« Flux noutăţi
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateCyberlawDrept comercialEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveDrepturile omuluiData protectionDreptul familieiDreptul munciiDreptul sportuluiMalpraxis medicalProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrepturile omuluiDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Dreptul Uniunii Europene
DezbateriCărţiProfesionişti
 

Dreptul de a fi uitat, astfel cum este reglementat de legislația europeană. Procedura de sesizare a ANSPDCP
22.01.2021 | Alin CHIFOR

JURIDICE - In Law We Trust Monitor Dosare
Alin Chifor

Alin Chifor

1. Aspecte introductive

Dreptul de a fi uitat, sau altfel spus, dreptul la ștergerea datelor cu caracter personal reprezintă unul dintre elementele care compun genul proxim al drepturilor privind protecția datelor cu caracter personal, cuprinse în art. 15-22 din Regulamentul (UE) nr. 2016/679[1], dar și în TFUE (art. 16 alin. 1) sau în Carta drepturilor fundamentale a UE (art. 8 alin. 1). Totodată, potrivit art. 148 alin. (2) din Constituția României, „prevederile tratatelor constitutive ale Uniunii Europene, precum şi celelalte reglementări comunitare cu caracter obligatoriu[2], au prioritate faţă de dispoziţiile contrare din legile interne”. Așadar, consacrarea acestora în acte de o asemenea forță juridică nu este de neglijat. Totodată, acest concept este înrădăcinat în jurisprudența autohtonă, instanțele soluționând, de multe ori favorabil[3], cereri care au ca obiect exercitarea dreptului la ștergerea datelor.

Astfel, având în vedere importanța deosebită a dreptului de a fi uitat ca drept la protecția datelor cu caracter personal, demersul de față își propune să răspundă, într-o manieră succintă, la întrebarea „ce reprezintă și cum se exercită dreptul de a fi uitat?” prin enunțarea definiției acestuia și prezentarea câtorva caracteristici, dar și a temeiurilor și limitelor impuse de legiuitorul european în vederea exercitării dreptului. După punctarea fondului dreptului de a fi uitat, vom face precizările necesare cu privire la soluționarea plângerilor care au ca obiect încălcarea drepturilor protejate de RGPD.

2. Definiția și caracteristicile dreptului de a fi uitat

2.1. Definiție

Dreptul de a fi uitat este consacrat în prevederile art. 17 din Regulamentul (UE) nr. 2016/679 și, potrivit doctrinei, își are izvorul în jurisprudența Curții de Justiție a Uniunii Europene (CJUE)[4], mai exact în cauza Google Spain și Google[5]. Din economia art. 17 alin. (1) din RGPD rezultă următoarea definiție: dreptul de a fi uitat este dreptul potestativ[6] pe temeiul căruia persoana vizată obligă operatorul la ștergerea, fără întârzieri nejustificate, a datelor cu caracter personal care o privesc, în condițiile și limitele art. 17 din RGPD.

Desigur, acest drept implică obligația corelativă a operatorului de a şterge datele cu caracter personal fără întârzieri nejustificate în cazul în care își găsesc aplicabilitate motivele enumerate limitativ de art. 17 alin. (1) lit. a-f din RGPD[7]. Totodată, în strânsă legătură cu dreptul la ștergerea datelor, dar fără a intra în sfera obligației corelative a acestuia, în sarcina operatorului există și obligația de notificare consacrată în cuprinsul art. 19 din RGPD[8].

2.2. Subiectele dreptului de a fi uitat

Subiectul dreptului de a fi uitat[9] îl constituie persoana vizată. Această noțiune vizează persoana fizică identificată sau identificabilă a cărei date personale sunt supuse colectării, potrivit art. 4 pc. 1. din RGPD. Desigur, conform art. 1 alin. (1) din RGPD[10], prevederile regulamentului protejează exclusiv persoanele fizice, deci, pe cale de consecință, persoanele juridice nu pot fi titulare a dreptului de a fi uitat.

Subiectul pasiv al dreptului de a fi uitat, respectiv titularul obligației corelative dreptului[11], îl constituie operatorul, respectiv „persoana fizică sau juridică, autoritatea publică, agenţia sau alt organism care, singur sau împreună cu altele, stabileşte scopurile şi mijloacele de prelucrare a datelor cu caracter personal[12]. Observăm faptul că, spre deosebire de subiectul activ, cel pasiv poate consta și într-o persoană juridică.

