A través de legaltoday, he tenido noticia de un borrador (ya va por la edición 56…) de la Propuesta de Directiva que deberá sustituir la Directiva 95/46. La verdad es que han pasado 16 largos años y las cosas han cambiado considerablemente en este tiempo, siendo necesaria una profunda revisión de la normativa sobre protección de datos de carácter personal en el espacio de la Unión.

Para quien pueda estar interesado, aquí tenéis el .pdf de las 116 páginas del texto (en inglés): eu-com-draft-dp-reg-inter-service-consultation.

Las necesidades de cambio han sido manifestadas por los distintos interesados que han participado en las consultas que la Comisión ha ido realizando. Por un lado, se reconoce que los principios básicos siguen siendo válidos; por otro, se reconoce también una realidad cambiante que deja obsoletas algunas regulaciones, sobre todo en materia de transferencia internacional de datos (pág. 5).

El documento en cuestión es demasiado extenso para que yo sea capaz de resumirlo, así que me centro en la regulación del denominado «derecho al olvido» (art. 15), que parece será una de las verdaderas novedades de la nueva regulación.

El párrafo 1 enumera los casos en los que el interesado tiene derecho a ejercer el derecho a ser olvidado, es decir, que se borren sus datos personales.

Primer caso: cuando los datos ya no son útiles ni necesarios para el perseguimiento del fin del Responsable del Fichero. Y empezamos mal. Si los datos sólo se pueden tratar sólo por el periodo necesario al Responsable del Fichero para conseguir su finalidad (legítima, expresa y definida) y después deben ser eliminados (art. 4, e) del texto), ¿qué sentido tiene este caso?

Intentaré explicarme mejor (dentro de mis posibilidades). Si reformamos el art. 4 y decimos claramente: «Los datos personales deberán ser borrados (o disociados) una vez hayan sido utilizados para el conseguimiento de la finalidad del Responsable del Fichero», sobrará la redacción de este derecho de cancelación para el interesado.

Segundo caso: cuando el interesado retira el consentimiento (regulado, éste, en el art. 5). Este punto parece pacífico: como interesado, doy el consentimiento para una finalidad específica y después, cuando ya no quiera, lo retiro y el Responsable del Fichero tendrá que borrar/disociar/bloquear mis datos.

Tercer caso: cuando el interesado ejerce su derecho de oposición al tratamiento de datos (art. 17), salvando las excepciones previstas en el art. 5.1.d. (interés vital del interesado), 5.1.e (interés público o administración pública en el ejercicio de sus competencias), 5.1.f. (interés legítimo del Responsable del Fichero).

Cuarto caso: cuando el tratamiento no respeta la ley. Hombre, digo yo que si el tratamiento de datos personales no respeta la legislación vigente, tampoco harán mucho caso al ejercicio de este derecho por parte del interesado.

En el párrafo 2 (para mí) está la verdadera novedad del derecho de cancelación, que hace efectivo el derecho al olvido: «2. Where the controller referred to in paragraph 1 has made the data public, it shall in particular ensure the erasure of any public Internet link to, copy of, or replication of the personal data relating to the data subject contained in any publicly available communication service which allows or facilitates the search of or access to this personal data».

Si el Responsable del Fichero ha hecho públicos estos datos, no sólo deberá borrar los datos del interesado de sus ficheros, sino que además deberá asegurar (obligación de resultado, ¡no de medios!) que se hayan borrado todos los links públicos, copias o réplicas de los datos del interesado, contenidos en cualquier servicio de comunicación (¿estarían pensando en los motores de búsqueda?) que permitan encontrar y acceder a los datos personales del interesado.

Yo propongo un texto alternativo de este apartado: «Señores de Google, cuando un interesado ejerza su derecho de cancelación, borren todos los datos«. Será desde luego interesante ver cómo los motores de búsqueda asegurarán el resultado de este borrado.

El borrado de los datos personales se llevará a cabo inmediatamente, siempre y cuando no concurran uno de los siguientes casos excepcionales, que impedirán la eliminación de los datos:

1. Los datos personales han sido publicados en el ejercicio del derecho de libertad de expresión. A este propósito, hay que apuntar que hay un error, ya que se hace referencia al art. 79 del texto, mientras debería ser el art. 80: es lo que pasa cuando se maneja la versión 56 de un borrador…

2. Los datos personales han sido publicados con fines históricos, estadísticos o científicos (art. 83, este sí).

3. Los datos personales debe ser conservados por imperativo legal. Es interesante subrayar que no bastará «cualquier ley«, sino que el precepto legal «shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued«. Es decir, deberá haber una previsión específica que haga un equilibrado juicio de los intereses en juego (privacidad del interesado vs. deber de conservación) y, justificadamente, sacrifique el primero en aras del segundo.