Este artículo apareció originalmente en inglés aquí. Traducido por Paula Vargas de Brea. Reproducciones autorizados con enlace y atribución.
La versión casi-probablemente-con-seguridad final del Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) ha llegado!. Alrededor del mundo, los abogados han estado absortos analizando sus mas de 200 páginas. Respecto de las normas referidas al llamado “Derecho al Olvido” (RTBF por sus siglas en inglés) no mucho ha variado en relación con las versiones anteriores. La norma continúa estableciendo un procedimiento de notificación y remoción con un fuerte incentivo para que los intermediarios de Internet eliminen el contenido cuestionado, aun si el cuestionamiento fuera legalmente infundado. Los problemas que ya identifiqué en versiones anteriores podrían haberse evitado con cambios simples –incluyendo algunos controles procedimentales ante requerimientos de eliminación inválidos, y dando trámite a los válidos. Estos cambios no habrían afectado el alcance de la protección del derecho a la privacidad bajo la GDPR, ni afectado la capacidad de los usuarios de Internet para borrar datos recolectados por las empresas y retenidos en registros de back-end, cuentas de usuarios, o sistemas de generación de perfiles. Ahora, la oportunidad para hacer esos cambios acotados ya ha pasado.
El lado positivo es que el texto final de la GDPR esta plagado de párrafos ambiguos en puntos críticos. Feliz año abogados de protección de datos – ¡es un regalo que ocurre una vez en la carrera! Estas ambigüedades trasladarán los debates que deberían haber sido resueltos en la etapa de redacción de la ley hacia una nueva fase, centrada en la argumentación ante los reguladores y los tribunales. En las cuestiones de “Derecho al Olvido”, existen suficientes ambigüedades en temas importantes como para mantener el debate público activo por un largo tiempo. Las interpretaciones correctas pueden ayudar a los legisladores a proteger la privacidad en línea y el derecho a la protección de datos sin causar un daño innecesario y desproporcionado a la libertad de expresión y el acceso a la información.
En términos generales, así es como las normas de notificación y remoción quedaron en la versión final. Para una perspectiva rápida, pueden leerse solo las partes subrayadas.
Los Responsables del tratamiento de datos personales, incluyendo por lo menos algunos intermediarios de Internet, deberán borrar contenido ante una solicitud fundada en el “Derecho al Olvido”. Esta es la idea central de los Artículos 17 a 19. El alias del muy debatido “Derecho al Olvido” esta en el Artículo 17: ´Derecho al borrado (“Derecho al Olvido”)´. La norma del Derecho al Olvido se aplica directamente solo respecto de los responsables del tratamiento, es decir a aquellas entidades que “determinan el propósito y los fines” del procesamiento de datos. Para los proveedores del servicio de almacenamiento y otros intermediarios de Internet, la gran pregunta será si ellos son considerados como responsables, con la obligación de remover contenido generado por sus usuarios. (Por ejemplo: si yo realizo un post sobre mi primo en Facebook,¿ puede mi primo obligar a Facebook a removerlo?)
¿Qué cambió en la versión final?: básicamente sólo el título, que fue variando de versión en versión (no realicé una comparación de todos las versiones, por lo cual me baso en mi memoria y en lo que revisé últimamente)
La GDPR no nos dice si plataformas como Facebook o Twitter pueden ser calificadas como responsables del tratamiento a quienes les alcanzarían las obligaciones de borrado. Ya sabemos que los motores de búsqueda son responsables y tienen por tanto obligaciones de “Derecho al Olvido”, ello fue el objeto de una decisión clave en el caso Google España/ Costeja. La GDPR no indica que otros intermediarios caerían dentro de esta categoría. En verdad, encuentro difícil de imaginar a una Agencia de Protección de Datos Personales (DPA por sus siglas en inglés) excluyendo a las redes sociales más importantes de las obligaciones de borrado, ello en el largo plazo. Pero primero se dará un intenso debate. Existen algunos argumentos fuertes contra la aplicación del “Derecho al Olvido” a los proveedores de servicios de almacenamiento –por ejemplo, que éstos no pueden ser considerados como responsables del tratamiento porque solo procesan datos bajo la instrucción de un usuario, quien es realmente el responsable del tratamiento. Pero también existen otros argumentos legales, ampliamente aceptados, que conducirían a respuestas más complicadas. Siguiendo uno de dichos argumentos, el “Derecho al Olvido” se aplicaría a aquellos proveedores de servicios de almacenamiento que fueran demasiado “activos” en la gestión de los contenidos de sus usuarios, pero no a los que fueran “pasivos”. Siguiendo otro argumento, los proveedores de servicios de almacenamiento deberían borrar algún contenido, pero ni de cerca la cantidad de contenido que deberían des-indexar los motores de búsqueda. (Por ejemplo: Google debería remover los resultados de búsqueda que conducen al post que yo realicé sobre mi primo en Facebook, pero Facebook no estaría obligada a remover ese post de su plataforma).
