger la seguridad del tráfico jurídico-empresarial, mediante la inscripción de los datos personales relevantes y actos jurídicos realizados por estos con relevancia para terceros. En otras palabras, se reconoce la necesidad jurídica de dar a conocer aquellos actos o hechos relevantes para el tráfico mercantil que puedan tener transcendencia para los intereses de terceros (ya sean acreedores, nuevos empresarios que pretenden entablar relaciones comerciales, la Administración Pública, etc.).
Si bien es cierto que la sociedad actual se sigue rigiendo por estos principios clásicos, debido a la revolución tecnológica y la digitalización, encontrar y compartir esta información, que en muchas ocasiones resultan ser datos de carácter personal, resulta ser más fácil de acceder y compartir manera universal e inmediata. Por ello, hoy en día, se requiere de un marco regulador actualizado que cumpla con un doble objetivo: por un lado, proteger la libertad de empresa y permitir una economía de mercado y, por otro lado, proteger la intimidad personal y familiar de los individuos afectados. Esto, no obstante, resulta difícil teniendo en cuenta el choque frontal entre los principios básicos del derecho mercantil, entre ellos la publicidad registral, y los derechos de las personas a decidir qué información personal pueden quedar al alcance y al uso de terceros, manifestado de manera concreta en el derecho al olvido digital.
Ha sido tesis clásica reiterada la existencia de una «antinomia de principio» [16] entre las libertades tradicionales y los «nuevos» derechos socio-económico-culturales, a los que, me permito añadir, los derechos digitales emergentes. Sin duda, sin llegar al extremo de considerar la incompatibilidad entre derechos fundamentales y otros bienes o intereses jurídicamente protegidos, es evidente que todo reconocimiento y protección de un derecho implica la relativización o limitación de otros, siendo la labor del juez, intérprete y operador jurídico su examen y ponderación. Este hecho se refleja de manera incuestionable con el fenómeno de la digitalización y el peso dominante que ha adquirido la economía, y, por ende, las relaciones comerciales. Es precisamente en materia mercantil que observamos una colisión entre intereses reconocidos y protegidos: el principio de seguridad jurídica (mediante el principio de publicidad registral) y el derecho fundamental a la protección de datos de carácter personal (mediante su concreción en el derecho al olvido digital).
También es clásica y reiterada la tesis que expone la inexistencia de derechos absolutos, incondicionados o carentes de limitaciones[17]. Por ende, el derecho fundamental a la protección de datos, y su concreción en el derecho al olvido digital, no son excepciones a esta regla universal para los sistemas de protección de los derechos fundamentales. La propia normativa europea deja claro que el derecho al olvido digital no es absoluto ni automático, pues existen unas excepciones para su aplicación[18], como veremos más adelante. Por ello, los límites a los derechos fundamentales nacen, precisamente, de su colisión con otros valores, principios, intereses jurídicos igualmente fundamentales[19], poniéndolos en relación con su función social y buscando el equilibrio mediante un juicio de proporcionalidad y razonabilidad, identificando y justificando los intereses en conflicto case-by-case.
En este espíritu de análisis e interpretación de la colisión entre derechos e intereses a través de un examen del caso concreto, cabe aludir a una de las grandes aportaciones jurisprudenciales, en el seno de la Unión Europea, relativas al derecho al olvido: el Asunto Manni[20], que, junto con el famoso Asunto Google Spain S.L, versa de manera cuasi estricta, sobre el derecho al olvido digital, presentando gran interés al delimitar, una vez más, el alcance del mismo.
2. El asunto Manni (c-398/15), STJUE de 9 de marzo de 2017.
2.1. Antecedentes de hecho y cuestiones prejudiciales.
A una empresa italiana, cuyo administrador único era Salvatore Manni, se le adjudicó un contrato para la construcción de un complejo turístico. En el 2007, el Sr. Manni decidió demandar a la Cámara de Comercio de la localidad de Lecce alegando que los inmuebles construidos para dicho complejo por su empresa no se vendían debido a que en el registro de sociedades constaba que había sido administrador único y liquidador de otra empresa declarada en concurso de acreedores en 1992 y cuyos asientos habían sido cancelados en el 2005 en virtud de un procedimiento de liquidación. El Sr. Manni alegaba que los datos de carácter personal que le identificaban o le hacían identificable contenidos en el registro de sociedades, a pesar de solicitar su cancelación, debido a su acceso público e universal, fueron tratados por una empresa especializada en la recogida y el tratamiento de información de mercado y evaluación de riesgos. Argumentando que la falta de actuación, por parte de la Cámara de Comercio de Lecce, en la cancelación de los datos personales que le concernían en dicho registro había vulnerado sus derechos y su reputación, solicitó (1) que se le ordenase a dicho tribunal a cancelar, anonimizar o bloquear los datos que vinculaban su nombre a un concurso de acreedores una década antes, y (2) que se le condenase a indemnizar el perjuicio sufrido por el menoscabo de su reputación, causa de que los inmuebles del complejo turístico construido no se vendieran.
En el 2011 el Tribunale di Lecce estimó sus alegaciones, razonando que los asientos que vinculaban el nombre de una persona física a una fase crítica de la vida de la empresa (como es su fase final, reflejada en el concurso de acreedores) no podían permanecer indefinidamente, a no ser que existiera un interés general específico que justificara su conservación y divulgación. Además, debido al hecho que la legislación italiana no preveía un duración máxima de inscripción, el tribunal consideró que, pasado un tiempo adecuado tras la finalización de un concurso de acreedores, se debería proceder a la cancelación de sus asientos registrales, incluidos los nombres de antiguos administradores, concluyendo que el interés público vinculado al registro y publicidad de sociedades se podía satisfacer a través de datos anónimos. Así pues, ordenó a la Cámara de Comercio de Lecce que anonimizara los datos que vinculaban al Sr. Manni con la liquidación de la primera empresa y la condenó a indemnizar el perjuicio sufrido.
Dadas las dudas suscitadas sobre la interpretación del Derecho de la Unión Europea, el Tribunal Supremo de Casación italiano, que conoce del recurso interpuesto contra la sentencia de la Cámara de Comercio de Lecce, suspendió el procedimiento y planteó al Tribunal de Justicia las siguientes cuestiones prejudiciales:
– ¿Prevalece y, por consiguiente, se opone el principio de conservación de los datos personales en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente, previsto en [...] Directiva 95/46 [...] al sistema de publicidad que opera el registro de sociedades, [...] Directiva 68/151 [...] en la medida en que exige que cualquier persona, sin límite temporal, pueda conocer los datos de las personas físicas que constan en ese registro?
– ¿Permite [...] Directiva 68/151 [...]como excepción a que los datos publicados en el registro de sociedades tengan vigencia ilimitada y puedan ser consultados por destinatarios indeterminados, tales datos ya no sean «públicos» [...] sólo estén disponibles durante un período limitado o para destinatarios concretos en virtud de una apreciación caso por caso del responsable de esos datos?
Las dudas suscitadas, por lo tanto, eran, esencialmente, de índole interpretativa: cómo interpretar el Derecho de la UE con respecto a la Directiva de protección de los datos (95/46/CE) y la Directiva sobre la publicidad de los actos de las sociedades (68/151/CEE) y su accesibilidad de cara a terceros, y saber si estas se oponían a que cualquiera pudiera acceder, sin límite temporal, a datos de personas físicas que figurasen en un registro de personas jurídicas.
2.2. Aportaciones interesantes del Abogado General.
Las conclusiones del Abogado General designado, Yves Bot, presentadas el 8 de septiembre de 2016, resultan de gran interés por dos razones principales. En primer lugar, porque su fundamentación resulta ser la base jurídica del TJUE en tanto en cuanto acoge las conclusiones del Abogado General en su decisión prejudicial (sentencia de 9 de marzo de 2017, que se analizará en el siguiente apartado). En segundo lugar, porque las conclusiones de Yves Bot presentan aspectos interesantes y singulares en su argumentación, como es el caso de los límites de los derechos fundamentales a la luz del artículo 52 CDFUE (que, curiosamente luego no se citan en la sentencia del TJUE), así como la remisión y aclaración del artículo correspondiente que regula el derecho al olvido digital en el recientemente adoptado Reglamento General de Protección de Datos (a pesar de que no es la normativa a tener en cuenta en el caso analizado por no ser la legislación europea vigente en el momento del litigio). Dado que se analizarán con más detenimiento los argumentos que comparten tanto el Abogado General como la Sala Segunda del Tribunal de Justicia de la Unión Europea en lo que al derecho a la protección de datos, el principio de publicidad registral y el derecho al olvido digital concierne, se procederá a examinar los aspectos originales y divergentes de la fundamentación jurídica de Abogado General Yves Bot.
Tal y como apunta este Abogado General (AG, en adelante), resulta necesario conciliar dos principios significativos: el principio de publicidad de los registros de sociedades, consagrado en la Directiva 68/151, y el principio de conservación de los datos personales por un período no superior al necesario, establecido en la Directiva 68/151 y en la Directiva 95/46. Aquí habría que añadir también cómo ponderar el derecho al olvido digital en tanto en cuanto lo que se examina es la posibilidad o imposibilidad de limitar el principio de publicidad reforzando una anonimización o supresión de ciertos datos y/o un acceso limitado de tiempo y un acceso restringido a determinadas personas, proporcionando un olvido digital parcial y paulatino en el tiempo.
El AG recuerda que es jurisprudencia asentada del TJUE que las disposiciones de la Directiva 95/46, reguladoras del tratamiento de datos personales, deben ser interpretadas a la luz de los derechos fundamentales protegidos por la CDFUE[21], en particular, los artículos 7 y 8 dónde se consagra el derecho al respeto a la vida privada y el derecho a la protección de datos de carácter personal[22]. El AG también recuerda que es igualmente jurisprudencia reiterada del TJUE que el derecho a la protección de datos de carácter personal no es absoluto, sino que debe ser considerado en relación con su función social[23], y que, por lo tanto el artículo 52.1 de la CDFUE[24] resulta de necesaria referencia en tanto en cuanto admite que se establezcan limitaciones al ejercicio de los derechos cuando estén establecidas por ley, respeten el contenido esencial de dichos derechos y, siempre que respeten el principio de proporcionalidad, sean necesarias y respondan a objetivos de interés general o a la protección de derechos reconocidos por la UE. Este precepto y su relación con el Asunto Manni y con el derecho al olvido digital se analizarán con más detenimiento más adelante, no obstante, a modo de adelanto, se puede observar que esta disposición horizontal de la CDFUE en materia de ejercicio de los derechos fundamentales es una cláusula general de limitación de los derechos reconocidos y consagrados en ella.
A la vista de su referencia a «objetivos de interés general» recocidos por la UE, cabe destacar que el AG desarrolla, de manera exhaustiva y apoyándose en el Asunto Inspire Art[25], este concepto, argumentando que el objetivo de la Directiva reguladora de la publicidad de los actos de las sociedades prevé la publicidad legal de la información inscrita en el registro de sociedades y tiene la finalidad de garantizar la seguridad jurídica de las operaciones comerciales, la defensa de la lealtad en las transacciones comerciales constituyen razones imperiosas de interés general[26]. En este sentido, el AG también recalca la función esencial del registro de sociedades, como instrumento que representa el panorama completo de una sociedad (dibujando un retrato completo y fiel[27]), accesible a toda persona para conocer y valorar los riesgos antes de involucrarse en una determinada relación comercial, lo que justifica la necesidad de mantener registrados datos personales relativos al registro de una sociedad para así proteger los intereses de terceros.
