Unidad Reguladora y de Control de Datos Personales

Informe Nº 305/019, de 13 de setiembre de 2019

Se informa una consulta presentada por el Colegio Nueva Cultura sobre la publicación de informaciones vinculadas a denuncias realizadas por madres de alumnos del colegio, a través de páginas web de medios periodísticos nacionales.

Montevideo, 13 de setiembre de 2019

INFORME Nº 305

-ANTECEDENTES-

Vienen los presentes obrados atento a la consulta formulada por el COLEGIO NUEVA CULTURA, respecto de la aplicabilidad de la Ley de Protección de Datos Personales y Acción de “Habeas Data” Nº 18.331, de 11 de agosto de 2008, a la situación indicada en la consulta.

En concreto, la consultante señala que ha sido sujeta a la publicación de informaciones respecto a hechos que fueron de conocimiento público y habrían sido dilucidados por la justicia penal competente, pero que continúan apareciendo en distintas publicaciones accesibles a través de los motores de búsqueda.

- LA LEY URUGUAYA Y SUS ÁMBITOS DE APLICACIÓN.

EL ASPECTO SUBJETIVO-

Conforme lo establece la normativa nacional (artículo 1º de la Ley Nº 18.331), “El derecho a la protección de datos personales es inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República”. Es decir que nos encontramos frente a un Derecho Humano, merecedor de todo el amparo que brinda las normas nacionales e internacionales de defensa de los derechos humanos en general.

Cabe hacer referencia en el ámbito internacional, al Pacto de San José de Costa Rica de 1969 - base del sistema interamericano de promoción y protección de los derechos humanos-, que en su artículo 11 indica que: “Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad.

Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación.

Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques”.

Este derecho, al igual que los restantes explicitados en el Pacto, debe ser objeto de la protección debida por los Estados. Así, el artículo 1º del Pacto establece que: “1. Los Estados Partes en esta Convención se comprometen a respetar los derechos y libertades reconocidos en ella y a garantizar su libre y pleno ejercicio a toda persona que esté sujeta a su jurisdicción, sin discriminación alguna por motivos de raza; color, sexo, idioma, religión, opiniones políticas o de cualquier otra índole, origen nacional o social, posición económica, nacimiento o cualquier otra condición social”.

A nivel nacional, la Ley Nº 18.331 en su artículo 3º prevé que el régimen “(…) será de aplicación a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado”. Se describe de esa forma el ámbito objetivo, indicando en concreto que todo tratamiento de dato, sin importar la forma en que éste sea realizado, está abarcado por la Ley.

La Ley no aclara el alcance de su ámbito subjetivo, sin perjuicio de indicar en el Principio de Responsabilidad (artículo 12º) que el responsable de la base de datos es responsable por el cumplimiento de la Ley. Sí se pronuncia el decreto Nº 414/009, de 31 de agosto de 2009, que en su artículo 1º establece: “El derecho a la protección de los datos personales se aplica a las personas físicas, directa o indirectamente, a través de cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que refiera a ellas.

Por extensión se aplica a las personas jurídicas, las que gozarán del régimen tuitivo en cuanto corresponda.”

Desde el punto estrictamente subjetivo, los sujetos obligados conforme lo indicado por la Ley en el artículo 4º son los siguientes:

“H) Encargado del tratamiento: persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.

K) Responsable de la base de datos o del tratamiento: persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.

N) Usuario de datos: toda persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en una base de datos propia o a través de conexión con los mismos”.

Si bien la Ley es clara al sostener la responsabilidad de los responsables de tratamiento, no ha adoptado la misma postura con respecto a los encargados. No obstante, el Consejo Ejecutivo de la Unidad ha manifestado que el encargado de tratamiento es pasible de ser sancionado si no da cumplimiento a los preceptos de la Ley. Así ha sido explicitado en el Considerando V de la Resolución Nº 104/2015 de 23 de diciembre de 2015, Considerando III de la Resolución Nº 105/2015 de la misma fecha, todo en el marco del artículo 35º de la Ley Nº 18.331, en la redacción dada por el artículo 152 de la Ley Nº 18.719, de 27 de diciembre de 2010.