2.3. Relația dintre dreptul de a fi uitat și dreptul la viață privată. Conținutul dreptului

În doctrină s-a apreciat faptul că dreptul la protecția datelor cu caracter personal, implicit și dreptul de a fi uitat nu se confunda cu dreptul la viață privată, chiar dacă nu de puține ori domeniul lor de incidență se intersectează[13]. Credem că adoptarea RGPD tranșează problema autonomiei acestei categorii de drepturi în raport cu dreptul la viață privată, dată fiind consacrarea legislativă expresă a acestora în mod separat, cu stabilirea unor limite și condiții specifice în privința exercitării acestuia. În plus, dreptul la ștergerea datelor protejează adesea și informații cu caracter public, mai ales în contextul dezvoltării accelerate a platformelor de socializare în ultimul deceniu[14].

În fine, se poate admite faptul că dreptul de a fi uitat, asemenea celorlalte drepturi care vizează protecția datelor cu caracter personal, își are izvorul în dreptul la viață privată, dar evoluția tehnologică a domeniului informatic a determinat necesitatea conferirii autonomiei juridice acestui drept, în vederea sporirii standardului de protecție al integrității datelor personale[15].

3. Exercitarea dreptului de a fi uitat

3.1. Condiții materiale de exercitare

Sub aspect material, art. 17 alin. (1) lit. a-f din RGPD instituie șase temeiuri alternative pe care se fundamentează exercitarea dreptului de a fi uitat[16]: scopul procesării a fost deja atins şi datele nu mai sunt necesare, consimţământul a fost retras şi nu există alt temei legal pentru procesare, persoana vizată obiectează conform art. 21 alin. (1) RGPD, datele au fost procesate ilegal, ştergerea este necesară pentru executarea unei obligaţii legale conform dreptului Uniunii sau dreptului naţional, procesarea s-a efectuat în baza consimţământului minorului în contextul ofertei de servicii informaţionale.

Credem că precizări se impun cu privire la două dintre ele, respectiv datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate (1) și persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea (2).

În cazul primului temei se poate observa una din limitele superioare ale prelucrării datelor: atingerea scopului prelucrării. Scopul prelucrării datelor constituie o informație pe care operatorul este obligat să o furnizeze, potrivit art. 13 alin. (1) lit. c din RGPD, astfel fiind asigurată o protecție suplimentară a drepturilor persoanei vizate prin faptul că aceasta va putea stabili în mod obiectiv momentul în care datele sale personale nu mai sunt necesare scopului. De îndată ce se atinge scopul prelucrării, persoana vizată poate solicita și obține, pe acest temei, ștergerea cu celeritate a datelor sale cu caracter personal.

Cel de-al doilea temei punctat, respectiv retragerea consimțământului[17], reprezintă cel mai larg temei pentru exercitarea acestui drept, nefiind necesar ca persoana vizată să invoce un motiv sau un interes pentru a-și retrage în mod efectiv consimțământul. Sub acest aspect, consimțământul persoanei vizate are un caracter nedefinit, fundamentat pe dreptul discreționar al persoanei vizate de a-și retrage acceptul dat pentru prelucrarea datelor cu caracter personal[18], deci, odată îndeplinite condițiile materiale, acest drept poate fi exercitat unilateral și neîngrădit. Astfel, exercitarea dreptului pe acest temei relevă în mod univoc caracterul potestativ al acestui drept, necesar în vederea garantării efective a integrității datelor persoanei vizate.

3.2. Situația în care operatorul a făcut publice datele cu caracter personal

În acest caz prevăzut de art. 17 alin. (2) din RGPD, dat fiind faptul că analizarea acestuia excedează demersului de față, ne rezumăm a face trimiterea necesară din jurisprudența CJUE, respectiv cauza Google Spain și Google[19], în care Curtea a reținut că, în anumite condiții, „operatorul unui motor de căutare este obligat să elimine de pe lista de rezultate, afişată în urma unei căutări efectuate plecând de la numele unei persoane, linkurile către paginile web publicate de terţi şi care conţin informaţii referitoare la această persoană”[20].

3.3. Derogări

Art. 17 alin. (3) lit. a-e din RGPD reglementează cinci situații derogatorii, a căror incidență are ca efect blocarea exercitării dreptului de a fi uitat. Scopul acestor derogări îl constituie asigurarea echilibrului între dreptul la ștergerea datelor și unele drepturi subiective sau interese legitime ale operatorului ori ale societății.