Otro argumento interesante que lanza, a favor de una limitación al derecho al olvido, favoreciendo el principio de publicidad legal de los registros de sociedades, justificando así la proporcionalidad de dicha limitación, es el famoso argumento de índole económica: la salvaguardia y buen funcionamiento del mercado interior. Así, recuerda que la Directiva 68/151 está, precisamente dirigida a favorecer el mercado interior, y que, en aras de la seguridad jurídica necesaria para los intercambios y del propio desarrollo del mercado interior, los registros de sociedades deben contener una información mínima para garantizarla[28]. En lo que se refiere a esta cuestión, dos argumentos a favor de la limitación al derecho al olvido especifican lo siguiente: (1) que dejar a la apreciación de los encargados de la llevanza de los registros la determinación del momento temporal en el que la publicidad ilimitada se vuelve limitada y quiénes entran en el selecto grupo de «terceros con interés legítimo» supondría un quebranto de la igualdad de acceso a tales datos entre los operadores económicos en el interior de la Unión Europea[29] y (2) que la Directiva 68/151 tiene como finalidad fijar la base mínima de información relativa a las sociedades que debe ser objeto de una publicidad obligatoria, pues sería contrario al objetivo de coordinar las legislaciones nacionales y a eliminar los obstáculos a la libertad de establecimiento que resultan de la heterogeneidad de las normativas de los distintos Estados miembros el hecho de permitir a cada uno determinar el tiempo y la existencia o no de un interés legítimo para el acceso a la información que figura en su registros mercantiles[30].
Otros motivos que expone el AG a la hora de justificar la proporcionalidad del «perjuicio» o limitación del derecho a la protección de datos concretado en el derecho al olvido digital y que tampoco aparecen en la sentencia del TJUE son la función histórica del registro de sociedades como justificación para la recopilación y conservación de datos nominativos[31] o el hecho de que la comprobación de un interés legítimo y la fijación de un límite temporal de tiempo para el acceso público a la información registrada supondría una carga administrativa excesiva para los registros de sociedades que comprometería la capacidad de cumplir con sus funciones[32].
Por último, cabe a aludir al estreno del RGPD en el seno del TJUE, haciendo posible calificar, por tanto, las Conclusiones del Abogado General Yves Bot de hito cuasi jurisprudencial, no sólo por constar como la primera referencia de este instrumento jurídico en la historia del procedimiento prejudicial[33], sino también porque su mención se hace a pesar de no ser directamente aplicable en los Estados miembros hasta el 25 de mayo del 2018. De este modo, establece que el análisis realizado con base a las disposiciones relativas a la Directiva de protección de datos es también compatible con la nueva legislación europea: el artículo 17.3 del RGPD. Este prevé que el derecho de supresión de datos personales, a saber, el archiconocido derecho al olvido digital, no se aplicará cuando el tratamiento sea necesario para cumplir una obligación legal nacional o europea que requiera el tratamiento de datos o para garantizar un interés público o «en el ejercicio de poderes públicos conferidos al responsable, o con fines de archivo en interés público»[34].
2.3. Fallo del TJUE.
El TJUE, en su sentencia de 9 de marzo de 2017 tuvo que responder, por lo tanto, si las personas físicas, cuyos datos estuvieran grabados en un registro de sociedades, tenían un derecho al olvido, es decir, un derecho a que los mismos fueran suprimidos o anonimizados, o, al menos, a que se limitara su publicidad, restringiendo la facultad de acceder a los mismos cuando hubiera transcurrido un determinado periodo de tiempo.
El TJUE, en primer lugar, confirma que los datos de carácter personal que figuran en los registros de sociedades no pierden su naturaleza de «dato de carácter personal» por el mero hecho de formar parte del ámbito de una actividad profesional vehiculada a través de una persona jurídica[35], confirmando la conclusión del AG Yves Bot de que se tratan de información sobre personas físicas identificadas o identificables y no se la puede privar de dicha calificación por integrarse en el contexto de una actividad económico-profesional[36].Además, el TJUE confirma que el registro, conservación y puesta a disposición de datos personales vinculados a sociedades implica un tratamiento de datos personales y que la autoridad encargada del mismo constituye un responsable del tratamiento según lo dispuesto en el Derecho de la UE[37], confirmando nuevamente el razonamiento del AG[38].
En segundo lugar, el TJUE recuerda la finalidad de las Directivas en cuestión, pues deben garantizar un nivel elevado de protección de derechos fundamentales, en particular el respeto de la vida privada en relación con el tratamiento de datos personales, solicitando, incluso «su rectificación o incluso oponerse a su tratamiento en determinadas circunstancias»[39] y que cuando de un tratamiento de datos personales llevado a cabo por una autoridad pública se trata, este puede responder a causas legítimas tales como el respeto a una obligación legal o la realización de un interés público, y que así se ha pronunciado el propio TJUE en múltiples ocasiones[40]. Esta cuestión está desarrollada en las conclusiones del AG recordando que una de las normas europeas en cuestión, la Directiva 68/151, exige el registro y la publicidad de la información pertinente a sociedades europeas precisamente para proteger los intereses de terceros (sean acreedores, sean terceros interesados en entablar nuevas relaciones jurídicas de índole comercial) y garantizar el buen funcionamiento del mercado a través del acceso a información oficial y fiable. Así, el acceso y control, a través del principio de publicidad registral, de información relativa a personas físicas ligadas de alguna forma a una sociedad es de interés público y se enmarca dentro del ejercicio de prerrogativas del poder público pues forma parte del interés general de proporcionar seguridad jurídica, muy necesaria para las relaciones mercantiles[41].
El TJUE acoge parte de esta tesis señalando que el determinar si existe una obligación y derecho a solicitar la supresión o bloqueo de datos personales contenidos en un registro de sociedades, dependerá de la finalidad de la inscripción[42]. En el caso de la Directiva sobre la publicidad de los actos de las sociedades, el TJUE señala que esta tiene por objeto garantizar la seguridad jurídica en las relaciones entre la sociedad y terceros[43]. De la misma forma, el TJUE hace alusión al hecho de que, a pesar del cese de una actividad mercantil o de la liquidación de una sociedad, pueden subsistir derechos, deberes y relaciones jurídicas vinculadas a la misma, información que puede resultar necesaria a un tercero interesado en entrar en una relación comercial[44], razón la cual también proporciona el AG[45]. Más adelante, el TJUE analiza la cuestión relativa a los diferentes plazos de prescripción aplicables en los Estados miembros de la UE, concluyendo que resulta imposible fijar un plazo concreto, tras la liquidación de un sociedad, a partir del cual los datos de carácter personal no serían necesarios, y por ende, resultaría inadecuado poder suprimirlos o limitar el acceso a los mismos; es decir un plazo concreto para ejercer el derecho al olvido digital[46]. Así también lo analiza el AG, de su análisis se desprende que la disparidad de plazos y condiciones en los ordenamientos jurídicos de los Estados miembros efectivamente supone, en la práctica, la imposibilidad de que las autoridades encargadas de la llevanza de registros mercantiles o societarios puedan determinar una fecha concreta en la que se agotan o prescriben los intereses de los terceros, excluyendo, por tanto, la posibilidad de acceder a la información de carácter personal de las inscripciones correspondientes. En efecto, como razona, el periodo de conservación de los datos dependerá de los fines para los que fueran recopilados o tratados posteriormente, con lo que la fijación de un plazo dependerá del caso concreto. Tal y como defiende, acoger una solicitud de eliminación de datos personales que figuran en el registro de sociedades podría perjudicar a otras solicitudes de comunicación de información que sigan siendo necesarias para proteger los intereses de terceros[47].
Además, concluye que no cabe derivar de la Directiva de protección de datos un derecho a obtener la supresión de tales datos, o en otras palabras, un derecho al olvido digital, tras superar el registro de sociedades un examen lógico de proporcionalidad dado que el principio de publicidad registral se aplica sobre un número limitado de datos de carácter personal, a saber aquellos relativos a la identidad y las funciones de aquellos individuos con facultades y poder para vincular a la sociedad respecto de terceros, prevaleciendo, como norma general, la necesidad de proteger a los segundos a fin de garantizar la seguridad jurídica, la lealtad de las transacciones comerciales y, en general, el buen funcionamiento del mercado interior[48]. Así pues, el TJUE comparte la opinión del AG que exponía como primer motivo de su decisión que la exigencia de publicidad de datos eran aquellos relativos a los actos esenciales de la sociedad y ciertas indicaciones relativas a ella, en particular la identidad de las personas con el poder de obligarla, siendo estos información mínima para «identificar a las personas físicas que se ocultan tras la máscara de la personalidad jurídica de que estén revestidas las sociedades»[49].
Del mismo modo, el TJUE apunta que parece lógico que aquellas personas físicas que deciden participar en los intercambios económicos mediante una sociedad estén obligadas a hacer públicos los datos relativos a su identidad y a sus funciones en ella, obligación que ellos mismos aceptan en el momento en que deciden involucrarse en tal actividad[50]. El AG fue un paso más allá, asumiendo que la elección de actuar en la vida económica por medio de una sociedad mercantil entraña una exigencia permanente de transparencia, lo que evidencia que la injerencia en el derecho a la protección de los datos personales que supone figurar en los registros de sociedades no es más que una molestia consistente en garantizar la publicidad de estos datos de manera ilimitada para salvaguardar un interés preponderante de los terceros en tener acceso a la información en cuestión[51]. Asimismo, el TJUE considera que el hecho de que los inmuebles del complejo turístico no se vendan debido a que los potenciales adquirentes de estos inmuebles tienen acceso a los datos del ex-administrador único de una sociedad que entró en concurso de acreedores una década atrás, así recogido en el registro de sociedades, no puede justificar la limitación del acceso de terceros a estos datos[52].
Por todo ello, el TJUE afirma que, como regla general, prevalecerá la necesidad de proteger los intereses de terceros frente a las sociedades y la necesidad de garantizar la seguridad jurídica, la lealtad de las transacciones comerciales y el buen funcionamiento del mercado interior[53]. No obstante, el TJUE acaba su análisis de las cuestiones prejudiciales planteadas el dejando claro que no cabe excluir, de manera rotunda, la posibilidad de que puedan existir razones preponderantes y legítimas en un caso concreto, que justifiquen una excepción a esta regla, permitiendo una restricción de acceso a datos personales, inscritos en un registro mercantil, al expirar un plazo concreto, alegando que no se consideró justificado en este caso concreto, pero podría en otro[54]. Por lo tanto, la sentencia se puede resumir de la siguiente manera: en primer lugar, como regla general, y por razones imperiosas de interés general en el ámbito de los intercambios económicos, no cabe extender el derecho al olvido digital a los datos de carácter personal de las personas físicas inscritas en los registros de personas jurídicas o sociedades, consagrando un nuevo límite al derecho al olvido digital, y, en segundo lugar, que, en situaciones concretas, puede haber razones fundadas para que, excepcionalmente, se pueda ejercitar un derecho al olvido digital, limitando el acceso a datos personales de un registro mercantil tras el paso de un tiempo lo suficientemente largo. El TJUE, estratégicamente, y como no podía ser de otra manera teniendo en cuenta los sistemas de protección de los derechos fundamentales en el seno de UE, deja la puerta abierta para poder proteger de manera efectiva y en un futuro, el derecho fundamental a la protección de datos de carácter personal, en general, y el derecho al olvido digital, en particular.
