El “derecho al olvido”, del que en estos días todos hablamos, no es un nuevo derecho, sino un nuevo concepto mediante el que se designa el derecho a la cancelación o a la oposición al tratamiento de datos que aparecen en Internet. Y es quizás el sector sanitario quien más ha sufrido la que podríamos denominar como “pena de buscador”, que junto a la “pena de banquillo”, se producen como consecuencia del imparable incremento de reclamaciones por responsabilidad profesional sanitaria, junto al elevadísimo porcentaje de resoluciones desestimatorias, es decir, de reclamaciones infundadas, que junto a la larga tramitación de los procesos, generan una indudable carga de desprestigio para el profesional sanitario que lo sufre.
Pero tras la Sentencia absolutoria con todos los pronunciamientos favorables para el profesional sanitario, los comentarios negativos por parte de los reclamantes en los medios de comunicación les siguen persiguiendo toda la vida, condenándoles a esa pena de buscador, que ha llevado a los afectados a ejercitar sus derechos a recabar la tutela de la Agencia Española de Protección de Datos y de los Tribunales.
Este ha sido el caso de Google al impugnar varias resoluciones de la Agencia Española de Protección de Datos, que le obligan a eliminar los datos de particulares que figuran en su buscador sin haber dado su consentimiento, y entre ellos aparte del caso que la Sentencia resuelve del conocido español Mario Costeja, existen otros muchos como el caso de un cirujano plástico de cuya imputación por presunta negligencia dio cuenta el diario «El País» en 1991. El Médico fue absuelto, pero de ello nada se dice en la red, y como éste Médico, muchos profesionales sanitarios más como venimos comentando.
Ahora el Tribunal de Justicia de la Unión Europea ha dado a conocer la esperada sentencia, contra la que no cabe recurso alguno, resolviendo la cuestión prejudicial planteada en marzo de 2012 por la Audiencia Nacional sobre la interpretación de la normativa europea de Protección de Datos (Directiva 95/46/CE) en relación con la actividad de los motores de búsqueda de Internet.
El Tribunal de Justicia de la Unión Europea sienta con esta resolución un importante precedente, puesto que clarifica las responsabilidades de los motores de búsqueda frente al contenido de terceros y pone fin a la situación de desprotección de los usuarios en el caso de Google, quien ha venido defiendo en los últimos años que se debía regir por las normas de la legislación estadounidense -país donde se encuentra su sede- y no por las leyes de la Unión Europea o el país donde prestase sus servicios en cuestión.
La mayoría de los países no europeos carecen de leyes de protección de datos, teniendo preferencia el modelo basado en la autorregulación, en los códigos de conducta, o en las buenas prácticas, como en Estados Unidos. Y en este sentido la sentencia también afirma que Google se debe regir por la normativa nacional de los países donde opera, puesto que las correspondientes filiales -en este caso Google España- que gestiona la promoción y la publicidad, una actividad que va dirigida a los habitantes de dicho Estado.
El pronunciamiento del Alto Tribunal, que tiene la última palabra en lo concerniente a la interpretación del derecho de la Unión Europea, respalda las tesis de la Agencia Española de Protección de Datos, clarificando definitivamente el régimen de responsabilidades de los buscadores de Internet en relación con la protección de los datos personales, estableciendo que “la actividad de los motores de búsqueda como Google constituye un tratamiento de datos de carácter personal, del que es responsable el propio motor, dado que éste determina los fines y los medios de esta actividad, y este tratamiento está sometido a las normas de protección de datos de la Unión Europea, dado que Google tiene creado en un Estado miembro un establecimiento para la promoción y venta de espacios publicitarios y cuya actividad se dirige a los habitantes de ese Estado”.
El debate jurídico ha estribado en que Google como buscador entiende entre otros aspectos que ellos ni crean, ni destruyen contenidos, considerando en consecuencia que el buscador no puede ser responsable de los datos personales de las páginas web que procesa, al ser una herramienta para localizar contenidos de páginas web de terceros y no estar obligado a borrar la información de su índice de búsqueda. La Agencia Española de Protección de Datos a su vez entiende que enlazar esos contenidos constituye un auténtico tratamiento de datos de carácter personal, del que es responsable el propio motor, dado que éste determina los fines y los medios de esta actividad, y como responsable de la información que figura en su lista de resultados puede afectar al derecho fundamental de la protección de los datos personales, y en consecuencia se puede obligar a Google en este caso, a retirar resultados de su índice a petición de los ciudadanos aunque la página original los mantenga, dado que los buscadores indexan y catalogan los contenidos alojados en servidores de terceros y ofrecen al usuario de forma ordenada, en función de unos parámetros de relevancia, enlaces para que pueda acceder a ellos.
