1.

Directiva (UE) 2016/680 ( 2 ), cunoscută mai bine sub denumirea de „Directiva privind asigurarea respectării legii”, prevede norme specifice privind protecția datelor cu caracter personal și libera circulație a acestor date în domeniul cooperării judiciare în materie penală și al cooperării polițienești și reflectă în esență „natura specifică a acestor domenii” ( 3 ). Directiva 2016/680 urmărește două obiective de politică. Pe de o parte, directiva este destinată să contribuie la realizarea unui spațiu de libertate, securitate și justiție (SLSJ) ( 4 ), permițând libera circulație a datelor cu caracter personal între autoritățile competente în scopul aplicării legii ( 5 ). Pe de altă parte, această directivă este destinată să asigure un nivel ridicat de protecție a unor astfel de date. Temeiul său juridic îl constituie articolul 16 alineatul (2) TFUE, care însărcinează legiuitorul Uniunii să stabilească norme privind protecția datelor cu caracter personal.

2.

„Reconcilierea” acestor două obiective de politică urmărite de Directiva 2016/680 rămâne însă o sarcină dificilă ( 6 ). Prezenta cauză oferă Curții posibilitatea de a examina un exemplu concret de găsire a unui echilibru între aplicarea legii și protecția datelor în contextul exercitării de către persoanele vizate a drepturilor lor. Directiva consolidează drepturile persoanelor vizate comparativ cu regimul anterior prevăzut de Decizia‑cadru 2008/977/JAI a Consiliului ( 7 ). Această consolidare se referă mai precis la recunoașterea unui drept de acces direct al persoanei vizate, care este o componentă esențială a dreptului fundamental la protecția datelor. După cum s‑a observat în literatura de specialitate, drepturile persoanelor vizate în domeniul aplicării legii reprezintă „un instrument esențial împotriva asimetriilor privind competența informațională și a operațiunilor ilegale de prelucrare” ( 8 ). Prin urmare, este esențial să se asigure posibilitatea exercitării efective a acestor drepturi.

3.

Articolul 3 din Directiva 2016/680 stabilește următoarele definiții:

„8.   «operator» înseamnă autoritatea competentă care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele de prelucrare sunt stabilite prin dreptul Uniunii sau prin dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul Uniunii sau prin dreptul intern;

[…]

15.   «autoritate de supraveghere» înseamnă o autoritate publică independentă instituită de un stat membru în temeiul articolului 41”.

4.

Capitolul III din Directiva 2016/680 este intitulat „Drepturile persoanei vizate”. În cadrul acestui capitol, articolul 13, intitulat „Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia”, prevede la alineatele (3) și (4):

„(3)   Statele membre pot adopta măsuri legislative de amânare, restricționare sau omitere a furnizării de informații persoanei vizate în conformitate cu alineatul (2) în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într‑o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei fizice, pentru:

(4)   Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența oricăreia dintre literele de la alineatul (3).”

5.

Articolul 14 din Directiva 2016/680, intitulat „Dreptul de acces al persoanei vizate”, prevede [la alineatul (1)]:

„Sub rezerva articolului 15, statele membre garantează dreptul persoanei vizate de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

[…]”

6.

Articolul 15 din Directiva 2016/680, intitulat „Limitarea dreptului de acces”, prevede:

„(1)   Statele membre pot adopta măsuri legislative care limitează, integral sau parțial, dreptul de acces al persoanei vizate în măsura și atât timp cât o astfel de limitare, parțială sau totală, constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama de drepturile fundamentale și de interesele legitime ale respectivei persoane fizice, pentru:

(2)   Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența literelor (a)-(e) de la alineatul (1).

(3)   În cazurile prevăzute la alineatele (1) și (2), statele membre garantează că operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului și la motivele refuzului sau ale limitării. Astfel de informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac jurisdicțională.

(4)   Statele membre garantează că operatorul justifică motivele de fapt și de drept pe care se întemeiază decizia. Aceste informații se pun la dispoziția autorităților de supraveghere.”

7.

Articolul 16 din Directiva 2016/680, intitulat „Dreptul la rectificarea sau la ștergerea datelor cu caracter personal și la restricționarea prelucrării”, prevede la alineatul (4):

„Statele garantează că operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor cu caracter personal sau de restricționare a prelucrării și cu privire la motivele refuzului. Statele membre pot adopta măsuri legislative care restricționează, integral sau parțial, obligația de a furniza astfel de informații în măsura în care o astfel de restricționare a prelucrării constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru:

Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac [jurisdicțională].”

8.

Articolul 17 din Directiva 2016/680, intitulat „Exercitarea drepturilor de către persoana vizată și verificarea de către autoritatea de supraveghere”, prevede:

„(1)   În cazurile menționate la articolul 13 alineatul (3), la articolul 15 alineatul (3) și la articolul 16 alineatul (4), statele membre adoptă măsuri prin care se prevede că drepturile persoanei vizate pot fi de asemenea exercitate prin intermediul autorității de supraveghere competente.

(2)   Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a‑și exercita drepturile prin intermediul autorității de supraveghere în temeiul alineatului (1).

(3)   Atunci când este exercitat dreptul menționat la alineatul (1), autoritatea de supraveghere informează persoana vizată cel puțin că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere. Autoritatea de supraveghere informează de asemenea persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.”

9.

Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Legea privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal) din 30 iulie 2018 (Moniteur belge, 5 septembrie 2018, p. 68616) (denumită în continuare „LPD”) transpune Directiva 2016/680 în dreptul belgian. Capitolul III din titlul 2 din LPD reglementează drepturile persoanei vizate, care constau în esență în dreptul la informare, dreptul de acces la date și dreptul la rectificarea datelor.

10.

Articolul 42 din LPD prevede:

„Cererea de exercitare a drepturilor prevăzute în prezentul capitol în raport cu serviciile de poliție […] sau cu Inspection générale de la police fédérale et de la police locale [(Inspecția Generală a Poliției Federale și a Poliției Locale, Belgia)] este adresată autorității de supraveghere menționate la articolul 71.

În cazurile prevăzute la articolul 37 alineatul 2, la articolul 38 alineatul 2, la articolul 39 alineatul 4 și la articolul 62 alineatul 1, autoritatea de supraveghere menționată la articolul 71 informează persoana vizată doar că au fost realizate verificările necesare.

Fără a aduce atingere dispozițiilor prevăzute la alineatul 2, autoritatea de supraveghere menționată la articolul 71 poate comunica anumite informații contextuale persoanei vizate.

Regele stabilește, în urma avizului autorității de supraveghere menționate la articolul 71, categoria de informații contextuale pe care această autoritate le poate comunica persoanei vizate.”

11.

Instanța de trimitere arată că „informațiile contextuale” pe care Organismul de Supraveghere a Informațiilor Polițienești le poate comunica persoanei vizate nu au fost încă stabilite prin decret regal, astfel cum se prevede la articolul 42 a patra teză din LPD.

12.

Articolul 71 din LPD prevede:

„1.   Se instituie în cadrul Camerei Reprezentanților o autoritate independentă de supraveghere a informațiilor polițienești, denumită Organe de contrôle de l’information policière [(Organismul de Supraveghere a Informațiilor Polițienești, Belgia)].

[…]

[Aceasta este] însărcinată cu: 1. supravegherea aplicării prezentului titlu […]”

13.

Titlul 5 din LPD cuprinde capitolul I, intitulat „Acțiunea în încetare”. Articolul 209 din acest capitol are următorul conținut:

„Fără a aduce atingere oricărei alte căi de atac jurisdicționale, administrative sau extrajudiciare, președintele tribunalului de primă instanță, atunci când se pronunță asupra măsurilor provizorii, constată existența unei prelucrări care constituie o încălcare a actelor cu putere de lege sau a normelor administrative privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și dispune încetarea acesteia.

