În contextul actual al digitalizării accelerate, tot mai multe aspecte ale vieții cetățenilor se desfășoară în mediul online, iar interacțiunile pe care le lasă în urmă urme digitale semnificative.
Acestea contribuie la formarea unor profiluri virtuale complexe, construite pe baza datelor personale pe care le oferim, conștient sau nu. În acest peisaj, protejarea vieții private și asigurarea controlului asupra informațiilor personale au devenit priorități majore. Pentru a răspunde acestei realități, Uniunea Europeană a adoptat Regulamentul general privind protecția datelor (GDPR), un act legislativ de referință menit să garanteze respectarea drepturilor persoanelor în ceea ce privește prelucrarea datelor cu caracter personal. Regulamentul stabilește standarde clare și ridicate atât pentru protecția individului, cât și pentru responsabilizarea celor care colectează și utilizează aceste date.
Avocatele Andra Hartac și Cristina Dumitrache de la Societatea Civilă de Avocați DAVID, AVRĂMIȚĂ ȘI ASOCIAȚII, au analizat din perspectivă legală implicațiile acestui cadru legal asupra activităților desfășurate de operatorii de date din mediul public și privat, evidențiind obligațiile care le revin în ceea ce privește transparența, consimțământul, securitatea informațiilor și drepturile persoanelor vizate.
„La baza acestui cadru legal stă ideea că datele personale nu sunt doar informații tehnice, ci reflectă identitatea, intimitatea și demnitatea fiecărei persoane, fiind, prin urmare, demne de o protecție juridică riguroasă. Dreptul de a fi uitat se distinge ca o formă actuală de protecție a reputației și a autonomiei digitale, dar și ca o sursă de deliberări privind limitele libertății de exprimare și interesul public promovat”.
Dreptul la ștergerea datelor nu a apărut odată cu GDPR, ci a fost conturat progresiv în jurisprudența Curții de Justiție a Uniunii Europene, ca o necesitate a existenței unui echilibru între viața privată și libertatea de exprimare. Momentul de referință îl constituie hotărârea CJUE din anul 2014, pronunțată în cauza C-131/12 – Google Spain SL și Google Inc. vs. Agencia Española de Protección de Datos (AEPD) și Mario Costeja González.
În această speță, reclamantul a cerut eliminarea din rezultatele afișate de motorul de căutare Google a unor linkuri către anunțuri publicate într-un ziar local, care făceau referire la scoaterea la licitație publică a locuinței sale pentru executarea unor creanțe. Deși informațiile fuseseră publicate cu peste un deceniu în urmă iar datoriile fuseseră între timp stinse prin executarea obligației, vizibilitatea în mediul online a acelor date continua să îi afecteze reputația.
Astfel, CJUE a consfințit posibilitatea persoanei vizate de a solicita ștergerea rezultatelor online care îl vizau în mod direct și îi aduceau prejudicii de imagine.
„Ca atare, articolul 17 din Regulamentul general privind protecția datelor consacră, în mod expres, dreptul la ștergerea datelor cu caracter personal, cunoscut sub denumirea de „dreptul de a fi uitat”. Acest drept permite persoanei vizate să solicite operatorului de date eliminarea, fără întârzieri nejustificate, a informațiilor care o privesc, în situațiile în care prelucrarea acestora nu mai are o justificare legală sau un scop legitim.”
Șase situații în care operatorii sunt obligați să șteargă datele personale
Regulamentul general privind protecția datelor prevede șase ipoteze exprese în care ștergerea datelor devine obligatorie pentru operator: când datele nu mai sunt necesare, în virtutea scopului inițial al colectării; când persoana își retrage consimțământul pe baza căruia s-a efectuat colectarea și nu există un alt temei juridic pentru prelucrare; când se opune prelucrării și nu există interese superioare care să justifice prevalența demersului; când prelucrarea este ilegală; când datele trebuie șterse pentru respectarea unei obligații legale, instituite în temeiul dreptului Uniunii sau al dreptului intern al operatorului; și, nu în ultimul rând, când datele au fost colectate în contextul oferirii de servicii ale societății informaționale, în special către minori.
În plus, articolul 17 introduce și o obligație de informare activă a terților, acolo unde datele au fost făcute publice, ceea ce înseamnă că operatorul este dator, în măsura posibilităților tehnice și pecuniare, să informeze alți operatori care prelucrează datele respective despre solicitarea persoanei vizate, de ștergere a oricăror linkuri către datele respective sau a oricăror copii sau reproduceri ale acestor date cu caracter personal.