Observăm faptul că textul legal stabilește in terminis și limitativ care sunt aceste drepturi sau interese preeminente[21] în raport cu dreptul de a fi uitat: dreptul la liberă exprimare și la informare; respectarea unei anumite obligații legale în sarcina operatorului; interesul public în domeniul sănătății publice; arhivare în interes public, cercetare, ori scopuri statistice[22]; ori pentru constatarea, exercitarea sau apărarea unui drept în instanță.

Bineînțeles, există situații în care dreptul de a fi uitat poate fi surclasat în raport cu aceste drepturi sau interese legitime, dar nu credem că poate fi exclusă de plano o soluție inversă. Astfel, va fi necesară o analiză de proporționalitate[23] in concreto, care va stabili dreptul preeminent, iar în cazul în care acesta va fi dreptul la ștergerea datelor, exercitarea lui nu va putea fi împiedicată[24].

3.4. Condiții procedurale: procedura de soluționare a ANSPCDCP

3.4.1. Generalități

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) reprezintă o autoritate publică, autonomă și independentă a cărei obiectiv este apărarea drepturilor şi libertăţilor fundamentale ale persoanelor fizice, în special a dreptului la viaţă intimă, familială şi privată, în legătură cu prelucrarea datelor cu caracter personal şi cu libera circulaţie a acestor date, conform art. 1 alin. (1) și (2) din Legea nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea ANSPDCP[25]. Potrivit art. 51 din RGPD, în fiecare stat membru UE se înființează o astfel de autoritate independentă.

În acest sens, procedura de soluționare a plângerilor adresate Autorității constituie garanția efectivă a drepturilor fundamentale pe care aceasta este chemată să le apere. Sediul materiei îl constituie art. 60-78 din RGPD, art. 14-24 din Legea nr. 102/2005 și Decizia preşedintelui Autorităţii naţionale de supraveghere nr. 133/2018[26] privind aprobarea Procedurii de primire și soluționare a plângerilor (denumită în continuare „Decizia”).

Conform art. 2 din Decizie, orice persoană vizată[27] poate depune plângere atunci când consideră că prelucrarea datelor sale personale contravine reglementărilor legale, „în special în cazul în care reşedinţa sa obişnuită, locul său de muncă sau presupusa încălcare se află sau, după caz, are loc pe teritoriul României”. Așadar, nu este necesar ca petiționarul să fie cetățean român sau să fie domiciliat în România.  Totodată, acest drept poate fi exercitat gratuit[28], cu excepția situațiilor în care plângerile sunt vădit excesive și nefondate, sarcina probei, în această privință, revenind ANSPDCP (art. 7 alin. (5) din Decizie).

3.4.2. Admisibilitatea plângerii[29]

În primul rând, plângerile trebuie adresate în scris, în limba română sau engleză (art. 3 alin. (1) din Decizie). Astfel, dreptul persoanelor străine de a se adresa Autorității capătă substanță, având în vedere posibilitatea acestora de a adresa cererile într-o limbă de circulație internațională, respectiv limba engleză. Totodată, plângerile pot fi depuse și în format electronic (alin. 2), fapt care determină accelerarea procesului de soluționare a plângerilor și debirocratizarea activității Autorității. Pentru a fi admisibilă, plângerea va conține numele, prenumele, adresa poştală de domiciliu sau de reşedinţă, adresa de e-mail[30], datele de identificare ale operatorului reclamat sau persoanei împuternicite reclamate și semnătura olografă sau electronică a petiționarului, după caz (art. 4 din Decizie).

În al doilea rând, cererea va fi însoțită de informații cu privire la obiectul sesizării, dar și cu privire la demersurile întreprinse de petiționar la nivelul operatorului reclamat. Un astfel de demers ar putea fi, bunăoară, solicitarea ștergerii datelor cu caracter personal care nu mai sunt necesare operatorului prin exercitarea dreptului de a fi uitat, în temeiul art. 17 alin. (1) lit. a din RGPD. Desigur, pe lângă acestea, plângerea va cuprinde informațiile sau dovezile care fundamentează pretențiile petiționarului (art. 5 alin. (1) din Decizie). Totodată, în vederea protejării dreptului la protecția datelor petiționarului, acesta din urmă poate solicita păstrarea confidențialității asupra anumitor date cu caracter personal[31] (art. 7 alin. (2) din Decizie).