¿Qué cambió en la versión final?: no mucho. Se incluye un nuevo lenguaje, no muy concluyente, sobre el uso de redes sociales en el Antecedente 15.
Los intermediarios que no cumplan con las solicitudes fundadas en el “Derecho al Olvido” se arriesgarán a ser objeto de devastadoras multas. No genera ninguna consecuencia por “remover de más” el contenido objeto de solicitudes de “Derecho al Olvido” inválidas. Esta parte de la GDPR fue cambiando con las versiones, pero las multas por violación al “Derecho al Olvido” se han establecido ahora en un rango de “20.000.000 Euros, o en caso de una empresa, hasta el 4% del ingreso anual global (sic)” (Art. 79.3a). Esto dispara los incentivos de los intermediarios, ya existentes y suficientemente documentados, a simplemente honrar todas las solicitudes de remoción. Honrar la mayoría de los requerimientos de “Derecho al Olvido” sería un problema, dado que ambos, Bing y Google han reportado que por lo menos el 50% de las solicitudes de remoción fundadas en el “Derecho al Olvido” que reciben son inválidas de conformidad con la ley Europea.
¿Qué cambió en la versión final?: Estos montos son nuevos. Las multas variaron mucho de las versiones anteriores y, según se ha reportado, fueron fuertemente debatidas y objeto de lobbies hasta última hora.
Aun no conocemos la respuesta a la pregunta de los 20 Millones de Euros: ¿se aplican las normas de responsabilidad de los intermediarios previstas en los Articulos 12-15 de la Directiva Europea de Comercio Electrónico a las solicitudes de borrado por “Derecho al Olvido”?. Las reglas existentes en la Directiva Europea de Comercio Electrónico le indican a las empresas de Internet como ejecutar las solicitudes de remoción por otros reclamos legales, tales como difamación. Estas reglas tienen verdaderas fallas, pero al menos brindan ciertas protecciones contra intentos sin fundamento legal o abusivos de silenciar discurso en línea. No hay razón para utilizar un proceso totalmente nuevo para los reclamos por “Derecho al Olvido”, por lo que la respuesta para esta pregunta debería ser afirmativa: las reglas procedimentales de Comercio Electrónico para la notificación y remoción son aplicables al borrado por “Derecho al Olvido”. Esto significaría, entre otras cosas, que los intermediarios no deberían remover contenido hasta saber que la solicitud contiene un reclamo válido.
El lenguaje literal de la GDPR parece apoyar esta respuesta, pero contiene un agujero que agitará debates por años. Tanto el Antecedente 17 como el Articulo 2.3 ambos dicen que la GDPR se aplica “sin perjuicio” de “las reglas sobre responsabilidad de intermediarios establecidas en los Artículos 12 a 15”-las reglas de Comercio Electrónico que regulan el procedimiento de notificación y remoción. El problema se presenta, dicen muchos de los expertos, en que las reglas de responsabilidad de intermediarios de la Directiva de Comercio Electrónico son irrelevantes, ya que la GDPR, técnicamente no sanciona con responsabilidad civil al intermediario por el discurso de un tercero. Siguiendo este razonamiento, el “sin perjuicio” no tendría una consecuencia práctica. Mientras esta cuestión permanezca irresuelta, los intermediarios no tienen certeza sobre si pueden utilizar los sistemas de remoción ya existentes o si deben desarrollar nuevas herramientas para implementar los problemáticos nuevos procedimientos descriptos en la GDPR. Simplemente guiarse por la fe en la interpretación más simple del Artículo 2.3, y asumir que ella excusa a los intermediarios de cumplir con las reglas específicas previstas en la GDPR, es una apuesta que puede costar cara.