En lo que respecta al titular de los datos, la aplicación extensiva de la Ley puede ser discutible en caso de personas jurídicas, sin perjuicio de lo cual parece claro a criterio de este informante, que la afectación en la información disponible a través de la red no impacta únicamente en la Asociación Civil consultante sino además para quienes lo integran y los alumnos y padres que forman parte de dicha institución educativa.

Finalmente, corresponde hacer una referencia al ámbito territorial, consagrado a nivel legal recientemente en el artículo 37 de la Ley N° 19.670, de 15 de octubre de 2018, y que amplía el inicialmente determinado en el decreto 414/009, abarcando actividades de tratamiento realizadas por encargados y responsables ubicados en el exterior del país.

-EL DERECHO AL OLVIDO-

Se ha señalado en otras oportunidades que el Derecho al Olvido consiste en: “(…) la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. El 'derecho al olvido' hace referencia al derecho a impedir la difusión de información personal a través de internet cuando su publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa. En concreto, incluye el derecho a limitar la difusión universal e indiscriminada de datos personales en los buscadores generales cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima (en el caso de boletines oficiales o informaciones amparadas por las libertades de expresión o de información).” (Fuente: Agencia Española de Protección de Datos).

El derecho al Olvido como concepto autónomo deriva de la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 13 de mayo de 2014, asunto C-131/12 (coloquialmente conocido como Caso Costeja). En dicha sentencia se analizó la aplicabilidad de la Directiva de la Comisión de la Unión Europea Nº 95/46/CE a tratamientos de datos realizados fuera de la UE que afectan a personas situadas en su territorio, y la aplicabilidad del derecho de cancelación a los motores de búsqueda, a quienes la sentencia considera como responsables de tratamiento.[1]

El Reglamento General de Protección de Datos Personales número 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, refiere al derecho al olvido como una manifestación del derecho de supresión en su artículo 17º. Este derecho posee limitaciones, indicadas en el artículo (ejercicio del derecho a la libertad de expresión e información, cumplimiento de una obligación legal, razones de interés público en el ámbito de la salud públicas, con fines de archivo, investigación científica, histórica o estadística, y para la formulación, ejercicio o defensa de reclamaciones).

Al aclarar los alcances del citado derecho, el Reglamento establece que los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el Reglamento.

Conforme indica PAZOS[2] “El derecho al olvido, en este caso claramente una concreción del derecho a la cancelación o supresión de datos, desde luego no se corresponde con la facultad reconocida en la sentencia Google Spain y Google. En definitiva, la utilización de la expresión “derecho al olvido” con múltiples y diferentes significados es un fenómeno que persiste e incluso se ha acentuado con el desarrollo del mundo digital. En este contexto, parece aconsejable emplear una denominación diferente y específica para el derecho que consiste en exigir la eliminación de uno de los resultados de la lista ofrecida por el motor de búsqueda, para el caso de que se lleva a cabo una búsqueda a partir de un nombre de una persona, cuando esta persona desea que uno de los resultados no sea mostrado (porque le resulta perjudicial o no), y siempre que no haya un interés público en que ese resultado se mantenga fácilmente accesible a los internautas. Siguiendo el título de este apartado, una posibilidad sería hablar de un “derecho a la oscuridad digital”, poniendo el énfasis en los efectos prácticos que conlleva”.

Con respecto al “derecho al olvido” a nivel nacional, se ha hecho referencia a este como una extensión o mutación de los derechos de cancelación, supresión u oposición, en el marco de los principios de finalidad y veracidad consagrados en las normas que regulan la protección de datos personales (artículos 7, 8, 14 y 15 de la Ley Nº 18.331, de 11 de agosto de 2008)[3].

Se ha señalado en concreto por la Unidad que: “La Unidad Reguladora y de Control de Datos Personales (URCDP) ha tramitado denuncias presentadas contra determinados organismos públicos, que mantienen en la web información del personal, que les causa un perjuicio a su imagen profesional, a su honor y dignidad.

