El futuro del “derecho al olvido” de la Unión Europea

Michel José Reymond

Affiliation:

Byrne-Sutton Bollen Kern, Geneva michel-jose.reymond@vsgrid.ch

Date Received:

Date Accepted:

Date:

Publication Date (Print):

DOI: https://doi.org/10.29263/lar02.2019.04

En su fallo histórico del 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea dedujo a partir de la ley de protección de datos de Europa que los ciudadanos europeos tienen el derecho de eliminar resultados de búsqueda que muestren información desactualizada, como pasadas condenas y otras indiscreciones previas, que, a pesar de haber sido publicada legalmente, ahora es irrelevante de forma tal que puede perjudicar la privacidad.

Hoy en día, este llamado “derecho al olvido” se encuentra —en dos aspectos— en una encrucijada. En primer lugar, tras una disputa de varios años entre Google y la autoridad de protección de datos de Francia y la Commission Nationale de l’Informatique et Libertés, el Consejo de Estado de Francia ha solicitado al Tribunal de Justicia de la Unión Europea un fallo preliminar para proporcionar orientación muy necesaria sobre la implementación del derecho, en particular en términos de si la eliminación de resultados de búsqueda debería realizarse localmente en la Unión Europea o de manera global. En segundo lugar, la entrada en vigor del Reglamento General de Protección de Datos plantea el problema de si —y cómo— el “derecho al olvido” consagrado en su artículo 17 tendrá algún impacto sobre el modelo actual de implementación de la supresión en la Unión Europea. En efecto, esa provisión, al haber sido redactada antes de que el TJUE presentara su decisión sobre Google España, prevé un alcance mayor de aplicación que va más allá de los motores de búsqueda.

La presente contribución discute cómo cada uno de estos dos acontecimientos afectará el futuro del derecho al olvido en Europa. Observando que el modelo actual de implementación del derecho tras el caso de Google España —basado en ordenamientos privados individuales y en particular en los estándares y prácticas internos de Google— carece de medios de escalabilidad, el artículo concluye que cualquier expansión, ya sea de su alcance geográfico o material, podría llevar a una falla práctica. El autor propone un modelo alternativo de implementación, inspirado por los sistemas alternos de resolución de disputas existentes.

Palabras clave:

Derecho al olvido

Unión Europea

derecho a la desindexación

Google España

responsabilidad de los intermediarios

protección de datos

RGPD

The future of the European Union “Right to be Forgotten”

Abstract

In its landmark ruling of May 13, 2014, the European Court of Justice deduced from European data protection law, a right for European citizens to remove search results which display information, such as spent convictions and other past indiscretions, which, even though lawfully published, has become out-dated or irrelevant in such a way as to harm the individual’s privacy.

Today, this so-called “Right to be Forgotten” stands—in two ways—at a crossroads. First, following a years-long dispute between Google and the French data protection authority, the Commission Nationale de l’Informatique et Libertés, the French Conseil d’Etat has asked the ECJ for a preliminary ruling to provide some much-needed guidance on the implementation of the right, and in particular whether removal of search results should be performed locally in the EU or in a global manner. Second, the entry into force of the General Data Protection Regulation raises the issue of whether and how the “Right to be Forgotten” contained in its Article 17 will impact the current implementation model for erasure in the European Union. Indeed, that provision, having been drafted before the ECJ rendered the Google Spain decision, foresees an expanded scope of application going beyond search engines.

The present contribution discusses how each of these two developments will affect the future of the Right to be Forgotten in Europe. Observing that the current implementation model of the right following Google Spain —based on individual private ordering and, in particular, on Google’s inhouse standards and practices—lacks means of scalability, the article concludes that any expansion of either its geographical or material scope could lead to a practical break-down. The author then proposes an alternate implementation model inspired by existing alternate dispute resolution systems.

Keywords:

Right to be Forgotten

European Union

right to be delisted

Google Spain

intermediary liability

data protection

GDPR

INTRODUCCIÓN

El 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea (TJUE) presentó su ahora bien conocida decisión con respecto a Google España, en la cual dedujo, a partir de la ley de protección de datos de Europa, que los individuos tienen el derecho a eliminar resultados de búsqueda que muestren información personal desactualizada o irrelevante que pueda perjudicar su derecho a la privacidad1. A pesar de que este derecho se ha popularizado como el “derecho al olvido”, en realidad se acerca más al “derecho a la desindexación”, pues está limitado a los resultados de búsqueda que aparecen al buscar un nombre2.

Hoy en día, el derecho a la desindexación de la Unión Europea (UE) se encuentra —en dos aspectos— en una encrucijada. En primer lugar, tras una disputa de varios años entre Google y la autoridad de protección de datos de Francia (Commission Nationale de l’Informatique et Libertés), el Consejo de Estado francés ha solicitado al TJUE un fallo preliminar para proporcionar orientación muy necesaria sobre la implementación del derecho, en particular en términos de si la eliminación de resultados de búsqueda debería realizarse localmente en la UE o de manera global. En segundo lugar, la reciente entrada en vigor del Reglamento General de Protección de Datos (RGPD) plantea el problema de si —y cómo— su artículo 17, que consagra el “derecho de supresión/derecho al olvido”, debería afectar las prácticas actuales para desreferenciación.

La presente contribución busca detallar el impacto de estos dos acontecimientos en el futuro del derecho a la desindexación en Europa. En particular, resaltará que, debido a la falta de orientación tanto en cuestiones de procedimiento como sustantivas, el actual modelo de implementación del derecho a la desindexación, que está basado en ordenamientos privados, carece de medios de escalabilidad. Por lo tanto, las ampliaciones en su alcance, contenidas en los dos desarrollos recientes, corren el riesgo de llevar al derecho a la desindexación a una falla práctica. Con este hallazgo en mente, el presente estudio presentará un modelo alternativo de implementación inspirado por los sistemas alternos de resolución de disputas existentes.

El artículo empezará con una breve presentación del concepto legal conocido como el “derecho al olvido”, y luego establecerá los detalles del derecho a la desindexación tal y como lo formula el TJUE en su fallo sobre Google España. Luego, se analizará cada uno de los acontecimientos mencionados, lo que llevará a una evaluación más amplia de su posible impacto en el futuro del derecho al olvido en Europa. Para finalizar, se detallará la propuesta del autor.

1. EL CONCEPTO DEL DERECHO AL OLVIDO

El término “derecho al olvido” se refiere a un concepto legal que yace sobre la premisa de que las personas no deberían estar sujetas indefinidamente a sus errores, fechorías o vergüenzas pasadas. El alcance de su aplicación cubre muchos tipos diferentes de situaciones: una joven adulta que inicia su carrera profesional queriendo que las fotos que muestran sus años adolescentes de fiesta se eliminen de las redes sociales; la directora ejecutiva de una empresa nueva que quiere evitar que la prensa discuta sus proyectos fallidos previos con el fin de atraer a inversionistas; una exconvicta que quiere empezar una nueva vida sin que se le recuerden constantemente sus malas conductas pasadas3. En lugar de ser visto como un derecho al olvido en el sentido literal, el derecho debería entenderse como un reconocimiento de la capacidad de perdón y empatía de la sociedad con respecto a errores pasados. En el contexto específico de las comunicaciones en línea, el derecho al olvido se ha caracterizado como un derecho a la “redención digital”, o al menos como una protección muy necesaria en contra de la tendencia de internet de actuar como un archivo de la memoria humana siempre disponible4.

El ejercicio del derecho al olvido tradicionalmente se equilibra con el derecho fundamental a la libertad de expresión y con el derecho a la información del público5. Por ejemplo, en el caso de la exconvicta mencionado arriba, su derecho a iniciar una nueva vida puede, dependiendo de la severidad de su delito previo, estar limitado por el derecho de quienes se encuentran en su círculo social a estar informados y seguros.

Las expresiones del derecho al olvido han existido en diferentes formas en los sistemas legales internos de los países miembros de la Unión Europea, tanto en línea como fuera de línea, y con diferentes mecanismos, como los derechos de la personalidad (por ejemplo, la ley de difamación) y las leyes de protección de datos6. Sin embargo, debido a que las leyes de privacidad aún no se han armonizado en todos los estados miembros de la Unión Europea7, con excepción de un puñado de lineamientos generales establecidos por la jurisprudencia del Tribunal Europeo de Derechos Humanos8, en la actualidad no existe una respuesta unificada ante los problemas planteados por el derecho al olvido en Europa9.

2. GOOGLE ESPAÑA Y EL DERECHO A LA DESINDEXACIÓN DE LA UE

Fue en este contexto como el TJUE dedujo, a partir de la ley de protección de datos europea, una expresión específica del derecho al olvido en su histórica decisión del 13 de mayo de 2014.

El caso involucraba al español Mario Costeja González, quien en 1998 fue forzado a vender bienes en una subasta pública para pagar sus deudas de seguridad social. Diez años después, mientras buscaba su nombre en Google, encontró que el principal resultado de búsqueda llevaba a una noticia que publicitaba la subasta, publicada en ese entonces por el diario local La Vanguardia, y que estaba disponible en su archivo en línea10. Al considerar que la exhibición de información tan desactualizada y vergonzosa como resultado principal perjudicaba sus derechos de la personalidad, en particular ahora que se encontraba en mejores condiciones económicas, aplicó para que el aviso fuera eliminado por La Vanguardia y el resultado de búsqueda fuera eliminado por Google.