3. Juicio de valor sobre el asunto Manni y la configuración del derecho al olvido digital: ¿avance o retroceso?
3.1. Actualización y delimitación jurídica del derecho al olvido en la Unión Europea vis-à-vis el Asunto Manni
El Asunto Manni se puede calificar de relevante por dos razones principales: en primer lugar, es la segunda sentencia del TJUE, tras el caso Google Spain S.L[55], que versa sobre el derecho al olvido digital, y, en segundo lugar, porque delimita el alcance del mismo esclareciendo una nueva excepción general a su aplicación o ejercicio. El TJUE, establece, en pocas palabras, que no existe un derecho al olvido digital (suprimir datos de carácter personal tras el paso de un cierto periodo de tiempo) en lo que a registros de sociedades concierne. Es decir, aquellos datos almacenados en registros mercantiles que identifican a las personas físicas vinculadas a personas jurídicas, o que las hacen identificables, no gozarán de la posibilidad de ser suprimidos o anonimizados, después de un plazo determinado.
Por un lado, el TJUE confirma que las labores de transcripción, almacenamiento, conservación de información de carácter personal vinculada a personas jurídicas en el registro, así como su comunicación y acceso a terceros, previa petición, sí que entra dentro del concepto europeo de «tratamiento». Por otro lado, el TJUE confirma que el registro, conservación y puesta a disposición de datos personales vinculados a sociedades implica un tratamiento de datos personales y, que la autoridad encargada del mismo, a saber el Registro Mercantil, constituye un responsable del tratamiento según lo dispuesto en el Derecho de la UE. Esto segundo, no obstante, podría plantear problemas en aquellos ordenamientos jurídicos, en los que el tratamiento de datos referidos a personas jurídicas o a los ficheros limitados a incorporar los datos de las personas físicas que prestan sus servicios en ellas están excluidos del ámbito de aplicación material de la legislación aplicable[56].
A pesar de confirmar que existen datos de carácter personal, vinculados a la persona, incluidos en este tipo de registros, afirma que, por lo general, no existe un derecho al olvido en el caso concreto de los registros de sociedades para así poder proteger la seguridad jurídica de terceros de buena fe, en particular, y el tráfico mercantil, en general. El TJUE, sin embargo, deja la puerta abierta a casos excepcionales en los que sí que se pueda alegar la supresión o anonimización (y por ende, dificultad de encontrar) de aquellos datos personales, universalmente accesibles, que se consideran obsoletos debido al paso del tiempo o que, de alguna manera, afectan al libre desarrollo de ciertos derechos fundamentales; lo que ha venido llamando «razones legítimas» por la situación particular del interesado, lo cual justificaría que, de manera excepcional, se limitara el acceso a sus datos personales, inscritos en el registro mercantil, al expirar un plazo suficientemente largo en el que los hechos se convierten en «obsoletos», «irrelevantes» en la actualidad. Es decir, que podrá darse el caso en el que, tras la expiración de un plazo suficientemente largo después de la liquidación de la sociedad por ejemplo, los Estados miembros puedan establecer el acceso restringido de terceros a estos datos personales.
Lo cierto es que esta sentencia, a pesar de ser correcta desde un punto de vista técnico y pudiendo calificar su conclusión de «lógica»[57], adolece de falta de rigor, entre otras razones, por no abordar los límites de la utilización de los datos que figuran en estos registros, sobre todo, teniendo en cuenta que la información personal, a pesar de figurar en un registro mercantil y ser sucinta, no pierde su calificación de dato de carácter personal, definido en el nuevo RGPD.
Además, observamos en la argumentación del TJUE, aunque más intensa en las Conclusiones del AG[58], una temática que ya es clásica: los mandatos del tráfico económico y la seguridad jurídica para favorecer las clásicas libertades económicas, como límite a derechos fundamentales; en este caso, los artículos 7 y 8 de la CDFUE, manifestados a través del derecho al olvido digital. Encontramos numerosas ocasiones dónde el TJUE hace mención a la importancia que se le da al «buen funcionamiento del mercado interior», a través de nociones como ‘los intereses de terceros’, ‘la seguridad jurídica’, o ‘la lealtad de las transacciones comerciales’, lo que, en otras ocasiones ha declarado que constituyen «razones imperiosas de interés general»[59]. El propio concepto de ‘interés general’, así como los conceptos de ‘seguridad jurídica’, ‘intereses de terceros’, como cualquier otro concepto jurídico indeterminado, gozan de un carácter indudablemente impreciso y evanescente si se examina en un plano abstracto, pues sólo es viable su concreción en supuestos concretos. Así, por un lado, el juez-intérprete europeo, debería haber asegurado, como parte de su esencia y tarea esencial[60], mayor claridad, optimización y concreción de lo que supone su calificación y valoración. Por otro lado, cabe poner en duda la concepción sesgada de la economía, y su buen funcionamiento, como prioridad axiomática y justificativa de la devaluación, como regla general, de los derechos fundamentales que se ponen en su paso mediante la remisión a cláusulas tales como el ‘interés general’ o la ‘seguridad jurídica’. Sobre este segundo punto cabe aludir a Ugartemendia Eceizabarrena, en referencia al principio general del Derecho comunitario de la seguridad jurídica, del cual afirma que la consecución del fin primario de la UE es una integración europea, y ello puede conllevar a priorizar dicho fin por encima de valores o derecho fundamentales concretos[61].
La seguridad jurídica, en su concreción, entre otros, mediante el principio de publicidad formal ha supuesto, tradicionalmente una razonable protección y prevalencia sobre otros bienes e intereses jurídicamente protegidos. No obstante, ya se ha dado el caso, en situaciones concretas, donde ha habido un giro interpretativo respecto al principio de publicidad y seguridad jurídica[62] relativo a documentos de carácter público, en aras de proteger la intimidad y el honor de las personas. No es de extrañar que el recientemente adoptado RGPD haga alusión a la importancia de llevar a cabo un ejercicio de equilibrio entre el acceso de información pública y la protección de datos de carácter personal[63] (aunque también constaba en la Directiva de Protección de Datos del año 96 y no queda mencionada en la STJUE).
Sin embargo, dada la importancia que cobra la economía en la creación, consagración y desarrollo de la UE, así como su destacado papel en los Estados miembros, tampoco es de extrañar que razonamientos de índole económica, inherentemente vinculados a tres de las cuatro libertades fundamentales de la Unión y a la eliminación de barreras que obstaculizan el correcto desarrollo de las actividades entre Estados miembros (a.k.a. mercado único interior)[64] haya significado, en ocasiones, la aceptación de la injerencia de ciertos derechos fundamentales para salvaguardar el buen y correcto funcionamiento del mercado en Europa. Con la regla general impuesta por el TJUE de priorizar el buen funcionamiento del mercado interior a través de la garantía de la publicidad registral de datos personales relevantes sin límite de tiempo ni de acceso, vemos precisamente esa prevalencia por asegurar una mayor armonización e integración económica en el seno de la UE. No obstante todo ello, que los derechos fundamentales puedan ser limitados en consideración al ‘interés general’ o a la ‘seguridad jurídica’ no puede suponer, en ningún caso, que este interés sea irrefutablemente superior a los derechos fundamentales de las personas, en particular, y a la dignidad humana, en general, por lo cual consideramos acertado el análisis final de la STJUE de 9 de marzo de 2017 cuando asienta la posibilidad de priorizar ciertos derechos, como es el derecho al olvido digital, sobre otros intereses o conceptos jurídicos en casos concretos y, aunque guste menos, excepcionales.
3.2. El derecho al olvido: ¿derecho efectivo o espejismo jurídico?
3.2.1. El marco jurídico actual del derecho al olvido digital
Como ya se ha apuntado, el derecho al olvido digital nace, principalmente de la preocupación creciente de la ciudadanía ante la inmensa e incontenible fuerza[65] de las NTIC, y en concreto, de la digitalización, que han venido convirtiendo las paredes de la intimidad y la vida privada en escaparates dónde todo es universal e indefinidamente accesible. Es precisamente, ante esta nueva realidad de permanencia absoluta de datos potencialmente perjudiciales para la persona que se ha planteado regular el archiconocido derecho al olvido digital, entendiéndolo como un derecho a borrar, ocultar e incluso cancelar los datos personales vinculados a hechos pasados que puedan afectar al libre desarrollo humano: olvido que, por el mero paso del tiempo, no sucede motu proprio en la red por la visibilidad que otorga a la información en línea, que perpetúa los hechos pasados de modo generalmente irrestricto. Funciona, por tanto, como un nuevo mecanismo real que garantiza el control de los datos y la información visible en la red. El derecho al olvido digital cobró un inusual protagonismo entre el 2013 y 2014 a partir del famoso Asunto Google Spain S.L, dónde se reconoció, por primera vez[66], en el seno del TJUE[67]. La doctrina que inspira esta decisión supone la consagración definitiva del derecho a ‘ser olvidado’ en el mundo digital, a nivel europeo[68].
El recientemente adoptado Reglamento General de Protección de Datos (RGPD) que deroga y sustituye a la Directiva 95/46/CE, que, hasta el 2016, fue el instrumento jurídico europeo principal en materia de protección de datos. Este nuevo marco jurídico[69] ha comportado una revisión global del sistema europeo de protección de datos, lo que supone, por lo tanto, un refuerzo del derecho a la protección de datos como pilar básico de las garantías y libertades en una Europa más que digitalizada. El RGPD, además, supone un refuerzo específico en la facultad de control del individuo con respecto a sus propios datos personales, lo que se traduce en un elenco actualizado de derechos de los interesados y derechos novedosos como ha sido la consagración normativa del derecho al olvido digital[70]. En efecto, este derecho a obtener la eliminación o supresión de datos personales se reconoce y se regula expresamente en el artículo 17 bajo el título Derecho de supresión («el derecho al olvido»). En realidad, el artículo 17 RGPD establece la existencia tanto de un derecho como de un deber a la supresión de datos personales[71]. Lo que hace este derecho diferente y autónomo a las demás facultades de control del interesado, los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), en particular los derechos de cancelación y oposición, es precisamente la obligación jurídica impuesta sobre los responsables del tratamiento de hacer «olvidar» datos de carácter personal adoptando «teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos»[72]. Tal y como han apuntado algunos autores, esta obligación fue, precisamente, una de las incorporaciones más controvertidas de la reforma europea sobre protección de datos, pues convertía al responsable del tratamiento también en responsable de la información que publicaran terceros mediante enlaces vinculados a esta[73].
Todo lo cual solo demuestra el derecho al olvido no sólo como facultad de decisión y control sobre los propios datos de carácter personal, puesto que su almacenamiento, acceso o difusión excesiva puede menoscabar la vida privada e intimidad de la persona, sino también como elemento insertado dentro de la dignidad y libertad personal de cada individuo.