Președintele tribunalului de primă instanță, statuând asupra măsurilor provizorii, soluționează orice cerere referitoare la dreptul, acordat prin lege sau în temeiul legii, de a obține comunicarea datelor cu caracter personal și orice cerere de rectificare, de ștergere sau de interzicere a utilizării oricăror date cu caracter personal inexacte sau, având în vedere scopul prelucrării, incomplete sau irelevante ori a căror înregistrare, comunicare sau păstrare sunt interzise, la a căror prelucrare persoana vizată s‑a opus sau care au fost păstrate după perioada autorizată.”

14.

Articolul 240 din LPD prevede că Organismul de Supraveghere a Informațiilor Polițienești:

„4 soluționează plângerile, investighează obiectul plângerii în măsura în care este necesar și informează autorul plângerii cu privire la evoluția și la rezultatul investigației într‑un termen rezonabil, în special în cazul în care este necesară o investigație suplimentară sau coordonarea cu o altă autoritate de supraveghere. […]”

15.

În anul 2016, BA a dorit să participe la montarea și demontarea instalațiilor necesare pentru cea de a zecea ediție a „Zilelor europene ale dezvoltării”, care a avut loc la Bruxelles (Belgia). În acest scop, acesta a trebuit să obțină un „certificat de securitate”.

16.

Prin scrisoarea din 22 iunie 2016, Autorité nationale de sécurité (Autoritatea Națională de Securitate, Belgia) a refuzat să elibereze certificatul de securitate necesar. Aceasta a precizat că din informațiile care i‑au fost puse la dispoziție reieșea că persoana interesată era cunoscută pentru participarea sa la 10 demonstrații între anii 2007 și 2016, ceea ce nu permitea eliberarea unui certificat de securitate. BA nu a contestat respectiva decizie a Autorității Naționale de Securitate.

17.

LPD, care instituie Organismul de Supraveghere a Informațiilor Polițienești, a intrat în vigoare la 5 septembrie 2018.

18.

La 4 februarie 2020, avocatul lui BA a solicitat Organismului de Supraveghere a Informațiilor Polițienești să identifice operatorii responsabili de prelucrarea în cauză și să îi oblige să îi asigure lui BA accesul la toate informațiile care îl priveau.

19.

Printr‑un e‑mail din 6 februarie 2020, Organismul de Supraveghere a Informațiilor Polițienești a răspuns precizând că BA avea doar un drept de acces indirect, susținând în același timp că intenționa să verifice datele cu caracter personal referitoare la BA în vederea asigurării legalității oricărei prelucrări a datelor în Banque de données nationale générale (BNG – Baza de date națională generală). Organismul de Supraveghere a Informațiilor Polițienești a precizat că avea competența de a obliga poliția să șteargă sau să modifice datele, dacă era necesar, și că, odată finalizate verificările, BA urma să fie informat că „s‑au efectuat verificările necesare”.

20.

La 22 iunie 2020, Organismul de Supraveghere a Informațiilor Polițienești scria:

„[…] vă informăm, în conformitate cu articolul 42 din [LPD], că Organismul de Supraveghere a realizat verificările necesare.

Aceasta înseamnă că datele cu caracter personal ale clientului dumneavoastră au fost verificate în bazele de date polițienești în vederea garantării legalității unei eventuale prelucrări.

Dacă a fost necesar, datele cu caracter personal au fost modificate sau șterse.

Astfel cum v‑am informat în e‑mailul din 2 iunie, articolul 42 din [LPD] nu permite Organismului de Supraveghere să comunice mai multe informații.”

21.

La 2 septembrie 2020, reclamanții din litigiul principal, și anume BA și Ligue des droits humains, au introdus o acțiune împotriva Organismului de Supraveghere a Informațiilor Polițienești la președintele tribunal de première instance francophone de Bruxelles (Tribunalul de Primă Instanță Francofon din Bruxelles, Belgia) în temeiul articolului 209 a doua teză din LPD. Reclamanții au solicitat ca acțiunea lor împotriva autorității de supraveghere să fie declarată admisibilă. În subsidiar, au solicitat instanței să stabilească dacă articolul 42 din LPD contravine articolului 47 alineatul (4) și articolului 17 alineatul (3) din Directiva 2016/680. În acest sens, BA și Ligue des droits humains au susținut că articolul 42 din LPD nu prevede o cale de atac jurisdicțională împotriva deciziilor adoptate de autoritatea de supraveghere independentă și nici nu obligă această autoritate să informeze persoana vizată în legătură cu dreptul la o cale de atac jurisdicțională.

22.

Pe fond, reclamanții au solicitat accesul la toate datele cu caracter personal care îl priveau pe BA și obligarea Organismului de Supraveghere a Informațiilor Polițienești la identificarea operatorilor și a tuturor persoanelor care ar fi putut intra în posesia unor astfel de date. În subsidiar, au solicitat în esență trimiterea preliminară la Curtea de Justiție a întrebării dacă articolul 42 alineatul 2 din LPD este compatibil cu articolele 14, 15 și 17 din Directiva 2016/680, interpretate în lumina articolelor 8 și 47, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”). În acest sens, ei au imputat faptul că articolul 42 alineatul 2 din LPD prevede o derogare generală și sistemică de la dreptul de acces la datele cu caracter personal.

23.

Prin ordonanța din 17 mai 2021, tribunal de première instance francophone de Bruxelles (Tribunalul de Primă Instanță Francofon din Bruxelles) s‑a declarat necompetent pentru a se pronunța cu privire la acțiunea reclamanților.

24.

Prin cererea din 15 iunie 2021, cour d’appel de Bruxelles (Curtea de Apel din Bruxelles, Belgia) a fost sesizată cu litigiul principal. Apelanții au reiterat în esență criticile pe care le‑au formulat cu privire la articolul 42 alineatul 2 din LPD, precum și cererile pe care le‑au formulat în cadrul litigiului desfășurat în primă instanță.

25.

Organismul de Supraveghere a Informațiilor Polițienești a susținut că apelul trebuie respins.

26.

Instanța de trimitere susține că, în temeiul dreptului belgian, datele prelucrate de serviciile de poliție fac obiectul unui ansamblu de norme speciale. Potrivit articolului 42 din LPD, toate cererile care se întemeiază pe drepturile referitoare la respectivele date cu caracter personal trebuie să fie adresate Organismului de Supraveghere a Informațiilor Polițienești. Acest organism informează persoana vizată doar că „au fost realizate verificările necesare”.

27.

Instanța de trimitere arată că articolul 17 alineatul (3) din Directiva 2016/680 nu a fost transpus în mod corespunzător în dreptul intern. În primul rând, articolul 42 din LPD nu prevede obligația autorității de supraveghere de a informa persoana vizată în legătură cu dreptul la o cale de atac jurisdicțională. În al doilea rând, LPD nu permite exercitarea unei căi de atac jurisdicționale împotriva Organismului de Supraveghere a Informațiilor Polițienești.

28.

În acest sens, instanța de trimitere susține în primul rând că măsura prevăzută la articolul 240 din LPD, care permite persoanei vizate să depună o plângere la autoritatea de supraveghere, trebuie să fie exercitată împotriva operatorului.

29.

În al doilea rând, acțiunea în încetare prevăzută la articolul 209 și următoarele din LPD nu îi asigură lui BA o cale de atac efectivă împotriva Organismului de Supraveghere a Informațiilor Polițienești. În acest sens, instanța de trimitere arată că din aceste dispoziții rezultă în primul rând că acțiunea trebuie introdusă împotriva operatorului. Prin urmare, ea nu poate fi introdusă de BA împotriva Organismului de Supraveghere a Informațiilor Polițienești. În al doilea rând, articolul 42 din LPD nu îi permite lui BA să introducă o astfel de acțiune împotriva operatorului, întrucât exercitarea drepturilor sale este încredințată Organismului de Supraveghere a Informațiilor Polițienești. În al treilea rând, informațiile foarte succinte furnizate de Organismul de Supraveghere a Informațiilor Polițienești în temeiul articolului 42 din LPD nu îi permit nici lui BA, nici vreunei instanțe ca, în cadrul unui control a posteriori, să stabilească dacă Organismul de Supraveghere a Informațiilor Polițienești a exercitat drepturile lui BA în mod corespunzător.

30.

