La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ha publicado un informe sobre los aspectos técnicos del denominado “derecho al olvido”, que facilita la supresión de datos personales en internet, y que está incluido en la nueva propuesta de Reglamento sobre Protección de Datos, publicada por la Comisión Europea en enero de 2012.

El estudio identifica las limitaciones técnicas, así como una mayor necesidad de definiciones inequívocas y aclaraciones legales que permitan poner en práctica correctamente los medios técnicos adecuados para la protección de este derecho.

El estudio concluye que una vez que la información personal se ha publicado, es imposible evitar, o incluso observar, por medios técnicos, la creación de copias no autorizadas de esta información. En un sistema abierto como Internet, el “derecho al olvido” no se puede hacer cumplir por medios técnicos por sí solos. La aplicación debe basarse en una combinación de disposiciones legales y técnicas internacionales. Se requiere un enfoque interdisciplinar, y los legisladores deben ser conscientes de ello.

Principales conclusiones del informe:

- Los legisladores y los organismos encargados de la protección de datos deben trabajar juntos para clarificar las definiciones y facilitar la aplicación del derecho (aclaración sobre quién puede solicitar la supresión de datos personales compartidos, en qué circunstancias, etc.).

- Al proporcionar las definiciones, las dificultades técnicas para hacer cumplir el “derecho al olvido” deben ser consideradas cuidadosamente, así como los costes asociados.

- Para cualquier interpretación razonable del “derecho al olvido”, una solución puramente técnica e integral para aplicar este derecho en una Internet abierta es generalmente imposible.

- Un posible enfoque pragmático para contribuir en la implementación de este derecho sería exigir a los operadores de motores de búsqueda y servicios de intercambio dentro de la Unión Europea que filtren sus referencias a datos «olvidados» que se almacenen tanto dentro como fuera de UE.

- Debe prestarse particular atención a la supresión de datos personales almacenados en dispositivos retirados o desconectados.

- Los responsables del tratamiento deberían estar obligados a proporcionar a los usuarios un fácil acceso a los datos personales que almacenan y formas para actualizarlos, rectificarlos y eliminarlos en un plazo razonable y sin coste alguno para el usuario (en la medida en que esto no entre en conflicto con otras leyes aplicables)

- Hay que desarrollar técnicas que tengan como objetivo la prevención de la recolección de datos no deseada y la difusión de información (por ejemplo, robot.txt, do not track, access control).

Este informe complementa otras dos publicaciones recientes de ENISA: el “Estudio sobre el almacenamiento y la recopilación de datos en Europa” y el “Informe sobre las implicaciones para la privacidad del rastreo del comportamiento en línea”. En este contexto más amplio, la Agencia recomienda:

- Los legisladores deberían garantizar la utilización de tecnologías que integren el principio de revelación mínima a fin de minimizar la cantidad de datos personales recopilados y almacenados en línea.

- ENISA también recomienda la utilización de la encriptación para el almacenamiento y la transmisión de datos.

- Debe prestarse particular atención al rastreo y a la creación de perfiles en línea, y es preciso poner en práctica soluciones de aplicación para bloquear comportamientos inapropiados y obligar al cumplimiento de la normativa sobre protección de datos.

- Las autoridades de protección de datos y stakeholders relevantes en el campo deben mejorar la concienciación de los usuarios en relación a sus derechos derivados de la legislación de Protección de Datos y sobre las posibilidades que les ofrece el sistema legal para ejercer estos derechos, incluyendo reclamaciones sobre recogida excesiva y almacenamiento de datos personales.

- Al mismo tiempo, las Autoridades de Protección de Datos, el Grupo de Trabajo del Artículo 29, el Supervisor Europeo de Protección de Datos..., deben trabajar juntos para aclarar cuestiones pendientes de definición, teniendo en cuenta los aspectos de aplicación práctica, mientras que los Estados miembros deben eliminar las regulaciones que pudieran generar conflictos (la recolección y almacenamiento de datos personales no está siempre regida por la legislación de protección de datos).

Consulte el informe completo, aquí.