¿Son compatibles blockchain y el derecho al olvido?

network-3537401_960_720

AD 52/2018

ABSTRACT:

En el presente artículo se realiza un profundo estudio sobre el derecho al olvido, haciendo hincapié en su actual regulación (art. 17.1 del RGPD y art. 15 LOPDGDD) y analizando su posible conflicto con derechos de carácter fundamental. Para ello se acude, entre otras, a la sentencia del TJUE de 13 de mayo de 2014 (asunto Costeja v. Google) y la sentencia del Tribunal Constitucional de 4 de junio de 2018. Además, se analiza el concepto de dato personal muy relacionado con todo lo expuesto anteriormente.

Posteriormente el artículo se centra en explicar lo que es Blockchain y se pincelan una serie de ideas (posible incompatibilidad con el derecho al olvido) que se tratarán en la segunda parte de la publicación.

PALABRAS CLAVE:

  • Derecho al olvido
  • Derecho de supresión
  • Dato personal
  • Artículo 17 RGPD
  • Blockchain
  • Incompatibilidad entre blockchain y el derecho al olvido
  • Google vs Spain
  • Sentencia del TJUE de 13 de mayo de 2014

Apreciados lectores de A definitivas, hoy nos toca hablar del derecho al olvido, pero con la intención de responder a una de las innumerables cuestiones que nos planteamos los jóvenes juristas y abogados respecto a la tecnología blockchain, esto es, su posible compatibilidad con el derecho al olvido. 

Así pues, en el día de hoy nos centraremos en el derecho al olvido y solo daremos unas pequeñas pinceladas a la blockchain o cadena de bloques (versión castellana).

Para comenzar con la explicación acudiremos a la Real Academia Española, concretamente al diccionario del español jurídico, en el cual se define el derecho al olvido como: “el derecho a eliminar, ocultar y cancelar aquellas informaciones o hechos pasados de la vida de las personas”. 

Al leer la definición, es normal que rápidamente se nos venga a la cabeza la necesidad de vincularla con el concepto de dato personal, puesto que el derecho al olvido en Internet, está basado en el derecho que dispone cualquier persona para poder ejercitar la protección de sus datos personales y solicitar la retirada o borrado de los mismos.

Pero, ¿qué entendemos por dato personal? Pues bien, tomando como base la definición del artículo 4 del Reglamento General de Protección de Datos (en adelante RGPD), un dato personal es cualquier información sobre una persona física identificada o que se pueda llegar a identificar. Excluimos así todos los datos referentes a personas jurídicas como por ejemplo una empresa, los cuales no serán considerados datos personales.

De este modo, son datos personales por ejemplo, el nombre y apellidos de una persona, su rostro o imagen cuando le hacen una fotografía, el pasaporte, DNI o número de identificación nacional, la dirección IP de su ordenador o dispositivo e incluso el correo electrónico en la gran mayoría de supuestos.

Ahora que entendemos lo que es un dato personal, debemos adentrarnos en el contenido del RGPD que consagra el derecho al olvido junto con los ya existentes, en normas nacionales e internacionales, derechos ARCO (acceso, rectificación, cancelación y oposición) y otros de nueva creación (como el derecho a la portabilidad de los datos o a la limitación del tratamiento).

De modo que, el RGPD incorpora un grupo indiviso de reglas aplicables en toda la Unión Europea con el propósito de actualizar el marco regulatorio, como respuesta a los profundos cambios que han ido aconteciendo en cuanto a la forma en que se recopilan, almacenan y procesan los datos personales.

De esta manera, podemos interpretar el derecho al olvido como la actualización de los clásicos derechos de cancelación y oposición, que han ido evolucionando simultáneamente con las nuevas tecnologías, teniendo su mayor incidencia sobre los datos contenidos en los buscadores de internet, sobre todo en GOOGLE.

En consecuencia, el interesado tiene derecho a que el responsable del tratamiento de los datos suprima todos o algunos datos personales y se abstenga de darles más difusión cuando ya no son necesarios para los fines para los que fueron recogidos o tratados.