În sfârșit, deși acțiunea în încetare este prevăzută în LPD „fără a aduce atingere oricărei alte căi de atac jurisdicționale, administrative sau extrajudiciare” și fără a limita „competența tribunalului de primă instanță și a președintelui tribunalului de primă instanță, atunci când se pronunță asupra măsurilor provizorii” (articolele 209 și 219 din LPD), orice altă cale de atac pe care BA ar dori să o exercite ar întâmpina, în opinia instanței de trimitere, aceleași obstacole.

31.

În aceste condiții, cour d’appel de Bruxelles (Curtea de Apel din Bruxelles) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

32.

Reclamanții din litigiul principal, guvernul belgian, Republica Cehă, Comisia Europeană și Parlamentul European au depus observații scrise. Curtea a adresat în scris o serie de întrebări guvernului belgian, la care a solicitat răspuns scris. Acest guvern a răspuns la 13 martie 2023. Reclamanții și pârâtul din litigiul principal, guvernul francez, precum și Comisia Europeană și Parlamentul European au participat la ședința care a avut loc la 29 martie 2023.

33.

Întrebările adresate în scopul pronunțării unei decizii preliminare vizează în esență calea de atac jurisdicțională împotriva acțiunii unei autorități de supraveghere, precum și întinderea și caracterul efectiv al acestei căi de atac în situația în care respectiva autoritate exercită drepturile persoanei vizate în numele acesteia, mai precis atunci când drepturile sunt exercitate în mod indirect. Instanța de trimitere nu a pus ca atare în discuție structura regimului belgian al dreptului de acces indirect al persoanelor vizate. Cu toate acestea, dreptul la o cale de atac efectivă este în mod necesar afectat de un regim în care accesul persoanelor vizate este practic imposibil sau excesiv de dificil. Fiind o chestiune preliminară, este, așadar, important să descriem pe scurt structura drepturilor persoanelor vizate în temeiul Directivei 2016/680 înainte de a examina modul în care regimul belgian al dreptului de acces indirect se încadrează în această structură.

34.

Dreptul de acces la datele colectate și dreptul la rectificarea datelor reprezintă o componentă esențială a dreptului la protecția datelor cu caracter personal consacrat la articolul 8 alineatul (2) din cartă. În general, dreptul de acces servește îndeplinirii a două obiective principale, și anume acela „de a spori transparența și de a facilita controlul” ( 9 ). Astfel, după cum s‑a subliniat în literatura de specialitate, acest drept de acces sporește transparența, întrucât asigură „un al doilea nivel, mai aprofundat și mai detaliat de informații pe care persoana vizată le poate obține” ( 10 ). Dreptul de acces facilitează controlul, întrucât reprezintă o condiție care trebuie îndeplinită în prealabil pentru exercitarea altor drepturi, și anume dreptul la rectificarea sau la ștergerea datelor cu caracter personal sau dreptul la o cale de atac jurisdicțională ( 11 ).

35.

Din considerentul (7) al Directivei 2016/680 rezultă că aceasta urmărește atingerea unei protecții efective a datelor cu caracter personal în întreaga Uniune Europeană, ceea ce impune consolidarea drepturilor persoanelor vizate și a obligațiilor celor care prelucrează date cu caracter personal, dar și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele în materie de protecție a datelor cu caracter personal în statele membre. Acesta este un important pas înainte în comparație cu fostul regim prevăzut de Decizia‑cadru 2008/977. Domeniul de aplicare al acestei decizii‑cadru se limita la prelucrarea datelor la nivel transfrontalier. În plus, aceasta reflecta „specificitățile structurii «pilon» a Uniunii anterioare Tratatului de la Lisabona” ( 12 ) și lăsa „statelor membre o amplă marjă de manevră” ( 13 ). Raportat la regimul anterior, capitolul III din Directiva 2016/680 prevede o „nouă arhitectură a drepturilor persoanelor vizate, principiul fiind acela că acestea au dreptul la informare, dreptul de acces, dreptul la rectificarea sau la ștergerea datelor cu caracter personal și la restricționarea prelucrării, cu excepția cazului în care aceste drepturi sunt limitate” ( 14 ).

36.

Mai precis, articolul 13 din Directiva 2016/680 prevede că operatorii trebuie să pună la dispoziția persoanelor vizate anumite informații („dreptul la informare”). Articolul 14 prevede că persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la anumite informații („dreptul de acces”). Articolul 16 prevede că persoana vizată are dreptul de a obține de la operator rectificarea datelor cu caracter personal inexacte care o privesc, precum și dreptul la ștergerea datelor cu caracter personal sau, după caz, dreptul la restricționarea prelucrării („dreptul la rectificarea sau la ștergerea datelor cu caracter personal și la restricționarea prelucrării”). Persoana vizată poate în principiu să își exercite drepturile în mod direct.

37.

Directiva 2016/680 permite statelor membre să adopte măsuri legislative care limitează, integral sau parțial, drepturile persoanelor vizate în condițiile prevăzute la articolul 13 alineatul (3), la articolul 15 și la articolul 16 alineatul (4) din Directiva 2016/680. În esență, astfel de măsuri sunt permise „în măsura în care și atât timp cât” constituie „o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate”, pentru a apăra un anumit scop de interes public, și anume pentru a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice, pentru a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor, pentru a proteja securitatea publică, securitatea națională sau pentru a proteja drepturile și libertățile celorlalți. În temeiul articolului 13 alineatul (4) și al articolului 15 alineatul (2) din Directiva 2016/680, statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența oricăruia dintre scopurile menționate.

38.

În cazul limitării dreptului de acces, în temeiul articolului 15 alineatul (3) din Directiva 2016/680, operatorul trebuie să informeze în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului și la motivele refuzului sau ale limitării. Astfel de informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de interes public prevăzute la articolul 15 alineatul (1) din directiva menționată. Operatorul trebuie să informeze persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac jurisdicțională. În plus, în temeiul articolului 15 alineatul (4) din Directiva 2016/680, atunci când dreptul de acces este limitat sau refuzat, operatorul trebuie să justifice motivele de fapt și de drept pe care se întemeiază decizia și să pună aceste informații la dispoziția autorităților de supraveghere.

39.

Din structura drepturilor persoanei vizate, prevăzute la capitolul III din Directiva 2016/680, rezultă că regula generală este aceea că, în domeniul aplicării legii, persoanele vizate dețin drepturi privind protecția datelor lor și le pot exercita în mod direct. Orice limitare a acestor drepturi reprezintă o excepție. În conformitate cu o jurisprudență constantă, o excepție de la o regulă generală trebuie să facă obiectul unei interpretări stricte ( 15 ). În plus, există limitări la restricțiile referitoare la obligația de a justifica motivele restricțiilor impuse și de a informa în consecință persoana vizată. Astfel de informații pot fi omise doar cu titlu de excepție.

40.

Același raport de legătură între regulă și excepție se aplică și în ceea ce privește posibilitatea acordată statelor membre de a stabili „categoriile de prelucrare” care se pot clasifica, integral sau parțial, drept scopuri de interes public, permițând astfel limitarea exercitării drepturilor persoanelor vizate în temeiul articolului 13 alineatul (3) sau al articolului 15 alineatul (1) din Directiva 2016/680. După cum a subliniat în esență grupul de lucru „Articolul 29” ( 16 ) în avizul său cu privire la Directiva 2016/680, posibilitatea acordată statelor membre de a stabili astfel de categorii de prelucrare nu permite existența unor „limitări automate” ale drepturilor la informare și de acces ale persoanelor vizate ( 17 ). Astfel de limitări automate ar conferi excepției prioritate față de regulă, golind în mare măsură dispozițiile care consacră drepturile persoanei vizate de conținutul lor ( 18 ).

41.

Dreptul persoanei vizate de a contacta în mod direct operatorul pentru a‑și exercita drepturile reprezintă o caracteristică importantă a Directivei 2016/680. Această directivă garantează „în principiu” ( 19 ) exercitarea directă a drepturilor de către persoanele vizate. Persoanele vizate au dreptul de acces direct, cu excepția cazului în care este aplicabilă o limitare. În cazul în care se aplică o limitare, iar dreptul de acces direct nu mai este deci disponibil, persoana vizată își poate exercita drepturile în mod indirect, prin intermediul autorității de supraveghere competente, în temeiul articolului 17 alineatul (1) din Directiva 2016/680.