3.2.2. Los derechos fundamentales como límites y los límites de los derechos fundamentales
El presente apartado obliga una breve y previa aclaración conceptual de la noción de ‘derechos fundamentales’ y de ‘límites’ de los mismos. Inspirándonos en el punto de vista de Cruz Villalón, se puede definir ‘derechos fundamentales’ como «los derechos subjetivos […] [consagrados] en cuanto encuentran reconocimiento en las Constituciones y en la medida en que de este reconocimiento se deriva alguna consecuencia jurídica»[74] y, según Aguiar de Luque, se puede precisar que los ‘límites’ de los derechos fundamentales son «toda acción jurídica que entrañe o haga posible una restricción de las facultades que, en cuanto derechos subjetivos, constituyen el contenido de los […] derechos [reconocidos en el texto dogmático en cuestión, ya sea una carta o declaración de derechos]»[75]. Estas dos tesis se pueden extrapolar de los ordenamientos constitucionales internos al supranacional europeo, en tanto en cuanto la CDFUE, aunque condicionada a la aplicación del Derecho de la Unión Europea[76], es el catálogo de derechos reconocidos en el seno de la UE. Como tal, esta declaración de derechos, este texto dogmático[77], elemento de innegable naturaleza constitucional[78], en clave garantista y de recepción formal[79], consagra un sistema de protección de los derechos inherentes de la persona. Como ya decía Weber, incluso antes de la incorporación de la CDFUE al derecho originario y el otorgamiento de naturaleza jurídicamente vinculante, esta ya llevaba consigo la particularidad de ser «directriz para la política de los derechos fundamentales e indicador de los valores fundamentales comunes y, al mismo tiempo, proporcionar una base normativa fiable y coherente […] va a adquirir una importante función como documento político-constitucional en el discurso político, y ello no sólo desde la perspectiva de los órganos sino también desde la de los ciudadanos»[80].
Esto es todavía más cierto, a día de hoy, tras la reforma del Tratado de Lisboa que agregó más contenido ‘constitucional’ al Derecho de la Unión Europea con las novedades incorporadas en el artículo 6 TUE. La CDFUE ya no consta sólo como mera fuente de referencia, sino como verdadero catálogo de derechos que, recogiendo la esencia del acervo europeo en materia de valores, principio y derechos fundamentales, supone una mayor integración política y, sobre todo, jurídica como fundamento clave para asegurar la legitimidad del Derecho europeo y de la UE en última instancia. Tal y como apuntan muchos autores, desde los inicios del constitucionalismo, los derechos fundamentales han sido, ante todo, un límite al poder[81], exigiéndole al mismo determinadas acciones y omisiones sobre las que se proyectan la salvaguarda de su contenido esencial. En el seno de la UE, la propia CDFUE contiene dos preceptos relevantes con relación a esta cuestión: el artículo 51 y el artículo 52. Según el primer apartado del artículo 51 CDFUE, este instrumento jurídico vinculante tiene dos destinatarios (las instituciones y órganos de la UE, en general, así como los Estado miembros, cuando apliquen el Derecho de la UE), y ambos deberán respetar los derechos, observar los principios y promover su aplicación con arreglo a sus competencias. Según el segundo apartado del artículo 51 CDFUE, esta no genera nuevas competencias para la UE. He aquí la confirmación de los derechos fundamentales como límites: la imposición a la Unión, en el ejercicio de sus competencias de un límite genérico que no podrá sobrepasar, y de la misma limitación, cuando se aplique Derecho europeo, en el caso de los Estados miembros. Cabe recordar que la CDFUE tenía la finalidad principal de reforzar la sumisión de los órganos e instituciones de la UE a los derechos fundamentales reconocidos en ella así establecidos por la jurisprudencia pretoriana del TJUE[82]. Así pues, parafraseando a BIGLINO CAMPOS, el debate doctrinal se centra en el artículo 51.1 CDFUE a la hora de determinar el grado de limitación que la CDFUE puede establecer sobre los Estados y sus propios ordenamientos constitucionales[83]; difícil de delimitar teniendo en cuenta la complejidad que supone que la Unión, como ente sui generis, esté dotada de una dimensión supranacional e intergubernamental.
Una vez analizados los derechos fundamentales como límites al poder en sentido amplio, cabe analizar los límites a los que enfrentan los derechos fundamentales, pues como es bien sabido, no existen derechos absolutos. El carácter limitado de los derechos es requisito sine qua non, necesario para cualquier sistema de protección de los derechos humanos, a la luz de la necesidad de equilibrar los intereses individuales y las exigencias de una vida socio-política en comunidad. Los derechos, no obstante, deben estar sujetos a restricciones razonables, lo que significa que deben estar libres de limitaciones arbitrarias y discrecionales.
Del mismo modo que los principales textos internacionales, regionales y nacionales, contenedores de declaraciones de derechos, tienen clausulas específicas que los condicionan, la CDFUE también contempla la posibilidad de que los derechos sean susceptibles de alguna que otra limitación. La CDFUE contiene una sección específica en la que establece un sistema complejo de limitaciones formales y sustantivas a los derechos fundamentales reconocidos en la misma. Por todo lo cual es fácil de entender si pensamos en la necesidad de considerar y articular el contenido y alcance de otros derechos[84]. Los límites a los derechos fundamentales nacen, entre otras razones, precisamente por su colisión con otros valores, principios, intereses jurídicos igualmente fundamentales. Por ello se incluyó el artículo 52.1 CDFUE, como clausula general «lógica» y «horizontal» de limitación[85]. Esta establece que «cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrá introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás»[86]. He aquí los límites y condiciones de la restricción del ejercicio de los derechos fundamentales: la limitación formal de existir una obligación jurídica positivada y las limitaciones sustantivas de ser proporcionales, necesarias y adecuadas o idóneas para llevar a cabo un objetivo de interés general o proteger los derechos fundamentales de los demás.
3.2.3. El principio de proporcionalidad como instrumento de salvaguarda y como principio general de interpretación del derecho al olvido digital.
Entre los criterios generales de limitación que establece la CDFUE, el principio de proporcionalidad suscita especial interés en el seno de la Unión Europea. El TJUE, en efecto, ha vuelto a confirmar la existencia de un derecho fundamental a la protección de datos manifestado a través de un poder de control sobre los propios datos de carácter personal. Este poder de control se ha venido llamando derecho al olvido digital, entendiéndolo como un derecho a ocultar, borrar e incluso cancelar, los datos personales vinculados a hechos pasados que puedan afectar al libre desarrollo de ciertos derechos fundamentales. No obstante, cuando el ejercicio de este derecho entra en conflicto con otros derechos fundamentales o principios, bienes o intereses jurídicamente protegidos, este deberá ser susceptible de ponderación junto con los demás intereses enfrentados. El TJUE, en este sentido, también ha dejado claro que toda limitación de un derecho fundamental concreto, en aras de un objetivo de interés general, no puede resultar ni desmesurada so pena de vulnerar el principio de proporcionalidad[87]. En el ámbito de la protección de los derechos fundamentales, el principio de proporcionalidad actúa más bien como canon de interpretación y parámetro esencial de ponderación, en clave comparativa, entre los derechos y las limitaciones impuestas a los primeros por ser necesarias para asegurar un interés público. El desarrollo, en la jurisdicción europea, de un principio de proporcionalidad[88] en sentido estricto, tal y como apunta Galetta, supuso una nueva interpretación, al ponderar intereses públicos y derechos fundamentales individuales, tendente a establecer que ciertas limitaciones a los derechos, y sus consiguientes perjuicios, no eran desproporcionados en tanto en cuanto respondían a consecuencias lógicas de objetivos de interés general de la Unión[89]; entre otras, aquellos relativos a la organización económica y de mercado que sí que gozaba de una calificación de interés general, como ya se ha apuntado, por ejemplo[90]. Es, de hecho, jurisprudencia más que asentada del TJUE que restricciones al ejercicio de derechos fundamentales consagrados, son posibles siempre que respondan a objetivos de interés general perseguidos por la UE y no constituyan «una intervención desmesurada e intolerable que afecte a la esencia misma de dichos derechos»[91], lo que parece resultar, aunque erróneamente, todavía más ‘justificado’ cuando tratamos de objetivos pertenecientes al ámbito de ‘una organización común de mercado’.
En materia de protección de datos, ya en el Asunto Digital Rights Ireland Ltd[92] el TJUE aludió a un derecho fundamental a la protección de datos y a la vida privada[93] desarrollando parámetros constitucionales europeos cuando están en juego derechos fundamentales, aplicando un examen de proporcionalidad más estricto[94], con el fin de proteger, de manera efectiva y real, aquellos derechos reconocidos en el ordenamiento jurídico europeo. El más reciente Asunto Manni, la injerencia a la vida privada e intimidad de las personas afectadas no supuso un perjuicio desproporcionado en comparación a garantizar el objetivo general de proteger los intereses de terceros qua interés (económico) general, expresa e implícitamente reconocidos en el artículo 3.3 TUE, para el correcto funcionamiento del mercado único interior europeo.
3.2.4. Los actuales límites del derecho al olvido.
Como ha quedado suficientemente justificado, el derecho al olvido digital juega un papel crucial en la sociedad actual[95], dotando a los individuos de un mecanismo real y efectivo para controlar sus propios datos de carácter personal. Sin embargo, la propia normativa y jurisprudencia europea deja claro que el derecho al olvido digital no es absoluto ni automático, disponiendo de límites para su ejercicio y aplicación.
El TJUE, ya en la primera sentencia que versaba sobre el derecho al olvido digital, el Asunto Google Spain SL, estableció una serie de límites para su ejercicio y aplicación: (1) excepciones previstas por ley y según lo establecido por la entonces vigente Directiva de Protección de Datos, (2) la existencia, por parte del titular, de un interés en la oposición, y un interés legítimo por parte del buscador, equilibrio entre ambos el cual podrá depender de (a) supuestos específicos, (b) de la naturaleza de la información tratada, (c) del carácter sensible para la vida privada de la persona afectada, (d) del interés del público en disponer de dicha información y (e) del papel que la persona desempeñe en la vida pública[96].
Ahora, tras la adopción del nuevo RGPD y del reciente Asunto Manni, debemos actualizar la lista de los límites al derecho al olvido digital. Conforme al artículo 17.3 RGPD, son límites al ejercicio del derecho al olvido digital, es decir, no se permitirá su aplicación cuando la información que se quiera suprimir sea necesaria: (1) para ejercer la libertad de expresión e información, (2) para el cumplimiento de una obligación legal de almacenar o tratar datos personales impuesta por el Derecho de la Unión o el Derecho nacional de uno de los Estados miembros, (3) para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable (4) por razones de interés público en el ámbito de la salud pública, (5) para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, y (6) para la formulación, el ejercicio o la defensa de reclamaciones.
A la luz de las causas legítimas que permitirán el tratamiento de datos de carácter personal y justificará la denegación del derecho al olvido, el RGPD deja claro la necesidad de ponderar los intereses en juego. En el Asunto Manni, nos encontramos con que los límites al derecho al olvido digital planteados en este caso concreto son el respeto de una obligación legal y el cumplimiento de una misión realizada en interés público, aunque se puede argumentar, que también se justifica por la finalidad de archivar en aras de un interés público o histórico. Apoyándose en jurisprudencia propia anterior, el TJUE recuerda que una «autoridad pública consistente en almacenar, en una base de datos, datos que las empresas han de comunicar en virtud de una obligación legal, en permitir a las personas interesadas consultar dichos datos o en facilitarles impresiones de éstos en papel está incluida en el ejercicio de prerrogativas del poder público […] Por otro lado, esta actividad constituye igualmente una misión de interés público». Además aclara que el objetivo del Derecho europeo consistente en garantizar la seguridad jurídica en las relaciones entre las sociedades y los terceros, dada intensificación del tráfico mercantil entre los Estados miembros como consecuencia de la creación del mercado interior, hace del derecho de información de terceros interesados y del correcto funcionamiento del mercado interior intereses públicos que justifican una limitación del derecho fundamental a la protección de datos bajo la garantía del derecho al olvido digital. Así pues, el TJUE no considera, como regla general, justificada la fijación de un plazo de prescripción en la visibilidad de los datos personales que figuran en un registro de sociedades, y por tanto, añade un nuevo límite que invalida el derecho al olvido en el ámbito del registro mercantil. No obstante, cabe incidir en que, a pesar de esta regla general, el TJUE introduce la posibilidad remota y excepcional de que, por el caso y los hechos concretos, se pueda ejercitar la supresión u ocultación de datos de carácter personal publicados en registros de sociedades.