Concretamente, el RGPD define en su artículo 17 el derecho al olvido o derecho de supresión, como el «derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias«.

Es importante que no confundamos el derecho de supresión con el derecho al olvido. Básicamente, con el primero de ellos, podrás solicitar al responsable del tratamiento la eliminación de tus datos de carácter personal cuando se den alguno de los supuestos que recoge el artículo 17 y que en breves pasaremos a señalar.

Asimismo, este derecho está conectado de cierta forma con el denominado derecho al olvido que, a diferencia del primero, se llevará a cabo cuando quizá no se dan las circunstancias para eliminar la información pero sí para limitar su visibilidad, como por ejemplo, que la información no salga en Google pero siga en la noticia que los mencionaba, de modo que para verla tengas que ir a la web de esta última.

Ahora bien, de la definición expuesta anteriormente debemos extraer dos ideas:

  • la primera es el reconocimiento que se le concede al ciudadano para poder ejercitar su derecho a suprimir la información afectada, de manera inmediata, en el sitio web, así como el deber del responsable del tratamiento de abstenerse de dar más difusión a esta información siempre que el titular de los datos lo solicite.

En este punto es importante destacar que el RGPD en su artículo 4.7) define al responsable del tratamiento como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros».

  • En segundo lugar, este derecho repercute en la esfera del responsable del tratamiento. Éste deberá optar entre limitar el tratamiento (artículo 18 RGPD) o bien suprimir sin demora la información (artículo 17 RGPD), ponderando en cada uno de los supuestos el alcance de este derecho con el derecho a la libertad de expresión, la salud pública, el deber de conservación de los datos para dar cumplimiento a una obligación legal y el interés público, etc.

A continuación, el artículo 17.1 del RGPD recoge los supuestos en los cuales los interesados deben tener derecho a que sus datos personales dejen de tratarse y se supriman sin demora alguna, esto es:

a) cuando ya no son necesarios para los fines para los que fueron recogidos o tratados;

b) cuando han retirado su consentimiento para el tratamiento o se opongan al tratamiento de datos personales que les conciernen;

c) cuando sus datos se traten de forma ilícita;

d) cuando los datos personales deban suprimirse en cumplimiento de una obligación legal. 

e) cuando los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información dirigida a niños (en los términos del RGPD art.8.18).

Como excepción, la posible retención de los datos personales es válida cuando sea necesaria para (considerando 65 y art.17.3 RGPD):

a) el ejercicio de la libertad de expresión e información;

b) el cumplimiento de una obligación legal;

c) el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

d) por razones de interés público en el ámbito de la salud pública;

e) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;

f) el ejercicio o la defensa de reclamaciones.

Asimismo, el pasado 7 de diciembre entró en vigor la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales o más conocida como LOPDGDD.

La nueva norma española se adapta a la también nueva normativa europea, es decir, al RGPD y simplemente diremos que en su artículo 15, relativo al derecho de supresión, se limita a remitirnos al RGPD, por tanto, no nos aporta mucho más de cara al estudio que estamos realizando en la presente publicación.

Ahora bien, identificadas las nociones del derecho al olvido, será necesario precisar si este derecho debe tener en cuenta la eventual colisión que se produce entre derechos de rango constitucional.

La cuestión planteada tiene mucho sentido ya que por un lado tenemos los derechos a la protección de datos de carácter personal y al honor e intimidad personal y familiar y por otro los derechos a la libertad de información y expresión.

Como regla general, la libertad de información prevalece en aquellos supuestos en los que la información objeto de publicación es veraz y de relevancia pública.

En este punto, podemos detenernos a tratar el caso de Mario Costeja que marcó un antes y un después en el tratamiento de la información ya que consiguió retirar los enlaces hacia unos anuncios que aparecían en la página web del periódico «La Vanguardia» y que contenían información sobre unos embargos por deudas a la seguridad Social ejecutados hace 16 años.