Para fundamentar su reclamación, el Sr. Costeja González se acogió a los principios contenidos en los artículos 12 (b) y 14 § 1 (a) de la Directiva de Protección de Datos de 1995[11]. Estas provisiones otorgan el derecho de supresión de datos, que confiere a los titulares de los datos —es decir, aquellas personas cuyos datos están siendo tratados— el derecho a objetar y ordenar la rectificación, supresión o bloqueo de instancias de tratamiento de datos personales considerados ilegales bajo la Directiva. Este es el caso particularmente cuando el responsable del tratamiento —es decir, la persona responsable de tratar dichos datos— ya no necesita los datos para el propósito original del tratamiento —por ejemplo, cuando el cliente de una empresa particular solicita que su archivo de cliente se elimine de los registros de dicha empresa.

La solicitud del Sr. Costeja González fue rechazada por la Agencia Española de Protección de Datos con respecto a La Vanguardia, puesto que la publicación del aviso de subasta por parte del diario había sido ordenada legalmente por las leyes españolas y por lo tanto se encontraba privilegiada por el artículo 7 (c) de la Directiva. Sin embargo, esa autoridad, considerando que Google no poseía un privilegio tal con respecto a la exhibición de sus resultados de búsqueda, ordenó al motor de búsqueda eliminar ese resultado de búsqueda ofensivo12.

Esta última conclusión fue controversial puesto que no estaba decidido si el derecho de supresión otorgado por los artículos 12 (b) y 14 § 1 (a) de la Directiva incluía el derecho a solicitar la eliminación de datos originalmente legales, pero desactualizados. En otras palabras, si el derecho de supresión de datos incluía un derecho al olvido13. Por lo tanto, Google apeló la decisión ante la Audiencia Nacional, que entonces solicitó al TJUE un fallo preliminar, preguntándole al Tribunal, inter alia, si la Directiva otorgaba un derecho al olvido así de amplio14.

En su decisión, el TJUE consideró que el derecho al olvido también cubría los datos desactualizados puesto que “incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con dicha directiva cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron. Este es el caso, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”15. Así mismo, el Tribunal reconoció que los motores de búsqueda desempeñan un “papel decisivo” en términos de la percepción del público sobre los individuos, puesto que hacen que la difusión de información personal sea de fácil acceso para “todo internauta que lleva a cabo una búsqueda a partir del nombre del interesado, incluidos los internautas que, de no ser así, no habrían encontrado la página web en la que se publican estos mismos datos”16.

Por lo tanto, el TJUE dictaminó que los motores de búsqueda estaban obligados, previa solicitud, a eliminar cualquier resultado de búsqueda que apareciera tras buscar un nombre que pudiera llevar a datos personales “inadecuados, no pertinentes o ya no pertinentes”. Además, determinó que los motores de búsqueda debían recolectar individualmente estas solicitudes de desindexación y examinarlas, en particular para equilibrar el derecho a la privacidad del solicitante con el derecho de información del público en cada caso individual17. Por último, el tribunal confirió a las autoridades de protección de datos de cada país miembro el papel de supervisión sobre las prácticas de desindexación de los motores de búsqueda, otorgándoles notablemente la autoridad de recibir apelaciones cuando un motor de búsqueda se rehúsa a cumplir con una solicitud de desindexación18.

El 26 de noviembre de 2014, el Grupo de Trabajo del Artículo 29, que era el organismo explicativo oficial de la Directiva de Protección de Datos19, publicó una serie de directrices no vinculantes con respecto al derecho a la desindexación20. Entre varias aclaraciones sobre el alcance personal y material del derecho, el Grupo de Trabajo estableció en el documento una lista básica de criterios para la desindexación21.

A pesar de que el derecho a la desindexación desde ese momento ha sido implementado por todos los grandes motores de búsqueda, incluyendo Bing22, Google23 y Yahoo!24, gran parte de la discusión actual sobre el tema se ha centrado solamente en los estándares y prácticas de Google, hecho que no resulta sorprendente teniendo en cuenta el dominio de este último en el mercado de los motores de búsqueda.Como lo reportó Patrick Teffer, la gran mayoría de solicitudes de eliminación de vínculos en 2015 se presentaron ante Google y no ante los demás motores de búsqueda25. Y aunque Google publica con regularidad un informe de transparencia que contiene estadísticas e información general sobre sus prácticas26, no reporta sobre sus decisiones individuales. Como además solo cerca del 2% de las denegaciones de Google ha sido apelado ante la autoridad de protección de datos competente, la jurisprudencia ha sido escasa27. En este sentido, podría no ser exagerado decir que el principal juez y arquitecto del derecho a la desindexación es, hoy en día, el mismo Google28. A pesar de que esta centralización de facto se ha criticado por proporcionar a la compañía demasiado poder29, esta situación ha tenido el beneficio de estabilizar la práctica en torno al derecho a la desindexación, un acontecimiento muy necesario debido a la falta de orientación de parte tanto del TJUE como del Grupo de Trabajo30.

Sin embargo, esa estabilidad ahora se está viendo perturbada por dos desafíos que buscan expandir aún más el alcance del derecho a la desindexación.

3. DOS DESARROLLOS

3.1. El caso de Google Inc. y el alcance geográfico del derecho a la desindexación

El primer desafío que le espera al derecho a la desindexación tiene que ver con una solicitud pendiente de un fallo preliminar presentada ante el TJUE por el Conseil d’État de Francia, realizada en el contexto de un proceso de litigio en curso que involucra a la autoridad de protección de datos de Francia, la Commission Nationale de l’Informatique et des Libertés (CNIL), y que tiene que ver con el controversial —y aún irresuelto— tema del alcance de la obligación de desindexación impuesta por el derecho a la desindexación.

El contexto de la disputa es el siguiente: en su fallo sobre Google España, el TJUE, como se mencionó antes, dictaminó que los motores de búsqueda estaban “obligados a eliminar” los resultados de búsqueda que muestren información “inadecuada, impertinente o excesiva”. Sin embargo, el Tribunal no especificó si los resultados de búsqueda ofensivos debían eliminarse localmente, es decir, solo para los usuarios ubicados en la Unión Europea, o globalmente.

Sin orientación suficiente sobre este punto, cuando Google lanzó su formulario de eliminación en mayo de 2014, adoptó un esquema de distribución basado en el Dominio de Nivel Superior, que garantizaba que solo los resultados mostrados en las versiones europeas de su servicio, como google.de o google.fr, cumplieran con el derecho a la desindexación. Sin embargo, este modelo de implementación no limitó a los usuarios mediante la geolocalización de su lugar de acceso, lo que quiere decir que los usuarios europeos solo debían ingresar una versión extranjera de Google en su barra de direcciones, como google.com o google.ca, para acceder a la lista completa de resultados y así burlar el derecho a la desindexación31.

Los lineamientos del Grupo de Trabajo del Artículo 29, que se publicaron unos meses después, caracterizaron la práctica de Google como ineficiente e interpretaron que el fallo de Google España requería de un esquema global de desindexación:

El fallo establece […] una obligación de resultados que afecta a toda la operación de procesamiento realizada por el motor de búsqueda. La implementación adecuada del fallo debe realizarse de forma tal que los titulares de los datos estén protegidos efectivamente en contra del impacto de la diseminación y accesibilidad global de su información personal ofrecida por los motores de búsqueda cuando las búsquedas se hacen con base en el nombre de individuos.

Si bien las soluciones concretas pueden variar dependiendo de la organización y estructura interna de los motores de búsqueda, las decisiones de desindexación se deben implementar de tal forma que se garantice la protección efectiva y plena de estos derechos, y que las leyes de la UE no se puedan burlar fácilmente. En este sentido, limitar la desindexación a dominios de la UE con el argumento de que los usuarios tienden a acceder a los motores de búsqueda mediante sus dominios nacionales, no se puede considerar un medio suficiente para garantizar satisfactoriamente los derechos de los titulares de los datos de acuerdo con el fallo. En la práctica, esto quiere decir que, en cualquier caso, la desindexación también debe ser efectiva en todos los dominios relevantes, incluyendo .com32.

Sin embargo, Google ahondó en la práctica. En efecto, su modelo elegido de implementación del derecho a la desindexación había sido aprobado, entre tanto, por el Consejo Asesor para el Derecho al Olvido, un grupo independiente que nombró con el fin de moldear sus prácticas de desindexación y que estaba compuesto por académicos, empresarios y partes interesadas de alto perfil, incluyendo el Relator Especial de las Naciones Unidas, Frank LaRue, la directora editorial de Le Monde, Sylvie Kauffmann, y la representante del parlamento alemán, Sabine Leutheusser-Schnarrenberger33.

En su informe final, emitido el 6 de febrero de 2015, el Consejo Asesor concluyó que los intereses contrapuestos de los usuarios ubicados por fuera de la Unión Europea de acceder a contenido legal en sus propias jurisdicciones, junto con los de aquellos usuarios europeos de tener disponibles resultados extranjeros de motores de búsqueda, pesan más que la necesidad de “protección absoluta a los derechos de un titular de datos”34. Así mismo, el Consejo Asesor señaló que Google.com ya redirige automáticamente a sus usuarios a los resultados de búsqueda locales, y que “más del 95% de todas las búsquedas que se originan en Europa se hacen en las versiones locales del motor de búsqueda”. Así, con la aprobación de su panel independiente de expertos, Google siguió adelante con su esquema basado en el nombre de dominio.

