Sari direct la conținut

O nouă hotărâre CJUE de referință în materia prelucrării datelor cu caracter personal în cadrul activității motoarelor de căutare

STOICA & Asociatii
Irina Andreea Micu, Yolanda Beșleagă , Foto: STOICA & Asociatii
Irina Andreea Micu, Yolanda Beșleagă , Foto: STOICA & Asociatii

Printr-o hotărâre publicată recent în J.O.U.E. (25 noiembrie 2019), Curtea de Justiție a Uniunii Europene a clarificat ipotezele în care operatorii unor motoare de căutare sunt obligați să admită cererile persoanelor fizice privind ștergerea unor link-uri către anumite pagini web din lista de rezultate, listă afișată în urma căutării efectuate pe baza numelui unei persoane. Hotărârea pronunțată în cauza C-136/17 vine în continuarea hotărârii din cauza Google Spain și Google, clarificând sfera obligațiilor operatorilor motoarelor de căutare, atunci când aceștia sunt sesizați de o persoană fizică cu o cerere de dezindexare privind link-uri către pagini de internet pe care sunt publicate categorii speciale de date (e.g., date privind sănătatea, date care dezvăluie originea rasială ori etnică, convingerile religioase, apartenența sindicală ș.a.).

Hotărârea din 24 septembrie 2019 a fost pronunțată în cauza C-136/17, în contextul refuzului Google LLC de a înlătura, la cererea reclamanților, diverse link-uri din lista rezultatelor afișate de motorul de căutare operat de această societate, ca răspuns la căutarea efectuată plecând de la numele lor, în condițiile în care rezultatele afișate făceau disponibile publicului larg categorii speciale de date cu caracter personal. Reclamanții au formulat acțiuni împotriva refuzului CNIL (Comisia Națională pentru Informatică și Libertăți din Franța, ce are atribuțiile autorității de supraveghere) de a pune în întârziere Google în ceea ce privește înlăturarea link-urilor în discuție, acțiuni care au fost conexate de instanța de trimitere. Instanța administrativă supremă din Franța (Conseil d’État) a adresat Curții de Justiție mai multe întrebări, printre care și pe aceea de a determina dacă interdicția generală aplicabilă altor operatori de a prelucra categorii speciale de date cu caracter personal se aplică și operatorilor motoarelor de căutare și, respectiv, care sunt condițiile în care operatorul unui motor de căutare este obligat să admită o cerere de dezindexare, cu consecința ștergerii link-ului către o pagină web unde sunt publicate date sensibile de pe lista de rezultate afișată în urma căutării pe baza numelui persoanei fizice.

Reamintim faptul că prin hotărârea de principiu din 13 mai 2014, Google Spain și Google (C‑131/12), Curtea a statuat că dreptul la ștergerea datelor („dreptul de a fi uitat”) recunoscut persoanelor fizice poate da naștere unei obligații a operatorului unui motor de căutare de a elimina link-urile către pagini care conțin informații care privesc persoanele fizice, chiar dacă publicarea în sine a datelor este licită.

Astfel, în primul rând, activitatea unui motor de căutare care constă în a găsi informații publicate ori postate pe internet de către terți, în a le indexa în mod automat, în a le stoca temporar și, în sfârșit, în a le pune la dispoziția utilizatorilor de internet într-o anumită ordine de preferință presupune în mod inerent operațiuni de prelucrare de date cu caracter personal, cu toate consecințele juridice care derivă din această calificare (inclusiv din perspectiva obligațiilor instituite în sarcina operatorilor).

Persoanele vizate au însă dreptul de a solicita ca anumite informații să nu mai fie puse la dispoziția publicului larg prin includerea acestora într-o listă de rezultate afișată în urma unei căutări efectuate pe internet, plecând de la numele respectivelor persoane. Așadar, în cazul prelucrărilor de date realizate prin intermediul motoarelor de căutare, „dreptul la uitare” trebuie examinat și din perspectiva dreptului persoanei vizate de a solicita ca o anumită informație care o privește să nu mai fie, în stadiul actual, asociată cu numele său prin intermediul unei liste de rezultate afișate în urma unei căutări efectuate plecând de la numele său, dreptul la ștergerea datelor nefiind condiționat în acest caz de constatarea producerii unui prejudiciu.