4. Reflexiones finales y retos pendientes: la necesaria relatividad del nuevo límite general al derecho al olvido y elementos clave todavía no abordados.
La tecnología, y concretamente la informática, han avanzado de manera incomparable e imparable, facilitando el rastreo, almacenamiento, acceso, manipulación, cruce, utilización y difusión de información, incluida aquella relativa a datos de carácter personal. En efecto, la realidad digital actual y los nuevos modelos de negocio no son más que el reflejo de una sociedad impulsada por la ilimitada e infatigablemente cambiante revolución tecnológica[97] todavía en vía de mayor potencial y perfeccionamiento. Lejos de ser una moda social, la innovación tecnológica y la digitalización se han convertido en una realidad visible en todos los ámbitos de la sociedad actual, incluida la económica y la administrativa. No obstante, la amplia gama de información, a veces anárquica, a veces perfectamente ordenada, en la World Wide Web es lo que la hace tan potencialmente perjudicial. La sociedad actual, al igual de ser consciente de las nuevas posibilidades y oportunidades que la innovación tecnológica trae consigo, también lo es al hecho de que la esfera privada, y en ocasiones íntima, del individuo está al alcance de todos. La proliferación de mecanismos digitales de almacenamiento, conservación y acceso de datos que han brindado las NTIC ha puesto sobre la mesa la necesidad de controlar y limitar el acceso, registro, conversación y difusión de contenidos, sobre todo los datos de carácter personal, y concretamente aquellos que puedan condicionar negativamente el libre desarrollo de la persona. Las no pocas y comprensibles preocupaciones sobre el impacto de dichos progresos en el aumento de riesgos potenciales para los derechos fundamentales han sido el punto de partida para la discusión y regulación de un derecho al olvido digital.
En efecto, a pesar de las facilidades que la era digital ofrece de cara a la comunicación, globalización y al mejor funcionamiento de la economía, dado que varios elementos esenciales de este nuevo escenario pueden menoscabar los derechos más esenciales, un derecho que permita anonimizar, ‘desindexar’, suprimir o cancelar datos de carácter personal supone una garantía necesaria para garantizar la dignidad y el libre desarrollo de la persona, en general, y su privacidad, en particular. Ya no hablamos de un derecho hipotético: el derecho fundamental a la protección de datos, y su concreción en el derecho al olvido digital, reconocido, por primera vez en el Asunto Google Spain y consagrado, recientemente, en el nuevo Reglamento General de Protección de Datos, a nivel europeo, ha nacido y evolucionado[98] con el objeto de dar respuesta a la nueva realidad y contrarrestar los riesgos más característicos del almacenamiento y tratamiento de la información personal. Entre ellos, cabe destacar la posibilidad de recuperar, independientemente del transcurso del tiempo o de su relevancia actual, datos de carácter personal.
Pese a ello, como en otras muchas ocasiones, el ejercicio de este derecho puede suponer el menoscabo de otro, y por lo tanto, exige de los operadores jurídicos, y en particular del juez-intérprete, que los regule, analice y pondere debidamente. Todas las sociedades se enfrentan a la tarea de adaptar las convenciones, normas y leyes para aplicar valores y principios atemporales a las nuevas condiciones; función principal del Derecho cuando actualiza la normativa aplicable o regula situaciones emergentes. No obstante, a raíz del examen realizado en el presente trabajo, se confirma el carácter no absoluto, la continua evolución y el choque entre derechos fundamentales, principios e intereses, sean estos clásicos o recientes. Hoy, por hoy, no se puede afirmar que el derecho al olvido digital sea un derecho omnicomprensivo que suponga un olvido ciego o un borrado general pues requiere de un forzoso acotamiento[99]. En el caso del derecho al olvido digital, su ejercicio, en tanto en cuanto supresión de información, entra en directa colisión con bienes jurídicos protegidos por las libertades informativas (la libertad de expresión, el derecho a la información, el principio de transparencia, entre otros). Al tener los derechos fundamentales la misma fuerza, no haber una jerarquía entre ellos, y tener el mismo valor los diferentes principios rectores del ordenamiento jurídico en cuestión, cuando entran en conflicto, resulta necesario un ejercicio de equilibrio. Uno de los cánones interpretativos más relevantes, en el ámbito de la protección de los derechos fundamentales, en la técnica de ponderación, es el principio de proporcionalidad[100], entendido, en sentido estricto, como el examen, mediante un ejercicio comparativo, de los beneficios que se derivan de la persecución del objetivo y los sacrificios que supone para otros derechos e intereses en juego.
Concretamente en el Asunto Manni, la técnica interpretativa y argumentativa de la ponderación, en este caso, se enfrentaba a la reconciliación de dos intereses en conflicto: el ejercicio del derecho al olvido digital (a saber, suprimir o anonimizar ciertos datos de carácter personal de un registro mercantil por un transcurso debido de tiempo y su desconexión con la realidad actual) y el derecho de información/acceso (a través del principio de publicidad registral, extrapolado del principio de seguridad jurídica) por parte de terceros para el correcto y armonizado ejercicio de las actividades mercantiles dentro del mercado interior europeo. No es del todo sorprendente que de la lucha de estos gigantes valores jurídicos ganase el derecho a la información (representado a través del principio de publicidad registral), por parte de terceros, para asegurar la seguridad jurídica en las relaciones mercantiles, sobre todo teniendo en cuenta el origen económico y siendo el mercado interior uno de los principales y actuales objetivos de la Unión. Así, el tráfico económico y la seguridad jurídica de terceros de buena fe (a través del principio de publicidad registral) conforman el coctel perfecto para invocar un objetivo de interés general, siendo este una de las posibilidades previstas en la CDFUE para la limitación del ejercicio de los derechos fundamentales (art. 52.1 CDFUE).
Si bien es cierto que el TJUE concluye que, como regla general no existe un derecho al olvido digital en el ámbito de registro de sociedades, añade que, lógicamente, puede excepcionarse esta regla general por razones preponderantes, legítimas y particulares que justifiquen la necesidad ejercitar un derecho a ocultar, anonimizar, suprimir o cancelar ciertos datos personales. El hecho de que el TJUE no cerrara la posibilidad de excluir este nuevo límite al derecho al olvido digital está fundamentado en la protección de la intimidad (como parte de la inviolabilidad de la persona) y sobre todo, del libre desarrollo de la persona, implícitamente reconociendo por tanto, que la publicidad debe estar supeditada al derecho al olvido cuando la información o las situaciones jurídicas divulgadas o hechas accesibles puedan menoscabar la dignidad de la persona. Ello no podía ser de otra manera si pensamos en las consecuencias jurídicas y personales puede suponer el rechazo de un derecho a anonimizar o limitar el acceso a los datos personales del afectado. Al igual, o de manera más exagerada que en el Asunto Manni, podrían darse casos en los que la imposibilidad de vender los inmuebles construidos, por falta de confianza (a pesar del tiempo trascurrido y de la dificultad de probar que el ‘fracaso’ de la anterior sociedad dirigida se debía a razones fuera de su control) ya no sólo supondría un menoscabo a la reputación, sino en directa consecuencia, la imposibilidad de mantener a flote una empresa sin ingresos, impidiendo el desarrollo profesional, y, en última instancia, el personal.
En otro orden, uno de los grandes problemas, y subsecuentes retos, del derecho al olvido digital es la libertad de expresión como principal limitación[101]. El choque entre la libertad de expresión y el derecho a ser olvidado, tradicionalmente ha generado controversia y generará no pocos problemas en la aplicación del RGPD si no se hace un esfuerzo por aclarar el alcance y límites de ambos vis-à-vis el paradigma digital actual. Por lo demás, obviamente seguirán planteándose potenciales problemas en materia de límites al derecho de acceso a la información al tomar en consideración la jurisprudencia del TEDH; en cualquier caso, dicha jurisprudencia del TEDH, así como la todavía controvertida adhesión de la UE al CEDH excede la problemática abordada en la presente contribución.
Repárese también que, en esta sentencia, no se abordan los límites de la utilización, por parte de terceros, de los datos que figuran en estos registros ya que, dependiendo del uso que se haga de los mismos, puede suponer, en la práctica, un menoscabo grave para el libre desarrollo de la persona en cuestión. En este asunto fue, a fin de cuentas, una sociedad especializada (entidad privada) en rating la que accedió, como tercero interesado, al registro societario y publicó la información contenido en el mismo, incluida la personal. Tradicionalmente los afectados por la hiperaccesibilidad que las NTIC permite de diferentes tipos de información publicada por su consideración de fuentes accesibles al público o de interés público, se han dirigido frente a los motores de búsqueda[102] (también entidades privadas). La doctrina del TJUE ya ha señalado, en numerosas ocasiones, que hay que equilibrar los propósitos que se persiguen con la publicidad de información administrativa y el derecho a la protección de datos en Internet. Si bien es cierto que la información del sector público es más fácil que pierda interés legítimo con el paso del tiempo (pensemos en cualquier tipo de notificación ciudadana), posibilitando su disociación, cosa distinta parece ser la modificación del grado de accesibilidad a la información publicada en registros que gozan de interés público y aseguran el principio de seguridad jurídica en las transacciones comerciales y la información que terceros hagan de ella. En el Asunto Manni se concluyó que la información personal almacenada en un registro mercantil no es susceptible de ser «borrada» o «anonimizada», salvo en casos concretos no especificados, y aquí el TJUE no entra a valorar qué consecuencias tiene para terceros que acceden y utilizan dicha información[103], lo que hubiera sido de ayuda. Entonces ¿en qué medida se puede ejercitar el derecho al olvido frente a la entidad privada que publicó dicha información? Pregunta cuya respuesta también queda en el aire por ahora, aunque a raíz de esta reciente jurisprudencia, no cabe duda de que la materia en cuestión requerirá y conocerá interpretación judicial ulterior.
El desacuerdo sobre el derecho al olvido es más bien «de prescripción que de diagnóstico»[104]. Es decir, no cabe duda de que la vida privada e intimidad, y por tanto, los datos de carácter personal, deben ser protegidos, y que la garantía del derecho al olvido digital puede ser necesaria en ciertas ocasiones (pensemos por ejemplo, el caso de la identidad de género, en la que el pasado no puede ser un eterno presente). En efecto, el respeto a la vida privada y a sus valores se encuentra muy arraigado a nuestra tradición jurídica civilista y se muestra inseparable de la propia existencia del individuo y el ejercicio de sus libertades. Europa ha estado siempre en la vanguardia con respecto al respeto de la vida privada y familiar. De hecho, la experiencia histórico-jurídica en el continente europeo muestra, precisamente, que la privacidad es una parte integral de la dignidad humana y la libertad personal, y que el derecho a controlar los datos personales está íntimamente conectada con ella[105]. Las divergencias, por tanto, vienen atribuidas por el modo de regular esta nueva garantía y de equilibrarlo con otros intereses jurídicos.