Las cosas se agitaron de nuevo en mayo de 2016, cuando la CNIL inició procedimientos formales en contra de Google, solicitando la implementación de un esquema global de desindexación. Esto llevó a la compañía a cambiar su manera de operar, limitando a sus usuarios a su Google local mediante el uso de tecnologías geolocalización. Sin embargo, la CNIL consideró que esto era insatisfactorio y, el 24 de marzo de 2016, impuso una multa de € 100.000 al motor de búsqueda35.

Google apeló la decisión ante el Conseil d’État. También criticó públicamente la postura de la CNIL mediante un editorial abierto escrito por su vicepresidente senior, Kent Walker, y publicado en el diario francés Le Monde36. El artículo, que afirmaba que Google ya había cumplido con el fallo de Google España hasta donde sus posibilidades se lo permitían, argumentaba que, esencialmente, la CNIL ordenaba que “su interpretación de la ley francesa que protege el derecho al olvido debería aplicar no solo en Francia, sino en todos los países del mundo” (énfasis en el original) y que, en vista del principio de cortesía entre naciones, una orden de este tipo “podría generar a una carrera mundial hacia el abismo, perjudicando el acceso a información que es perfectamente legal en su propio país. Por ejemplo, esto podría evitar que ciudadanos franceses vean contenido que es perfectamente legal en Francia”37.

Mediante la decisión del 19 de julio de 2017, el Conseil d’État encontró que el caso planteaba problemas significativos de interpretación del fallo de Google España, y envió tres preguntas preliminares al TJUE38. Primero preguntó si el derecho de desindexación requería que los motores de búsqueda eliminaran de la lista los resultados ofensivos de manera global, o si era suficiente con que los resultados se eliminaran localmente, es decir, solo cuando se generaban para usuarios ubicados en la Unión Europea. En caso de que el TJUE optara por un esquema de eliminación local, específico para la UE, el Conseil d’État preguntó alternativamente si un esquema tal debía hacerse cumplir limitando a los usuarios a su jurisdicción mediante tecnologías de geolocalización, o si un enfoque más suave, basado en Dominio de Nivel Superior, como el modelo inicial de implementación de Google, era aceptable39.

Debido a las claras señales de la CNIL y del Grupo de Trabajo del Artículo 29 a favor de un esquema de desindexación global, no sería sorpresa que el TJUE declarara que un esquema de este tipo es obligatorio. Sin embargo, la crítica de Google a este enfoque parece cierta en la medida en que la adopción de dicha opción tendría el efecto práctico de extender el alcance del derecho a la desindexación, y por lo tanto de la ley de protección de datos de la UE, a situaciones en las que es geográficamente inaplicable; de esta manera, ofendería el principio de cortesía entre estados40.

Debería preferirse la segunda opción presentada al TJUE, es decir, una obligación de desindexación regional, implementada mediante tecnologías de geolocalización. Esta opción respetaría el hecho de que el contenido analizado por el derecho a la desindexación puede considerarse legal en otras jurisdicciones. En términos de efectividad, la burla a este esquema solo sería posible por medios técnicos dedicados, como una conexión VPN o un servicio de proxy. Esto sería suficiente para salvaguardar el objetivo declarado del derecho a la desindexación, que, en lugar de consistir en la supresión de la publicación ofensiva, busca que se realice la desindexación parcial de dicho contenido con el fin de evitar su amplia diseminación al pú-blico41. En este sentido, un fallo reciente de la Audiencia Nacional Española parece decidirse a favor de esta opción42.

Habiendo dicho esto, también es preciso reconocer que esta discusión no es, en ningún sentido, nada nuevo. La cuestión del alcance geográfico de la eliminación de contenido en línea ha sido un asunto espinoso en el derecho cibernético desde el caso seminal de Yahoo! en el año 2000, en el cual dos organizaciones francesas buscaron eliminar subastas de objetos coleccionables nazis, que están prohibidos bajo el derecho francés, de la página web de una compañía basada en Estados Unidos.

En ese caso, el Tribunal de Gran Instancia de París, consciente de los posibles efectos extraterritoriales negativos de una orden global para la eliminación de ese contenido, decidió en su lugar obligar a Yahoo! a implementar un esquema regional de filtración basado en geolocalización. Por consiguiente, resulta sorprendente ver a la CNIL de Francia desviarse de este precedente y solicitar que Google haga una desindexación global de sus resultados de búsqueda.

3.2. La entrada en vigor del Reglamento General de Protección de Datos

El 25 de mayo de 2018 entró en vigor el Reglamento General de Protección de Datos, que creó un marco legal unificado para la protección de datos en la Unión Europea y por lo tanto desplazó a la Directiva de Protección de Datos. Entre sus muchas innovaciones, el RGPD incluye el “derecho de supresión/derecho al olvido”, que se encuentra consagrado en los artículos 17 y 19[43].

En contraste con la naturaleza limitada del derecho a la desindexación tal y como lo instituyó el TJUE en Google España, el artículo 17 del RGPD prevé un derecho general de supresión de datos personales, que se puede ejecutar en contra de los responsables del tratamiento de datos sin limitaciones, en particular cuando “los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo” y cuando “el interesado retire el consentimiento en que se basa el tratamiento […] y este no se base en otro fundamento jurídico”44. Así que el alcance material del artículo 17 del RGPD puede ser más amplio que el del derecho a la desindexación, pues se supone que el artículo 17 debe aplicar a cualquier instancia de los datos personales en línea, lo que le permite ir mucho más allá de los resultados de búsqueda. Por consiguiente, es posible que su alcance personal también sea más amplio, ya que la carga de la eliminación se transmite a un rango mayor de intermediarios en línea, incluyendo las redes sociales, las páginas web de noticias, los proveedores de contenido y los proveedores de hosting45. Además, el parágrafo 2 del artículo 17 y el artículo 19 prevén notablemente la obligación de notificar sobre la supresión a los futuros responsables de los datos, es decir, a terceras partes a quienes el responsable de los datos les ha divulgado la información que debe eliminarse, o quienes se puede prever razonablemente que procesarán dicha información para sus propios fines.

Según esta lectura, el derecho al olvido en el RGPD debería por lo tanto remplazar o expandir el régimen existente instituido por la Directiva de Protección de Datos y Google España. Sin embargo, aún no es claro si este será el caso en los próximos meses46.

Por un lado, las discusiones que se presentaron cuando se redactó el RGPD sugieren que el derecho al olvido estaba destinado a aplicarse de manera general a los actores de internet en lugar de seguir confinado a un subconjunto de estos. Si bien los problemas de privacidad planteados por los motores de búsqueda sin duda se mencionaron en esta discusión, debido a que el caso de Google España estaba pendiente en ese entonces, solo se nombraron como un ejemplo entre muchos otros, como Facebook47.

Por otro lado, es posible que la intención legislativa detrás del derecho al olvido del RGPD sea de poca ayuda precisamente porque la provisión se escribió antes del fallo del TJUE sobre Google España, y no tuvo en cuenta la posterior creación del derecho a la desindexación. Por lo tanto, se puede argumentar que Google España, tal y como lo están implementando los motores de búsqueda, es una iteración de la propuesta inicial del RGPD, y que entonces la entrada en vigor del Reglamento no impacta significativamente su modelo de implementación. En efecto, dado que el derecho a la desindexación todavía está sujeto a mejoras, como lo demuestra el caso pendiente mencionado anteriormente con respecto a su alcance geográfico, parece poco probable que la entrada en vigor del RGPD sea un borrón y cuenta nueva.

Aun así, existe una clara falta de orientación con respecto a qué cambios en realidad van a ser generados por la transición entre los dos regímenes. En este contexto, dice mucho el hecho de que mientras que la entrada en vigor del RGPD hizo que los intermediarios y empresas en línea se apresuraran a actualizar sus políticas de privacidad y sus mecanismos de consentimiento48, los jugadores más importantes de las redes sociales, como Facebook, Flickr y Linkedin aún no han implementado procedimientos específicos para las reclamaciones de derecho al olvido. Por el contrario, pareciera que los motores de búsqueda siguen el derecho a la desindexación como si no hubiera ocurrido un cambio de régimen.

4. RIESGO DE UNA FALLA PRÁCTICA

Como lo muestran los dos desafíos descritos, el futuro del derecho a la desindexación es incierto. Si bien su formulación actual aún permanece, ese modelo fácilmente puede ser desplazado por un derecho al olvido más amplio con un alcance personal y material mucho mayor. En otras palabras, las implicaciones prácticas del derecho a la desindexación podrían pasar de la desindexación de resultados de búsqueda de orden local por parte de los motores de búsqueda a la remoción global de contenido por parte de todo tipo de servicios en línea.

Sin embargo, en el último caso se afirma que el modelo actual de implementación del derecho a la desindexación —que está basado en el cumplimiento individual por parte de los moto res de búsqueda y que se ha formado principalmente mediante la práctica continua de Google— aún no está listo para una expansión de este tipo, pues no cuenta con medios de escalabilidad.