42.

După cum arată atât guvernul francez, cât și Comisia și astfel cum subliniază și Grupul de lucru „Articolul 29” în avizul cu privire la Directiva 2016/680, exercitarea indirectă a drepturilor prin intermediul autorității competente reprezintă o garanție suplimentară oferită persoanelor vizate în cazul în care sunt aplicabile limitări ( 20 ). Calificarea exercitării indirecte a drepturilor drept garanție suplimentară reprezintă un important pas înainte în raport cu situația anterioară prevăzută în Decizia‑cadru 2008/977 ( 21 ). Astfel, în temeiul acestei ultime decizii‑cadru, dreptul de acces indirect avea aceeași pondere precum dreptul de acces direct ( 22 ). Ar fi contrar întregului obiectiv al armonizării urmărit de Directiva 2016/680 dacă statele membre, în pofida evoluției directivei în ceea ce privește structura drepturilor persoanelor vizate, nu ar considera dispoziția privind accesul indirect drept o garanție suplimentară aflată la dispoziția persoanelor vizate, ci mai degrabă unica garanție de care acestea dispun.

43.

Articolul 17 din Directiva 2016/680 este transpus în dreptul belgian prin articolul 42 din LPD. Prima teză a articolului 42 din LPD prevede că persoanele vizate trebuie să adreseze toate cererile de exercitare a drepturilor lor în raport cu serviciile de poliție Organismului de Supraveghere a Informațiilor Polițienești. A doua teză a articolului 42 din LPD prevede că, în cazul în care operatorul restricționează sau refuză accesul, autoritatea de supraveghere menționată trebuie să informeze persoana vizată doar că au fost realizate verificările necesare.

44.

Considerăm că articolul 42 din LPD stabilește un regim care derogă de la principiul exercitării directe a drepturilor persoanelor vizate cu privire la toate datele prelucrate de serviciile de poliție. Astfel, având în vedere sfera extrem de amplă a datelor cărora li se aplică regimul derogatoriu, acest regim instituie o excepție automată de la dreptul de acces direct. După cum am explicat în observațiile preliminare de mai sus, o astfel de excepție generală și automată de la dreptul de acces direct nu poate fi considerată compatibilă cu Directiva 2016/680 ( 23 ). După cum a afirmat în esență Conseil d’État (Consiliul de Stat, Belgia) în avizul său cu privire la proiectul LPD, trecerea de la posibilitatea de care dispune persoana vizată de a‑și exercita în mod indirect drepturile la permisiunea acordată în schimb legiuitorului de a impune ca astfel de drepturi să fie exercitate în mod indirect este contrară articolului 17 din Directiva 2016/680 ( 24 ).

45.

Înlocuirea dreptului de acces direct cu dreptul de acces indirect în temeiul articolului 42 din LPD este chiar mai problematică atunci când este analizată în lumina competențelor limitate ale Organismului de Supraveghere a Informațiilor Polițienești. Întrebat în ședință cu privire la acest aspect, reprezentantul legal al acestei autorități a confirmat că, în contextul exercitării indirecte a drepturilor persoanei vizate, Organismul de Supraveghere a Informațiilor Polițienești poate doar informa persoana vizată că au fost realizate toate verificările necesare. Cu toate acestea, trebuie să reamintim că regimul accesului indirect reprezintă excepția, ceea ce înseamnă că drepturile persoanelor vizate sunt limitate în conformitate cu condițiile stabilite în Directiva 2016/680. În schimb, în temeiul regimului belgian, persoana vizată este obligată să solicite autorității de supraveghere să îi exercite drepturile în legătură cu datele prelucrate de serviciile de poliție. Persoana vizată nu poate avea acces la datele care o privesc și nu poate obține mai mult decât o confirmare că au fost realizate toate verificările necesare. Legiuitorul național pare să fi stabilit o prezumție implicită, care se abate de la Directiva 2016/680, că drepturile persoanelor vizate – în raport cu toate datele prelucrate de poliție – sunt întotdeauna limitate, iar accesul direct nu este posibil.

46.

În lumina considerentelor de mai sus, considerăm că articolul 42 din LPD instituie un regim de exercitare indirectă a drepturilor, care este incompatibil cu modul de exercitare a drepturilor persoanelor vizate, astfel cum este acesta prevăzut în Directiva 2016/680. Întrebările preliminare vor fi examinate în lumina acestor considerente.

47.

În primul rând, trebuie amintit că, potrivit unei jurisprudențe constante, în cadrul procedurii de cooperare între instanțele naționale și Curte instituite la articolul 267 TFUE, este de competența acesteia să ofere instanței naționale un răspuns util, care să îi permită să soluționeze litigiul cu care este sesizată. Din această perspectivă, Curtea trebuie, dacă este cazul, să reformuleze întrebările care îi sunt adresate. În acest scop, Curtea poate extrage din ansamblul elementelor furnizate de instanța națională și mai ales din motivarea deciziei de trimitere elementele de drept al Uniunii care necesită o interpretare, având în vedere obiectul litigiului principal ( 25 ).

48.

În prezenta cauză, din decizia de trimitere reiese în mod clar că, prin intermediul primei întrebări adresate, instanța de trimitere solicită o interpretare a articolului 17 din Directiva 2016/680. Aceasta urmărește în esență să se stabilească dacă această dispoziție trebuie interpretată, în lumina articolului 47 și a articolului 8 alineatul (3) din cartă, în sensul că impune ca persoana vizată să aibă la dispoziție o cale de atac jurisdicțională împotriva unei autorități de supraveghere independente atunci când își exercită drepturile prin intermediul acesteia din urmă.

49.

Cu titlu preliminar, trebuie subliniat că instanța de trimitere formulează această întrebare deoarece consideră că dreptul belgian nu prevede dreptul de a introduce o cale de atac jurisdicțională împotriva unei autorități de supraveghere atunci când aceasta din urmă exercită în mod indirect drepturile persoanei vizate. În acest sens, instanța de trimitere arată în primul rând că această dispoziție nu a fost transpusă în mod corect în dreptul național, întrucât articolul 42 din LPD nu prevede obligația autorității de supraveghere de a informa persoana vizată în legătură cu dreptul ei la o cale de atac jurisdicțională. În al doilea rând, instanța de trimitere consideră că nicio altă dispoziție din LPD, în special articolul 209 și următoarele și articolul 240 din aceasta, nu permite persoanei vizate să introducă o cale de atac împotriva autorității de supraveghere în cazul exercitării indirecte a drepturilor sale ( 26 ).

50.

Guvernul belgian a susținut în observațiile scrise că, indiferent de modul de interpretare a celei de a doua teze a articolului 209 din LPD, regimul juridic belgian prevede o cale de atac jurisdicțională efectivă în situația din litigiul principal. În acest sens, guvernul amintit susține că nu se aduce atingere competenței generale a instanțelor civile prin căile de atac specifice prevăzute în LPD. Guvernul belgian precizează însă în mod întemeiat că, în conformitate cu o jurisprudență constantă, Curtea este în special abilitată să se pronunțe numai cu privire la interpretarea sau la validitatea unui text al Uniunii, pe baza situației de fapt care îi este prezentată de instanța națională. În schimb, este de competența exclusivă a instanței de trimitere să interpreteze legislația națională ( 27 ).

51.

Pentru a stabili dacă o persoană vizată are dreptul de a introduce o cale de atac jurisdicțională împotriva autorității de supraveghere în cazul exercitării indirecte a drepturilor sale, trebuie reamintit că în capitolul VIII din Directiva 2016/680 sunt stabilite o serie de căi de atac de care dispun persoanele vizate. Acestea au dreptul de a depune o plângere la o autoritate de supraveghere, în temeiul articolului 52 din Directiva 2016/680. Articolul 53 alineatul (1) din Directiva 2016/680 prevede că persoanele vizate trebuie să aibă dreptul de a exercita o cale de atac jurisdicțională efectivă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează. Articolul 53 alineatul (2) prevede că fiecare persoană vizată trebuie să aibă dreptul de a exercita o cale de atac jurisdicțională efectivă în cazul în care autoritatea de supraveghere nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii. În plus, persoanele vizate au dreptul la exercitarea unei căi de atac jurisdicționale efective împotriva unui operator sau a unei persoane împuternicite de operator în cazul în care consideră că le‑au fost încălcate drepturile ca urmare a prelucrării ilegale a datelor lor cu caracter personal. Toate aceste dispoziții prevăd că fiecare dintre aceste căi de atac este disponibilă „fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare”.