La famosa STJUE Google Spain SL de 2014, junto con el Reglamento Europeo de Protección de Datos y, ahora, la STJUE Manni, constituyen incipientes vectores de nuevos desarrollos para los derechos fundamentales en juego, a saber la reputación, el honor, el derecho a la protección de datos, en particular, y la libertad y la dignidad humana, en general. Así pues, el hecho de que exista una protección reforzada para los usuarios a través de un mayor control sobre sus propios datos personales, a través del derecho al olvido digital, supone un paso importante hacia la reafirmación de que la dignidad y libertad personal deben tener garantías específicas a través de una autodeterminación informativa que permita a los usuarios colocarse en igualdad de condiciones para enfrentarse a los daños potenciales que brinda la hipermnesia del mundo virtual y el uso que de sus datos el mercado y la sociedad haga de ellos.
Las NTIC han supuesto numerosas ventajas y beneficios para las empresas, las administraciones y la ciudadanía, en orden a facilitar sus objetivos profesionales, públicos y personales, respectivamente, a través de sistemas y elementos más eficientes. No obstante, no se puede no aludir a que la innovación tecnológica y digital entraña eventuales peligros implícitos y explícitos en su uso[106], deteriorando aquellos derechos personalísimos vinculados y derivados de la dignidad de la persona. El derecho al olvido se enmarca dentro de la dignidad y libertad personal de cada individuo y el respeto a su vida privada, intimidad y honor en el ámbito digital, aunque, a la sazón, se le ha atribuido un nuevo límite a su aplicación. Todo ello sólo demuestra que el derecho al olvido, como categoría autónoma, está todavía en fase embrionaria, y que su desarrollo seguirá siendo polémico y deberá contemplar múltiples matices y situaciones particulares y ser adaptada a los incesantes avances de las NTIC. Pero, en ningún caso, deberán estos retos derivar en la inacción o regulación ineficaz, so riesgo de negar protección de derechos personalísimos y de obstaculizar el progreso socio-económico. Por ello, es todavía necesario profundizar y considerar las posibilidades y el equilibrio de las políticas de la Unión Europea destinadas a garantizar un modelo garantista de privacidad mientras se avanza en las agendas socio-económicas y digitales.
[*] Cómo citar / Citation ‘Chicago-Deusto’ (Autor-fecha / Author-date / Lista de referencias / Reference list entries): Martínez López-Sáez, Mónica. 2017. «Los nuevos límites al derecho al olvido en el sistema jurídico de la Unión Europea: la difícil conciliación entre las libertades económicas y la protección de datos personales». Estudios de Deusto 65, n.º 2: 139-176. doi: http://dx.doi.org/10.18543/ed-65(2)-2017pp139-176.
[1] P. Simón Castellano, El régimen constitucional del derecho al olvido digital (Tirant lo Blanch, Valencia, 2012), 38.
[2] I. Alamillo Domingo, «La identidad digital en la Red», Rallo Lombarte, A. y Martínez Martínez, R. (Eds.) Derecho y Redes Sociales (Civitas, Navarra, 2013), 39-46.
[3] Como lo ha definido Esther Mitjans (2011) en el VII Congreso Internacional sobre Internet, Derecho y Política: Neutralidad de la red y derecho al olvido, disponible en <https://libros-revistas-derecho.vlex.es/vid/relato-internet-tica-neutralidad-olvido-464236990#footnote_14>
[4] A. Galetta y P. De Hert, «A European perspective on data protection and access rights», C. Norris y X. L’hoiry (Coords.), Deliverable D5: Exercising democratic rights under surveillance regimes, 8, disponible en <http://irissproject.eu/wp-content/uploads/2014/06/European-level-legal-analysis-Final1.pdf>
[5] Como instrumento adoptado para regular la armonización de protección de los datos en el ámbito de la libre circulación en el mercado interior, que incluía también la libre circulación de datos. Algunos incluso la han calificado de hito en la historia de la protección de los datos personales en la UE. Vid., por ejemplo, A. Rallo Lombarte, «Hacia un nuevo sistema europeo de protección de datos: las claves de la reforma», Revista de Derecho Político, núm. 85 (2012): 17 y ss.
[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, disponible en <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:es:HTML>
[7] Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, disponible en <http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=EN>
[8] En este sentido, cabe recordar que el RGPD tiene la particularidad de que entró en vigor el 24 de mayo de 2016 pero se aplicará directamente en los Estados miembros, a partir del 25 de mayo de 2018.
[9] J. L. Piñar Mañas, «Introducción hacia un nuevo modelo europeo de protección de datos», J. L. Piñar Mañas, (Dir.), Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad (Reus, Madrid, 2016), 22.
[10] El RGPD supone, por lo tanto, un refuerzo del derecho a la protección de datos como pilar básico de las garantías y libertades en una Europa digitalizada y pretende alcanzar una verdadera armonización, en todo el territorio de la UE, en materia de protección de datos, mediante el uso de una norma única y de aplicación directa en todos los Estados Miembros. Para un análisis exhaustivo, vid. A. Rallo Lombarte, «Hacia un nuevo sistema europeo de protección de datos: las claves de la reforma», Revista de Derecho Político, núm. 85 (2012), 16.
[11] En este sentido, cabe hacer mención del Considerando 65 del RGPD, así como el Considerando 66 del RGPD, no sólo efectuando una alusión explícita a la finalidad del derecho al olvido digital, sino también bautizándolo con tal nombre. Se puede apreciar el peso e influencia que llegó a tener el caso Google Spain, SL, que más adelante analizaremos, para el legislador europeo, pues dedica y titula una disposición al «derecho al olvido» digital.
[12] A grandes rasgos, cuando estos ya no sean necesarios para los fines con los que fueron recogidos o tratados, cuando el interesado retire su consentimiento, cuando el interesado se oponga al tratamiento y no existan motivos fundados para continuar con dicho tratamiento, cuando los datos hayan sido tratados ilícitamente, cuando sea necesario para el cumplimiento de una obligación legal establecida en el Derecho de la UE o nacional y cuando se hayan obtenido mediante una oferta de servicios electrónicos.
[13] M. Arenas Ramiro, M., «Hacia un futuro derecho al olvido de ámbito europeo» J. Valero Torrijos, (Coord.), La Protección de datos personales en Internet ante la innovación tecnológica (Thomson Reuters-Aranzadi, Cizur Menor, 2013), 337.
[14] Para un análisis interesante, vid. L. Cotino Hueso, «La colisión del derecho a la protección de datos personales y las libertades informativas en la red: pautas generales y particulares de solución», L. Cotino Hueso, L. (ed.), Libertades de expresión e información en Internet y las redes sociales: ejercicio, amenazas y garantías (Publicaciones de la Universidad de Valencia, Valencia, 2011), 386-401.
[15] Ahora bien, como se verá más adelante, la necesidad de dar publicidad, de ser transparente o de informar a la ciudadanía no supone un olvido de los derechos fundamentales en conflicto, sino establecer un equilibrio en base a la proporcionalidad mediante la ponderación.
[16] A. E. Pérez Luño, «La protección de la intimidad frente a la informática en la Constitución española de 1978», Revista de estudios políticos, núm. 9 (1979), 59.
[17] Ver, en el caso español, por todas, STC 11/1981 de 8 de abril y STC 2/1982 de 29 de enero que ponen de manifiesto esta idea, además de la necesidad de proteger o preservar no sólo derechos constitucionales (tanto los que establece la Constitución de manera expresa, como los que derivan de una manera mediata o indirecta de ella), sino también otros bienes constitucionalmente protegidos (fundamentos jurídicos 5 y 11 respectivamente).
[18] Entre ellas el ejercicio de la libertad de expresión, el cumplimiento de una obligación legal o misión realizada por motivos de interés público o salud pública, con fines de archivo, de investigación científica, histórica, con fines estadísticos, y en caso de ser necesario para la formulación, el ejercicio o la defensa de reclamaciones.
[19] A. Garriga, Nuevos retos para la protección de datos personales en la era del Big Data y la computación ubicua (Dykinson, Madrid, 2015), 115.
[20] Asunto C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce v. Salvatore Manni, STJUE de 9 de marzo de 2017.
[21] Véase por todas, el Asunto Schrems (C-362/14, Schrems y DP Commissioner, STJUE de 6 de octubre de 2015).
[22] Vid apartados 44 y 47 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[23] Véase por todas, el Asunto Schecke (C-92/09 y C-93/09, Volker und Markus Schecke GbR c. Land Hessen y Eifert c. Land Hessen y Bundesantalt fur Landwirtschaft un Ernahrung, STJUE de 9 de noviembre de 2010).
[24] Establece que: «Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás».
[25] Asunto C-167/01, Kamer van Koophandel en Fabrieken voor Amsterdam c. Inspire Art Ltd, STJUE de 30 de septiembre de 2003.
[26] Vid. apartados 63 y 64 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[27] Vid. apartado 69 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[28] Vid apartados 60 a 61 de las Conclusiones del Abogado General de 8 de septiembre de 2016
[29] Vid. apartados 92 y 93 de las Conclusiones del Abogado General de 8 de septiembre del 2016.
[30] Vid. apartado 94 de las Conclusiones del Abogado General de 8 de septiembre del 2016.
[31] Vid. apartados 78 y 79 de las Conclusiones del Abogado General de 8 de septiembre del 2016.
[32] Vid. apartado 96 de las Conclusiones del Abogado General de 8 de septiembre del 2016.
[33] No ha habido sentencias del TJUE que hagan mención del RGPD pues no se han generado conflictos a partir de la entrada en vigor del mismo y tras estas conclusiones generales, sólo ha habido dos Abogados Generales que han hecho mención explícita del RGPD en sus conclusiones: vid. Asunto Puškár (C-73/16) con la AG Juliane Kokott y el Asunto Rīgas satiksme (C-13/16) con el AG Michal Bobek.
[34] Vid. apartado 101 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[35] Vid. apartado 34 de la STJUE de 9 de marzo de 2017.
[36] Vid. apartado 38 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[37] Vid. apartados 35 de la STJUE de 9 de marzo de 2017.
[38] Vid. apartados 39 y 40 de las Conclusiones del Abogado General de 8 de septiembre de 2016
[39] Vid. apartado 38 de la STJUE de 9 de marzo de 2017.
[40] Vid. apartados 41 a 43 de la STJUE de 9 de marzo de 2017: «la actividad de una autoridad pública consistente en almacenar […] datos que las empresas han de comunicar en virtud de una obligación legal, en permitir a las personas interesadas consultar dichos datos […] incluida en el ejercicio de prerrogativas del poder público […]».
[41] Vid. apartado 54 a 58 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[42] Vid. apartado 48 de la STJUE de 9 de marzo de 2017.
[43] Vid. apartados 49 y 50: «[…] como garantía respecto a terceros, […] la publicidad debe permitir a los terceros conocer los actos esenciales de la sociedad y ciertas indicaciones relativas a ella, concretamente la identidad de las personas que tienen el poder de obligarla […] [para] que toda persona deseosa de establecer y mantener relaciones comerciales con sociedades radicadas en otros Estados miembros pueda fácilmente tomar conocimiento de los datos esenciales […]».
[44] Vid. apartado 52 y 53 de la STJUE de 9 de marzo de 2017.