De hecho, en términos de las cuestiones procedimentales, no existen mecanismos para garantizar la consistencia de resultados en diferentes motores de búsqueda. Incluso, no está claro si la consistencia es algo deseable, en primer lugar49. Así mismo, en la actualidad los motores de búsqueda toman decisiones con respecto a las solicitudes de desindexación ex parte y solo con base en el contenido de cada solicitud enviada. Si bien este procedimiento ya puede resultar deficiente en términos de debido proceso50, claramente sería insuficiente en el contexto de soli-citudes de remoción de contenido en lugar de desindexación de un motor de búsqueda, pues iría en contra de los principios establecidos en este dominio, como los Principios de Manila sobre Responsabilidad de los Intermediarios51.

En cuanto a los temas sustantivos, los criterios para la desindexación, tal y como los establecen las directrices del Grupo de Trabajo, dejan bastante espacio para que los motores de búsqueda actúen a discreción propia52. Además, falta una metodología unificada para cerciorarse de qué leyes sustantivas de los estados miembros se aplican a los elementos de privacidad y libertad de expresión de un caso particular53. Predecir si un vínculo está sujeto a eliminación es per se un ejercicio complicado, lo cual no es un buen augurio para una posible expansión del derecho a la desindexación.

Como lo detalla Daphne Keller, la entrada en vigor del RGPD no resuelve estos problemas. El procedimiento de supresión previsto en sus artículos 17 y 19 depende en gran medida del ordenamiento privado e independiente; proporciona a los responsables del tratamiento de los datos una enorme discreción a la hora de decidir sobre cada solicitud individual de supresión, y no ofrece ninguna salvaguarda para promover la consistencia de decisiones, ni para que se cumpla el principio de debido proceso54.

Por lo tanto, existe un riesgo tangible de que cualquier expansión en el alcance de aplicación del derecho a la desindexación resulte en una falla práctica del modelo actual de implementación.

5. PROPUESTA PARA UN SISTEMA ALTERNO DE RESOLUCIÓN DE DISPUTAS CENTRALIZADO

La conclusión anterior plantea la pregunta de cómo se puede implementar ahora el derecho a la desindexación en vista de los nuevos desafíos que enfrenta. El resto de este artículo presentará varias soluciones posibles.

Un primer camino sería conservar el modelo actual de implementación con base en la toma de decisiones privadas y corregir sus deficiencias. En este sentido, Daphne Keller recomienda que los procedimientos de desindexación y eliminación se alineen con las reglas existentes del derecho europeo con respecto a la responsabilidad de los intermediarios, señaladas en los artículos 12 al 15 de la directiva de comercio electrónico y que establecen un procedimiento de notificación y retiro para disminuir esa responsabilidad55. En su defecto, sugiere que los intermediarios se inspiren en estas provisiones y demás estándares establecidos para los procedimientos notificación y retiro, como los Principios de Manila sobre Responsabilidad de los Intermediarios56.

En términos de la creación de estándares y el monitoreo efectivo, Jacques de Werra —acuñando el término micro-justicia masiva en línea— sugiere que un posible modelo de inspiración es el sistema de Resolución Uniforme de Disputas sobre Nombres de Dominio (UDRP, por sus iniciales en inglés), que desde 1999 ha servido como órgano centralizado de solución de disputas para nombres de dominio. En relación con el derecho a la desindexación, de Werra concibe un proceso de dos pasos para tomar decisiones, en el cual los intermediarios se encontrarían en el primer nivel y existiría un órgano independiente alternativo de resolución de disputas con jurisdicción para las apelaciones. Dicho órgano estaría compuesto por representantes de la industria y funcionarios de las autoridades de protección de datos. Ofrecería un debido proceso, y tendría las tareas adicionales de supervisar las prácticas de los intermediarios, castigar a los malos actores, y desarrollar criterios acordados de manera común para la adjudicación57.

Un segundo camino sería reconsiderar el modelo de implementación del derecho a la desindexación en general. Entre quienes defienden este enfoque, Eldar Haber es de la opinión de que ubicar la carga del derecho a la desindexación en los hombros metafóricos de los intermediarios es un error en primer lugar, y tiene el efecto de darles a las entidades privadas la capacidad de decidir sobre temas que solo deberían estar bajo la potestad de un tribunal o de una autoridad oficial designada que ofrezca las suficientes garantías de debido proceso. Su propuesta principal es que los intermediarios salgan por completo del proceso general, y que la tarea de adjudicar las disputas relacionadas con el derecho a la desindexación recaiga en autoridades de protección de datos y tribunales o en agencias administrativas nombradas especialmente para esto58.

Una solución que vale la pena explorar es la expansión de la propuesta basada en el UDRP sugerida por de Werra. En lugar de actuar como mecanismo de apelaciones, el órgano alternativo de resolución de disputas podría recibir el estatus de principal responsable centralizado de la toma de decisiones; en esencia, la propuesta instituiría un organismo verdaderamente internacional que ofrezca salvaguardas procedimentales requeridas. Las solicitudes de desin dexación o supresión se harían directamente a ese organismo, que luego decidiría sobre la materia y enviaría, de ser necesario, una orden a todos los intermediarios interesados con el propósito de implementación. Este modelo resolvería cómodamente los problemas de escalabilidad antes mencionados.

Así mismo, también tendría el efecto de liberar recursos del lado de los intermediarios, pues ya no tendrían que crear ni mantener un sistema de resolución de disputas ad hoc. Este beneficio se podría aprovechar para la financiación del organismo alternativo de resolución de disputas imponiendo una obligación de pago a los intermediarios con base en un principio proporcional de “quien contamina, paga”.

Aun así, se podría argumentar que el modelo propuesto no resuelve todos estos problemas. En efecto, un organismo independiente, creado por la UE como único adjudicador de las solicitudes de desindexación, podría estar sujeto a una carga administrativa enorme. Además, este modelo no disminuiría la incertidumbre en torno a los aspectos de privacidad del derecho a la desindexación que aún estén señalados formalmente en las leyes de los estados miembros. Para abordar estas objeciones surgen dos ideas: en primer lugar, no todas las solicitudes de derecho a la desindexación son casos complejos que involucran el ejercicio de la libertad de expresión; por lo tanto, sería posible imaginar que el organismo tendría la tarea de adjudicar, y por lo tanto filtrar, todas estas solicitudes “fáciles” —por ejemplo, aquellas donde no hay un caso prima facie, aquellas que abordan problemas únicamente de protección de datos, o en las que los criterios de desreferenciación claramente apuntan a una solución—. Las pocas solicitudes “difíciles” restantes —en las que se torna complicado el ejercicio de equilibrar derechos— se podrían enviar a una autoridad nacional de protección de datos competente, o a un tribunal, para su adecuado análisis.

CONCLUSIÓN

Si bien el derecho a la desindexación ha sido parte de la ley de protección de datos de la UE desde el fallo de mayo de 2014 del TJUE con respecto al caso de Google España, los detalles operativos del ejercicio de ese derecho se encuentran, en el mejor de los casos, sin definir. Resulta sorprendente que tan solo hasta ahora, cuatro años después, asuntos tan fundamentales como el alcance geográfico de la obligación de desindexación se estén empezando a definir concretamente.

En este sentido, pareciera que gran parte de las disposiciones actuales en torno al derecho a la desindexación han sido el resultado de una reacción de facto de los actores frente al fallo de Google España, en lugar de ser un esfuerzo cohesivo y con principios para implementar el contenido del fallo. Por lo tanto, los inconvenientes que se han descrito en esta contribución podrían ser los síntomas de un problema más fundamental, que es que no existe una visión unificadora para el futuro del derecho a la desindexación. ¿Se trata de desreferenciar? ¿Se trata de eliminación? ¿Qué actores en línea están incluidos? ¿Qué salvaguardas procedimentales se deben implementar?

Ahora que el RGPD se encuentra en vigor, es preciso responder a estas preguntas restantes. Así mismo, para evitar una falla previsible, el modelo de implementación del derecho a la desindexación debe dejar de depender de la conveniencia de Google como autoridad centralizada de facto, y se debe desarrollar en torno a un modelo consistente y estable, como un organismo alternativo de solución de disputas.

BIBLIOGRAPHY

Legislation, Policy Documents and Case law

1. 

Article 29 Data Protection Working Party. “Guidelines on the implementation of the Court of Justice of the European Union judgment on ‘Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/12’ WP 225, 14/EN”. November 26, 2014.

2. 

CNIL. Délibération n.° 2016-054. March 10, 2016.

3. 

Conseil d’État. Décision n.° 399922, Google Inc. July 19, 2017.

4. 

Cour de cassation de Belgique. P.H. c. O.G., Arrêt n.° C.15.0052F. April 29, 2016.

5. 

Cour de cassation de Francia. Première chambre civile, n.° de pourvoi: 15-17729. May 12, 2016.

6. 

Court of Justice of the European Union. (Google Spain SL y Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González). C-131/12, ECLI: EU:C:2014:317. May 13, 2014).

7. 

European Parliament and of the Council. “Directive 95/46/EC of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”. Official Journal of the European Communities L 281/31, November 23, 1995.