Totuși, în cazul în care plângerea nu cuprinde informațiile antemenționate, cererea nu va fi respinsă de plano, ci petiționarul va fi înștiințat în scris asupra neîndeplinirii condițiilor procedurale în vederea completării plângerii, în condițiile art. 9 din Decizie.

3.4.3. Soluționarea plângerii

Odată comunicată admisibilitatea plângerii, Autoritatea va informa petiționarul în termen de trei luni de la comunicare asupra evoluției investigației întreprinse (art. 7 alin. (3) din Decizie). O precizare suplimentară se impune, având în vedere faptul că unele investigații pot viza prejudicii enorme, deci și o investigație de o complexitate pe măsură. Un exemplu în acest sens îl constituie investigația recentă efectuată în Germania cu privire la încălcarea RGPD de către gigantul H&M, fiind aplicate sancțiuni de peste 35 de milioane de euro[32]. Astfel, pentru cererile de o complexitate ridicată, petiționarul va fi informat din trei în trei luni asupra evoluției investigației (alin. 4). Desigur, scopul acestei garanții suplimentare îl constituie înlăturarea posibilității de tergiversare a procedurii de soluționare a plângerilor de către Autoritate și, implicit, concretizarea dreptului petiționarului de a-și vedea cererea soluționată într-un termen rezonabil. Rezultatul investigației va fi adus la cunoștința persoanei vizate în termen de 45 de zile de la finalizarea acesteia (alin. 5). După comunicarea soluționării plângerii, petiționarul poate exercita căile de atac prevăzute de lege.

3.4.4. Căi de atac

Dat fiind faptul că decizia emisă în urma soluționării plângerii este un veritabil act administrativ, în sensul dispozițiilor art. 2 alin. (1) lit. c din Legea nr. 554/2004 privind contenciosul administrativ[33], petiționarul se va putea adresa instanței de contencios administrativ (dispoziție cuprinsă expres și în art. 11 din Decizie). Totodată, un refuz nejustificat al Autorității de a soluționa o cerere va putea fi cenzurat de aceeași instanță, în conformitate cu prevederile art. 2 alin. (2) din Legea nr. 554/2004.