[45] Vid. apartado 72 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[46] Vid apartados 55 y 56 de la STJUE de 9 de marzo de 2017.
[47] Vid. apartados 80 a 82 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[48] Vid apartados 57 a 60 de la STJUE de 9 de marzo de 2017.
[49] Vid. apartado 71 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[50] Vid. apartado 59 in fine de la STJUE de 9 de marzo de 2017.
[51] Vid. apartado 100 en relación con el apartado 85 de las Conclusiones del Abogado General de 8 de septiembre de 2016.
[52] Vid. apartado 63 in fine de la STJUE de 9 de marzo de 2017.
[53] Nuevamente observamos la clásica justificación de índole económica que se analizará y criticará con más detenimiento en otro apartado del presente trabajo.
[54] Vid. apartado 60 a 63 de la STJUE: «[…]no constituye una razón de este tipo, habida cuenta, en particular, del interés legítimo de éstos a disponer de esa información.»
[55] Que reconoció un «derecho al olvido digital» frente a los motores de búsqueda, entendido como un derecho a dificultar la localización de datos personales en Internet, cuando estuvieran disponibles a toda persona que fuera a la fuente original sin intermediación de un motor de búsqueda.
[56] En el caso de España, por ejemplo, vid. Artículo 2 de la RDLOPD.
[57] Tanto la sentencia del Asunto Google Spain SL como las resoluciones de la AEPD sobre el derecho al olvido parecen dejar fuera de la supresión de datos personales (o en otras palabras, el derecho al olvido digital) aquellos relativos al ámbito profesional; aunque, a la vez, esto pueda suponer un riesgo para la dignidad y el libre desarrollo de la personalidad en algunos casos (razón por la cual es comprensible que el TJUE no haya cerrado la posibilidad de limitar otros derechos e intereses a favor del derecho al olvido digital, y no viceversa).
[58] Que, adhiriéndose a las Conclusiones del AG Jaaskinen, confirma que «el almacenamiento de datos en el Registro Mercantil en cumplimiento de una obligación legal se lleva a cabo en interés general en aras de la seguridad jurídica» (apartado 58).
[59] En este sentido vid., por todas, la STJUE de 30 de septiembre de 2003 (Asunto Inspire Art -C-167/01-), apartado 132.
[60] Como apunta L. Jimena Quesada: «Decir el Derecho (Juris-dictio) con prudencia (Juris-prudentia) debería significar, como mínimo, mejorar su tenor literal puesto que si, en puridad, ‘in claris, interpertation non fit’, cuando la interpretación revela necesaria es porque atiende precisamente a esta tarea clarificadora u optimizadora». Vid. L. Jimena Quesada, Devaluación y Blindaje del Estado social y democrático de derecho (Tirant Lo Blanch, Valencia, 2017), 23.
[61] Vid. J. I. Ugartemendia Eceizabarrena, «El concepto y alcance de la seguridad jurídica en el Derecho constitucional español y en el Derecho comunitario europeo: un estudio comparado», Cuadernos de Derecho Público, núm. 28 (mayo-agosto 2006), 53.
[62] En materia de resoluciones judiciales en España, por ejemplo, se llevó a cabo un cambio interpretativo del concepto de interesado, pues en la práctica se entendía en su sentido amplio y conformaba el libre e indiscutido acceso a los textos completos de resoluciones judiciales. Así, se delimitó su concepto y aplicación, exigiendo tanto una justificación de legitimidad para acceder a dichos textos y una obligación de utilizar dicha información, incluida la de carácter personal, para la consecución de propósitos estrictamente judiciales, todo ello en aras de salvaguardar la privacidad y los derechos relativos a la vida privada de aquellas personas que constaban en dichos textos. El propio Tribunal Constitucional español, por ejemplo, a pesar de no seguir esta nueva doctrina jurisprudencial por considerarse sus sentencias «fuentes de carácter público», y por lo tanto publicarse íntegramente, sí que ha contemplado la posibilidad de evitar la inclusión de datos personales que no resulten estrictamente necesarios para formular el razonamiento en el que se fundamenta el veredicto e incluso ha adoptado, en casos excepciones, medidas encaminadas a la anonimización de determinadas personas o datos de carácter personal en sus resoluciones. Para un análisis exhaustivo de la cuestión, vid. P. Simón Castellano, El régimen constitucional del derecho al olvido digital (Tirant lo Blanch, Valencia, 2012), 63-98.
[63] Vid. considerando 154 RGPD: «El presente Reglamento permite que, al aplicarlo, se tenga en cuenta el principio de acceso del público a los documentos oficiales. El acceso del público a documentos oficiales puede considerarse de interés público. Los datos personales de documentos que se encuentren en poder de una autoridad pública o un organismo público deben poder ser comunicados públicamente por dicha autoridad u organismo si así lo establece el Derecho de la Unión o los Estados miembros aplicable a dicha autoridad u organismo. Ambos Derechos deben conciliar el acceso del público a documentos oficiales y la reutilización de la información del sector público con el derecho a la protección de los datos personales y, por tanto, pueden establecer la necesaria conciliación con el derecho a la protección de los datos personales de conformidad con el presente Reglamento. La referencia a autoridades y organismos públicos debe incluir, en este contexto, a todas las autoridades u otros organismos a los que se aplica el Derecho de los Estados miembros sobre el acceso del público a documentos.»
[64] Vid. artículo 3 del Tratado de la Unión Europea (TUE, en adelante) donde se establecen los fines y objetivos de la Unión Europea, entre los que encontramos (1) un espacio de libertad seguridad y justicia sin fronteras interiores (incluidas no solo la liberta de libre circulación de mercancías, capitales, servicios y trabajadores tal como estaba previsto en el Tratado inicial, sino que también se refiere a los individuos (libertad movimiento, circulación de ciudadanos), y (2) un mercado único.
[65] A. Cobacho López y L. Burguera Ameave, «Responsabilidad de los webmasters y derecho al olvido digital», J. Valero Torrijos, La Protección de los Datos Personales en Internet ante la Innovación Tecnológica (Thomson-Reuters Aranzadi, Cizur Menor, 2013), 401.
[66] En ese momento la Directiva 96/46/EC era la normativa europea en vigor sobre protección de datos, y esta establecía, a lo largo de su articulado, la necesidad de dotar a los usuarios de unos derechos y la necesidad de crear unas obligaciones para los responsables del tratamiento de datos, en aras de proteger y garantizar los derechos fundamentales de las personas en la Red Internet, todo ello a través de derechos y deberes de rectificación, oposición y supresión del tratamiento de datos en determinadas circunstancias (vid. por ejemplo, artículos 12(b), 12 (c) y 14(b) de la Directiva, entre otros). Estas disposiciones, junto con el hecho de que la Directiva se redactara con el objetivo principal de proteger los derechos y libertades fundamentales de los individuos, tales como su privacidad e intimidad en lo relativo al tratamiento de sus datos, se deben interpretar más bien como el primer paso y el punto de partida del reconocimiento del que luego sería el derecho al olvido digital.
[67] Asunto C-131/12, Google Spain, S.L., c. AEPD y Mario Costeja Gonzalez, STJUE de 13 de mayo de 2014. Este caso versaba sobre información indexada y almacenada en motores de búsqueda en Internet, el tratamiento y procesamiento de dichos datos y la interpretación de qué se consideraba controlador de datos, así como interpretar los derechos del interesado en relación con los artículos 7 y 8 de la Carta de Derechos Fundamentales de la UE y la Directiva 95/46/CE. Según el TJUE, el tratamiento y procesamiento de datos incluye operaciones de descarga, pero también la exploración en Internet de manera automatizada, constante y sistemáticamente en búsqueda de información publicada que supone un motor de búsqueda se considera un controlador de datos de carácter personal, y dada la importancia e influencia de los motores de búsqueda en la actualidad, el interés económico no puede justificar ni prevalecer sobre la injerencia en los derechos fundamentales del interesado (apartado 81). Así pues, se concluyó que el motor de búsqueda debe borrar la información y los vínculos de la lista de resultados en aras a garantizar una protección eficaz del derecho a la vida privada y del derecho a la protección de datos del interesado (apartado 99).
[68] Se ha reconocido, en el seno de la Unión Europea, el derecho de los ciudadanos a solicitar que cualquier motor de búsqueda elimine la información que ellos consideran que es irrelevante para los demás y que podría perjudicar derechos personalísimos y ligados a la dignidad humana tales como el derecho a la intimidad, al honor y a la propia imagen
[69] Para un análisis más extenso de las implicaciones del cambio, vid. R. Martínez Martínez, «Protección de datos personales y redes sociales un cambio de paradigma», A. Rallo Lombarte y R. Martínez Martínez, Derecho y Redes sociales (Thompson / Civitas, Madrid, 2010), 83-116.
[70] M. Álvarez Caro, «El derecho de rectificación, cancelación, limitación del tratamiento, oposición y decisiones individuales automatizadas», J. Valero Torrijos (Coord.), La Protección de datos personales en Internet ante la innovación tecnológica (Thomson Reuters-Aranzadi, Cizur Menor, 2013), 227-228.
[71] A grandes rasgos, cuando estos ya no sean necesarios para los fines con los que fueron recogidos o tratados, cuando el interesado retire su consentimiento, cuando el interesado se oponga al tratamiento y no existan motivos fundados para continuar con dicho tratamiento, cuando los datos hayan sido tratados ilícitamente, cuando sea necesario para el cumplimiento de una obligación legal establecida en el Derecho de la UE o nacional y cuando se hayan obtenido mediante una oferta de servicios electrónicos.
[72] Vid. articulo 17.2 RGPD.
[73] M. Arenas Ramiro, «Hacia un futuro derecho al olvido de ámbito europeo», J. Valero Torrijos (Coord.), La Protección de datos personales en Internet ante la innovación tecnológica (Thomson Reuters-Aranzadi, Cizur Menor, 2013), 361.
[74] P. Cruz Villalón, «Formación y evolución de los derechos fundamentales», Revista Española de Derecho Constitucional, núm. 25 (1989), 41.
[75] L. Aguiar de Luque, «Los límites de los derechos fundamentales», Revista del Centro de Estudios Constitucionales, núm.14 (enero-abril, 1993), 10.
[76] Vid. artículo 51.1 CDFUE y S. Douglas-Scott, «The European Union and Human Rights after the Treaty of Lisbon», Human Rights Law Review, núm. 11/4 (2011), 652.
[77] L. Jimena Quesada, «La Carta de Derechos Fundamentales de la UE: rango legal y contenidos sustantivos», Cuadernos europeos de Deusto, núm. 40, (2009), 63.
[78] A modo de aclaración: cuando se alude a elementos «constitucionales» en referencia a la Unión Europea, es evidente que no cabe atribuir la naturaleza de «Estado constitucional» a dicha organización supranacional ni el carácter de «Constitución formal» a su Derecho primario (del que forma parte, por lo demás, la CDFUE), pese a lo cual es común referirse al proceso de constitucionalización de Europa o a la idea de Constitución europea material. En este sentido, vid. P. Cruz Villalón, «La Constitución inédita. La dificultad del debate constitucional europeo», Revista Española de Derecho Europeo, núm.1 (2002), 10 y A. Bar Cendón, «La Constitución de la Unión Europea: contexto, reforma y virtualidad», Revista Valencia d’Estudis Autonòmics (Ejemplar dedicado a Europa en la encrucijada), núm.43-44 (2004), 152, respectivamente.