8. 

European Parliament and of the Council. “Directive 2000/31/EC, on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ‘Directive on electronic commerce’. Official Journal of the European Communities L 171/1. July 17, 2000.

9. 

European Union. “The EU General Data Protection Regulation (GDPR)”. Official Journal of the European Communities L119. May 14, 2016.

10. 

House of Lords European Union Committee. “EU Data Protection Law: “A Right to be forgotten”?” Second Report of Session 2014-15, HL Paper n.° 40. July 30, 2014.

11. 

M.L. and W.W. v Germany. (2018) ECHR 554.

12. 

Mosley v United Kingdom. (2011) 53 E.H.R.R 30.

13. 

Swiss Loi sur la protection des données. Article 15 (RS 235.1).

14. 

Swiss Code Civil. Articles 28 y 28a (RS 210).

15. 

Swiss Federal Court. ATF 122 III 449 and 5C.156/2003. October 23, 2003.

Articles

16. 

Ahmed, Farhaan Uddin. “Right to be Forgotten: A Critique of the Post-Costeja Gonzales Paradigm”. Computer and Telecommunications Law Review 21 (2015): 175-176.

17. 

de Werra, Jacques. “Alternative Dispute Resolution in Cyberspace: The Need to Adopt Global ADR Mechanisms for Addressing the Challenges of Massive Online Micro-Justice”. Swiss Review of International and European Law 26, n.° 2 (2016): 289, 294-295.

18. 

Gstrein, Oskar Josef. “The Cascade of Decaying Information: Putting the ‘Right to be Forgotten’ in Perspective”. Computer and Telecommunications Law Review 21, n.° 2 (2015): 46.

19. 

Haber, Eldar. “Privatization of the Judiciary”. Seattle University Law Review 40 (2016): 115, 12-127.

20. 

Hardy, Bruno. “Application dans l’espace de la directive 95/46/CE: la géographie du droit à l’oubli”. Revue Trimestrielle de droit européen 50, n.° 4 (2014): 879.

21. 

Keller, Daphne. “The Right Tools: Europe’s Intermediary Liability Laws and the 2016 General Data Protection Regulation”. Berkeley Technology Law Journal 33, n.° 297, http://dx.doi.org/10.2139/ssrn.2914684.

22. 

Hoboken, Joris van. “The Proposed Right to be Forgotten Seen From the Perspective of Our Right to Remember”. Report prepared for the European Commission, (May, 2013), http://www.law.nyu.edu/sites/default/files/upload_documents/VanHoboken_RightTo%20Be%20Forgotten_Manuscript_2013.pdf, 2-7.

23. 

Powles, Julia. “The Case That Won’t Be Forgotten”. Loyola University Chicago Law Journal 47 (2015): 583, 591 et seq.

24. 

Reymond, Michel. “Hammering Square Pegs into Round Holes: The Geographical Scope of Application of the EU Right to be Delisted”. Berkman Klein Center for Internet & Society at Harvard University Research Publication n.° 2016-12 (2016), 5-8 y 16-17.

25. 

Rosen, Jeffrey. “The Right to be forgotten”. Stanford Law Review Online 54 (2012): 88, 90-92.

26. 

Rustad, Michael y Sanna Kulevska. “Reconceptualizing the Right to be Forgotten to Enable Transatlantic Data Flow”. Harvard Journal of Law and Technology 28, n.° 2 (2015): 349, 365.

27. 

Svantesson, Dan Jerker B. “The Google Spain Case: Part of a Harmful Trend of Jurisdictional Overreach”. European University Institute Working Papers, RSCAS 2015/45 (2015).

28. 

Tamó, Aurelia y Damian George. “Oblivion, Erasure and Forgetting in the Digital Age”. Journal of Intellectual Property, Information Technology and Electronic Commerce Law 2 (2014): 77-82.

29. 

van Alsenoy, Brendan y Marieke Koekkoek. “The extra-territorial reach of the EU’s ‘right to be forgotten”. ICRI Working Paper Series 20 (2015): 14-29.

30. 

Wolfgang Schulz, Urs Gasser. “Governance of Online Intermediaries, Observations From a Series of National Case Studies”. The Berkman Klein Center for Internet & Society Research Publication Series, n.° 2015-5, (2015).

Doctrine

31. 

Jones, Meg Leta. Ctrl+Z: the Right to be Forgotten. New York: New York University Press, 2016.

32. 

Reymond, Michel. La compétence international en cas d’atteinte à la personnalité par Internet. Geneva: Schulthess Médias Juridiques SA, 2015.

The media, blogs, and Web Pages

33. 

“Subhasta d’Immobles”. La Vanguardia, January 19, 1998. http://hemeroteca.lavanguardia.com/preview/1998/01/19/pagina-23/33842001/pdf.html.

34. 

Boiten, Eerke. “Google’s lip service to privacy cannot conceal that its profits rely on your data”. The Conversation, (2015), http://theconversation.com/googles-lip-service-to-privacy-cannot-conceal-that-its-profits-rely-on-your-data-37592.

35. 

Kottasovà, Ivana. “Your Inbox is Being Flooded With Emails About Privacy. Here’s Why”. CNN. May 1, 2018, http://money.cnn.com/2018/05/01/technology/gdpr-data-privacy-email-consent/index.html.

36. 

Peguera, Miquel. “Right to be Forgotten and Global Delisting: Some News from Spain”. The Center for Internet and Society Blog, December 17, 2017, http://cyberlaw.stanford.edu/blog/2017/12/right-be-forgotten-and-global-delisting-some-news-spain.

37. 

Powles, Julia. “Results May Vary: Borderdisputed on the frontlines of the ‘right to be forgotten’”. Slate (2015), http://www.slate.com/articles/technology/future_tense/2015/02/google_and_the_right_to_be_forgotten_should_delisting_be_global_or_local.html.

38. 

Teffer, Peter. “Europeans give Google final say on ‘right to be forgotten’”. Euobserver, (2015).

39. 

Walker, Kent. “Ne privons pas les internautes français d’informations légales”. Le Monde, (2016), http://www.lemonde.fr/idees/article/2016/05/19/ne-privons-pas-les-internautes-francais-d-informations-legales_4922590_3232.html.

40. 

Walker, Kent. “A principle that should not be forgotten”. Google in Europe Blog, May 31, de 2018, https://europe.googleblog.com/2016/05/a-principle-that-should-not-be-forgotten.html.

Miscellaneous

41. 

“Google’s Advisory Council”. Google. Accessed May 31, 2018, https://www.google.com/advisorycouncil/.

42. 

“Google’s Advisory Council, Final Report”. Google (2015): 19-20, https://static.googleuser-content.com/media/archive.google.com/en/advisorycouncil/advisement/advisory-report.pdf.

43. 

“Personal Information Removal Request Form”. EU Privacy Removal. Google. Accessed May 31, 2018, https://www.google.com/webmasters/tools/legal-removal-request/complaint_type=rtbf&hl=en&rd=1.

44. 

Reding, Viviane. “The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age”. Speech given in Munich on January 22, 2012.

45. 

“Request to Block Bing Search Results in Europe”. Bing. Accessed May 31, 2018, https://www.bing.com/webmaster/tools/eu-privacy-request.

46. 

“Request to block search results in Yahoo Search: Resource for European residents”. Yahoo Help. Accessed May 31, 2018, https://uk.help.yahoo.com/kb/search-for-desktop/requests-block-search-results-yahoo-search-resource-european-residents-sln28252.html?impressions=true.

47. 

“Search removals under European privacy law”. Transparency Report, Google. Accessed May 31, 2018, https://transparencyreport.google.com/eu-privacy/overview?hl=en.

48. 

“The Manila Principles on Intermediary Liability”. Accessed May 31, 2018, https://www.manilaprinciples.org.

Notes

[1] Court of Justice of the European Union, (Google Spain SL y Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González). C-131/12, ECLI:EU:C:2014:317 (May 13, 2014), hereafter referred to as “Google Spain”.

[2] On this distinction, see House of Lords, “EU Data Protection Law: a ‘Right to be Forgotten’?”, European Union Committee, 2nd Report of Session 2014-15, July 30, 2014, 9; Urs Gasser, Wolfgang Schulz, “Governance of Online Intermediaries, Observations From a Series of National Case Studies”, The Berkman Klein Center for Internet & Society Research Publication Series n.° 2015-5, (2015): 4; Oskar Josef Gstrein, “The Cascade of Decaying Information: Putting the ‘Right to be Forgotten’ in Perspective”, Computer and Telecommunications Law Review 21, n.° 2 (2015): 46.

[3] The examples mentioned here are inspired by real-life delisting requests received by Google, see “Search removals under European privacy law”, Transparency Report, Google, accessed May 31, 2018, https://transparencyreport.google.com/eu-privacy/overview?hl=en.

[4] Meg Leta Jones, Ctrl+Z: the Right to be Forgotten (New York: New York University Press, 2016), 11-17; in this sense, see also Farhaan Uddin Ahmed, “Right to be Forgotten: A Critique of the Post-Costeja Gonzales Paradigm”, Computer and Telecommunications Law Review 21 (2015): 175, 176; Joris van Hoboken, “The Proposed Right to be Forgotten Seen From the Perspective of Our Right to Remember”, Report prepared for the European Commission, May 2013, http://www.law.nyu.edu/sites/default/files/upload_documents/VanHoboken_RightTo%20Be%20Forgotten_Manuscript_2013.pdf, 2-7.