En consecuencia existe, conforme la sentencia, el derecho a solicitar del motor de búsqueda, con las condiciones establecidas en la Directiva 95/46/CE, de Protección de Datos, la eliminación de referencias que les afectan, aunque esta información no haya sido eliminada por el editor ni dicho editor haya solicitado su desindexación. El derecho a la protección de datos de las personas prevalece, con carácter general, sobre el “mero interés económico del gestor del motor de búsqueda” salvo que el interesado tenga relevancia pública y el acceso a la información esté justificado por el interés público.
Hasta la fecha la Directiva 95/46/CE ha venido constituyendo el texto de referencia, a escala europea, en materia de protección de datos personales. Esta directiva creó un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea fijando los límites estrictos para la recogida y utilización de los datos personales y germen de las Agencias estatales en cada estado miembro encargadas de la protección de los mencionados datos.
Esta normativa con una antigüedad ya de casi 20 años requiere una actualización, que como vemos es necesaria para reforzar la protección de los datos personales y responder a los retos que suponen las nuevas tecnologías de la información, y la globalización. La Comisión Europea propuso una nueva legislación en Enero de 2012, recogiendo la iniciativa de la Comisaria Europea de Justicia y Derechos Fundamentales, Viviane Reding, que el Parlamento Europeo ha respaldado el mes de Marzo pasado, aprobando su posición en primera lectura, y en la que intervino por España, Juan Fernando López Aguilar, que ahora requerirá una acuerdo común entre los estados miembros que se espera obtener en este año.
Esta nueva legislación adaptaría la Directiva 95/46/CE al mundo de internet y las nuevas tecnologías, buscando reforzar el control de las personas sobre sus datos y facilitar a las empresas el salto a la economía digital, armonizando el nivel de protección en toda la UE. El paquete legislativo está formado por dos propuestas: un reglamento general, que cubre la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.
Y la segunda propuesta legislativa, una directiva de mínimos, que se aplicará a los datos personales procesados en el marco de la cooperación policial y judicial. Normativa que permitirá que cualquier persona pueda solicitar que se borren sus datos si no se cumplen las normas de la UE, los datos ya no son necesarios o la persona retira o no da su consentimiento al almacenamiento de esa información. En el caso de los datos procesados en internet, la empresa responsable tendría que reenviar la solicitud de borrado a otras que hayan utilizado esa información. Este “derecho a la supresión” de los datos propuesto por el ejecutivo de la UE, sustituiría al concepto de “derecho al olvido”.
Pero, incluso con esta importante Sentencia, mientras sigan siendo mayoría los países no europeos que carecen de leyes de protección de datos, o se prefiera un modelo basado en la autorregulación, en los códigos de conducta, o en las buenas prácticas, como en Estados Unidos, de poco valdrá en un mundo globalizado que Europa opte por la consideración de la protección de datos como un verdadero derecho fundamental, a lo que Europa no puede, ni debe, en ningún caso renunciar, como ha demostrado con este pronunciamiento.
Entretanto es fundamental que se llegue a un encuentro entre la regulación normativa y la autorregulación, entre la Protección de Datos como Derecho Fundamental y como criterio para el tratamiento de datos y compromiso por parte de quienes los manejan.
Por ahora y a la vista de la Sentencia aquellos profesionales sanitarios que hayan sufrido alguna reclamación infundada, y que hubiera sido absuelto, por Sentencia, apareciendo en la red manifestaciones o referencias de desprestigio para su profesionalidad y buen nombre podrá ejercitar ante Google los derechos de cancelación u oposición recogidos en la Ley Orgánica de Protección de Datos, pidiéndole al buscador al tiempo de aportar su Sentencia, que cese en el tratamiento de los datos personales que el profesional determine.
Google deberá contestar en el plazo de diez días, atendiendo la oposición del profesional, pudiendo el buscador negarse a eliminar los datos si hubiera un interés público en la información de ese profesional como así establece la sentencia del Tribunal de Justicia de la Unión Europea. Y si así no lo hiciera en el plazo indicado y forma o bien rechazara la oposición de los datos, el afectado podrá dirigirse a la Agencia Española de Protección de Datos para solicitar la tutela de sus derechos.
Si la Agencia estima procedente la reclamación del interesado, la hará suya asumiéndola y exigiendo a Google que cese en el tratamiento de los datos que le ha solicitado este, pudiendo ejecutar su resolución, si éste no lo hace, imponiendo la pertinente sanción por infracción de la normativa de protección de datos, y en concreto por impedir el ejercicio de los derechos del afectado.
En último término, y con independencia de la sanción económica que pudiera imponer la Agencia, en caso de que se haya producido un daño, podrá acudirse a la jurisdicción civil para obtener un pronunciamiento en el que se declare la existencia de ese daño y la indemnización por los daños y perjuicios ocasionados.