En estos casos la Unidad resuelve realizar una serie de recomendaciones, sin cuestionar los cometidos legales que se atribuyen por ley a estos organismos, ni el uso de las herramientas tecnológicas a efectos de mejorar la gestión. El problema no es la legitimidad de la publicación en sí misma, sino el derecho de los titulares a tener el control de sus datos personales, en relación con el tiempo de conservación (la finalidad) y la necesidad real de que dicha información de carácter personal persista para siempre publicada en la web (exista o no un interés público).

A tal fin la URCDP dictó la Resolución N° 1040/2012 de 20 de diciembre de 2012, a través de la cual resuelve recomendar lo indicado por el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), respecto a las posibilidades que brinda la tecnología para evitar que ciertos contenidos sean indexados e incluidos en el caché de los buscadores de Internet, a efectos de garantizar la protección de datos personales y, en especial, el derecho al olvido”.[4]

La Resolución Nº 1040/012 de 20 de diciembre de 2012 propuso soluciones técnicas para evitar la indexación de contenidos e inclusión en el caché de los buscadores y recomendó la aplicación de criterios técnicos para la publicación de contenidos en sitios web a fin de controlar la propagación de documentos o sus copias, y minimizar los efectos sobre la protección de datos personales.

A su vez, el Dictamen Nº 2/014 de 13 de febrero de 2014 señala que es el responsable del contenido del sitio web, quien decida la información a ser publicada, y por cuánto tiempo, al igual que los controles o filtros para evitar la indexación por los motores de búsqueda. Ello fue reiterado en la Resolución Nº 6/016 de 9 de marzo de 2016.

El dictamen 17/2016 precitado, explícitamente señala que: “en la situación planteada por la consultante el titular de los datos incluidos en publicaciones en internet, podrá ejercer el derecho de supresión establecido en el artículo 15 de la Ley Nº 18.331 ante el editor de las páginas web en su calidad de responsable de tratamiento” (Dictamina 1).

En oportunidad de informar en el expediente 2016-2-10-0000360, que dio mérito al dictamen 17/2016 de 14 de setiembre de 2016, este informante ha manifestado su opinión de que los motores de búsqueda son, de principio, encargados de tratamiento en todas aquellas situaciones en las que obra como intermediario entre el editor de la página web y el internauta. Se decía que en esos casos, el motor no decide respecto de la finalidad, contenido y uso del tratamiento ni es el propietario de la base.

No obstante, la existencia de múltiples actividades desarrolladas por los buscadores, el hecho de conservar información necesaria para la realización de las búsquedas y la forma de presentar los resultados, entre otros, permiten llevar a reconsiderar la opinión precitada, y sostener que los motores de búsqueda pueden ser considerados responsables de tratamiento. El hecho de que se brinden opciones para la supresión o eliminación de la información coadyuvan a dicha interpretación.

En el caso específico del buscador Google Search, la propia empresa reconoce la existencia de situaciones frente a las cuales sería pertinente la eliminación de la información, máxime cuando esta es de contenido difamatorio. Sin que ello importe un pronunciamiento a favor de las hipótesis previstas por la empresa para la eliminación de la información, estas se encuentran disponibles en la siguiente página web:  https://support.google.com/legal/troubleshooter/1114905?rd=1#ts=1349036.

¿Cómo impacta ello en los derechos con los que cuentan los titulares de los datos? ¿Cómo aplicar la ley uruguaya a empresas que se encuentran fuera del territorio nacional?

Actualmente, la aplicación de las normas vinculadas al ámbito territorial depende de la realización por parte de encargado o responsable de tratamiento de actividades vinculadas a la provisión de bienes o servicios a personas situadas en Uruguay o relacionadas con el análisis de su comportamiento. Y en ese sentido los motores de búsqueda se encuentran alcanzados por las disposiciones precedentes. Por ende, en opinión de este informante, es posible plantear ante las empresas proveedoras de motores de búsqueda, cuando se vean afectados derechos de personas en el territorio nacional, un derecho de supresión o rectificación o actualización en los términos y bajo las condiciones previstas en el artículo 15 de la Ley Nº 18.331.