„Totuși, acest drept nu este absolut. Regulamentul prevede excepții expres reglementate, pentru a menține echilibrul cu drepturile fundamentale corelative. Astfel, cererea de ștergere poate fi refuzată dacă datele sunt necesare pentru exercitarea libertății de exprimare, pentru respectarea unor obligații legale, pentru motive de interes public, cercetare științifică sau apărarea unui drept în instanță”.
În esență, deși articolul 17 urmărește să garanteze controlul persoanei asupra datelor sale într-un cadru echilibrat, aplicarea sa nu este lipsită de controverse. Una dintre cele mai sensibile probleme juridice pe care le ridică acest drept este potențialul conflict cu libertatea de exprimare și dreptul publicului la informare, ambele fiind la rândul lor drepturi fundamentale, caracteristice unui stat de drept.
În dispozițiile alineatului (3) litera (a), este reglementat expres faptul că solicitarea de ștergere poate fi respinsă dacă datele respective sunt necesare pentru exercitarea dreptului la liberă exprimare și informare. În practică, această excepție generează un delicat exercițiu de echilibru între interesul legitim al persoanei de a nu fi permanent asociată cu informații defăimătoare, irelevante sau învechite, și interesul societății de a păstra accesul la informațiile de interes public.
Jurisprudența CJUE, precum și interpretările autorităților naționale de supraveghere, au subliniat că nu orice atingere adusă imaginii justifică ștergerea datelor. De exemplu, în cazul în care persoana vizată are un rol public, este implicată în activități de interes general sau informația contribuie la o dezbatere publică legitimă, prevalența poate reveni libertății de exprimare.
O dublă responsabilitate
În plus, aplicarea dreptului de a fi uitat în contextul motoarelor de căutare introduce o dublă responsabilitate: pe de o parte, asupra operatorului tehnic (cum ar fi Google), care trebuie să analizeze cererea în termenii proporționalității, și pe de altă parte, asupra instanțelor sau autorităților de reglementare, care sunt chemate să intervină atunci când deciziile sunt contestate.
„Astfel, dreptul de a fi uitat nu funcționează ca un „drept la cenzură”, ci ca un mecanism de reechilibrare a raportului dintre trecutul conturat în spațiul digital și realitatea actuală a persoanei în cauză.”
Cu privire la autoritățile de reglementare, potrivit art. 51 din RGDPD, în fiecare stat membru se înființează o astfel de autoritate independentă, publică și autonomă, menită să apere drepturile și libertățile fundamentale ale omului și care în România se numește Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
În acest sens, garanția apărării drepturilor fundamentale ale omului, printre care și „dreptul de a fi uitat”, o constituie procedura de soluționare a plângerilor adresate instituției antemenționate. Astfel, orice persoană fizică, pe considerentul prelucrării datelor cu caracter personal într-un mod care contravine reglementărilor legale, poate depune plângere la ANSPDCP.
Conform prevederilor art. 2 din Decizia președintelui Autorității naționale de supraveghere nr. 133/2018 privind aprobarea Procedurii de primire și soluționare a plângerilor (denumită în continuare „Decizia”), persoana în cauză se poate adresa cu plângere,„în special în cazul în care reședința sa obișnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României”, nereprezentând relevanță cetățenia sau domiciliul acesteia.
În continuare, după comunicarea admisibilității plângerii, în contextul în care îndeplinește toate condițiile de fond și formă, petiționarul va fi informat asupra evoluției investigației. Rezultatul va fi adus la cunoștința persoanei vizate în termen de 45 de zile de la finalizarea acesteia [alin. (5) din Decizie].
Totodată, persoana interesată poate înainta cale de atac împotriva actului administrativ antemenționat, având posibilitatea să se adreseze instanței de contencios administrativ, chiar și în caz de refuz nejustificat al ANSPDCP.
Finalitatea practică a dreptului de a fi uitat este de a proteja demnitatea, viața privată și libertatea individului în contextul digital, oferindu-i control asupra modului în care datele sale personale sunt accesate și păstrate online. De asemenea, acesta oferă o a doua șansă persoanelor care au greșit în trecut, dar care s-au reabilitat și referințele negative le afectează integrarea socială.
„Astfel, finalitatea practică nu înseamnă „ștergerea trecutului”, ci limitarea accesului facil la anumite informații când nu mai există un motiv legitim pentru prelucrarea lor. „Dreptul de a fi uitat” reflectă o realitate modernă: amprenta digitală a unei persoane nu ar trebui să o urmeze pentru totdeauna. Totuși, aplicarea acestui drept trebuie făcută în așa manieră încât să nu încalce alte drepturi fundamentale. Adevărata provocare constă în găsirea unui echilibru între uitare și memorie, între interesul individual și interesul public.”
Un material Legal Marketing
