En el transcurso del
tiempo la vida de las personas cambia y lo que en el pasado era relevante deja
de ser importante en el presente y futuro. En esa línea de tiempo cada uno se
va forjando una reputación, una imagen positiva que le permite seguir adelante,
crear una familia, un hogar un empleo y una vida privada. El problema surge
cuando los hechos del pasado ya no corresponden con esa nueva persona que es
ahora y, sin embargo, siguen registrados de manera que quienes los consultan se
hacen una imagen falsa.
Por ejemplo, un chico de
dieciocho años roba y sale en la prensa. Pasa unos meses en la cárcel y decide
comenzar de nuevo, estudiar, encontrar un empleo, casarse y ser valorado por
todos. Pasados los años consigue sus sueños y goza de buena reputación. Sin embargo,
la empresa quiere ascenderle a un puesto de más responsabilidad y decide buscar
información en internet. Entre los enlaces encuentra varios que llevan a una
antigua publicación en la que figura su nombre completo y el delito que cometió
treinta años atrás. La empresa valora este hecho y decide no solo no ascenderle
sino despedirle.
Esa información contenida
en internet, aunque provenga de un medio de comunicación que en su momento tuvo
relevancia, treinta años después no tiene utilidad alguna y perjudica el
derecho al honor y a la propia imagen. Por tanto, es necesaria una legislación
que aporte a las personas de herramientas jurídicas para preservar sus derechos
fundamentales regulados en la Declaración
Universal de Derechos Humanos, en la Carta
de los Derechos Fundamentales de la Unión Europea y en la Constitución Española.
Los Derechos fundamentales a la vida privada, honor
e imagen
Ya en el artículo
12 de la Declaración Universal de
Derechos Humanos se establece que “nadie
será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio
o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona
tiene derecho a la protección de la ley contra tales injerencias o ataques”.
La Carta de los Derechos Fundamentales de
la Unión Europea en su artículo 7
protege “el derecho al respeto de su vida privada y familiar, de su domicilio y de
sus comunicaciones”, y el artículo 8
la Protección de datos de carácter personal. Asimismo, la Constitución Española garantiza el “derecho al honor, a la intimidad personal y familiar y a la propia imagen”
en el artículo 18.
Basándonos en estos
derechos, los legisladores de la Unión Europea y de España han ido creando esas
herramientas legislativas que permitan abordarlos cuando se trata de la
recopilación y tratamiento de datos personales.
De la cancelación a la supresión de datos
personales
Hasta el 27 de abril de
2016 el usuario tenía derecho a cancelar sus datos personales cuando este lo
solicitaba, en el caso de estar incompletos, ser inexactos o no se ajustaran a
lo establecido en la ley. La cancelación se llevaría a cabo en un plazo de diez
días desde el momento en que el afectado lo comunicaba al responsable del
fichero (art. 16 LOPD y art. 8.5 Reglamento de desarrollo de la
LOPD). La cancelación en sí no suponía la supresión o eliminación de los
datos sino su bloqueo durante un plazo de prescripción para impedir el
tratamiento. Solo en caso de que las Administraciones públicas, Jueces y
Tribunales necesitaran acceder a dichos datos se podía desbloquear.
Transcurrido un período de tiempo si no eran requeridos los datos personales se
procedía a la supresión total. No obstante, cabía la posibilidad de conservar
los datos siempre y cuando se disociaran (art.
8.6 Reglamento de desarrollo de la LOPD), esto es, separar los datos de tal
forma que los conservador no identifiquen o permitan identificar a la persona.
Esto significaba que la
información podía seguir existiendo y utilizarse con solo desbloquearla,
contradiciendo las normas en materia de protección de datos. Incluso en el caso
de eliminarse, cabía la posibilidad de quedar copias de seguridad, parte o
todos los datos personales en caché web y en enlaces. Con la aprobación del Reglamento General de Protección de Datos del Parlamento Europeo y del
Consejo en abril de 2016, los llamados derechos ARCO (Acceso, Rectificación,
Cancelación y Oposición) siguen en vigor excepto el de Cancelación, que
desaparece para dar vida al Derecho de
Supresión.
Este derecho viene
fundado en la idea de que “los datos
personales deben ser adecuados, pertinentes y limitados a lo necesario para los
fines para los que sean tratados” (párrafo 39 del RGPD). Se trata de garantizar que los datos
personales sean veraces, recopilados lícitamente y su tratamiento no pueda ser
indefinido. Este cambio permite que el afectado no tenga que solicitar la
cancelación de los datos personales y esperar ese tiempo de bloqueo para su posterior
supresión, que en muchos casos no llega a producirse. Sin embargo, el
reglamento va más allá obligando a los responsables del tratamiento no solo a
suprimir los datos sino también las copias de seguridad, los almacenados en la
caché web y los enlaces que lleven a esos datos (párrafo 66 y artículo 17.2
del RGPD).
Casos en los que pueden ser suprimidos
El artículo 17 del RGPD establece que la supresión de los datos personales puede llevarse a
cabo sin dilación cuando:
- Los datos personales no
sean necesarios.
- El interesado, una vez
dado consentimiento explícito para el tratamiento de los datos personales,
decide solicitar su supresión.
- El interesado se oponga
al tratamiento de los datos personales en los casos de: a) cumplimiento de una
misión realizada en interés público o en el ejercicio de poderes públicos
conferidos al responsable del tratamiento y b) en la satisfacción de intereses
legítimos perseguidos por el responsable del tratamiento o por un tercero,
siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y
libertades fundamentales del interesado.
- Los datos personales
hayan sido tratados ilícitamente.
- La legislación europea
o española establezca su supresión.
- Al prestar un servicio
de la sociedad de la información se atente contra el orden público, la investigación
penal, la seguridad pública, la defensa nacional o los derechos y libertades de
la persona que contrata dicho servicio.
Excepciones
Hay casos en los que está
limitado el derecho de supresión (artículo
17.3 del RGPD):
- Para ejercer el derecho
a la libertad de expresión e información.
- Cuando existe una
obligación legal de mantener los datos personales almacenados.
- En el caso de existir
razones de interés público en el ámbito de la salud pública.
- Con fines de archivo en
interés público, de investigación científica o histórica o fines estadísticos.
- Para la formulación, el
ejercicio o la defensa de reclamaciones.
Obligaciones del responsable
En el momento en que el
responsable recopile y trate datos personales, está obligado a registrar los
plazos previstos para la supresión de las diferentes categorías de datos (artículo 30.1.f) del RGPD).
Cuando el afectado
solicita la supresión de los datos personales, el responsable deberá llevarlo a
cabo a la mayor brevedad posible si
concurren los requisitos anteriormente citados.
Así mismo, comunicará a
los demás responsables del tratamiento (cuando terceros acceden a los datos para
la prestación de un servicio al responsable del tratamiento) la supresión de
los datos comunicados, además de las copias de seguridad y enlaces que lleven a
dichos datos.
Sanciones
El
nuevo Reglamento europeo no especifica las infracciones y sanciones. Para ello
hay que acudir a la LOPD en su artículo
44.3 cuando se impide u obstaculiza
el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Aunque en el RGPD se sustituye la cancelación por supresión, cabe
pensar que ambas tienen la misma función: la no recopilación y tratamiento de
los datos personales. Si se impide este derecho, la ley establece una sanción
que va desde los 40.001 € hasta los
300.00 €, puesto que se considera una infracción
grave.