[1] Publicat în JOUE. nr. L119/1-88. Regulamentul mai este cunoscut și sub denumirea de General Data Protection Regulation (GDPR). Atunci când ne vom referi la acest regulament, în cele ce urmează, vom folosi abrevierea RGPD.
[2] Regulamentele sunt astfel de acte comunitare cu caracter obligatoriu. Pentru dezvoltări, a se vedea F. Gyula, Drept instituțional al Uniunii Europene, ediția a 2-a, Ed. Hamangiu, București, 2018, pp. 121-123.
[3] A se vedea, bunăoară, C. A.  București, secția a IX-a contencios administrativ și fiscal, dec. nr. 563/2019 (sursă: www.rolii.ro, consultat la 07.01.2021); Trib. Ilfov, secția civilă, sentința civilă nr. 184/2018 (sursă: www.rolii.ro, consultat la 07.01.2021); Trib. Prahova, secția I civilă, dec. 1342/2020 (sursă: www.rolii.ro, consultat la 07.01.2021).
[4] În același sens, v. S. D. Șchiopu, Perspectivele dreptului de a fi uitat, în Dreptul nr. 5/2019, nota nr. 10; A. M. Șandru, Inovări și reevaluări în privința drepturilor persoanei vizate în Regulamentul nr. 2016/679, în RRDA nr. 4/2018, nota nr. 21.
[5] C-131/12, Google Spain şi Google, Hotărârea din 13 mai 2014, ECLI:EU:C:2014:317, disponibil online aici, pp. 18-20, consultat la 08.01.2021.
[6] Potestativitatea dreptului de a fi uitat va fi punctată în cadrul secțiunii privind condițiile exercitării dreptului (infra 3.1).
[7] Asupra acestora vom reveni în secțiunea referitoare la exercitarea dreptului de a fi uitat.
[8] Obligația de notificare vizează, printre altele, faptul că operatorul este obligat să comunice fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal orice ştergere a acestora.
[9] Respectiv „persoana fizică sau juridică căreia îi aparține dreptul subiectiv”. A se vedea I. Reghini, Ș. Diaconescu, P. Vasilescu, Introducere în dreptul civil, Ed. Hamangiu, București, 2013, p. 344.
[10] Textul legal citat precizează expressis verbis faptul că „prezentul regulament stabileşte normele referitoare la protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal” (s.n.). Totodată, alin. (14) din preambulul RGPD stabilește cu titlu categoric faptul că regulamentul nu se aplică persoanelor juridice.
[11] Ibidem.
[12] Potrivit art. 4 pc. 7 din RGPD.
[13] C. Munteanu, O. Ungureanu, Dreptul la protecția datelor cu caracter personal, un drept autonom?, în RRDP nr. 1/2014, nota nr. 11 și 12. Autorii invocă decizia Tribunalului de primă instanță al CJUE din cauza Bavarian Lager, în care s-a reținut faptul că „nu toate datele cu caracter personal pot, prin natura lor, să aducă atingere vieţii private a persoanei vizate”. În sens contrar, v. M. Nicolae, Drept civil. Teoria Generală, vol. II, Ed. Solomon, București, 2018, pp. 54-55.
[14] S. D. Șchiopu, op. cit., nota nr. 7.
[15] În același sens, v. C. Munteanu, O. Ungureanu, op. cit., nota nr. 15.
[16] A se vedea I. F. Popa, Impactul Regulamentului privind protecția datelor cu caracter personal asupra răspunderii civile, în RRDP nr. 1/2018, par. 27.
[17] Pentru detalii cu privire la problematica retragerii consimțământului persoanei vizate, v. L. Bercea, Standardul «consumatorului mediu» și consimțământul pentru prelucrarea datelor cu caracter personal , în RRDP nr. 1/2018, pc. 5.
[18] În același sens, ibidem, nota nr. 66.
[19] Cit. supra, nota nr. 3. Pe larg, a se vedea A. Duțu, Uniunea Europeană: dreptul la eliminarea datelor personale din motoarele de căutare, în P. R. nr. 12/2015. 
[20] Potrivit pct. 3 din partea dispozitivă a hotărârii.
[21] Textul se exprimă în sensul că alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară pentru drepturile sau interesele respective, deci, pare că acestea prevalează a priori în fața dreptului de a fi uitat.
[22] Doar în măsura în care dreptul de a fi uitat „este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respectivei”.
[23] Pentru detalii cu privire la ce presupune acest concept, v. Ș. Diaconescu, Funcțiile analizei de proporționalitate la apărarea drepturilor nepatrimoniale, în SUBB seria Iurisprudenția nr. 4/2019, p. 5-49.
[24] În același sens, I. F. Popa, op. cit., nota nr. 134.
[25] Republicată în M. Of., Partea I nr. 947 din 09.11.2018.
[26] M. Of., Partea I nr. 600 din 13.07.2018.
[27] Noțiunea de „persoană vizată” este definită de RGPD în cadrul art. 4 pc. 1 ca fiind „o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.
[28] Mai mult, conform art. 8 alin. (3) din Decizie, cererile adresate instanței care au același obiect sunt scutite de taxa de timbru.
[29] Vom puncta, grosso modo, doar condițiile de admisibilitate de o importanță crescută, mai ales în ceea ce privește persoanele fizice.
[30] Bineînțeles, această cerință este impusă doar cererilor adresate în format electronic.
[31] Dispoziția apare ca fiind firească, dat fiind faptul că s-ar naște situații eminamente hilare și paradoxale în cazul în care însuși ANSPDCP ar încălca drepturile pe care este chemată să le apere. Bineînțeles, regula suportă și o excepție, respectiv în situația în care dezvăluirea datelor este necesară pentru soluționarea plângerii.
[32] Preluat din https://www.zf.ro/companii/retail-agrobusiness/decizie-fara-precedent-gigantul-suedez-h-m-va-trebui-sa-plateasca-o-19605388, consultat la 25.11.2020.
[33] M. Of., Partea I nr. 1154 din 07.12.2004.


Student Alin Chifor
Facultatea de Drept – Universitatea „Babeș-Boylai”

PLATINUM+
PLATINUM Signature       

PLATINUM  ACADEMIC

GOLD                                

VIDEO STANDARD
Aflaţi mai mult despre , , , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!












Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară

Securitatea electronică este importantă pentru avocaţi
 Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează şi recomandă SmartBill

Monitorizarea inteligentă a dosarelor de instanţă: Monitor Dosare

Lex Discipulo Laus

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.