Si las reglas de Comercio Electrónico no fueran aplicables, entonces las solicitudes de remoción por “Derecho al Olvido” deberían seguir pasos y procedimientos específicos, lo que promueve el borrado si no existe una protección adecuada para los derechos a la libertad de expresión y acceso a la información de los usuarios de Internet. Un responsable del tratamiento que recibe una solicitud de borrado por “Derecho al Olvido” debe seguir pasos específicos. Algunos están enumerados en secciones dispersas de la GDPR. Otros son implícitos, surgidos de la interpretación de los reguladores de algún lenguaje similar de la vieja Directiva. Estas interpretaciones garantizan, no obstante, consideraciones y debates frescos, a medida que la GDPR expande su impacto en el acceso a la información en Internet.
El procedimiento de borrado de la GDPR tiene sentido para las solicitudes tradicionales de borrado, pre-Costeja –como cuando un usuario quiere borrar el tracking de su comportamiento en línea o información de su perfil, o contenido que esa misma persona hubiera subido. Pero aplicar las mismas reglas para borrar un discurso en lina de una tercera persona es un problema, porque no existe casi un control efectivo respecto de las solicitudes muy amplias o maliciosas
Los intermediarios deben remover inmediatamente el contenido cuando reciban una solicitud de remoción, y mantenerlo fuera de línea hasta que resuelvan si la solicitud es legalmente válida (Art. 17.a.1.a y c). Por ejemplo, si alguien reclama que la información en línea es incorrecta, el intermediario debe “restringir” la información, sacándola de circulación “por un período que permita al responsable del tratamiento verificar la corrección de los datos” (Art. 17ª.1.a). Esta clase de investigación fáctica del contenido generado por usuarios no es algo que los intermediarios vayan a intentar hacer. La información removida de acuerdo a este estándar de remuevo-luego-verifico difícilmente vuelva a ser publicada. Existen poderosos argumentos de política, así como argumentos legales basados en los Derechos Humanos, contra esta presunción de culpabilidad de quienes se expresan en línea. Estos argumentos deberían prevalecer. Pero el Articulo 17 no lo hará fácil.
¿Que cambió?: El lenguaje anterior sobre “restricción” era confuso y estaba disperso. El texto final en el 17a es más limpio, en el sentido que elimina excepciones o defensas discutibles de las versiones anteriores, aunque igualmente éstas nunca fueron demasiado viables.
Los intermediarios deben decidir que remover sin ninguna guía razonable sobre como balancear los derechos en juego. Con suerte, los reguladores consultaran con las partes interesadas, incluyendo los grupos de la sociedad civil y expertos en libertad de expresión y acceso a la información, para desarrollar guías concretas- como las publicadas previamente para los motores de búsqueda que fueron cuidadosamente pensadas
La persona cuyo discurso en línea es borrado no es notificada o no se le da oportunidad alguna para expresar una defensa. La GDPR no lo dice, pero mantiene intacto el lenguaje que los reguladores ya han interpretado como excluyente de la notificación, en el contexto de los motores de búsqueda. Bajo esta interpretación, no obstante, los intermediarios pueden algunas veces consultar con quien publicó originalmente el contenido.
El intermediario, aparentemente debe divulgar la identidad de quien expresó un discurso, a la persona que requiere su borrado. Considero que las DPA y los tribunales encontrarán la forma de interpretar esta parte como si no existiera. Es fuertemente inconsistente con el objetivo pro-privacidad de la GDPR. Su aplicación a los casos de remoción de contenido por “Derecho al Olvido” se debe, probablemente, a un error de redacción. Los términos de la GDPR en este tema son lo suficientemente difuso como para que los abogados de protección de datos personales encuentren una salida inteligente, si es que quieren hacerlo. Dice que: “los titulares de datos tendrán el derecho a obtener de los responsables del tratamiento” cierta información, incluso “en el caso en que la información no sea recolectada del titular del dato, cualquier información disponible sobre su fuente” Art. 15.1 (g). El Artículo 14 a (2) (g) contiene un lenguaje similar
No se especifica un formato para solicitar el borrado ni cual es la información que los titulares de datos deben incluir para explicar la razón por la cual el borrado estaría justificado. Esto también podría, y esperemos que suceda, ser remediado con alguna guía de los reguladores.