52.

În ceea ce privește dreptul la exercitarea unei căi de atac jurisdicționale efective împotriva autorității de supraveghere, în considerentul (86) al Directivei 2016/680 se prevede că acest drept poate fi exercitat împotriva unei „decizii a unei autorități de supraveghere care produce efecte juridice privind persoana respectivă”. În același considerent se stipulează că o astfel de decizie se referă în special la exercitarea competențelor de investigare, corective și de autorizare de către autoritatea de supraveghere sau la refuzul sau respingerea plângerilor, însă că dreptul la o cale de atac jurisdicțională efectivă nu privește „alte măsuri ale autorităților de supraveghere care nu sunt obligatorii din punct de vedere juridic, cum ar fi avizele emise de autoritatea de supraveghere sau consultanța furnizată de aceasta”.

53.

Din articolul 53 alineatul (1) din Directiva 2016/680, interpretat în lumina considerentului (86) al acesteia, rezultă că persoana vizată are dreptul de a exercita o cale de atac împotriva unei decizii sau a unei măsuri a unei autorități de supraveghere care produce efecte juridice obligatorii.

54.

În acest sens, trebuie amintit că dreptul la o protecție jurisdicțională efectivă, consacrat la articolul 47 din cartă, trebuie recunoscut oricărei persoane care se prevalează de drepturi sau de libertăți garantate de dreptul Uniunii împotriva unei decizii care o lezează, de natură să aducă atingere acestor drepturi sau acestor libertăți ( 28 ).

55.

În continuare, trebuie arătat că reprezintă un act care lezează o persoană „actele sau măsurile care produc efecte juridice obligatorii de natură să afecteze direct și imediat interesele reclamantului, modificând în mod distinct situația juridică a acestuia” ( 29 ). În acest sens, este necesar să se examineze substanța acestui act și să se aprecieze efectele sale pe baza unor criterii obiective precum conținutul actului menționat, ținând seama, dacă este cazul, de contextul în care a fost adoptat și de competențele instituției care este autorul acestuia ( 30 ).

56.

În lumina elementelor care dau naștere unui act care lezează o persoană, pentru a stabili dacă o autoritate de supraveghere adoptă o decizie obligatorie din punct de vedere juridic, atunci când exercită în mod indirect drepturile persoanei vizate, în conformitate cu articolul 17 din Directiva 2016/680, este necesar să se examineze conținutul sau substanța actului autorității de supraveghere, ținând seama de contextul în care a fost adoptat actul și de competențele respectivei autorități.

57.

În ceea ce privește în primul rând conținutul actului autorității de supraveghere, trebuie să se precizeze de la bun început faptul că capacitatea unui act de a produce în mod direct efecte asupra situației juridice a unei persoane fizice sau juridice nu poate fi apreciată prin prisma simplului fapt că acest act are forma unui e‑mail (astfel cum a fost cazul în litigiul principal), în măsura în care aceasta ar echivala cu a face să prevaleze forma actului care face obiectul acțiunii asupra esenței înseși a respectivului act ( 31 ).

58.

Articolul 17 alineatul (1) din Directiva 2016/680 prevede că drepturile persoanei vizate pot fi exercitate „prin intermediul” autorității de supraveghere competente. Considerentul (48) al acestei directive prevede că autoritatea de supraveghere acționează „în numele” persoanei vizate. Potrivit articolului 17 alineatul (3) din această directivă, autoritatea de supraveghere trebuie să „informeze” persoana vizată cel puțin că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere.

59.

Organismul de Supraveghere a Informațiilor Polițienești susține că din textul acestor dispoziții rezultă că autoritatea de supraveghere nu face decât să exercite un mandat în numele persoanei vizate și să acționeze ca un „mesager” care doar furnizează informații persoanei vizate. Prin urmare, actul pe care îl adoptă această autoritate nu poate fi considerat ca producând efecte juridice obligatorii asupra persoanei vizate. Guvernul ceh invocă un argument asemănător.

60.

Nu am contrazice faptul că modul de formulare utilizat în legătură cu exercitarea drepturilor persoanei vizate „prin intermediul” autorității de supraveghere sau faptul că autoritatea de supraveghere acționează „în numele” persoanei vizate, interpretate în mod separat, ar putea fi înțelese ca sugerând că autoritatea de supraveghere deține doar un mandat pentru a furniza informații.

61.

Cu toate acestea, considerăm că examinarea contextului în care a fost adoptat actul și a competențelor autorității de supraveghere nu susțin teza unui simplu mandat. În contextul exercitării indirecte a drepturilor persoanei vizate, rolul autorității de supraveghere este mai mult decât să acționeze într‑un mod similar unui „agent” al persoanei vizate, ca un „mesager” sau ca un intermediar. După cum vom demonstra, legiuitorul Uniunii a conferit în schimb autorității de supraveghere un rol principal și activ în verificarea legalității prelucrării datelor, care poate fi realizată doar de o autoritate publică.

62.

Mai precis, astfel cum au susținut Comisia și guvernul belgian, articolul 17 din Directiva 2016/680 trebuie interpretat împreună cu dispozițiile secțiunii 2 din capitolul VI din această directivă, care prevede normele privind abilitările, sarcinile și competențele autorităților de supraveghere independente. Articolul 46 alineatul (1) litera (g) din această directivă prevede că autoritatea de supraveghere trebuie „[să] verific[e] legalitatea prelucrării în conformitate cu articolul 17 și [să] informe[ze] persoana vizată, într‑un termen rezonabil, cu privire la rezultatul verificării în temeiul alineatului (3) al articolului respectiv sau la motivele pentru care nu a avut loc verificarea”.

63.

În răspunsul său la o întrebare scrisă adresată de Curte, guvernul belgian a indicat corect că sarcina specifică de verificare a legalității prelucrării demonstrează că rolul autorității de supraveghere nu se limitează la acțiunea unui simplu „mesager” între persoana vizată și operator. Această autoritate efectuează mai degrabă o evaluare juridică corespunzătoare a legalității prelucrării.

64.

În plus, pentru a‑și îndeplini rolul de realizare a unei verificări independente a legalității prelucrării, fiecărei autorități de supraveghere îi revin anumite competențe de executare, în conformitate cu articolul 47 din Directiva 2016/680. Aceste competențe constau în „competențe de investigare efective” care includ cel puțin „competența de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal care sunt prelucrate”, precum și în competențe „corective” care includ competența de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării. În plus, potrivit articolului 47 alineatul (5), autoritățile de supraveghere au competența de a se implica în proceduri judiciare, în scopul de a asigura respectarea normelor de protecție a datelor adoptate în temeiul Directivei 2016/680. Suntem de acord cu Comisia, care a subliniat în acest sens că autoritatea de supraveghere poate exercita aceste competențe doar în nume propriu, în calitate de autoritate publică, iar nu în calitate de simplu mandatar sau în numele persoanei vizate.

65.

Atunci când autoritatea de supraveghere informează persoana vizată cu privire la rezultatul verificării pe care a efectuat‑o în temeiul articolului 17 alineatul (3) și al articolului 46 alineatul (1) litera (g) din Directiva 2016/680, aceasta a ajuns în mod necesar la sfârșitul unui proces decizional privind legalitatea prelucrării. Poziția juridică a persoanei vizate este, prin urmare, afectată de (i) aspectul dacă autoritatea de supraveghere și‑a îndeplinit în mod corespunzător sarcina care îi revine de „verific[are] [a] legalit[ății] prelucrării în conformitate cu articolul 17”, precum și de (ii) concluzia la care a ajuns această autoritate ca urmare a acestui proces.