El TJUE en su sentencia de 13 de mayo de 2014 (asunto Costeja v. Google) entendió que el particular tiene derecho a que la información ya no esté vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de sus datos personales y, por tanto, el interesado tiene derecho a eliminar los datos de la lista de resultados proporcionada por el motor de búsqueda cuando la información en cuestión relativa a su persona ya no esté, en la situación actual vinculada a su nombre por una lista de resultados obtenida tras la búsqueda efectuada a partir de su nombre, sin que […] tal derecho presuponga que la inclusión de la información en la lista de resultados cause perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no solo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información. Sin embargo tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener acceso a la información de que se trate.

Por tanto,  el concepto de derecho al olvido fue introducido a raíz de la sentencia del TJUE de 13 de mayo de 2014 como máxima expresión de los ya mencionados derechos de cancelación y oposición en materia de protección de datos.

La intención primordial es impedir la difusión innecesaria de información personal a través de los buscadores de internet, en contextos tales como pueden ser la desactualización de la información o que la misma esté obsoleta o carezca de interés público.

Así pues, de la mencionada sentencia debemos extraer la idea de encontrar un equilibrio necesario entre los derechos fundamentales a la protección de datos personales y a la libertad de información y expresión.

De este modo, el interesado tiene derecho a que la información relativa a su persona no esté vinculada a su nombre por una lista de resultados obtenida tras una búsqueda en internet efectuada a partir de su nombre; derecho que, en principio, prevalece sobre el interés económico del gestor del motor de búsqueda y el interés del público de acceder a la información que resulta de una búsqueda sobre el nombre de esa persona.

No obstante, no se dará el supuesto si la intromisión en sus derechos fundamentales está justificada por el interés superior de dicho público en tener acceso a la información, teniendo en cuenta que se considera un argumento de fuerza en favor de la desindexación el hecho de que el resultado de búsqueda que se pretende eliminar esté causando un perjuicio (desproporcionado) al interesado.

En este punto podemos preguntarnos qué se entiende por interés público, concepto que hace referencia al interés legítimo que tiene el público general para acceder a una información. Para valorar la existencia de interés público, el TJUE menciona cuatro factores principales a tener en cuenta en cada supuesto:

  1. La naturaleza de la información de que se trate así sea incompleta o inadecuada, inexacta o falsa, excesiva, obsoleta o ya no relevante actualmente.
  2. El carácter sensible de la información para la vida privada de la persona afectada.
  3. El interés público de los ciudadanos en disponer de esta información en el presente.
  4. El papel que la persona afectada desempeñe en la vida pública (por ejemplo, políticos o funcionarios públicos).

A modo ilustrativo podemos citar la sentencia de la Audiencia Nacional de 11 de mayo de 2017 (recurso núm. 30/2016), en la cual se revoca una resolución de la Agencia Española de Protección de Datos.

En este supuesto, la Audiencia rechazó la petición de un médico que solicitaba a Google la retirada de un enlace que conducía a un foro en el cual un paciente le criticaba de forma muy negativa. La decisión se basa exactamente en varios motivos, de los cuales destacaremos que existe un interés general «legítimo de los internautas potencialmente interesados en tener acceso a la información […], pues al tratarse de un médico en activo, que presta servicios sanitarios privados, los usuarios o potenciales pacientes tienen derecho a conocer las experiencias y opiniones vertidas por quienes, con anterioridad, han sido pacientes de este mismo dolor», por lo que, la Audiencia Nacional sentencia que Google no tendría que haber sido obligado a eliminar de sus resultados enlaces que lleven a contenidos de este tipo.

Por último, debemos hacer mención a la sentencia del Tribunal Constitucional de 4 de junio de 2018 en la que se declara que utilizar nombres propios como criterio de búsqueda y localización de noticias en una hemeroteca digital puede vulnerar el derecho al olvido.

