În era internetului și a inteligenței artificiale, circularea datelor cu caracter personal se realizează mai rapid ca niciodată, cu consecința creșterii calității serviciilor dar și a riscului divulgării unor informații private aparținând persoanelor implicate.
Garantarea dreptului la viață privată constituie un drept deja consacrat atât în planul legislației interne cât și la nivelul normelor comunitare, însă noul context social a reclamat implementarea unei legislații de nișă care să răspundă noilor cerințe de securitate a datelor cu caracter personal.
Astfel, pe acest fundal, a fost adoptat Regulamentul nr. 679 din 27.04.2016 al Parlamentului European și al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (GDPR).
Intrat în vigoare în data de 25.05.2016 și aplicabil pe întreg teritoriul Uniunii Europene din data de 25.05.2018, actul menționat oferă o reglementare de nivel superior și mult mai țintită în materia protecției datelor cu caracter personal, față de normele anterioare, de ordin general - cum ar fi art.8 din Carta Drepturilor fundamentale a Uniunii Europene care consfințise deja dreptul oricărei persoane la protecția datelor cu caracter personal.
Unul dintre cele mai importante mecanisme introduse de GDPR o constituie instituirea dreptului oricărei persoane interesate de a obține ștergerea datelor cu caracter personal, prelucrate în mod automatizat sau prin alte mijloace, care fac parte sau care sunt destinate să facă parte, dintr-un sistem de evidență a datelor.
Pornind de la premiza că efectele aplicării unui astfel de instrument juridic se concretizează în eliminarea datelor personale ale persoanei interesate din respectivul sistem de evidență, acesta este privit în domeniu și ca dreptul de a fi uitat.
Mecanismul este descris în detaliu de prevederile art. 17 din GDPR, text legal care permite persoanei vizate să ceară de la operator ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, cu obligația colaterală a acestuia din urmă de a şterge datele cu caracter personal fără întârzieri nejustificate, care se aplică în umătoarele situații:
"a)datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizată îşi retrage consimţământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), şi nu există niciun alt temei juridic pentru prelucrare;
c)persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) şi nu există motive legitime care să prevaleze în ceea ce priveşte prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie şterse pentru respectarea unei obligaţii legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidenţa căruia se află operatorul;
f)datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societăţii informaţionale menţionate la articolul 8 alineatul (1) (datele cu caracter personal ale unui minor)."
Dreptul oricărei persoane ale cărei date personale au fost prelucrate de către un operator de a solicita înlăturarea acestora constituie, de altfel, o concretizare punctuală a dreptului la viață privată, garantat atât la nivelul legislației interne cât și la nivelul legislației comunitare.
În același registru, reținem că prerogativa persoanei vizate de a uza de procedura instituită de art.17 din GDPR își are originea, de fapt, într-un veritabil drept al său de a gestiona neîngrădit stocarea și ciricuitul datelor sale personale, cu posibilitatea păstrării confidențiale a acestora, utilizării lor în scopul declarat de operator și acceptat de titular, a ștergerii și a rectificării informațiilor în speță.
Prin prisma conținutului efectiv al unui astfel de demers, reținem că dreptul de a solicita ștergerea datelor cu caracter personal este exprimat de măsuri rezonabile care pot fi luate de operator, inclusiv tehnice, reprezentate inclusiv de informarea altor operatori care au difuzat linkuri cu datele respective sau alte copii sau reproduceri ale acestora, că s-a solicitat ștergerea lor.
Așadar, dreptul de ștergere instituit de GDPR vizează atât datele personale online cât și cele off line, cum ar fi cele deținute în format letric.
Într-un secol în care informațiile, inclusiv cele personale, pot face înconjurul lumii printr-un singur click, probabilitatea utilizării acestora în mod neautorizat cu scopul de a obține diverse beneficii, foloase materiale sau alte avantaje este extrem de ridicată.
Or tocmai într-un astfel de context, dreptul de "a fi uitat" de bazele de date instituit de art. 17 din actul normativ suscitat constituie o modalitate prin care persoana interesată se poate pune la adăpost de astfel de amenințări, obținând eliminarea datelor sale dintr-un sistem.
Deși exercițiul său este esențial în materia protecției datelor cu caracter personal, există și situații în care o persoană nu poate uza de dreptul de ștergere a informațiilor, respectiv:
"- atunci când prelucrarea este necesară pentru exercitarea dreptului la liberă exprimare şi la informare, pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul;
- din motive de interes public în domeniul sănătăţii publice, în conformitate cu articolul 9 alineatul (2) literele (h) şi (i) şi cu articolul 9 alineatul (3);
- în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), în măsura în care dreptul menţionat la alineatul (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective;
- pentru constatarea, exercitarea sau apărarea unui drept în instanţă."
Punând în balanță interesul particular al persoanei vizate de a obține ștergerea datelor cu caracter personal dintr-o bază de date, pe de o parte și motive care țin de siguranța publică, garantarea dreptului la liberă exprimare sau înfăpuirea justiției și a ordinii de drept, pe de altă parte, normele GDPR exonerează operatorii de obligația de ștergere a datelor personale în oricare dintre ipotezele mai sus enunțate.
Altfel spus, într-o atare de situație, dreptul de ștergere a datelor cu caracter personal devine inoperant, cu consecința că acestea vor fi în continuare stocate și prelucrate însă numai cu respectarea prevederilor GDPR.
Natura deosebit de specială a domeniului securității datelor a necesitat o reglementare clară și extinsă, precum Regulamentul nr. 679/2016 care a instituit expres obligativitatea înștiințării persoanelor fizice asupra faptului că, în anumite condiții, le vor fi prelucrate datele cu caracter personal, cunoașterea de către acestea a datelor care le vor fi prelucrate, destinatarii acestor date, etc.
Toate aceste măsuri obligatorii impuse de actul normativ citat ar fi lipsite de finalitate dacă prevederile acestuia nu ar fi urmărit și instituirea unui drept al persoanei fizice care a furnizat anumite date cu caracter personal, de a solicita ștergerea acestora din sistemele de date.
Pentru aceste motive, dreptul de "a fi uitat" legiferat de art. 17 din GDPR constituie principalul obiectiv al actului în speță, garantând persoanei care a funizat date cu caracter personal unui anumit operator, putere de decizie asupra circuitului acestor informații.
