La principal expectativa de las personas en todos los países en los que existen leyes de privacidad de datos es el derecho a acceder a sus datos y, en caso necesario, a que se corrijan o incluso se borren por completo.
Para algunos, el motivo de borrar sus datos personales es que la persona pueda ejercer su derecho al olvido.
El Reglamento General de Protección de Datos (RGPD) de la UE lleva ya más de quince meses en vigor, por lo que cabe esperar que la mayoría de la gente esté familiarizada con el derecho al olvido de los residentes europeos.
Sin embargo, no se puede decir lo mismo de la Ley de Borradores en Línea de 2005 de California, que en ese momento fue ampliamente promocionada como el "Derecho al Olvido". Lite", ya que permitía a los menores "borrar" su información personal en línea.
En este artículo examinamos cómo se actualizó la ley original de borrado en línea de California para incluirla en la Ley de Privacidad del Consumidor de California (CCPA), y cómo se compara la ley del estado del sol con el derecho al olvido del GDPR.
Desde los orígenes más humildes
El derecho al olvido se basó en la creencia común de que las personas deben tener un control autónomo sobre su presencia en línea sin que se les etiquete o identifique en función de lo que hayan hecho o no en el pasado.
Este derecho tuvo sus inicios fundacionales en el artículo 12 de la Directiva de protección de datos sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales, donde se reconoció por primera vez el derecho del interesado a solicitar y obtener acceso a los datos personales y a oponerse a su tratamiento.
Rápidamente se convirtió en un tema candente, no sólo para las agencias de noticias de todo el mundo, sino también para las empresas estadounidenses que procesan los datos personales de los particulares que residen en los países europeos.
La preocupación generalizada entre las empresas estadounidenses estalló en 2014, cuando el Tribunal de Justicia de la Unión Europea (TJUE) se hizo cargo del caso Google contra Costeja, originado por el periódico español La Vanguardia, a raíz de la publicación de anuncios en 1998 sobre la venta forzosa de propiedades derivadas de deudas con la Seguridad Social, que finalmente se pusieron en línea.
Uno de los propietarios, Mario Costeja González, presentó una denuncia oficial en 2009 contra Google y La Vanguardia, argumentando que la venta forzosa había sido hace varios años y, como tal, ya no era relevante, por lo que se justificaba la eliminación de los datos y los enlaces. El Tribunal rechazó la denuncia contra La Vanguardia, pero estimó la denuncia contra Google España. En consecuencia, Google acabó en el TJUE.
El fallo del TJCE fue que, a petición del interesado, una empresa de motores de búsqueda debe eliminar de los resultados de una búsqueda el nombre de la persona y los enlaces existentes que ya no sean pertinentes. Este derecho fue debidamente codificado como el artículo 17, "Derecho a la eliminación", del RGPD.
Esta sentencia histórica afectó a innumerables empresas cubiertas por la ley de privacidad de la UE.
En la actualidad, la CCPA concede a los consumidores el derecho a solicitar la supresión de sus datos personales. A continuación, SB 1121 este derecho puede ser revelado a los consumidores en una "forma que sea razonablemente accesible", mientras que antes del SB 1121, el derecho debía ser revelado en un aviso de privacidad en el sitio web de una empresa.
Al igual que el GDPR, el derecho de supresión de la CCPA tiene ciertas limitaciones. Y puesto que la CCPA se basó en el GDPR, muchas de las limitaciones del GDPR se reflejan en la ley de California, e incluyen varios motivos por los que una empresa cubierta puede rechazar legalmente una solicitud de eliminación.
Estas limitaciones se producen cuando la información es:
-
necesario para completar la transacción para la que se recogió o es necesario para proporcionar bienes o servicios solicitados por el consumidor
-
Se utiliza en el contexto de la relación comercial con el consumidor
-
Necesario para ejecutar un contrato
-
Se utiliza para detectar incidentes de seguridad y proteger contra actividades maliciosas, fraudulentas o ilegales
-
Necesario para realizar investigaciones científicas, históricas o estadísticas de interés público
-
Utilizados únicamente para usos internos que se ajustan razonablemente a las expectativas del consumidor
-
Requerido para cumplir con una obligación legal o con las leyes aplicables
También se incluye en la CCPA la exención para las solicitudes que puedan interferir con el derecho a "ejercer la libertad de expresión, garantizar el derecho de otro consumidor a ejercer su derecho a la libertad de expresión o ejercer otro derecho previsto por la ley". Esta "excepción de la Primera Enmienda" no siempre está presente en otras leyes de protección de datos. Aunque sí ocurrió algo parecido en el caso Google vs. Costeja, en el que el TJCE finalmente dictaminó que, aunque reconocía el derecho al olvido, no se aplicaba a Costeja, simplemente porque los artículos eran "de interés público", y por tanto no tenían que ser eliminados.