[79] Refleja un proceso de recepción universal si observamos de donde proviene su inspiración: declaraciones internacionales de derechos humanos, la jurisprudencia pretoriana sobre derechos fundamentales elaborada por los Tribunales Europeos, así como tradicionales constitucionales comunes de los Estados miembros.
[80] A. Weber, «La Carta de los Derechos Fundamentales de la Unión Europea» (trad. J. L. Rodríguez Álvarez), Revista Española de Derecho Constitucional, núm. 64 (enero-abril 2002), 81.
[81] Entre otros, vid. R. De Asís Roig; P. Biglino Campos, Las paradojas de los derechos fundamentales como límites al poder (Dykinson, Madrid, 2000), 95 y ss; P. Biglino Campos, «Los derechos fundamentales y competencia de la Unión: el argumento de Hamilton», Revista de Derecho Comunitario Europeo, núm. 14 (enero-abril 2003), 53; H. Nogueira Alcalá, «Aspectos de una Teoría de los Derechos Fundamentales: La Delimitación, Regulación, Garantías y Limitaciones de los Derechos Fundamentales», Revista Ius et Praxis, núm. 11/2 (2005), 15-64; M. I. Garrido Gómez, «La relación entre los derechos fundamentales y el poder», Universitas-Revista de Filosofía, Derecho y Política, núm. 10 (julio 2009), 18.
[82] Vid. 2007/C 303/02 Explicaciones relativas al texto completo de la Carta, 16, disponible en <http://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32007X1214(01)&from=ES>
[83] P. Biglino Campos, «Los derechos fundamentales y competencia de la Unión: el argumento de Hamilton», Revista de Derecho Comunitario Europeo, núm. 14/7 (enero-abril 2003), 53 y 66. Tal y como argumenta Biglino Campos, si tomamos en consideración las explicaciones de la Carta, esta confirma que los Estados miembros está vinculados a los derechos fundamentales, no solo cuando lo apliquen, sino también cuando lo «deroguen» el Derecho de la Unión Europea (es decir, cuando se acojan a una excepción prevista en el mismo para no aplicarlos). Además, Además de contar como límites a los poderes supranacionales o estatales, los derechos fundamentales también influyen en materia competencial, ya que, para su efectiva protección, se debe determinar a qué sujeto estará obligado a llevarlo a cabo. Por ello, el apartado 2 del artículo 51 establece que la protección de los derechos consagrados en la misma no dará lugar a una ampliación de potestades por parte de la UE, lo que se podía ya inferir del principio de atribución de competencias y del principio de subsidiariedad; así, en el ordenamiento jurídico europeo, los derechos fundamentales no constituyen un título atributivo de competencias, impidiendo así toda alteración.
[84] Es así de obligada referencia citar, por ejemplo, el artículo 4 de la Declaración de los Derechos del Hombre y del Ciudadano de 1789 cuando establece que el ejercicio de los derechos de cada individuo no tiene otros límites que los que garantizan a los demás. Precepto completo disponible en <http://www.conseil-constitutionnel.fr/conseil-constitutionnel/root/bank_mm/espagnol/es_ddhc.pdf>
[85] J. Martín y Pérez de Nanclares, «Titulo II. Libertades», en A. Mangas Martín (Dir.), Carta de los Derechos Fundamentales de la Unión Europea. Comentario artículo por artículo (Fundación BBVA, Bilbao, 2008), 266, disponible en <http://www.fbbva.es/TLFU/dat/05_carta_mangas_titII_libertades_art6-19.pdf>
[86] Ya apuntaba Weber que la existencia de una distinción entre el ámbito protegido y el ámbito garantizado, por un lado, y a la interpretación de los límites o de los contralímites, por otro, supone dudas jurídicas y que las explicaciones de la CDFUE añaden confusión al indicar «que la noción de «limitaciones» ha de referirse tanto al «sentido» como al «alcance» y al advertir, por otro, que ambos conceptos habrán de determinarse atendiendo no sólo al tenor literal de los preceptos sino también a la jurisprudencia del TJUE y del TEDH». Vid. A. Weber, «La Carta de los Derechos Fundamentales de la Unión Europea» (trad. J. L. Rodríguez Álvarez), Revista Española de Derecho Constitucional, núm. 64 (enero-abril, 2002), 90.
[87] No confundir con el principio de subsidiariedad y de proporcionalidad según en el funcionamiento de la UE. Tal y como expone Galetta: «El principio de subsidiariedad y el de proporcionalidad están estrechamente relacionados, pero ciertamente no se identifican. Por cuanto aquí resulta relevante, la diferencia sustancial entre los dos principios se encuentra en que si el principio de subsidiariedad sirve de parámetro de referencia para el reparto de competencias entre instituciones y poderes, el de proporcionalidad, por el contrario, sirve para regular la intensidad de las intervenciones respectivas.». Vid. D. U. Galleta, «El principio de proporcionalidad en el Derecho comunitario», Cuadernos de Derecho Público, núm. 5 (septiembre-diciembre 1998), 79.
[88] Para un análisis interesante de esta cuestión, vid. R. Alexy, «Los derechos fundamentales y el principio de proporcionalidad», Revista Española de Derecho Constitucional, núm. 91 (enero-abril 2011), 12.
[89] D. U. Galleta, «El principio de proporcionalidad en el Derecho comunitario», Cuadernos de Derecho Público, núm. 5 (septiembre-diciembre 1998), 94-97.
[90] Vid. por todas, el Asunto C-11/70, Internationale Handelsgesellschaft c. Einfuhr- und Vorratsstelle für Getreide und Futtermittel, STJUE de 17 de diciembre de 1970, apartados 16 y 25.
[91] Vid. por todas, Asunto C-292/97, Kjell Karlsson y otros, STJUE de 13 de abril de 2000, apartado 45.
[92] Asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd c. Seitlinger y otros, STJUE de 8 de abril de 2014 donde el TJUE introdujo un examen de control estricto, a través de un test de proporcionalidad riguroso de los actos legislativos de la Unión que interfieren ponderadamente con los derechos a la vida privada y a la protección de datos de carácter personal, concluyendo que la mera obligación de conservación de datos de carácter personal era, por sí sola, una injerencia tanto al derecho a la vida privada como al derecho a la protección de datos, calificándolas de grandes, graves y generadoras de un sentimiento de que la vida privada es objeto de una vigilancia constante; anulando así la Directiva sobre conservación de datos. El TJUE criticó severamente la Directiva y señaló que abarcaba de manera generalizada a todo (personas, medios de comunicación electrónica y dato), sin que se estableciera ninguna diferenciación, limitación o excepción en función del objetivo a alcanzar. Por ello, debido a las clausulas generales de la Directiva, la ausencia de límites establecidos sobre el acceso y la utilización de los datos o de criterios objetivos para definir tales límites, así como el período de retención largo e indiscriminado impuesto por la normativa europea, el TJUE concluyó que las medidas suponían una injerencia desproporcionada e innecesaria a los derechos fundamentales en juego.
[93] Del mismo modo, cabe mencionar el Asunto C-230/14, Weltimmo s.r.o. c. Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, STJUE 1 de octubre de 2015 y el Asunto C-362/14, Schrems c. DP Commissioner, STJUE de 6 de octubre de 2015.
[94] Fue precisamente en esta sentencia dónde el TJUE estableció el análisis con un doble objetivo: considerar si la medida era apropiada para lograr sus objetivos (proportionality) y no iba más allá de lo necesario para alcanzarlos (necessity). En este sentido, cabe aludir al documento del Supervisor Europeo de Protección de Datos titulada Developing a ‘toolkit’ for assessing the necessity of measures that interfere with fundamental rights, constituyendo el desarrollo inicial de una suerte de lista de verificación o control para garantizar el cumplimiento de la normativa sobre protección de datos, sobre todo en lo que ataña a los principios de proporcionalidad y necesidad, disponible en <https://edps.europa.eu/sites/edp/files/publication/16-06-16_necessity_paper_for_consultation_en.pdf>
[95] Según algunos autores, hemos pasado de la Web 3.0, del Internet de las cosas o de las aplicaciones web conectándose unas a otras, y avanzamos hacia una Web 4.0 entendida como un mundo virtual predictivo. Vid. A. Touriño, El derecho al olvido y a la intimidad en internet (Los Libros de la Catarata, Madrid, 2014), 19-20.
[96] M. T. Heredero Campo, «La evolución tecnológica y derecho al olvido digital, desde sus inicios a la actualidad», J. P. Aparicio Vaquero y A. Batuecas Caletrío (Coords.), En torno a la privacidad y a la protección de datos en la sociedad de información (Comares, Granada, 2015), 85-86.
[97] A. Touriño, El derecho al olvido y a la intimidad en Internet (Los Libros de la Catarata, Madrid, 2014), 14.
[98] No obstante, cabe apuntar que, aunque el nombre si lo sea, el concepto del derecho al olvido no es novedoso, pues ideas similares se han aplicado en materia de amnistía o de la cancelación de los antecedentes penales, por ejemplo. Además, aunque su consagración, en el seno de la UE, no se realizó hasta hace relativamente poco, ciertos Estados miembros sí que habían conocido de la noción más cercana al actual derecho al olvido se puede trazar hasta un tribunal de Paris a finales de los 60, a la Corte Suprema italiana en los años 80 o a la famosa sentencia alemana que estableció el concepto de autodeterminación informativa. Para un análisis sobre el derecho al olvido del pasado judicial, vid. C. de Terwangne, «Internet Privacy and the Right to Be Forgotten/Right to Oblivion», Revista de Internet, Derecho y Política (IDP), núm. 13 (febrero 2012), 111-112.
[99] A. Rallo Lombarte, El derecho al olvido en Internet. Google versus España, Cuadernos y Debates (Centro de Estudios Políticos y Constitucionales, Madrid, 2014), 23 y 135.
[100] Uno de los principios claves del ordenamiento jurídico europeo, concretamente en el caso que nos concierne, en la aplicación del sistema europeo de protección de los derechos fundamentales (vid. artículo 52 CDFUE) y del ejercicio del derecho fundamental a la protección de datos.
[101] No consideramos fortuito que sea el primero de los límites estipulados en el art. 17.3 RGPD
[102] P. Simón Castellano, El reconocimiento del derecho al olvido digital en España y en la UE. Efectos tras la sentencia del TJUE de mayo de 2014 (Bosch, Barcelona, 2015), 309.
[103] Vid. apartado 31 de la STJUE de 9 de marzo de 2017: «Con carácter previo, debe señalarse que el asunto controvertido en el litigio principal y las cuestiones prejudiciales remitidas al Tribunal de Justicia no versan sobre el tratamiento posterior de los datos controvertidos en el litigio principal realizado por una sociedad especializada en rating, mencionado en el apartado 25 de la presente sentencia, sino sobre la accesibilidad de terceros a tales datos conservados en el registro de sociedades».
[104] G. Brock, The right to be forgotten: Privacy and Media in the Digital Age (Reuters Institute for the Study of Journalism/Oxford University– I.B. Tauris, Londres, 2016), 82.
[105] M. Arenas Ramiro, «Hacia un futuro derecho al olvido de ámbito europeo», J. Valero Torrijos, J. (Coord.), La Protección de datos personales en Internet ante la innovación tecnológica (Thomson Reuters-Aranzadi, Cizur Menor, 2013), 333.
[106] A. Pérez Luño, La tercera generación de Derechos Humanos (Thomson-Aranzadi, Cizur Menor, 2006), 93.