De la sentencia podemos destacar que “la libertad de información constituye no sólo un derecho fundamental de cada persona sino también una garantía de la formación y existencia de una opinión pública libre y plural, capaz de adoptar decisiones políticas a través del ejercicio de los derechos de participación”, pero este derecho no es absoluto sino que debe ser modulado por dos elementos:

  • uno, el valor del paso del tiempo a la hora de calibrar el impacto de la difusión de una noticia sobre el derecho a la intimidad del titular de ese derecho, y
  • dos, la importancia de la digitalización de los documentos informativos, para facilitar el acceso a la información de todos los usuarios de internet (…) “siempre será posible si existe una finalidad investigadora en la búsqueda de información alejada del mero interés periodístico en la persona investigada, localizar la noticia mediante una búsqueda temática, temporal, geográfica o de cualquier otro tipo”. 

Por lo tanto, no son necesarios los datos personales de los solicitantes del amparo que nada agregan al interés de la noticia, bastando las iniciales del nombre y los apellidos.

Cerrando el estudio del derecho al olvido, debemos hacer referencia a que, en el contexto de globalización actual en el que vivimos, los datos personales se tratan y transfieren a través de un creciente número de fronteras virtuales y geográficas y se conservan en servidores ubicados en numerosos países.

En este contexto en el que la tecnología parece haber evolucionado más rápido que la Ley nos encontramos con blockchain o cadena de bloques, que a pesar de estar hoy en día en boca de todos, apareció en el año 2009 con la llegada de Bitcoin por Satoshi Nakamoto, cuya identidad real es desconocida.

Pero ¿qué es blockchain? Veámoslo en el siguiente vídeo explicativo de PlayGround:

Por tanto, entendemos que Blockchain es una tecnología que funciona como un libro de anotaciones pero que dicho libro está distribuido globalmente y, además, en él solamente podemos escribir, no modificar ni eliminar la información. 

De este modo, se consigue un registro de las anotaciones, distribuido, inmutable y permanente, ya que no permite borrar o modificar, solo permite escritura y además bajo consenso. 

Ahora bien, profundizaremos más en la explicación sobre blockchain en la segunda parte de este artículo y apuntaremos los principales problemas que podemos tener los interesados a la hora de ejercitar nuestro derecho al olvido sobre una blockchain.

Como anticipo de la segunda entrega y a modo de reflexión diremos que no existe contradicción entre los objetivos del RGPD o del derecho al olvido y los de la tecnología blockchain. La mayoría del contenido del RGPD se puede aplicar a la mayoría de los usos de la cadena de bloques. 

Por tanto, el cumplimiento del RGPD no tiene que ver con la tecnología blockchain, se trata de ver cómo la utilizamos. Al igual que no hay un Internet compatible con el RGPD o un algoritmo de inteligencia artificial compatible con el mismo, no existe una tecnología de cadena de bloques directamente compatible. Solo hay casos de uso y aplicaciones que podrían llegar a ser compatibles. 

De esta manera, debemos entender que la interacción entre blockchain y el RGPD debe realizarse caso por caso, analizando dónde aparecen los datos personales, cómo se tratan, quiénes son los responsables de dicho tratamiento y cómo ejercitaremos nuestro derecho al olvido sobre la cadena de bloques.

Atentamente, Felipe Herrera Herrera del equipo de A definitivas.

Palma, 6 de agosto de 2018

2 comentarios sobre “¿Son compatibles blockchain y el derecho al olvido?

  1. Buen artículo. El derecho al olvido, como todos los derechos positivos, tiene el problema de generar obligaciones en terceros. Y a diferencia de las prohibiciones que generan los derechos negativos, las obligaciones son más difíciles de hacer cumplir. El estado normalmente se las apaña bien, pero parece que no es tan fácil obligar a un conjunto descentralizado de individuos. Cómo calificamos una ley que no es posible hacerse cumplir? Ley imposible? Y qué hacer con una ley imposible? Tengo curiosidad por ver cómo resolvéis, no ya la incompatibilidad, sino la aparente imposibilidad. Os pondréis del lado de la realidad o de la ley? Demostrareis que no existe tal imposibilidad? Veremos en el próximo artículo. Un saludo.

Deja un comentario