El pasado 4 de mayo se publicó de forma oficial el Reglamento General de Protección de Datos (en adelante, el RGPD) en el DOUE, reconociéndose, en su artículo 17, el derecho a la supresión o derecho al olvido, de forma que el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan.

Responsable del tratamiento

Por tanto, el responsable quedará obligado a suprimir tales datos cuando concurran ciertas circunstancias (1) y, además, si éste los hubiera hecho públicos, deberá asimismo adoptar las medidas razonables, incluidas las de tipo técnico, -teniendo en cuenta la tecnología disponible y el coste de su aplicación-, con miras a informar a otros responsables que estén tratando los datos de la solicitud de supresión formulada acerca de cualquier enlace a esos datos personales, o de cualquier copia o réplica de los mismos. Todo ello sin perjuicio de la posible denegación al ejercicio de este derecho en base al respeto y posible preponderancia de otros derechos igualmente protegibles, como el de la libertad de expresión e información, o de la concurrencia de intereses públicos legalmente reconocidos.

Por lo tanto, es evidente que será el responsable de tratamiento al que corresponda atender tal derecho. Sin embargo, lo que ya no parece tan claro o pacífico es la cuestión de su determinación específica, tal como se pone de manifiesto en  casos como el de Google, -trasladable a otros casos y supuestos similares-, en el que dos Salas distintas del Tribunal Supremo (Primera y Tercera) parecen disentir acerca de esta cuestión.

Determinación del responsable

Así, mientras la Sala de lo Contencioso-Administrativo del Tribunal Supremo opina en el caso concreto que analiza que el responsable es Google Inc., por ser el gestor del motor de búsqueda, y por ser quien determina los fines y los medios de esta actividad, en cambio, la Sala de lo Civil del TS entiende que será tal responsable Google Spain, S.L., partiendo y reconociendo del concepto amplio del mismo contenido en la STJUE de 13 de mayo de 2014, asunto C-131/12, por relación con la Directiva 95/46/CE. Para entender la interpretación extensiva que adopta la Sala de lo Civil se debe partir, precisamente, de las siguientes consideraciones previas formuladas por el Alto Tribunal de la UE en dicha Sentencia, a saber:

• Que la actividad de los motores de búsqueda se erige como tratamiento de datos personales.
• Que las empresas que gestionan dichos motores son responsables del tratamiento, al determinar los fines y medios de esta actividad.
• Que la actividad de promoción y venta de espacios publicitarios que un motor de búsqueda realice en un Estado miembro y dirigida a sus ciudadanos, a través de una filial o establecimiento en el mismo, aunque no sea una actividad directamente vinculada a la indexación o al almacenamiento de información o datos (que realizaría la matriz ubicada fuera de la UE), sin embargo, constituye parte esencial de la actividad comercial de aquél (porque posibilita que sea económicamente rentable) y, ende, se encuentra estrechamente relacionada con la actividad principal de la matriz. Esta relación es la que, precisamente, fundamenta su consideración como establecimiento permanente y responsable del tratamiento en el sentido de la Directiva 95/46/CE sobre la que se funda la actual normativa española (interpretación amplia y expansiva del concepto de responsable de tratamiento al objeto de garantizar lo más posible la protección de los derechos de los interesados).

En definitiva, la Sala Primera hace primar esta interpretación en orden a garantizar una tutela eficaz y completa de las libertades y de los derechos fundamentales y, con ello, aplica la jurisprudencia del Tribunal de Justicia de la Unión Europea, como máximo intérprete del Derecho de la Unión. Y es que no resulta lógico dificultar al ciudadano el ejercicio de sus derechos fundamentales a través de dilaciones y costes indebidos e innecesarios  en orden a la debida protección y atención de aquéllos.

Ahora bien, no se debe perder de vista que el derecho al olvido, ni opera de forma automática, ni se trata de un derecho absoluto, debiendo ponderarse y considerarse aspectos como la relevancia pública del afectado, el interés público e histórico asociado a la información de que se trate y, sobre todo, la concurrencia de otros derechos en juego como son las mencionadas libertades de expresión y de información.

En todo caso, como bien plantea la Sala Primera del TS en su Sentencia de 5 de abril de 2016, en su Fundamento de Derecho Quinto, apartado 13), no debe perderse de vista que ni “(…) puede exigirse al gestor de un motor de búsqueda que por su propia iniciativa depure estos datos, porque ello supondría un sacrificio desproporcionado para la libertad de información (…), ni que tampoco el “(…) el llamado “derecho al olvido digital” (…) ampara que cada uno construya un pasado a su medida (…)”.

Responsabilidad de todos

Responsable, por consiguiente, lo será, en primera instancia, la entidad o empresa que maneja nuestra información pero, sin duda, también lo será el afectado en lo que concierne al destino y a la protección efectiva que éste confiera a sus propios datos, o a los de aquéllos a los que legalmente represente. Dicho en otras palabras, garantizar el derecho a la protección de los datos personales, o a expresiones tan importantes del mismo, como son el derecho al olvido, es una “responsabilidad de todos”.