Independientemente de ello, se observa como compleja la posibilidad de contar con mecanismos internos para la eliminación de la información de los buscadores, al no poseer éstos un representante en el país, ni tratar datos con medios situados en éste, aun cuando por la naturaleza de las operaciones de tratamiento que realizan, puedan ser considerados como responsables de tratamiento en el sentido de la Ley Nº 18.331. Por ello, se vislumbra como necesaria la formulación de un nuevo marco normativo que expanda el alcance que debe necesariamente brindar la ley, en aplicación de las normas constitucionales -internas- e internacionales en la materia.

No obstante, considerando la necesidad de contemplar este tipo de situaciones, la existencia de mecanismos internacionales de colaboración se hace fundamental para poder generar actividades conjuntas de investigación y de persecución de violaciones a las normas en materia de protección de datos personales. La participación de nuestro país en el Convenio Nº 108 del Consejo de Europa y su Protocolo Adicional provee el marco necesario para efectivizar estas medidas de colaboración entre las partes, pudiendo aplicarse en el caso concreto, los mecanismos previstos en los artículos 13 y 14 del Convenio, lo que podrá tramitarse a través de esta Unidad.

-LA PONDERACIÓN DE DERECHOS-

En lo que respecta a la información contenida en distintos medios de prensa, aquí corresponde considerar la cuestión del equilibrio entre el derecho a la protección de datos personales y otros derechos como el derecho a la libertad de prensa y la libertad de expresión.

La Protección de Datos Personales es un derecho fundamental, lo que se ve refrendado por el artículo 1º de la Ley Nº 18.331. Pero ello no significa que sea un derecho absoluto. De hecho, Cabe recordar que la Suprema Corte de Justicia ha afirmado en reiteradas sentencias[5] que: “Tal como lo expresara la Corporación, ni el derecho de usar y disponer de la propiedad ni ningún otro derecho reconocido por la Constitución reviste el carácter de absoluto; un derecho ilimitado sería una concepción antisocial.

Reglamentar un derecho, es limitarlo, es hacerlo compatible con el derecho de los demás dentro de la comunidad y con los intereses superiores de esta última”.

En lo que respecta a la libertad de expresión, PEREZ LUÑO señala la importancia del Libro Verde sobre la protección de los menores y de la dignidad humana en los nuevos servicios audiovisuales y de información ya que remite a la Convención Europea de Derechos Humanos, que en particular en sus artículos 8 y 10 regula el derecho al respeto de la vida privada y familiar y el derecho a la libertad de expresión respectivamente. Señala el autor que: “(…) ambos derechos no son considerados como absolutos e ilimitados, al estar previsto que pueda condicionarse su ejercicio por medidas necesarias, en una sociedad democrática, para garantizar la seguridad, la salud, la moral o los derechos y libertades de los demás (arts.8.2 y 10.2). Este planteamiento normativo ha sido asumido por la Carta de los Derechos Fundamentales de la Unión Europea proclamada en Niza en diciembre de 2000. (…) En ella se reconocen también el derecho a la vida privada (art.7) y a la libertad de expresión y de información (art.11) de los ciudadanos europeos. Se declara, asimismo, en este texto la prohibición de un ejercicio abusivo de los derechos y libertades allí reconocidos (art.54). Pero, tiene especial interés la alusión expresa en la carta a la protección de los datos de carácter personal. En efecto, se establece en su artículo 8 que: “1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3. El respeto de estas normas quedarán sujeto al control de una autoridad independiente”. Esta disposición supone una importante garantía para la tutela de la intimidad de los ciudadanos europeos frente a cualquier tipo de injerencia indebida en esa esfera perpetrada a través de la Red. La libertad de expresión a través de los servicios audiovisuales y, en consecuencia, de Internet no es ilimitada en el seno de la Unión Europea, si bien, sus limitaciones deben ser admitidas restrictivamente. No en vano la libertad de prestar servicios, también en la esfera de la información y la comunicación, es una de las libertades básicas reconocidas en el Tratado de la Unión”[6].