66.

Recunoașterea în favoarea autorității de supraveghere a unui rol autonom în temeiul articolului 17 din Directiva 2016/680, în contrast cu cel de simplu intermediar, este confirmată de interpretarea directivei în lumina cartei. Articolul 8 alineatul (3) din cartă încredințează unei autorități independente verificarea respectării normelor privind protecția datelor și îndeosebi a dreptului de acces la date. Rolul autorităților responsabile cu protecția datelor are o semnificație de ordin constituțional ca urmare a faptului că este menționat în cartă. Rolul de monitorizare și de asigurare a aplicării Directivei 2016/680 revine autorității de supraveghere. Interpretarea potrivit căreia această autoritate acționează independent de persoana vizată atunci când exercită în mod indirect drepturile acesteia din urmă susține rolul constituțional al autorității de supraveghere.

67.

În plus, în cazul în care s‑ar accepta că autoritatea de supraveghere acționează într‑un mod similar unui „agent” al persoanei vizate atunci această autoritate ar fi obligată să îi raporteze persoanei vizate în calitatea sa de mandant al autorității. Organismul de Supraveghere a Informațiilor Polițienești susține însă că nu are competența de a‑i furniza alte informații persoanei vizate. Această abordare conduce la situația neobișnuită în care un mandatar ar deține mai multe informații decât mandantul său.

68.

În ședință, guvernul francez a susținut în esență că, spre deosebire de situația în care o autoritate de supraveghere tratează plângeri în temeiul articolului 46 alineatul (1) litera (f) din Directiva 2016/680, această autoritate nu are competențe în raport cu operatorul în temeiul articolului 46 alineatul (1) litera (g). În opinia guvernului francez, din moment ce persoana vizată nu are competențe în raport cu operatorul atunci când își exercită drepturile în mod direct, aceasta nu poate avea astfel de competențe nici atunci când își exercită aceste drepturi în mod indirect, prin intermediul autorității de supraveghere. Guvernul francez a susținut că articolul 47 din Directiva 2016/680 se referă doar la competențele exercitate de autoritatea de supraveghere în nume propriu, nu însă și la competențele exercitate de aceasta în numele persoanei vizate.

69.

Punctul de vedere al guvernului francez se întemeiază în esență pe teza potrivit căreia autoritatea de supraveghere acționează doar ca intermediar al persoanei vizate. Din motivele explicate anterior, nu achiesăm la această interpretare ce reduce atât de mult rolul autorității de supraveghere. Exercitarea indirectă a drepturilor persoanei vizate trebuie să comporte o valoare adăugată, constituind o garanție suplimentară și un mijloc de protecție pentru persoana vizată. Dacă autoritatea ar trebui doar să confirme, în toate situațiile, că au fost efectuate verificările necesare fără să își poată exercita competențele, rolul acesteia în verificarea legalității prelucrării ar avea doar o valoare adăugată limitată.

70.

În acest sens, articolul 17 din Directiva 2016/680 prevede că autoritatea de supraveghere trebuie să informeze persoana vizată „cel puțin” că au fost realizate toate verificările necesare. Aceasta înseamnă că pot exista situații în care autoritatea de supraveghere poate sau trebuie să ofere mai mult decât informații minime. Această interpretare este susținută de articolul 46 alineatul (1) litera (g) din Directiva 2016/680, care atribuie autorității de supraveghere sarcina de a verifica legalitatea prelucrării în conformitate cu articolul 17 din Directiva 2016/680 și de a informa persoana vizată cu privire la rezultatul verificării în temeiul alineatului (3) al acestui articol. „Rezultatul verificării” include, dar nu se limitează întotdeauna la furnizarea unui număr minim de informații.

71.

După cum a subliniat Comisia, articolul 17 din Directiva 2016/680 conferă o marjă de libertate autorității de supraveghere. Acest articol nu conferă statelor membre libertatea de a limita rolul autorității la cel de mesager sau de a elimina în întregime marja de apreciere a unei astfel de autorități stabilind că aceasta trebuie să furnizeze doar un minimum de informații. Astfel, în ipoteza în care un stat membru s‑ar putea abate de la Directiva 2016/680 și ar conferi mai puține competențe autorităților de supraveghere, acest lucru ar submina profund obiectivul de consolidare a drepturilor persoanelor vizate și de armonizare a competențelor de monitorizare și de asigurare a respectării normelor privind protecția datelor în statele membre. Aceasta ar submina în egală măsură obiectivul de sporire a transparenței și a controlului urmărit de această directivă.

72.

În ședință, Organismul de Supraveghere a Informațiilor Polițienești și‑a exprimat îngrijorarea cu privire la recunoașterea unui rol care depășește simpla exercitare a unui mandat în numele persoanei vizate. Acesta a susținut că, în conformitate cu articolul 17 din Directiva 2016/680, autoritatea de supraveghere nu poate decide dacă un act al operatorului este necesar și nu poate pune în balanță interesele existente atunci când comunică informațiile relevante. Autoritatea menționată a susținut că, în cazul în care lucrurile ar sta altfel, ar fi obligată să ia locul operatorului, fapt care ar contraveni independenței sale.

73.

În acest sens, marja de apreciere de care dispune autoritatea de supraveghere în temeiul articolului 17 din Directiva 2016/680 nu trebuie înțeleasă ca o posibilitate de a lua locul operatorului și de a acorda acces automat la informațiile pe care operatorul a refuzat să le comunice. În virtutea independenței sale, autoritatea de supraveghere se angajează într‑un dialog confidențial cu operatorul în scopul de a verifica legalitatea prelucrării. După cum a susținut în esență Comisia, acest dialog se poate deduce din obligația operatorului prevăzută la articolul 15 alineatul (4) din Directiva 2016/680 de a pune la dispoziția autorității de supraveghere motivele de fapt și de drept pe care se întemeiază decizia de limitare a dreptului de acces.

74.

În contextul acestui dialog, în cazul în care autoritatea de supraveghere consideră că limitările drepturilor persoanei vizate nu sunt justificate, aceasta trebuie să îi ofere operatorului oportunitatea de a remedia această situație. Ca urmare a acestui dialog, articolul 17 alineatul (3) conferă autorității de supraveghere o marjă de apreciere în ceea ce privește întinderea informațiilor pe care aceasta le poate comunica persoanei vizate cu privire la rezultatul verificării sale. Stabilirea întinderii informațiilor pe care aceasta le poate comunica trebuie să fie apreciată de la caz la caz, în conformitate cu principiul proporționalității. În plus, autoritatea de supraveghere trebuie să fie în măsură să asigure respectarea normelor Directivei 2016/680 și să își exercite competențele prevăzute la articolul 47 din aceasta. Dispoziția menționată nu prevede nicio limitare referitoare la exercitarea acestor competențe în conformitate cu articolul 17 din această directivă. Dimpotrivă, competențele efective ale autorității de supraveghere reprezintă o contrapondere necesară și puternică în raport cu limitarea dreptului de acces al persoanei vizate.

75.

În sfârșit, Organismul de Supraveghere a Informațiilor Polițienești și guvernul ceh au invocat argumentul referitor la ierarhia căilor de atac jurisdicționale. Aceștia susțin în esență că, în contextul exercitării indirecte a drepturilor prin intermediul autorității de supraveghere, dreptul de a introduce o cale de atac jurisdicțională trebuie să fie exercitat mai degrabă împotriva operatorului, în temeiul articolului 54 din Directiva 2016/680, decât împotriva autorității de supraveghere, cu excepția cazului în care aceasta din urmă nu acționează.

76.

