Noi nu putem să ștergem date/informații din propriul creier. Nici nu le putem uita. Nu avem această „putere„ deși uităm și presupunem deci că „s-au șters„,. Dar acest proces nu se află sub controlul nostru. Tehnologia nu funcționează în același mod precum creierul nostru, chiar dacă asta se dorește. Sau poate încă nu funcționează….

Unul din drepturile care mi se pare că pune probleme (de înțelegere dar și de aplicare practică) este „Dreptul la ștergerea datelor („dreptul de a fi uitat”)„ – Art. 17 GDPR.

În primul rînd, din pespectivă tehnică, consider total nefericită asocierea „ștergere„date„ – „uitare„. Așa cum am scris mai sus, sînt lucruri diferite și nu sinonime. Nici măcar complementare.

Pentru a ne fi șterse datele de către un operator/persoană împuternicită, trebuie îndeplinite cîteva condiții:

• datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate
• persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea și nu există niciun alt temei juridic pentru prelucrarea
• persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea
• datele cu caracter personal au fost prelucrate ilegal;
• datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;

Din această enumerare eu înțeleg care sînt situațiile în care îmi pot exercita acest drept.

GDPR stabilește însă și situațiile în care datele personale NU POT fi șterse:

• pentru exercitarea dreptului la liberă exprimare și la informare
• pentru respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul
• din motive de interes public în domeniul sănătății publice
• în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice
• pentru constatarea, exercitarea sau apărarea unui drept în instanță

Recitalul 66 precizează:

Pentru a se consolida „dreptul de a fi uitat” în mediul online, dreptul de ștergere ar trebui să fie extins astfel încât un operator care a făcut publice date cu caracter personal ar trebui să aibă obligația de a informa operatorii care prelucrează respectivele date cu caracter personal să șteargă orice linkuri către datele respective sau copii sau reproduceri ale acestora. În acest scop, operatorul în cauză ar trebui să ia măsuri rezonabile, ținând seama de tehnologia disponibilă și de mijloacele aflate la dispoziția lui, inclusiv măsuri tehnice, pentru a informa operatorii care prelucrează datele cu caracter personal în ceea ce privește cererea persoanei vizate.

Publicul larg poate să înțeleagă că, din punct de vedere tehnic, acest lucru înseamnă un click și un delete. Realitatea însă este mult mai complexă și Regulamentul nu oferă nici un indiciu cu privire la modul în care datele personale ar trebui sau pot fi șterse: trebuie șterse dintr-un fișier? Trebuie șterse dintr-o tabelă a unei baze de date? Trebuie distrus suportul de memorare pe care rezidă?

Singurele informații publice pe acest subiect sînt cazurile celebre în care au fost implicate diferite persoane și Google (Google Spain vs AEPD și  Mario Costeja Gonzalez, Opinia WP225.). Dar aici, din perspectivă tehnică, subiectul este mai puțin complicat. Și dacă este să ne gîndim puțin, nici măcar în cazurile acestea nu știm dacă Google a șters informația sau pur și simplu „a uitat-o„ de la indexare și a eliminat linkul.

Într-o interpretare ad literam acest drept poate fi înțeles astfel: Sterge-mi (numele, adresa, CNP, fotografia etc) din sistemul tău! Este posibil acest lucru din punct de vedere tehnic? Da, dar este dificil și necesită cheltuieli substanțiale. Există însă o mulțime de situații particulare în care această cerere nu va putea fi pusă în practică. Cîteva exemple:

• imaginea mea apare într-o poză de grup
• fotografia mea apare pe o broșură
• datele mele au fost salvate pe undeva și suportul de memorare a fost criptat.
• Numele și adresa mea sînt într-un tabel listat, la mijlocul paginii 13.
• Numele apare într-o tabelă (chei primare, triggere, restricții etc..)

În loc de concluzie: cum doar măsurile administrative nu sînt suficiente, nici măsurile tehnice nu sînt suficiente.

Tehnic, în cele mai multe situații (sistemele interne ale organizațiilor), „șterge-mă„ va însemna de fapt „uită-mă„.

Colectarea și prelucrarea datelor personale nu sînt guvernate doar de GDPR!

(Dreptul de a fi uitat. Un caz)