Prin recenta hotărâre a Curţii de Justiţie a Uniunii Europene (CJUE) în cauza C-131/12 (Google Spania SL., Google Inc. V. Agencia Española de Protección de Datos şi Mario Costeja Gonzalez), CJUE a păşit într-un teritoriu încă necartografiat al protecţiei datelor cu caracter personal – problema aplicării reglementărilor europene în materie pentru firmele din afara Europei care îşi desfăşoară activitatea pe Internet. Mai mult, este prima dată când o autoritate europeană afirmă, printr-un act oficial, dreptul de a fi “şterşi” de pe Internet.
Pe scurt, un cetăţean spaniol a depus o plângere la autoritatea spaniolă de protecţiei a datelor (AEPD) împotriva unui cotidian spaniol şi a Google Inc. (Google) şi Google Spania (filială a Google, care se ocupă de promovarea spaţiilor publicitare afişate de către motorul de căutare Google Search), cerând ştergerea unor link-urile către pagini ale cotidianului spaniel datate 1998, care se refereau la executarea silită a unei proprietăţi a reclamantului. Reclamantul a considerat că păstrarea informaţiilor conţinute în acele link-uri era lipsită de relevanţă în prezent, afectându-i imaginea. AEPD a respins plângerea în ceea ce priveşte cotidianul, care avea obligaţia legală de a publica acel anunţ de executare silită, dar a admis capătul de cerere privind Google Spania şi Google. Acestea au apelat decizia AEPD în faţa Curţii Supreme Spaniole, iar aceasta a sesizat CJUE cu o cerere preliminară de interpretare a unor dispoziţii din Directiva 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date (Directiva 95).
Google este un operator care prelucrează date cu caracter personal
“Prelucrare” a datelor cu caracter personal, în contextul Directivei 95, se referă la orice operaţiune efectuată asupra datelor cu caracter personal, prin mijloace automate sau ne-automate. Astfel, încărcarea unor date cu caracter personal pe o pagină de Internet ar presupune o astfel de “prelucrare”, chiar dacă Google Search nu face distincţie între datele cu caracter personal şi alte tipuri de date şi chiar dacă prin algoritmul de căutare folosit nu este alterată forma sub care datele sunt publicate pe pagina de Internet de unde provin. În plus, Google stabileşte întinderea prelucrării şi mijloacele prin care prelucrează datele cu caracter personal, deci este un operator de date cu caracter personal.
Google intră sub incidenţa prevederilor Directivei 95, din punct de vedere teritorial
Argumentul Google că activitatea Google Spania nu are o legătură directă cu Google Search, Google fiind entitatea care operează singură motorul de căutare, a fost respins de CJUE. Instanţa a indicat că prelucrarea datelor cu caracter personal trebuie să fie efectuată “în cadrul activităţilor” sediului aflat pe teritoriul Statului Membru UE şi nu în mod direct de “însuşi” sediul în cauză. Activitatea Google Spania, de promovare şi vânzare a spaţiului publicitar oferit de Google Search, serveşte în mod direct la rentabilizarea serviciului oferit de Google Search. De notat faptul că CJUE nu a răspuns şi la întrebarea dacă utilizarea unor protocoale pentru a indexa informaţiile de pe paginile web aflate pe serverele unui Stat Membru este o “recurgere la mijloace situate pe teritoriul acelui Stat Membru.”, în sensul Directivei 95.
Google poate primi o cerere de opoziţie la prelucrarea datelor cu caracter personal
O prelucrare a datelor cu caracter personal de tipul celei realizate de Google Search poate duce la afectarea prestigiului persoanei vizate: căutând numele unei persoane fizice, orice utilizator îşi poate creiona un profil al persoanei vizate, care ar fi greu de compilat în lipsa motorului de căutare.
Aici apare cel mai important aspect al hotărârii, cu impact asupra tuturor companiilor active pe Internet, care prelucrează date cu caracter personal acţionând ca intermediari. Interesul personal al fiecărui individ în acest context primează nu doar în faţa interesului economic al Google, ci şi în faţa interesului public de a avea acces la anumite informaţii. Chiar dacă trebuie găsit, de la caz la caz, un echilibru între cele trei interese, singurul criteriu oferit de CJUE pentru o atare analiză este rolul jucat de persoana vizată în viaţa publică – în mod normal, suntem interesaţi într-o măsură mai mare de viaţa persoanelor publice.