[5] Jeffrey Rosen, “The Right to be forgotten”, Stanford Law Review Online 54 (2012): 88, 90-92.

[6] For a comparative overview of existing national expressions of the RTBF in EU national law, see Jones, “Ctrl+Z”, 29-39; Aurelia Tamó, Damian George, “Oblivion, Erasure and Forgetting in the Digital Age”, Journal of Intellectual Property, Information Technology and Electronic Commerce Law 2 (2014): 77-82; more generally, see also Van Hoboken, “The Proposed Right to be Forgotten”, 23-26. Outside of the EU Member States, though still of interest, the RTBF in Switzerland is traditionally anchored in personality rights and press law, with data protection law only providing erasure through reference to civil law remedies, see Articles 28 and 28a of the Swiss Code Civil (RS 210); Article 15 of the Swiss Loi sur la protection des données (RS 235.1); Swiss Federal Court, ATF 122 III 449 and Judgment 5C.156/2003 of 23 October 2003.

[7] For instance, the EU has yet to adopt a harmonised choice-of-law regime for personality torts in civil law. See Article 1 (g), Regulation (EC) n.° 864/2007 of the European Parliament and of the Council of July 11, 2007 on the law applicable to non-contractual obligations (Rome II); see also the Comparative Study carried out prior to the exclusion of privacy and personality torts from the Rome II Regulation and highlighting the diversity of EU regimes, JLS/2007/C4/028.

[8] See for instance Mosley v United Kingdom, [2011] 53 E.H.R.R 30; specifically on the RTBF, see the recent case of M.L. and W.W. v Germany, [2018] ECHR 554.

[9] Jones, Ctrl+Z, 44-45; Tamó and George, “Oblivion”, 82-83. In the context of press archives on the Internet, contrast for instance the two following cases, reaching different solutions on similar facts: Cour de cassation de Belgique, P.H. c. O.G., Arrêt n.° C.15.0052F, April 29, 2016, and Cour de cassation (France), première chambre civile, n.° de pourvoi: 15-17729, Mai 12, 2016.

[10] “Subhasta d’Immobles”, La Vanguardia, (1998), 23, http://hemeroteca.lavanguardia.com/preview/1998/01/19/pagina-23/33842001/pdf.html.

[11] European Parliament and of the Council, Directive 95/46/EC of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal of the European Communities L 281/31, November 23, 1995 (hereinafter: “Data Protection Directive”). It should, however, be specified that the claimant formally based his claim upon the “Ley Orgánica 15/1999, de 1 de diciembre de Protección de Datos de Carácter Personal”, which was the implementing law of the Data Protection Directive in Spain.

[12] “Google Spain”, 15-17.

[13] Eldar Haber, “Privatisation of the Judiciary”, Seattle University Law Review 40 (2016), 115, 12-127; Jones, Ctrl+Z, 41-42; Tamó and George, “Oblivion”, 72-73; 75; van Hoboken, “The Proposed Right to be Forgotten”, 7-11.

[14] “Google Spain”, 20. The first two questions referred to the CJUE, concerning the Data Protection Directive’s personal and geographical scope respectively, shall not be reported in this contribution. For the author’s analysis of these issues, see Michel Reymond, “Hammering Square Pegs into Round Holes: The Geographical Scope of Application of the EU Right to be Delisted”, Berkman Klein Center for Internet & Society at Harvard University Research Publication, n. ° 2016-12 (2016): 5-8 y 16-17..

[15] “Google Spain”, 93.

[16] Google Spain, § 36.

[17] Google Spain, § 76.

[18] Google Spain, § 77.

[19] On May 25, 2018, following the entry into force of the General Data Protection Regulation, this group was renamed the European Data Protection Board. See Regulation on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (Data Protection Directive), Official Journal of the European Union L119, May 14, 2016, 1, and spec. Articles 64, 65, and 68-74.

[20] Article 29 Data Protection Working Party, “Guidelines on the implementation of the Court of Justice of the European Union judgment on ‘Google Spain and Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/12’”, WP 225, 14/EN, November 26, 2014.

[21] See e.g., Article 29 Data Protection Working Party, “Guidelines”, 20, point 13.

[22] “Request to Block Bing Search Results in Europe”, Bing, accessed May 31, 2018, https://www.bing.com/webmaster/tools/eu-privacy-request.

[23] “Personal Information Removal Request Form”, EU Privacy Removal, Google, accessed May 31, 2018, https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&hl=en&rd=1.

[24] “Request to block search results in Yahoo Search: Resource for European residents”, Yahoo Help, accessed May 31, 2018, https://uk.help.yahoo.com/kb/search-for-desktop/requests-block-search-results-yahoo-search-resource-european-residents-sln28252.html?impressions=true.

[25] Patrick Teffer, “Europeans give Google final say on ‘right to be forgotten’”, Euobserver, (2015), https://euobserver.com/investigations/130590.

[26] “Search removals under European privacy law”, Transparency Report, Google, accessed May 31, 2018, https://transparencyreport.google.com/eu-privacy/overview?hl=en.

[27] Teffer, “Europeans”.

[28] Ahmed, “The Right to be Forgotten”, 179-180; Haber, “Privatisation”, 137-139; Jones, Ctrl+Z, 45; Julia Powles, “The Case That Won’t Be Forgotten”, Loyola University Chicago Law Journal 47 (2015): 583, 591 et seq.

[29] Eerke Boiten, “Google’s lip service to privacy cannot conceal that its profits rely on your data”, The Conversation, (2015), http://theconversation.com/googles-lip-service-to-privacy-cannot-conceal-that-its-profits-rely-on-your-data-37592; Powles, “The Case”, 594-606.

[30] Jacques de Werra, “Alternative Dispute Resolution in Cyberspace: The Need to Adopt Global ADR Mechanisms for Addressing the Challenges of Massive Online Micro-Justice”, Swiss Review of International and European Law 26, n.° 2 (2016): 289, 294-295.

[31] Jones, “Ctrl+Z”, 176; Powles, “The Case”, 596-597; Michael Rustad and Sanna Kulevska, “Reconceptualizing the Right to be Forgotten to Enable Transatlantic Data Flow”, Harvard Journal of Law and Technology 28, n.° 2 (2015): 349, 365.

[32] Article 29 Data Protection Working Party, “Guidelines”, 9.

[33] “Google’s Advisory Council”, Google, last accessed May 31, 2018, https://www.google.com/advisorycouncil/.

[34] Google Advisory Council, “Final Report”, (2015), https://static.googleusercontent.com/media/archive.google.com/en/advisorycouncil/advisement/advisory-report.pdf, 19-20.

[35] CNIL, Délibération n. °2016-054, March 10, 2016.

[36] Kent Walker, “Ne privons pas les internautes français d’informations légales”, Le Monde, (2016), http://www.lemonde.fr/idees/article/2016/05/19/ne-privons-pas-les-internautes-francais-d-informations-legales_4922590_3232.html; for an English translation, see “A principle that should not be forgotten”, Google in Europe Blog, May 31, 2018, https://europe.googleblog.com/2016/05/a-principle-that-should-not-be-forgotten.html.

[37] Walker, “A principle that should”.

[38] Conseil d’Etat, Décision n.° 399922, Google Inc., July 19, 2017.

[39] Conseil d’État, Décision n.° 399922.

[40] Bruno Hardy, “Application dans l’espace de la directive 95/46/CE: la géographie du droit à l’oubli”, Revue Trimestrielle de droit européen 50, n.° 4 (2014): 879, part IV; Jones, Ctrl+Z, 175-177; Julia Powles, «Results May Vary: Borderdisputed on the frontlines of the ‘right to be forgotten’», Slate, (2015), http://www.slate.com/articles/technology/future_tense/2015/02/google_and_the_right_to_be_forgotten_should_delisting_be_global_or_local.html; Dan Jerker B. Svantesson, «The Google Spain Case: Part of a Harmful Trend of Jurisdictional Overreach», European University Institute Working Papers, RSCAS 2015/45, (2015), Brendan van Alsenoy y Marieke Koekkoek, «The extra-territorial reach of the EU’s ‘right to be forgotten», ICRI Working Paper Series, 20/2015, (2015): 14-29.

[41] Contrast with Ahmed, “The Right to be Forgotten”, 178 (Though some may find the removal of links to information from Google’s search index to be sufficient, that would depend, however, upon the purpose for which the information is being used and whether mere removal from the search index would actually render it useless. Furthermore, the links in their entirety continue to exist without much hindrance and can be found by someone who has reasonable experience in web searching).

[42] Miquel Peguera, “Right to be Forgotten and Global Delisting: Some News from Spain”, The Center for Internet and Society Blog, December 17, 2017, http://cyberlaw.stanford.edu/blog/2017/12/right-be-forgotten-and-global-delisting-some-news-spain.

[43] Tribunal de Grande Instance de Paris, Ordonnance de référé du 20 novembre 2000, November 20, 2000. For a detailed comment by the present author, including further references, see Michel Reymond, La compétence international en cas d’atteinte à la personnalité par Internet (Geneva: Schulthess Médias Juridiques SA, 2015), 145-153.