Pentru a determina dacă într-o situație concretă se impune ștergerea informațiilor ori a link-urilor la solicitarea persoanei vizate, trebuie să se examineze o serie de elemente, precum: natura informației în discuție, dacă datele în discuție sunt excesive în raport cu scopurile prelucrării, dacă acestea sunt sau nu actualizate sau dacă au fost păstrate pentru o perioadă mai lungă decât cea necesară (cu excepția cazului în care păstrarea lor se impune în scopuri istorice, statistice sau științifice). Ca regulă, drepturile persoanei vizate într-o atare situație prevalează nu numai asupra interesului economic al operatorului, ci și asupra interesului publicului de a găsi informația respectivă în mod facil, cu ocazia unei căutări referitoare la numele acelei persoane.

Prin excepție, balanța înclină în favoarea libertății de exprimare și a dreptului publicului de a fi informat în situația în care ingerința adusă dreptului la protecția datelor cu caracter personal și dreptului la viață privată este justificată de faptul că informația respectivă contribuie la o dezbatere de interes general ori dacă o asemenea prelucrare este necesară din motive speciale, precum rolul jucat de persoana respectivă în viața publică.

Hotărârea pronunțată de CJUE în data de 24 septembrie 2019 în cauza C-136/17 prezintă o relevanță particulară din perspectiva dreptului de ștergere a datelor, exercitat în contextul prelucrării categoriilor speciale de date cu caracter personal prin intermediul activității desfășurate de motoarele de căutare.

Atât sub imperiul Directivei 95/46, cât și sub imperiul Regulamentului general privind protecția datelor, prelucrarea categoriilor speciale de date este, de principiu, interzisă. Astfel, statele membre interzic prelucrarea datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice, apartenența sindicală, precum și prelucrarea datelor privind sănătatea sau viața sexuală. Regulamentul general privind protecția datelor a extins categoriile speciale de date, incluzând în mod expres și datele genetice, datele biometrice pentru identificarea unică a unei persoane (amprenta, scanarea retinei ș.a.) și, respectiv, datele privind orientarea sexuală a unei persoane fizice.

Cu toate acestea,printre altele, interdicția nu este aplicabilă dacă:

  • persoana fizică și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal, pentru unul sau mai multe scopuri specifice;
  • prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale;
  • prelucrarea se referă la date făcute publice în mod manifest chiar de către persoanele vizate;
  • prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță;
  • prelucrarea este necesară din motive de interes public major ori de interes public în domeniul sănătății publice, cu respectarea principiului proporționalității;
  • prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală ș.a. (caz în care prelucrarea trebuie să fie efectuată de un profesionist supus obligației păstrării secretului profesional);
  • prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare istorică ori în scopuri statistice, cu respectarea principiului proporționalității și alte cazuri expres prevăzute.

Prin hotărârea pronunțată, CJUE a statuat în mod expres faptul că interdicția sau restricțiile referitoare la prelucrarea categoriilor speciale de date cu caracter personal se aplică și operatorului unui motor de căutare în cadrul responsabilităților, al competențelor și al posibilităților sale, sub rezerva anumitor excepții și derogări. Operatorul motorului de căutare poate refuza să admită o cerere de dezindexare a link-urilor afișate în lista rezultatelor, în ipotezele de excepție enumerate mai sus (cu titlu exemplificativ) în care nu este aplicabilă interdicția de a prelucra categoriile speciale de date (ținând seama de acele situații derogatorii compatibile cu natura activității motoarelor de căutare).

Astfel, operatorul unui motor de căutare este, în principiu, obligat, să admită cererile de dezindexare referitoare la link-uri care conduc spre pagini web pe care sunt publicate categorii speciale de date cu caracter personal (respectiv date privind sănătatea, date privind opiniile politice, confesiunea religioasă, orientarea sexuală ș.a.).

Așa cum subliniază și CJUE, în practică este dificil de conceput că operatorul unui motor de căutare ar solicita consimțământul explicit al persoanelor vizate înainte de a proceda la operațiunile de indexare. De aceea, se admite că simplul fapt că o persoană formulează o cerere de dezindexare semnifică în principiu, cel puțin prin raportare la data cererii, că aceasta nu își mai dă consimțământul pentru prelucrarea efectuată de operatorul motorului de căutare și, prin urmare, acesta nu mai reprezintă temei pentru prelucrarea în continuare a datelor cu caracter personal.

În concluzie, atunci când operatorul unui motor de căutare este sesizat cu o cerere de dezindexare privind un link către o pagină web pe care sunt publicate categorii speciale de date, acest operator trebuie să verifice, pe baza tuturor elementelor de fapt relevante și ținând seama de gravitatea ingerinței în drepturile fundamentale ale persoanei vizate la respectarea vieții private și la protecția datelor cu caracter personal, dacă includerea acestui link în lista de rezultate, care se afișează în urma unei căutări efectuate plecând de la numele acestei persoane, se dovedește strict necesară pentru protecția libertății de informare a utilizatorilor de internet potențial interesați să aibă acces la această pagină web prin intermediul unei asemenea căutări.

Mai trebuie însă menționat că este posibil ca o cerere de dezindexare să fie admisă în raport cu operatorul unui motor de căutare, dar să fie respinsă în raport cu editorul paginii web afișate, în cazul în care în privința acestuia din urmă sunt incidente exonerările privind prelucrările de date efectuate numai în scopuri jurnalistice, în considerarea libertății de exprimare și a dreptului publicului de a fi informat. Prelucrarea datelor cu caracter personal efectuată în cadrul activității unui motor de căutare este diferită și se adaugă la cea efectuată de editorii de website-uri.

Cu toate acestea, atunci când prelucrarea se referă la date care au fost făcute publice în mod manifest de către persoana vizată, operatorul motorului de căutare are posibilitatea de a refuza admiterea cererii de dezindexare, cu condiția ca prelucrarea să fie legală sub toate celelalte aspecte, iar persoana vizată să nu se poată opune acestei prelucrări din considerente întemeiate și legitime legate de situația sa particulară. Această împrejurare se aplică în egală măsură operatorului motorului de căutare și editorului paginii web în discuție.

Nu în ultimul rând, trebuie menționat faptul că operatorul unui motor de căutare nu răspunde pentru simplul fapt că datele cu caracter personal figurează pe o pagină web publicată de un terț, ci strict pentru indexarea acestei pagini și, în plus, doar pe baza unei cereri formulate de persoana vizată.

Astfel cum a subliniat Avocatul General Maciej Szpunar, nu s-ar putea reține în sarcina motoarelor de căutare o obligație de a efectua din proprie inițiativă cercetări care să conducă la identificarea categoriilor speciale de date cu caracter personal disponibile pe internet și care ar putea fi furnizate unei persoane care realizează o căutare plecând de la numele unei persoane; în schimb, responsabilitatea operatorului unui motor de căutare intervine ex post, atunci când este sesizat cu o cerere de dezindexare. Cu alte cuvinte, s-a susținut că Google nu are obligația de a realiza o „cenzură” a internetului, ci trebuie să acționeze în baza unui principiu pe care l-am putea numi „notice, check and takedown”. Rămâne, totuși, o regulă de bună practică ca operatorii să aibă o conduită prudentă și diligentă, în limitele rezonabilului, chiar dacă legea nu instituie o formă de control ex ante în cazul operatorilor motoarelor de căutare.

Un articol semnat de Irina Andreea Micu și Yolanda Beșleagă, STOICA & ASOCIAȚII

ARHIVĂ COMENTARII