În acest sens, trebuie observat că nu rezultă din nicio dispoziție a Directivei 2016/680 că respectivele căi de atac prevăzute în această directivă se exclud reciproc. În schimb, din modul de redactare a articolelor 52, 53 și 54 din Directiva 2016/680, menționate mai sus ( 32 ), rezultă că aceste dispoziții oferă diferite căi de atac persoanelor care invocă o încălcare a acestei directive, fiind de la sine înțeles că fiecare dintre căile de atac respective trebuie să poată fi exercitată „fără a aduce atingere” celorlalte căi de atac ( 33 ). Trebuie amintit că, în ceea ce privește raportul dintre căile de atac prevăzute în Regulamentul (UE) 2016/679 ( 34 ), Curtea a statuat în Hotărârea Nemzeti că acest regulament „nu prevede o competență prioritară sau exclusivă și nici vreo normă de prioritate a aprecierii efectuate de autoritatea sau de instanța care sunt vizate de acesta cu privire la existența unei încălcări a drepturilor conferite de regulamentul menționat” ( 35 ).

77.

Contrar poziției adoptate de guvernul francez și de Organismul de Supraveghere a Informațiilor Polițienești, considerăm că raționamentul adoptat în Hotărârea Nemzeti se aplică prin analogie și în ceea ce privește căile de atac prevăzute în Directiva 2016/680. În primul rând, căile de atac de care dispune persoana vizată împotriva autorității de supraveghere și a operatorului în temeiul Regulamentului 2016/679 și al Directivei 2016/680 sunt asemănătoare. În al doilea rând, considerentul (7) al Directivei 2016/680 prevede că protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită consolidarea drepturilor persoanelor vizate ( 36 ). Punerea la dispoziție a mai multor căi de atac întărește obiectivul enunțat și în considerentul (85) al Directivei 2016/680, de garantare a dreptului la o cale de atac jurisdicțională efectivă, în conformitate cu articolul 47 din cartă, pentru orice persoană vizată care consideră că i‑au fost încălcate drepturile conferite prin dispozițiile adoptate în conformitate cu această directivă.

78.

Trebuie de asemenea subliniat că o cale de atac exercitată împotriva autorității de supraveghere și una exercitată împotriva operatorului urmăresc obiective diferite. Pe de o parte, după cum a observat în mod întemeiat Comisia, obiectivul unei acțiuni introduse împotriva deciziei operatorului de a limita drepturile persoanei vizate este acela de a supune controlului jurisdicțional corectitudinea aplicării articolului 13 alineatul (3), a articolului 15 alineatul (3) și a articolului 16 alineatul (4) din Directiva 2016/680. Pe de altă parte, obiectivul unei acțiuni introduse împotriva autorității de supraveghere este acela de a supune controlului jurisdicțional corectitudinea aplicării articolului 17 și a articolului 46 alineatul (1) litera (g) din Directiva 2016/680, ceea ce presupune să se examineze dacă respectiva autoritate de supraveghere și‑a îndeplinit în mod corespunzător sarcina de verificare a legalității prelucrării.

79.

Trebuie subliniat și faptul că sistemul de protecție jurisdicțională ar fi incoerent și incomplet dacă persoana vizată ar putea contesta doar inacțiunea autorității de supraveghere, în timp ce acțiunile și modul în care această autoritate și‑a îndeplinit obligațiile ar fi excluse de la controlul jurisdicțional.

80.

În orice caz, în litigiul principal, pare imposibil să se introducă o acțiune împotriva operatorului. Din decizia de trimitere rezultă că persoanele vizate nu pot formula o acțiune împotriva operatorului, dat fiind că exercitarea tuturor drepturilor lor este încredințată Organismului de Supraveghere a Informațiilor Polițienești. În plus, Ligue des droits humains a susținut că, în cadrul regimului belgian al bazelor de date ale poliției, este foarte dificil pentru persoana vizată până și să identifice operatorul. În astfel de împrejurări, persoana vizată riscă să fie privată în totalitate de o protecție jurisdicțională efectivă, din moment ce nu știe cine este operatorul și, chiar dacă acesta ar fi cunoscut, ea nu are dreptul să se adreseze operatorului în mod direct. În plus, persoana vizată nu poate contesta acțiunea Organismului de Supraveghere a Informațiilor Polițienești. Considerăm că persoana vizată se confruntă cu un regim în care „toate ușile îi sunt închise”, ceea ce este contrar Directivei 2016/680.

81.

Având în vedere considerentele expuse de mai sus, considerăm că articolul 17 din Directiva 2016/680 coroborat cu articolul 46 alineatul (1) litera (g) din această directivă și raportat la articolul 47 și la articolul 8 alineatul (3) din cartă trebuie interpretat în sensul că impune ca persoana vizată să dispună de o cale de atac jurisdicțională împotriva unei autorități de supraveghere independente atunci când persoana vizată își exercită drepturile prin intermediul acestei autorități, în măsura în care respectiva cale de atac vizează îndeplinirea de către autoritatea de supraveghere a sarcinii de verificare a legalității prelucrării.

82.

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 17 din Directiva 2016/680 este compatibil cu articolul 8 alineatul (3) și cu articolul 47 din cartă, în măsura în care acesta obligă autoritatea de supraveghere să informeze persoana vizată doar (i) „că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere” și (ii) „în legătură cu dreptul acesteia de a introduce o cale de atac”, în condițiile în care astfel de informații nu permit niciun control a posteriori al acțiunii întreprinse și al aprecierii efectuate de autoritatea de supraveghere referitor la persoana vizată, în lumina obligațiilor care îi revin operatorului.

83.

Cu titlu introductiv, trebuie amintit că, potrivit unui principiu general de interpretare, un act al Uniunii trebuie interpretat, în măsura posibilului, astfel încât să nu repună în discuție validitatea acestuia și în conformitate cu dreptul primar în ansamblul său și în special cu prevederile cartei. Astfel, atunci când un text de drept derivat al Uniunii poate primi mai multe interpretări, trebuie să prevaleze acea interpretare care determină conformitatea dispoziției cu dreptul primar, mai degrabă decât cea care conduce la constatarea incompatibilității sale cu acesta ( 37 ).

84.

Astfel cum s‑a explicat în observațiile introductive și în analiza primei întrebări, articolul 17 din Directiva 2016/680 prevede că exercitarea indirectă a drepturilor persoanei vizate este posibilă prin intermediul autorității de supraveghere competente atunci când drepturile persoanei vizate sunt limitate, în conformitate cu articolul 13 alineatul (3), cu articolul 15 alineatul (3) și cu articolul 16 alineatul (4) din Directiva 2016/680. Limitările drepturilor persoanei vizate sunt permise doar în măsura în care ele constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru a proteja un anumit scop de interes public prevăzut de dispozițiile menționate.

85.

Întrebarea care se ridică este în ce măsură conținutul informațiilor furnizate de autoritatea de supraveghere care exercită în mod indirect drepturile persoanei vizate îi permite acesteia din urmă să își exercite dreptul la o cale de atac jurisdicțională efectivă în temeiul primului paragraf al articolului 47 din cartă.

86.

În acest sens, s‑a reamintit deja în cadrul analizei primei întrebări că dreptul la o cale de atac jurisdicțională efectivă, consacrat la articolul 47 din cartă, trebuie recunoscut oricărei persoane care se prevalează de drepturile sau libertățile garantate de dreptul Uniunii împotriva unei decizii care o lezează, de natură să aducă atingere acestor drepturi sau libertăți ( 38 ).

87.

Cu toate acestea, trebuie avut în vedere faptul că dreptul la o protecție jurisdicțională efectivă nu constituie o prerogativă absolută și că, în conformitate cu articolul 52 alineatul (1) din cartă, pot fi impuse restrângeri cu condiția (i) să fie prevăzute de lege, (ii) să respecte substanța drepturilor și libertăților în cauză și (iii) prin respectarea principiului proporționalității, ele să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți ( 39 ).

88.

În contextul exercitării indirecte a drepturilor prin intermediul autorității de supraveghere, trebuie subliniat că posibilitatea exercitării indirecte este determinată de limitarea drepturilor persoanei vizate. Autoritatea de supraveghere are sarcina de a acționa în situația în care, prin excepție, un drept este limitat, inclusiv în cazul în care, în funcție de circumstanțe, informațiile referitoare la motivele respectivei limitări sunt omise de operator ( 40 ). După cum s‑a demonstrat pe larg în cadrul analizei primei întrebări, rolul autorității de supraveghere, atunci când îndeplinește această sarcină, nu este acela de a acționa ca un simplu „mesager”, ci mai degrabă acela de a asigura legalitatea prelucrării.