[44] For a critical and in-depth look at the erasure mechanism contained in the GDPR, see Daphne Keller’s series of posts on the topic hosted by the Center for Internet and Society at Stanford Law School’s blog platform: “Intermediary Liability and User Content under Europe’s New Data Protection Law”, October 8, 2015; “The GDPR’s Notice and Takedown Rules: Bad News for Free Expression but not Beyond Repair”, October 29, 2015; “Notice and Takedown under the GDPR: an Operational Overview”, October 29, 2015; “Solving Data Protection Problems with eCommerce Directive Tools”, November 11, 2015; “Free Expression Gaps in the General Data Protection Regulation”, November 30, 2015; “Series Conclusion and Summary: Intermediaries and Free Expression under the GDPR in Brief and The Final Draft of Europe’s “Right to be Forgotten” Law”, December 17 2015. These articles are collectively available at http://cyberlaw.stanford.edu/blog/. Finally, see also Daphne Keller, “The Right Tools: Europe’s Intermediary Liability Laws and the 2016 General Data Protection Regulation”, Berkeley Technology Law Journal 33, n.° 297, http://dx.doi.org/10.2139/ssrn.2914684.

[45] GDPR, Article 17, 1, (a) and (b).

[46] Jones, Ctrl+Z, 48-50; Rustad and Kulevska, “Reconceptualising”, 367-370; Tamó and George, “Oblivion”, 72-73.

[47] Haber, “Privatisation”, 124-125; Keller, “The Final Draft”, second indent.

[48] Viviane Reding, “The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age”, Speech given in Munich on January 22, 2012, 5; see also van Hoboken, “The Proposed Right to be Forgotten”, 26-29; Rosen, “The Right to be Forgotten”, 90-91.

[49] Ivana Kottasovà, “Your Inbox is Being Flooded With Emails About Privacy. Here’s Why”, CNN, May 1, 2018, http://money.cnn.com/2018/05/01/technology/gdpr-data-privacy-email-consent/index.html.

[50] Article 29 Working Party, “Guidelines”, 29; House of Lords, EU Data Protection Law, 15-16.

[51] Gasser and Schulz, “Governance of Online Intermediaries”, 8; Jones, Ctrl+Z, 43-46; contrast with Haber, “Privatisation”, 16-25, 43-46.

[52] The Manila Principles on Intermediary Liability, accessed May 31, 2018, https://www.manilaprinciples.org; Keller, “Bad news”, under “What’s Wrong with the GDPR’s Notice and Takedown Process”; “Notice and Takedown under the GDPR”, point 7; “Free Expression Gaps”, under Process and Public Resources to Protect Fundamental Rights.

[53] Ahmed, “The Right to be Forgotten”, 181-182.

[54] Reymond, “Hammering Square Pegs”, 37-41.

[55] See above, note 52.

[56] Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’), Official Journal of the European Communities L 171/1 (July 17, 2000), 1; in France, the Directive has for instance been transposed by the Loi n.° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique; with its Article 6 implementing the notice and takedown regime for intermediaries.

[57] Keller, “Solving Data Protection problems”.

[58] De Werra, “Alternative Dispute Resolution in Cyberspace”, 289, 302-306.

[59] Haber, “Privatisation”, 164. See also Ahmed, “The Right to be Forgotten”, 182-183.

[1] Tribunal de Justicia de la Unión Europea. (Google Spain SL y Google Inc. vs. Agencia Española de Protección de Datos [AEPD] y Mario Costeja González). C-131/12, ECLI:EU:C:2014:317 (13 mayo, 2014). De ahora en adelante llamado “Google Spain”.

[2] Para esta distinción, véase House of Lords, “EU Data Protection Law: a ‘Right to be Forgotten’?”, European Union Committee, 2nd Report of Session 2014-15, 30 de julio de 2014, 9; Urs Gasser, Wolfgang Schulz, “Governance of Online Intermediaries, Observations From a Series of National Case Studies”, The Berkman Klein Center for Internet & Society Research Publication Series, n.º 2015-5, (2015): 4; Oskar Josef Gstrein, “The Cascade of Decaying Information: Putting the ‘Right to be Forgotten’ in Perspective”, Computer and Telecommunications Law Review 21, n.º 2 (2015): 46.

[3] Los ejemplos mencionados aquí están inspirados por solicitudes de desindexación de la vida real que Google ha recibido, véase “Search removals under European privacy law”, Transparency Report, Google, consultado el 31 de mayo de 2018, https://https://transparencyreport.google.com/eu-privacy/overview?hl=en.

[4] Meg Leta Jones, Ctrl+Z: the Right to be Forgotten (New York: New York University Press, 2016), 11-17; en este sentido, véase también Farhaan Uddin Ahmed, “Right to be Forgotten: A Critique of the Post-Costeja Gonzales Paradigm”, Computer and Telecommunications Law Review 21 (2015): 175, 176; Joris van Hoboken, “The Proposed Right to be Forgotten Seen From the Perspective of Our Right to Remember”, Informe preparado para la Comisión Europea, (mayo de 2013), http://www.law.nyu.edu/sites/default/files/upload_documents/VanHoboken_RightTo%20Be%20Forgotten_Manuscript_2013.pdf, 2-7.

[5] Jeffrey Rosen, “The Right to be forgotten”, Stanford Law Review Online 54 (2012): 88, 90-92.

[6] Para una visión general comparativa de las expresiones nacionales existentes del derecho al olvido en las leyes nacionales de los países de la UE, véase Jones, “Ctrl+Z”, 29-39; Aurelia Tamó, Damian George, “Oblivion, Erasure and Forgetting in the Digital Age”, Journal of Intellectual Property, Information Technology and Electronic Commerce Law 2 (2014): 77-82; para información más general, véase también Van Hoboken, “The Proposed Right to be Forgotten”, 23-26. Por fuera de los estados miembro de la UE, aunque también de interés, el derecho al olvido en Suiza tradicionalmente está anclado en las leyes de la personalidad y de prensa, y la ley de protección de datos solo establece la supresión mediante referencia al derecho civil, véanse los artículos 28 y 28a del Código Civil de Suiza (RS 210); artículo 15 del Swiss Loi sur la protection des données (RS 235.1); Swiss Federal Court, ATF 122 III 449 y el fallo 5C.156/2003 del 23 de octubre de 2003.

[7] Por ejemplo, la UE aún no ha adoptado un régimen de elección de ley para agravios a la personalidad en el derecho civil. Véase artículo 1 (g), Reglamento (EC) n.º 864/2007 del Parlamento Europeo y del Consejo del 11 de julio de 2007 sobre las leyes aplicables a obligaciones no contractuales (Roma II); véase también el estudio comparativo realizado antes de la exclusión de los agravios a la privacidad y a la personalidad del Reglamento Roma II, y que resalta la diversidad de los regímenes de la UE, JLS/2007/C4/028.

[8] Véase, por ejemplo, Mosley v United Kingdom, (2011) 53 E.H.R.R 30; específicamente para el derecho al olvido, véase el caso reciente de M.L. and W.W. v Germany, (2018) ECHR 554.

[9] Jones, “Ctrl+Z”, 44-45; Tamó y George, “Oblivion”, 82-83. En el contexto de los archivos de prensa en internet, contrastar, por ejemplo, los dos casos siguientes, que llegaron a soluciones diferentes para hechos similares: Cour de cassation de Belgique, P.H. c. O.G., Arrêt n.º C.15.0052F, 29 de abril de 2016, y Cour de cassation (Francia), première chambre civile, n.º de pourvoi: 15-17729, 12 de mayo de 2016.

[10] “Subhasta d’Immobles”, La Vanguardia, (1998), http://hemeroteca.lavanguardia.com/preview/1998/01/19/pagina-23/33842001/pdf.html.

[11] Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, Diario Oficial de la Unión Europea L 281/31, 23 de noviembre de 1995 (en adelante, “Directiva de Protección de Datos”). Sin embargo, es preciso especificar que el demandante basó formalmente su reclamación en la “Ley Orgánica 15/1999, del 1.º de diciembre de Protección de Datos de Carácter Personal”, que era la ley que implementaba la Directiva de Protección de Datos en España.

[12] “Google Spain”, 15-17.

[13] Eldar Haber, “Privatization of the Judiciary”, Seattle University Law Review 40 (2016): 115, 12-127; Jones, “Ctrl+Z”, 41-42; Tamó y George, “Oblivion”, 72-73, 75; van Hoboken, “The Proposed Right to be Forgotten”, 7-11.

[14] “Google Spain”, 20. Las primeras dos preguntas referidas al TJUE, sobre el alcance personal y geográfico de la Directiva de Protección de Datos no se reportarán en esta contribución. Para un análisis de estas preguntas, véase Michel Reymond, “Hammering Square Pegs into Round Holes: The Geographical Scope of Application of the EU Right to be Delisted”, Berkman Klein Center for Internet & Society at Harvard University Research Publication, n.º 2016-12 (2016): 5-8 y 16-17.

[15] “Google Spain”, 93.

[16] “Google Spain”, 36.

[17] “Google Spain”, 76.

[18] “Google Spain”, 77.