În plus, nu trebuie dovedit vreun prejudiciu ca urmare a afişării în rezultate pentru a exercita dreptul de opoziţie de prelucrare. Nu trebuie să uităm că interesele din spatele acestei hotărări se leagă de creşterea controlului individual asupra datelor cu caracter personal care ne privesc, însă rămâne deschisă calea unei proceduri civile judiciare pentru despăgubiri chiar şi după ce operatorul motorului dă curs cererii de scoatere a datelor cu caracter personal. În acest caz, dovedirea prejudiciului este necesară şi atunci instanţele vor fi chemate să aprecieze atât paguba efectivă, cât şi beneficiul nerealizat, după nişte criterii neclare la acest moment.
Care sunt efectele hotărârii în România şi pentru activităţile din Uniunea Europeană?
Hotărârea CJUE anticipează o reglementare a “dreptului de a fi uitat”, care este parte din viitorul Regulament de protecţie a datelor cu caracter personal, adoptat în martie 2014 de către Parlamentul European.
Google a anunţat că, în decurs de câteva ore de la publicarea hotărârii CJUE, a primit zeci de cereri de eliminare a link-urilor din căutările efectuate de Google Search, iar la sfârşitul lunii mai 2014 a anunţat implementarea unui formular de notificare a solicitărilor de ştergere a link-urilor, care poate fi completat de persoanele interesate.
De asemenea, obstacolul cel mai mare de înfruntat pentru Google şi alte motoare de căutare este colaborarea cu fiecare autoritate naţională de supraveghere a datelor cu caracter personal din cele 28 de State Membre pentru a putea alinia soluţionarea solicitărilor la legislaţiile naţionale. În România, Legea 677/2001 prevede dreptul persoanelor fizice de a se opune prelucrarii acestor date, prin înaintarea către operatorul de date cu caracter personal a unei cereri scrise, datate şi semnate. Operatorul trebuie să răspundă în termen de 15 zile, indicând măsurile luate în temeiul cererii de opoziţie. În măsura în care operatorul nu răspunde la solicitare sau răspunsul acestuia nu este cel dorit de către persoana fizică, aceasta poate înainta o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care are, printre altele, şi posibilitatea de a se adresa instanţelor judecătoreşti pentru apărarea oricăror date cu caracter personal garantate de Legea 677/2001. Până acum, ANSPDCP nu deţine informaţii privind numărul de cereri de ştergere a datelor transmise către Google din România şi nici nu a fost contactată de Google pentru ajutor în gestionarea acestor cereri şi implementarea hotărârii CJUE la nivel naţional.
Chiar dacă nu aceasta a fost justificarea oficială, primele efecte ale hotărârii CJUE par a fi fost luate de către operatorul portal.just.ro, portalul instanţelor din România, care începând cu 31 mai 2014 a hotărât să nu mai permită indexarea datelor de pe pagina de Internet care se refereau la persoanele implicate în dosare aflate pe rol sau soluţionate de către instanţele române. În acest moment, o persoană care doreşte să afle informaţii despre problemele anterioare ale unui potenţial partener de afaceri ar trebui să acceseze portalul instanţelor. Pe măsură ce impactul hotărârii CJUE se va propaga (şi fără a minimaliza potenţialul unui gigant precum Google de a se adapta din mers), este posibil să asistăm la dezvoltarea unor sisteme alternative de centralizare a datelor sau la crearea unor instrumente de obţinere a acordului pe termen determinat/nedeterminat din partea persoanelor vizate cu privire la prelucrarea datelor prin indexarea în cadrul motoarelor de căutare.
Dar în mod cert acurateţea rezultatelor unei căutări pe Google este, cel puţin pentru moment, pusă sub semnul întrebării. În plus, oare vom avea rezultate diferite în funcţie de locul în care ne aflăm în momentul în care căutăm pe Internet folosind un motor de căutare? Prima autoritate de protecţie a datelor care va oferi primele răspunsuri este cea spaniolă, care este acum nevoită să implementeze concluziile CJUE în hotărârea pe care o va lua în cauza privind Google Spania.
Nu în ultimul rând, hotărârea CJUE ar putea fi extrapolată pentru orice intermediar cu prezenţă în on-line care procesează date cu caracter personal preluate din surse publice. De asemenea, în competiţia acerbă pentru găsirea unui “Silicon Valley” european, este posibil ca investiţiile în companii care operează on-line să fie frânate, având în vedere că orice prezenţă pe teritoriul unui Stat Membru poate pune acea companie în lumina reglementărilor europene privind protecţia datelor cu caracter personal. Astfel, de exemplu, prestatorii de servicii de cloud computing – un tip de serviciu eminamente nelegat de componente hardware - aflaţi în afara Europei, dar care îşi promovează serviciile prin intermediul unor reprezentanţe aflate în unul sau mai multe dintre Statele Membre, ar intra sub incidenţa acestor reglementări; cu cât mai multe prezenţe, cu atât mai multe reguli de implementat.
Tudor Stanciu este avocat asociat la societatea Biriş Goran
