Resposta
O Regulamento Geral sobre a Proteção de Dados (RGPD) dá às pessoas o direito de pedirem que os seus dados sejam apagados e as organizações têm a obrigação de o fazer, exceto nos casos seguintes:
- os dados pessoas que a sua empresa/organização possui são necessários para exercer o direito à liberdade de expressão;
- quando uma obrigação jurídica o obriga a conservar os dados;
- por motivos de interesse público (por exemplo, saúde pública, investigação científica ou histórica).
Se a sua empresa/organização tiver efetuado o tratamento de dados ilicitamente, terá de os apagar. Se se tratar de uma pessoa cujos dados pessoais tenham sido recolhidos quando a pessoa era menor, os mesmos terão de ser apagados.
No que se refere ao direito a ser esquecido em linha, as organizações devem tomar medidas razoáveis (por exemplo, medidas técnicas) para informar outros sítios web de que uma determinada pessoa solicitou o apagamento dos seus dados pessoais.
Os dados também podem ser conservados caso tenham sido submetidos a um processo de anonimização adequado.
Exemplos
Os dados não têm de ser apagados
A sua empresa/organização gere um jornal em linha. Um dos seus jornalistas publica um artigo sobre um político acusado de branqueamento de capitais em bancos offshore. O político pede-lhe que elimine o artigo em questão porque os seus dados pessoais estão a ser objeto de tratamento. Uma vez que está a utilizar os dados pessoais para exercer o direito à liberdade de expressão, em princípio não será obrigado a apagar os dados. No entanto, tal dependerá da legislação nacional em vigor.
Os dados têm de ser apagados
A sua empresa/organização gere uma plataforma de comunicação social. Um menor publica fotografias na plataforma. No entanto, alguns anos mais tarde, decide que as fotos que publicou poderão prejudicar as suas perspetivas de carreira. Uma vez que a pessoa era menor no momento da publicação das fotografias, a sua empresa/organização é obrigada a apagar as fotografias. Além disso, se as fotografias em questão tiverem sido tratadas por outros sítios web, a sua empresa/organização tem de tomar medidas razoáveis para os informar de que foi apresentado um pedido de apagamento das fotografias.
Referências
- Artigo 17.º; considerandos 65 e 66 do RGPD
- Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a aplicação do acórdão do Tribunal de Justiça da União Europeia no processo C-131/12 «Google Spain SL e Google Inc., C-131/12, ECLI:EU:C:2014:3171
1 Ver resumo do acórdão em JO C 212 de 7.7.2014, p. 4.
Examples
Data do not have to be deleted
Your company/organisation runs an online newspaper. One of your journalists publishes a story on how a politician had laundered money in off-shore banks. The politician requests to remove the story because his personal data is being processed. Since the personal data is used to exercise the right of freedom of expression, your company/organisation is, in principle, not obliged to delete such data. However, this will depend on the national legislation in place.
Data have to be deleted
Your company/organisation runs a social media platform. A minor uploads photos; however, some years later he decides that the said photos are potentially harming his career prospects. Since the individual was a minor at the time of uploading, your company/organisation is obliged to delete the said photos. Furthermore, if the photos have been processed on other websites, your company/organisation must take reasonable steps to inform them that a request to delete the photos was filed.
References
- Article 17 and Recitals (65) and (66) of the GDPR
- Article 29 Working Party Guidelines on the implementation of the Judgment of the Court of Justice of 13 May 2014, Google Spain and Google, C-131/12, ECLI:EU:C:2014:317[1]1
1 A summary of the judgment can be found in OJ C 212, 7.7.2014, p. 4.