La Comisión Interamericana de Derechos Humanos de la Organización de los Estados Americanos, en la Declaración de Principios sobre Libertad de Expresión reconoció un conjunto de principios, y en particular estableció en el quinto el deber de los Estados de prohibir la censura previa, interferencia o presión directa o indirecta sobre cualquier expresión, opinión o información difundida a través de cualquier medio de comunicación. Resulta de interés el décimo principio, por hacer expresa referencia a las leyes de privacidad al sostener que: “Las leyes de privacidad no deben inhibir ni restringir la investigación y difusión de información de interés público. La protección a la reputación debe estar garantizada sólo a través de sanciones civiles, en los casos en que la persona ofendida sea un funcionario público o persona pública o particular que se haya involucrado voluntariamente en asuntos de interés público.  Además, en estos casos, debe probarse que en la difusión de las noticias el comunicador tuvo intención de infligir daño o pleno conocimiento de que se estaba difundiendo noticias falsas o se condujo con manifiesta negligencia en la búsqueda de la verdad o falsedad de las mismas”.

La mencionada Declaración de Principios pone el centro de la ponderación entre privacidad y libertad de expresión, en el interés público. ¿Y qué es el interés público? Se trata de un concepto jurídico indeterminado respecto del cual debe buscarse una definición. Señala ESCOLA que el interés público es “(…) el resultado de un conjunto de intereses compartidos y coincidentes de un grupo mayoritario de individuos, que se asigna a toda la comunidad como consecuencia de esa mayoría, y que encuentra su origen en el querer axiológico de esos individuos, apareciendo con un contenido concreto y determinable, actual, eventual o potencial, personal y directo respecto de ellos, que pueden reconocer en él su propio querer y su propia valoración, prevaleciendo sobre los intereses individuales que se le opongan o lo afecten, a los que desplaza o sustituye, sin aniquilarlos.”[7]

DURAN[8] por su parte realiza un interesante análisis vinculado a la confusión entre interés público e interés general. Señala que en doctrina ALESSI y BANDEIRA DE MELLO distinguen el interés público primario -como el interés de la colectividad como un todo- del interés público secundario -aquel que poseen las entidades públicas como cualquier persona, independientemente de su calidad de servidores de los intereses de la colectividad-. DURAN señala que en nuestro sistema normativo el interés general se asemeja al interés público primario y el interés público, al interés público secundario.

En el aspecto que estamos analizando actualmente, es el concepto de interés público primario o interés general el que debemos manejar, máxime en tanto estamos refiriéndonos a potenciales limitaciones de derechos humanos fundamentales (en el marco de lo establecido en el artículo 72 de la Constitución Nacional).

El “Derecho al Olvido” tal y como se encuentra planteado en la consulta de marras, pone en juego la protección de datos personales, la libertad de prensa y la libertad de expresión, por lo que resulta imprescindible efectuar un adecuado ejercicio de ponderación.

Señala Laura NAHABETIAN en “Protección de Datos Personales vs. Acceso a la Información Pública. ¿Derechos Fundamentales en Conflicto?” que “Es fundamental encontrar conexiones entre los derechos fundamentales y evitar los conflictos, siendo que como en el caso la colisión es absolutamente excepcional y la opción contraria transformaría la situación en conflictos devenidos en situaciones insuperables que sólo podrían salvarse mediante la determinación de una supremacía absoluta de un derecho sobre otro, lo que no es viable a la luz de lo consagrado ya no a nivel legislativo sino constitucional y jurisprudencial”[9].

Afirma además la autora mencionada que pueden existir casos en los que el interés público deba prevalecer sobre el individual, y que a los efectos de una debida ponderación en la resolución de eventuales conflictos deberán de considerarse los criterios de idoneidad, necesidad y proporcionalidad. Todos ellos en el marco general de la aplicación del principio de proporcionalidad desarrollado por Robert Alexy en “La fórmula del peso”[10].

En todos los casos, los responsables y encargados de tratamiento deberán efectuar sus propios ejercicios de ponderación aplicando, en lo pertinente y ante la solicitud de determinados titulares de datos afectados, procurar adoptar soluciones que sean lo menos lesivos a sus derechos, buscando en todos los casos un equilibrio.

No obstante, atento a la naturaleza de los derechos y a la situación planteada,  existiendo informaciones de diversa índole vinculadas a la consultante publicadas en la web, si el responsable y encargado omitieran efectuar una ponderación en los términos señalados, ésta corresponderá eventualmente al Poder Judicial, en caso de iniciarse la acción mencionada.

Es cuanto tengo que informar.

ESC. GONZALO SOSA