En Estados Unidos, la Primera Enmienda y un legado de protección de la expresión se sitúa por encima de todos los demás intereses relacionados con la privacidad, esta excepción puede interpretarse de forma amplia.
Cómo trata el RGPD el derecho a ser olvidado
En virtud del derecho al olvido de la UE -y trasladado al RGPD- cualquier persona que resida en la Unión Europea, independientemente de su edad, puede solicitar a una empresa que revele si está tratando datos personales que le conciernen y, en caso afirmativo, la empresa debe proporcionar una copia de los datos personales.
Además, el interesado tiene derecho a oponerse al tratamiento de sus datos personales o a solicitar la supresión total de los mismos. Es importante señalar que esto no sólo incluye los datos enviados directamente por el individuo, sino cualquier datos personales que conciernen a esa persona.
Esto significa que el interesado puede solicitar la supresión de cualquier información de terceros si dicha información le afecta. Sin embargo, la solicitud de supresión no implica la eliminación automática, a menos que la base legal para el tratamiento de dichos datos sea el consentimiento. En su lugar, el responsable del tratamiento considerará su interés legítimo o el interés del público en acceder a la información, frente al derecho fundamental del interesado a la intimidad.
Esto supone que la base legal para el tratamiento es el interés legítimo del responsable del tratamiento o el interés público.
Si la balanza se inclina a favor del interesado, los datos de la persona deben ser eliminados.
Conclusión:
Cuando comparamos las dos leyes una al lado de la otra, es bastante evidente que la ley original de borrado en línea de California no proporcionaba a los individuos el derecho a ser olvidados. De hecho, muchos podrían argumentar legítimamente que la legislatura californiana fracasó por completo en su objetivo de proporcionar a los menores protección en línea.
En el mejor de los casos, lo único que consiguieron los legisladores fue codificar el derecho a un botón de "borrar" para los menores. En el peor de los casos, lograron la promulgación de una ley que no era más que una sarta de humo y espejos que simplemente proporcionaba la ilusión de protección a los menores de California.
Entonces, ¿ofrece la CCPA a los consumidores californianos el derecho a ser olvidados?
...en una palabra, no.
Si bien la CCPA consigue ampliar el número de residentes que pueden solicitar el olvido de sus datos, así como el número de empresas que deben atender dichas solicitudes, siguen existiendo otras leyes de protección de la intimidad -tanto en Estados Unidos como en Europa- que sí confieren el derecho al olvido.
Aunque la mayoría de las leyes de privacidad de Estados Unidos no incluyen el derecho al olvido, la Ley de Protección de la Privacidad de los Niños en Línea (COPPA) sí tiene una disposición análoga. La COPPA regula la recopilación en línea de información de menores de 13 años. De acuerdo con las normas de aplicación de la COPPA, los padres y tutores tienen derecho a revisar "o hacer que se elimine la información personal del niño". 16 C.F.R. § 312.4(d)(3).
El derecho al olvido existe desde hace más de 20 años en la Unión Europea. Este derecho apareció por primera vez en la Directiva europea sobre privacidad, adoptada en 1995, y se trasladó al RGPD.
Esto puede describirse de la siguiente manera:
GDPR - ARTÍCULO 17:
El interesado tendrá derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernen sin dilación indebida y el responsable del tratamiento tendrá la obligación de suprimir los datos personales sin dilación indebida cuando se aplique uno de los siguientes motivos... Artículo 17.1.
CCPA - SECCIÓN 1798.105(a)
Un consumidor tendrá derecho a solicitar que una empresa elimine cualquier información personal sobre el consumidor que la empresa haya recogido de él.
Fuentes: Legislatura de California, IAPP, JDSupra
NOTA: Este documento se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda que las empresas contraten los servicios de un profesional con experiencia en privacidad de datos y/o de un abogado de privacidad de datos cuando se preparen para cumplir con cualquier legislación de protección de datos y privacidad.