[19] El 25 de mayo de 2018, tras la entrada en vigor del Reglamento General de Protección de Datos, este grupo fue rebautizado Comité Europeo de Protección de Datos. Véase el Reglamento relativo la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), Diario Oficial de la Unión Europea L119, 14 de mayo de 2016, 1, y en particular los artículos 64, 65, y 68-74.

[20] Grupo de Trabajo del Artículo 29, “Guidelines on the implementation of the Court of Justice of the European Union judgment on ‘Google Spain and Inc v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González C-131/12’”, WP 225, 14/EN, 26 de noviembre de 2014.

[21] Véase, por ejemplo, Grupo de Trabajo del Artículo 29, “Guidelines”, 20, punto 13.

[22] “Request to Block Bing Search Results in Europe”, Bing, consultado el 31 de mayo de 2018, https://https://www.bing.com/webmaster/tools/eu-privacy-request.

[23] “Personal Information Removal Request Form”, EU Privacy Removal, Google, consultado el 31 de mayo de 2018, https://https://www.google.com/webmasters/tools/legal-removal-request?complaint_type=rtbf&hl=en&rd=1.

[24] “Request to block search results in Yahoo Search: Resource for European residents”, Yahoo Help, consultado el 31 de mayo de 2018, https://https://uk.help.yahoo.com/kb/search-for-desktop/requests-block-search-results-yahoo-search-resource-european-residents-sln28252.html?impressions=true.

[25] Peter Teffer, “Europeans give Google final say on ‘right to be forgotten’”, Euobserver, (2015), https://https://euobserver.com/investigations/130590.

[26] “Search removals under European privacy law”, Transparency Report, Google, consultado el 31 de mayo de 2018, https://https://transparencyreport.google.com/eu-privacy/overview?hl=en.

[27] Teffer, “Europeans”.

[28] Ahmed, “The Right to be Forgotten”, 179-180; Haber, “Privatization”, 137-139; Jones, “Ctrl+Z”, 45; Julia Powles, “The Case That Won’t Be Forgotten”, Loyola University Chicago Law Journal 47 (2015): 583, 591 et seq.

[29] Eerke Boiten, “Google’s lip service to privacy cannot conceal that its profits rely on your data”, The Conversation, (2015), http://theconversation.com/googles-lip-service-to-privacy-cannot-conceal-that-its-profits-rely-on-your-data-37592; Powles, “The Case”, 594-606.

[30] Jacques de Werra, “Alternative Dispute Resolution in Cyberspace: The Need to Adopt Global ADR Mechanisms for Addressing the Challenges of Massive Online Micro-Justice”, Swiss Review of International and European Law 26, n.º 2 (2016): 289, 294-295.

[31] Jones, “Ctrl+Z”, 176; Powles, “The Case”, 596-597; Michael Rustad and Sanna Kulevska, “Reconceptualizing the Right to be Forgotten to Enable Transatlantic Data Flow”, Harvard Journal of Law and Technology 28, n.º 2 (2015): 349, 365.

[32] Article 29 Data Protection Working Party, “Guidelines”, 9.

[33] “Google’s Advisory Council”, Google, consultado por última vez el 31 de mayo de 2018, https://https://www.google.com/advisorycouncil/.

[34] Google Advisory Council, “Final Report”, (2015), https://static.googleusercontent.com/media/archive.google.com/en/advisorycouncil/advisement/advisory-report.pdf, 19-20.

[35] CNIL, Délibération n.º 2016-054, 10 de marzo de 2016.

[36] Kent Walker, “Ne privons pas les internautes français d’informations légales”, Le Monde, (2016), http://www.lemonde.fr/idees/article/2016/05/19/ne-privons-pas-les-internautes-francais-d-informations-legales_4922590_3232.html; for an English translation, see “A principle that should not be forgotten”, Google in Europe Blog, 31 de mayo de 2018, https://https://europe.googleblog.com/2016/05/a-principle-that-should-not-be-forgotten.html.

[37] Walker, “A principle that should”.

[38] Conseil d’État, Décision n.º 399922, Google Inc, 19 de julio de 2017.

[39] Conseil d’État, Décision n.º 399922.

[40] Bruno Hardy, “Application dans l’espace de la directive 95/46/CE: la géographie du droit à l’oubli”, Revue Trimestrielle de droit européen 50, n.º 4 (2014): 879, part IV; Jones, Ctrl+Z, 175-177; Julia Powles, “Results May Vary: Borderdisputed on the frontlines of the ‘right to be forgotten’”, Slate, (2015), http://www.slate.com/articles/technology/future_tense/2015/02/google_and_the_right_to_be_forgotten_should_delisting_be_global_or_local.html; Dan Jerker B. Svantesson, “The Google Spain Case: Part of a Harmful Trend of Jurisdictional Overreach”, European University Institute Working Papers, RSCAS 2015/45, (2015), Brendan van Alsenoy y Marieke Koekkoek, “The extra-territorial reach of the EU’s ‘right to be forgotten”, ICRI Working Paper Series, 20/2015, (2015): 14-29.

[41] Comparar con Ahmed, “The Right to be Forgotten”, 178 (“Aunque algunos pueden considerar que la eliminación de vínculos a información del índice de búsqueda de Google es suficiente, esto dependería, no obstante, del propósito para el cual se está usando la información y de si la simple eliminación del índice de búsqueda en efecto la volvería inútil. Así mismo, los vínculos continúan existiendo sin mayores obstáculos, y cualquiera que tenga una experiencia razonable en navegar la web podría encontrarlos”).

[42] Miquel Peguera, “Right to be Forgotten and Global Delisting: Some News from Spain”, The Center for Internet and Society Blog, 17 de diciembre de 2017, http://cyberlaw.stanford.edu/blog/2017/12/right-be-forgotten-and-global-delisting-some-news-spain.

[43] Para una mirada crítica a profundidad del mecanismo de supresión previsto en el RGPD, véase la serie de publicaciones de Daphne Keller sobre el tema, albergadas en la plataforma de blogs del Center for Internet and Society de Stanford Law School: “Intermediary Liability and User Content under Europe’s New Data Protection Law”, 8 de octubre de 2015; “The GDPR’s Notice and Takedown Rules: Bad News for Free Expression but not Beyond Repair”, 29 de octubre de 2015; “Notice and Takedown under the GDPR: an Operational Overview”, 29 de octubre de 2015; “Solving Data Protection Problems with eCommerce Directive Tools”, 11 de noviembre de 2015; “Free Expression Gaps in the General Data Protection Regulation”, 30 de noviembre de 2015; “Series Conclusion and Summary: Intermediaries and Free Expression under the GDPR in Brief and The Final Draft of Europe’s “Right to be Forgotten” Law”, 17 de diciembre de 2015. Estos artículos se pueden encontrar de manera colectiva en http://cyberlaw.stanford.edu/blog/. Por ultimo, véase también Daphne Keller, “The Right Tools: Europe’s Intermediary Liability Laws and the 2016 General Data Protection Regulation”, Berkeley Technology Law Journal 33, n.º 297, http://dx.doi.org/10.2139/ssrn.2914684.

[44] RGPD, Artículo 17, 1, (a) y (b).

[45] Jones, “Ctrl+Z”, 48-50; Rustad y Kulevska, “Reconceptualizing”, 367-370; Tamó y George, “Oblivion”, 72-73.

[46] Haber, “Privatization”, 124-125; Keller, “The Final Draft”, Segundo guión.

[47] Viviane Reding, “The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age”, Discurso presentado en Múnich el 22 de enero de 2012, 5; véase también van Hoboken, “The Proposed Right to be Forgotten”, 26-29; Rosen, “The Right to be Forgotten”, 90-91.

[48] Ivana Kottasovà, “Your Inbox is Being Flooded With Emails About Privacy. Here’s Why”, CNN, 1.º de mayo de 2018, http://money.cnn.com/2018/05/01/technology/gdpr-data-privacy-email-consent/index.html.

[49] Grupo de Trabajo del Artículo 29, “Guidelines”, 29; House of Lords, EU Data Protection Law, 15-16.

[50] Gasser y Schulz, “Governance of Online Intermediaries”, 8; Jones, “Ctrl+Z”, 43-46; comparar con Haber, “Privatization”, 16-25, 43-46.

[51] The Manila Principles on Intermediary Liability, consultado el 31 de mayo de 2018, https://www.manilaprinciples.org; Keller, “Bad news”, bajo “What’s Wrong with the GDPR’s Notice and Takedown Process”; “Notice and Takedown under the GDPR”, punto 7; “Free Expression Gaps”, bajo Process and Public Resources to Protect Fundamental Rights.

[52] Ahmed, “The Right to be Forgotten”, 181-182.

[53] Reymond, “Hammering Square Pegs”, 37-41.

[54] Véase nota 52.

[55] Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’), Official Journal of the European Communities L 171/1 (17 de julio de 2000), 1; en Francia, la Directiva, por ejemplo, ha sido transpuesta por la Loi n.º 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, pues su artículo 6 implementa el régimen de notificación y eliminación para intermediarios.

[56] Keller, “Solving Data Protection problems”.

[57] De Werra, “Alternative Dispute Resolution in Cyberspace”, 289, 302-306.

[58] Haber, “Privatization”, 164. Véase también Ahmed, “The Right to be Forgotten”, 182-183.