La mayoría de las solicitudes de remoción deben ser procesados en un plazo máximo de un mes (Artículo 12.2). Esto parece razonable en la mayoría de los casos. Para las empresas que se encuentren experimentando un crecimiento rápido y que aún no cuenten con equipos legales dedicados a estos temas, el plazo podría llevar a decisiones de remoción apresuradas e incorrectas.
La GDPR dice que la protección de datos debe ser balanceada con la libertad de expresión y que las solicitudes por Derecho al Olvido pueden ser negadas con fundamento en este derecho. (Art. 17.3, R.3 a). Sin embargo, no provee ninguna guía sobre cuales son esos fundamentos de libertad de expresión. En cambio, deja a los Estados Miembros la tarea de establecer los mecanismos de protección de la libertad de expresión en algún momento futuro (Art. 80). Esta aproximación genera una serie de problemas. Por un lado, algunos países aún no han establecido las protecciones para la libertad de expresión que se suponía debían dictar hace veinte años, bajo la última Directiva. Por lo tanto, no es esperable que elaboren una protección armónica y adecuada para el discurso de los usuarios de Internet en el corto plazo.
¿Que cambión en la versión final?: el texto central del artículo 80 cambió un poco, pero no en una forma relevante para los intermediarios. Me parece, no obstante, que las protecciones para investigación y usos de archivo se han fortalecido allí y en el resto de la GDPR. Me saco el sombrero por quien sea que obtuvo ese logro.
Las obligaciones de la GDPR se aplican a una enorme cantidad de empresas No Europeas –aún más que en versiones anteriores. La sección de “alcance territorial” aplica la GDPR a empresas fuera de la Unión Europea si éstas procesan datos sobre personas dentro de la Unión Europea en conexión con la “oferta de productos y servicios” o por “monitorear” el comportamiento de los usuarios. Art. 3.2. Los Antecedentes de la GDPR establecieron ciertos limites útiles en cuanto al alcance de “ofrecer” como base para determinar la jurisdicción sobre empresas extranjeras (Antecedente 20). Pero “monitoreo” parece alcanzar una amplia franja de tracking, elaboración de perfiles, y costumización que son usualmente realizadas por las empresas de Internet alrededor del mundo (Antecedentes 21,Art. 4.3aa). Por lo tanto, a menos que se bloqueen o se diferencien servicios para los usuarios Europeos, esas empresas necesitan pensar en profundidad sobre sus obligaciones bajo el Reglamento en general, no sólo respecto del “Derecho al Olvido”.
¿Que ha cambiado en la versión final?: muchas más empresas son alcanzadas. A diferencia de algunas versiones anteriores del Artículo 3.2, el lenguaje final alcanza a los encargados del tratamiento fuera de la Unión Europea, no solo a los responsables del tratamiento. Esto extiende la GDPR a muchas más empresas. Las nuevas –encargados del tratamiento no Europeos- tienen menos obligaciones legales directas, pero probablemente necesitarán modificar sus contratos con las empresas responsables del tratamiento, y asumir nuevos deberes bajo esos contratos. Estos es independiente de los cambios que ya están ocurriendo para abordar la transferencia internacional de datos como consecuencia del caso Schrems. No he seguido los deberes de los encargados muy de cerca, pero aguardo muchos buenos análisis sobre esto de los estudios jurídicos con prácticas en protección de Big Data, como Hunton & Williams o Wilson Sonsini.
Los Antecedentes de la versión final también evidencian una frustración real con los reclamos de que la ley Europea no alcanza a las empresas extranjeras matrices de las subsidiarias establecidas en la Unión Europa, expresando que “el formato legal de esos arreglos, sea a través de una filial o una subsidiaria con personalidad jurídica propia, no es un factor determinante” para fijar la jurisdicción de acuerdo al Articulo 3.1. (Antecedentes 19,28)