89.

Întinderea informațiilor pe care autoritatea de supraveghere le poate comunica persoanei vizate depinde în mod necesar de motivele care au determinat limitarea dreptului de acces. Cu cât sunt mai grave motivele care stau la baza limitării și, eventual, a omiterii informațiilor, cu atât mai puține informații va putea să furnizeze autoritatea de supraveghere. Spre deosebire de prezumția care stă la baza modului de formulare a întrebării preliminare, din articolul 17 alineatul (3) din Directiva 2016/680 nu rezultă că autoritatea de supraveghere poate „doar” confirma, în toate situațiile, că au fost realizate toate verificările necesare. În schimb, în temeiul acestei dispoziții, autoritatea de supraveghere informează „cel puțin” că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere.

90.

Rezultă că informațiile care trebuie furnizate de autoritatea de supraveghere nu pot fi prestabilite. Cu alte cuvinte, conținutul minim prevăzut la articolul 17 alineatul (3) nu este singurul conținut posibil. După cum a subliniat Comisia, nivelul de informații trebuie să fie stabilit de la caz la caz și poate varia în funcție de circumstanțe și de evaluarea comparativă a intereselor aflate în joc, în lumina principiului proporționalității. Pentru a da un exemplu, după cum s‑a observat în mod întemeiat în literatura de specialitate ( 41 ), nu ar constitui o problemă ca autoritatea de supraveghere să indice persoanei vizate că, din cauza unei greșeli de ortografie, numele respectivei persoane vizate a fost găsit într‑o bază de date a poliției.

91.

Trebuie observat că Propunerea Comisiei de directivă privind asigurarea respectării legii prevedea că autoritățile de supraveghere erau obligate să comunice persoanei vizate un număr minim de informații, dar și să o informeze „în legătură cu rezultatul în ceea ce privește legalitatea prelucrării în cauză” ( 42 ). Acest ultim aspect al informării – și anume rezultatul în ceea ce privește legalitatea prelucrării – nu a fost inclus în articolul 17 din Directiva 2016/680. Totuși, acest lucru nu înseamnă că pot fi tolerate eventuale încălcări ale normelor de protecție a datelor. În analiza cu privire la prima întrebare, am subliniat că autoritatea de supraveghere se angajează într‑un dialog confidențial cu operatorul. În cazul în care autoritatea de supraveghere consideră că prelucrarea este ilegală, aceasta oferă operatorului oportunitatea de a remedia situația. Dacă însă situația nu este remediată, în temeiul articolului 47 din Directiva 2016/680, autoritatea de supraveghere are competențe de aplicare ce trebuie exercitate. Într‑o astfel de situație, în opinia noastră, nu este suficient ca autoritatea de supraveghere să raporteze parlamentului național, astfel cum a sugerat în ședință Organismul de Supraveghere a Informațiilor Polițienești. Aceasta trebuie să își exercite competența de a aduce în atenția autorităților judiciare cazurile de încălcare a dispozițiilor privind protecția datelor și, dacă este cazul, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în conformitate cu articolul 47 alineatul (5) din Directiva 2016/680.

92.

Interpretarea potrivit căreia autoritatea de supraveghere dispune de o marjă de apreciere atunci când exercită în mod indirect drepturile persoanei vizate este confirmată și de importanța constituțională a rolului autorităților de supraveghere independente consacrat la articolul 8 alineatul (3) din cartă.

93.

Cu toate acestea, pot exista situații în care autoritatea de supraveghere consideră că nu poate comunica decât un număr minim de informații, și anume că au fost realizate toate verificările necesare. În astfel de situații, exercitarea controlului jurisdicțional ar fi imposibilă, cu excepția cazului în care instanța sesizată cu controlul deciziei autorității de supraveghere poate examina toate motivele pe care se întemeiază respectiva decizie, precum și decizia operatorului de a limita accesul.

94.

În acest sens, trebuie subliniat în primul rând că articolul 15 alineatul (4) din Directiva 2016/680 prevede că operatorul trebuie să își întemeieze motivele de fapt și de drept care stau la baza deciziei de limitare a dreptului de acces și trebuie să pună aceste informații la dispoziția autorităților de supraveghere. Așa cum a subliniat Parlamentul European, este necesar să se accepte că, dacă aceste informații sunt puse la dispoziția autorității de supraveghere, acestea ar trebui puse și la dispoziția autorității judiciare atunci când persoana vizată își exercită dreptul de a introduce o cale de atac împotriva deciziei operatorului și/sau împotriva deciziei autorității de supraveghere.

95.

În al doilea rând, în cazurile excepționale în care operatorul nu furnizează informații în legătură cu motivele refuzului sau ale limitării drepturilor persoanei vizate, iar autoritatea de supraveghere furnizează doar un număr minim de informații, și anume că au fost realizate toate verificările necesare, instanța competentă a statului membru în cauză trebuie să aibă la dispoziție și să pună în aplicare tehnici și norme procedurale care să permită concilierea, pe de o parte, a considerațiilor legitime care țin de siguranța statului și de interesul public referitoare la natura și la sursele informațiilor care au fost luate în considerare pentru adoptarea unei astfel de decizii și, pe de altă parte, a necesității de a garanta justițiabilului în suficientă măsură respectarea drepturilor sale procedurale, precum dreptul de a fi ascultat, precum și principiul contradictorialității ( 43 ).

96.

În acest scop, în conformitate cu raționamentul din jurisprudența ulterioară pronunțării Hotărârii din 4 iunie 2013, ZZ (C‑300/11, EU:C:2013:363), statele membre sunt obligate să prevadă, pe de o parte, un control jurisdicțional efectiv atât al existenței, cât și al temeiniciei motivelor invocate de autoritatea națională, precum și, pe de altă parte, tehnici și norme referitoare la acest control, astfel cum sunt menționate la punctul anterior din prezentele concluzii ( 44 ).

97.

În ședință, guvernul francez a susținut că situația de fapt care a stat la baza Hotărârii ZZ era diferită de cea din litigiul principal, întrucât Hotărârea ZZ se referea la controlul jurisdicțional al unei decizii de refuz al admiterii unui cetățean al Uniunii Europene într‑un stat membru din motive de siguranță publică. În acest sens, trebuie subliniat că raționamentul utilizat de Curte în jurisprudența ulterioară Hotărârii ZZ, care se întemeiază pe Hotărârea Kadi ( 45 ), are la bază obligația de a găsi un echilibru adecvat între cerințele care decurg din siguranța statului și cerințele dreptului la o protecție jurisdicțională efectivă. Întrebat fiind în ședință, reprezentantul legal al guvernului francez a admis că din această jurisprudență rezultă în esență că secretizarea nu își găsește aplicabilitate în instanță. Prin urmare, considerăm că această jurisprudență trebuie să se aplice prin analogie și în contextul Directivei 2016/680 atunci când autoritățile competente consideră că anumite motive de securitate națională sau orice alt motiv de interes public de natură să justifice o limitare a drepturilor persoanelor vizate împiedică comunicarea precisă și completă a motivelor pe care se întemeiază o astfel de decizie de aplicare a unei limitări.

98.

Din cele prezentate mai sus rezultă că articolul 17 din Directiva 2016/680 este compatibil cu articolul 8 alineatul (3) și cu articolul 47 din cartă, în măsura în care (i) autoritatea de supraveghere poate, în funcție de circumstanțe, să ofere și alte informații, nu doar că au fost realizate toate verificările necesare și (ii) persoana vizată dispune de o cale de atac jurisdicțională împotriva acțiunii întreprinse de autoritatea de supraveghere și împotriva aprecierii efectuate de aceasta care privesc persoana vizată, date fiind obligațiile care îi revin operatorului.

99.

Având în vedere cele de mai sus, validitatea articolului 17 din Directiva 2016/680 nu este pusă la îndoială.

100.

Având în vedere cele de mai sus, propunem Curții să răspundă cour d’appel de Bruxelles (Curtea de Apel din Bruxelles, Belgia) după cum urmează: