1.

Un șofer de taxi și‑a oprit vehiculul pe marginea carosabilului în Riga. La momentul la care un troleibuz aparținând Rīgas satiksme (denumită în continuare „intimata”) a trecut prin dreptul taxiului, un pasager care se afla în taxi a deschis brusc ușa. A urmat o coliziune care a condus la avarierea troleibuzului. Rīgas satiksme a solicitat poliției (denumită în continuare „recurenta”) să dezvăluie identitatea pasagerului. Ea intenționa să formuleze o acțiune civilă împotriva acestuia pentru repararea prejudiciului produs prin avarierea troleibuzului. Poliția a comunicat Rīgas satiksme numai numele pasagerului. Aceasta a refuzat să comunice numărul actului de identitate și domiciliul.

2.

În acest context factual, instanța de trimitere solicită să se stabilească dacă articolul 7 litera (f) din Directiva 95/46/CE (denumită în continuare „directiva”) ( 2 ) impune obligația dezvăluirii tuturor datelor cu caracter personal necesare pentru inițierea unei proceduri civile împotriva persoanei suspectate de săvârșirea unei contravenții. De asemenea, se întreabă dacă răspunsul la această întrebare ar fi diferit în cazul în care persoana respectivă ar fi minoră.

3.

Articolul 7 prevede că „[o]rice persoană are dreptul la respectarea vieții private și de familie, a domiciliului și a secretului comunicațiilor”.

4.

În temeiul articolului 8:

5.

Articolul 16 alineatul (1) TFUE prevede că „[o]rice persoană are dreptul la protecția datelor cu caracter personal care o privesc”.

6.

Articolul 2 conține o serie de definiții în sensul directivei.

[…]

[…]”

7.

Articolul 5, cuprins în capitolul II, intitulat „Condițiile generale de legalitate a prelucrării datelor cu caracter personal”, prevede că „[s]tatele membre precizează, în limitele dispozițiilor prezentului capitol, condițiile în care operațiunile de prelucrare a datelor cu caracter personal sunt legale.”

8.

Articolul 6 alineatul (1) prevede că „[s]tatele membre stabilesc că datele cu caracter personal trebuie să fie:

„[…]

[…]”

9.

Articolul 7 prevede că „[s]tatele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

10.

Articolul 8 interzice, în principiu, prelucrarea unor categorii speciale de date, precum datele cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice ori convingerile religioase sau filozofice. Cu toate acestea, respectivul articol conține și o serie de excepții.

11.

În special, interdicția nu se aplică, potrivit articolului 8 alineatul (2) litera (e), în cazul în care „prelucrarea se referă la […] constatarea, exercitarea sau apărarea unui drept în justiție”.

12.

Articolul 8 alineatul (5) prevede că:

„[…] statele membre pot să prevadă ca datele referitoare la sancțiunile administrative sau sentințele civile să fie, de asemenea, prelucrate tot sub controlul autorității publice.”

13.

În conformitate cu articolul 8 alineatul (7), „[s]tatele membre stabilesc condițiile în care poate fi prelucrat un număr de identificare sau orice alt identificator cu aplicabilitate generală care poate face obiectul prelucrării.”

14.

Potrivit articolului 14, „[s]tatele membre acordă persoanei vizate dreptul:

[…]”

15.

Directiva a fost între timp abrogată prin Regulamentul (UE) 2016/679 ( 3 ). Acesta a intrat în vigoare la 24 mai 2016. Cu toate acestea, noul regulament va fi aplicabil doar începând cu 25 mai 2018.

16.

Articolul 7 din Fizisko personu datu aizsardzības likums (Legea privind protecția datelor cu caracter personal) este redactat în termeni similari celor din articolul 7 din directivă. Acesta prevede că prelucrarea datelor cu caracter personal este permisă, cu excepția cazului în care legea prevede altfel, numai dacă este întrunită cel puțin una dintre următoarele cerințe:

17.

În decembrie 2012, a avut loc un accident de circulație în Riga. Un șofer de taxi a oprit vehiculul pe marginea carosabilului. La momentul la care un troleibuz aparținând Rīgas satiksme a trecut prin dreptul taxiului, un pasager care se afla în taxi a deschis portiera, care a atins și a deteriorat caroseria troleibuzului. Ca urmare a accidentului au fost inițiate procedurile administrative și a fost întocmit un proces‑verbal de constatare a unei contravenții.

18.

Inițial, considerând că accidentul menționat trebuie imputat șoferului de taxi, Rīgas satiksme a solicitat despăgubiri societății de asigurări cu care s‑a încheiat asigurarea de răspundere civilă a proprietarului taxiului. Cu toate acestea, societatea de asigurări i‑a comunicat că nu va plăti nicio despăgubire, întrucât accidentul a fost cauzat de pasager, iar nu de șoferul de taxi, Rīgas satiksme putând să se îndrepte împotriva respectivului pasager pe cale civilă.

19.

Rīgas satiksme s‑a adresat Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (Biroul pentru contravenții rutiere din cadrul Direcției de Ordine Publică a Poliției din regiunea Riga) (denumit în continuare „poliția”) pentru a solicita informații despre persoana care a fost sancționată pe cale administrativă pentru accidentul respectiv. Mai exact, aceasta a solicitat comunicarea numelui, a numărului actului de identitate și a domiciliului pasagerului din taxi, precum și a unei copii a documentelor care conțin explicațiile oferite de șoferul de taxi și de pasager cu privire la împrejurările în care a avut loc accidentul. Rīgas satiksme a precizat că informațiile solicitate vor fi folosite exclusiv în vederea formulării unei acțiuni civile împotriva persoanei respective.

20.

Poliția a aprobat doar parțial cererea formulată de Rīgas satiksme. Aceasta a comunicat numai numele pasagerului. A refuzat să comunice numărul actului de identitate și domiciliul persoanei respective. Rīgas satiksme nu a primit nici explicațiile oferite de persoanele implicate în accident.

21.

Poliția a precizat în decizia sa că aceasta a fost întemeiată pe faptul că actele din procedurile administrative de sancționare pot fi transmise doar părților din procedurile respective. Rīgas satiksme nu avea această calitate. În plus, în ceea ce privește numărul actului de identitate și domiciliul, Datu valsts inspekcija (Agenția letonă pentru protecția datelor) interzice furnizarea informațiilor de acest tip referitoare la persoane fizice.

22.

Potrivit articolului 261 din Latvijas Administratīvo pārkāpumu kodekss (Codul leton privind contravențiile), în cadrul procedurilor administrative de sancționare, calitatea de victimă a unei persoane poate fi recunoscută la cererea expresă a acesteia. Rīgas satiksme nu și‑a exercitat dreptul de a solicita recunoașterea calității de victimă în cadrul procedurii administrative în cauză.

23.

Rīgas satiksme a inițiat o acțiune în contencios administrativ împotriva deciziei poliției sub aspectul refuzului acesteia de a dezvălui numărul actului de identitate și domiciliul pasagerului care se afla în taxi.

24.

Prin hotărârea din 16 mai 2014, Administratīvā rajona tiesa (Curtea Administrativă Districtuală) a admis acțiunea formulată de Rīgas satiksme. Aceasta a obligat poliția să furnizeze informațiile menționate în cerere, și anume numărul actului de identitate și domiciliul pasagerului aflat în taxi.

25.

Poliția a atacat această hotărâre cu recurs în fața Augstākā tiesa (Curtea Supremă, Letonia), instanța de trimitere din prezenta cauză. Instanța de trimitere a solicitat mai întâi un aviz din partea Agenției letone pentru protecția datelor. Aceasta din urmă a arătat că, în acest caz concret, datele nu puteau fi furnizate în temeiul articolului 7 punctul 6 din Legea privind protecția datelor cu caracter personal, deoarece Codul privind contravențiile prevede persoanele fizice sau juridice cărora poliția le poate comunica informații cu privire la o cauză. Astfel, datele cu caracter personal care rezultă din procedura administrativă de sancționare pot fi furnizate doar în conformitate cu punctele 3 și 5 ale articolului respectiv. În plus, articolul 7 din lege nu impune, ci doar permite operatorului (în acest caz, poliția) să prelucreze datele.

26.

Agenția letonă pentru protecția datelor a arătat, în plus, că Rīgas satiksm avea la dispoziție alte mijloace prin care să obțină informațiile respective: să adreseze o cerere motivată Iedzīvotāju reģistrs (Registrul civil) sau să formuleze o acțiune în justiție, conform articolelor 98, 99 și 100 din Civilprocesa likums (Codul leton de procedură civilă), în vederea obținerii unor probe. Respectiva instanță putea să dispună ulterior obligarea poliției să furnizeze datele cu caracter personal necesare pentru ca Rīgas satiksme să poată iniția o acțiune civilă împotriva persoanei în cauză.

27.

Instanța de trimitere are îndoieli cu privire la mijloacele alternative pentru obținerea datelor cu caracter personal, la care a făcut referire Agenția letonă pentru protecția datelor. În cazul în care se formulează o cerere la Registrul civil, în care se menționează numai numele pasagerului din taxi, este posibil ca mai multe persoane să aibă acest nume. În acest caz, persoana vizată poate fi individualizată doar cu ajutorul unor informații suplimentare, precum cele solicitate în prezenta cauză (numărul actului de identitate și domiciliul). În plus, Agenția letonă pentru protecția datelor a menționat dispozițiile din Codul de procedură civilă referitoare la obținerea de probe. Conform articolului 128 din Codul de procedură civilă, în cazul formulării unei cereri, trebuie să se indice numele și numărul actului de identitate (dacă este cunoscut) al pârâtului, precum și domiciliul legal și adresa suplimentară menționate în registru sau, în lipsa acestora, domiciliul ales pentru primirea notificărilor. Prin urmare, reclamantul ar trebui să cunoască cel puțin locul de reședință al pârâtului.

28.

Potrivit instanței de trimitere, mijloacele alternative de obținere a datelor cu caracter personal necesare sunt, în consecință, neclare sau ineficiente. Prin urmare, este posibil ca Rīgas satiksme să aibă nevoie, pentru a își putea proteja interesele legitime, să obțină de la poliție datele cu caracter personal solicitate.

29.

Instanța de trimitere manifestă îndoieli și cu privire la interpretarea noțiunii „necesitate”, prevăzută la articolul 7 litera (f) din directivă, și consideră că această interpretare este decisivă pentru soluționarea prezentului litigiu.

30.

În consecință, Augstākās tiesas (Administratīvo lietu departaments) [Curtea Supremă (Secția de Contencios Administrativ), Letonia] a hotărât să suspende judecarea cauzei și să adreseze Curții de Justiție următoarele întrebări preliminare:

„Sintagma «este necesară pentru realizarea interesului legitim urmărit de către […] unul sau mai mulți terți», menționată la articolul 7 litera (f) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, trebuie interpretată în sensul că Poliția Națională trebuie să comunice Rīgas satiksme datele cu caracter personal solicitate de aceasta, care sunt necesare pentru formularea unei acțiuni civile? Prezintă relevanță în ceea ce privește răspunsul la această întrebare faptul că, astfel cum reiese din înscrisurile existente la dosarul cauzei, pasagerul din taxi ale cărui date încearcă să le obțină Rīgas satiksme era minor la momentul accidentului?”

31.

Rīgas satiksme, Comisia, precum și guvernele ceh, spaniol, leton, austriac și portughez au prezentat observații scrise. Comisia și guvernul leton au prezentat observații orale în ședința care a avut loc la 24 noiembrie 2016.

32.

Instanța de trimitere întreabă în esență dacă, în temeiul directivei, există o obligație a operatorului de date de a comunica datele care permit identificarea unei persoane suspectate de săvârșirea unei contravenții astfel încât Rīgas satiksme să poată formula o acțiune civilă.

33.

Răspunsul nostru succint la această întrebare specifică adresată de instanța de trimitere este „nu”. Directiva nu stabilește nicio astfel de obligație. Aceasta prevede doar posibilitatea (în sensul de permisiune sau autorizație) luării unei asemenea măsuri, cu condiția ca un anumit număr de elemente să fie întrunite. Posibilitatea desfășurării unei anumite activități în temeiul legii reprezintă o categorie distinctă de obligația de a desfășura activitatea respectivă.

34.

Cu toate acestea, având în vedere situația de fapt din prezenta cauză, problema nu se oprește aici. Cel puțin în parte, și anume în ceea ce privește informațiile care au fost furnizate efectiv, Curții i se solicită de asemenea să stabilească condițiile privind aplicarea articolului 7 litera (f) din directivă, precum și natura și întinderea datelor cu caracter personal pe care un solicitant le poate obține în temeiul acestei dispoziții.

35.

În consecință, prezentele concluzii sunt structurate după cum urmează: în primul rând, vom exprima motivele pentru care, în opinia noastră, din directivă nu rezultă nicio obligație a entității care deține informațiile de a le comunica (secțiunea A). În al doilea rând, pentru a oferi instanței de trimitere un răspuns util și complet în prezenta cauză, vom enunța condițiile privind aplicarea articolului 7 litera (f) din directivă și întinderea datelor cu caracter personal care pot fi divulgate în cazul în care condițiile sunt îndeplinite (secțiunea B).

36.

Instanța de trimitere solicită să se stabilească dacă, în temeiul articolului 7 litera (f) din directivă, datele cu caracter personal trebuie comunicate în scopul inițierii unei acțiuni civile. Cu alte cuvinte, instanța de trimitere urmărește să afle dacă directiva însăși impune o obligație de a dezvălui respectivele date cu caracter personal.

37.

În opinia noastră, o astfel de obligație nu poate fi dedusă din directivă. Acest lucru rezultă fără echivoc atât din textul și din economia directivei, cât și din însuși scopul acesteia.

38.

Dacă examinăm mai întâi economia și logica directivei, regula generală care stă la baza directivei respective este că datele cu caracter personal ar trebui, în general, să nu fie prelucrate, astfel încât să se asigure un nivel ridicat de protecție a dreptului la viață privată ( 4 ). Prelucrarea datelor cu caracter personal trebuie să rămână, prin natura sa, mai degrabă excepțională.

39.

Articolul 7 se încadrează în această economie. Articolul respectiv stabilește o listă de excepții de la regula generală, potrivit cărora prelucrarea este legitimă în anumite condiții stabilite în mod strict. Prin urmare, categoriile prevăzute la articolul 7 reprezintă excepțiile de la regula generală.

40.

În acest context, textul prevăzut la articolul 7 confirmă în mod clar că toate categoriile enumerate trebuie să fie tratate ca o simplă opțiune sau posibilitate de a prelucra datele cu caracter personal, iar nu ca o obligație, atunci când situația de fapt intră sub incidența uneia dintre excepțiile prevăzute de directivă. Potrivit acestei dispoziții, „statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă […]” ( 5 ). Acest mod de redactare, care este utilizat și în alte versiuni lingvistice ( 6 ), indică în mod clar că excepțiile prevăzute la articolul 7 sunt, într‑adevăr, excepții. Acestea nu pot fi interpretate drept o obligație de a prelucra datele cu caracter personal.

41.

Faptul că cel puțin unele dintre excepțiile prevăzute la articolul 7 au efect direct ( 7 ) nu schimbă concluzia anterioară. Acestea nu creează, per se, un drept de a obține informații pentru cei care solicită acest lucru și nici nu creează o obligație corelativă în sarcina celor care se află în posesia lor de a le dezvălui. Articolul 7 prevede mai degrabă reguli generale pe care operatorii de date trebuie să le urmeze pentru a stabili când, dacă, în ce mod și în ce măsură pot prelucra datele cu caracter personal pe care le‑au dobândit.

42.

În sfârșit, scopul general al directivei este acela de a stabili un cadru și limite comune la nivelul Uniunii în materia prelucrării datelor cu caracter personal. Motivele și temeiurile individuale concrete pentru prelucrarea datelor se vor regăsi de regulă ulterior în legislația națională sau în alte instrumente juridice ale Uniunii. Cu alte cuvinte, directiva prevede doar limitele cu privire la prelucrarea datelor, fără a instiga la o astfel de prelucrare.

43.

Astfel, din textul, din economia, din logica și din scopul Directivei reiese foarte clar faptul că articolul 7 litera (f) din directivă nu poate fi interpretat ca stabilind, în și prin sine, obligația de a dezvălui date cu caracter personal.

44.

În subsidiar, dintr‑o perspectivă sistematică mai largă, se poate adăuga de asemenea că o astfel de structură este utilizată și în alte domenii ale dreptului Uniunii în care instrumentele de drept derivat vizează, direct sau indirect, datele cu caracter personal.

45.

De exemplu, nici Directiva 2002/58/CE asupra confidențialității și comunicațiilor electronice ( 8 ), care completează Directiva 95/46 în ceea ce privește sectorul comunicațiilor electronice, nu prevede o obligație de divulgare a datelor. Curtea a precizat în Hotărârea Promusicae că directiva menționată anterior nici nu împiedică și nici nu obligă statele membre să prevadă o obligație de divulgare a datelor cu caracter personal în cadrul unei proceduri civile ( 9 ). În consecință, stabilirea unei astfel de obligații rămâne la latitudinea statelor membre. Aceasta nu este o consecință necesară a dreptului Uniunii.

46.

În mod similar, Curtea a statuat că nici alte directive ( 10 ) care fac referire la datele cu caracter personal, dar care vizează în principal garantarea protecției efective a proprietății intelectuale în societatea informațională ( 11 ), nu impun statelor membre să prevadă o obligație de a comunica date cu caracter personal în vederea asigurării protecției efective a dreptului de autor în cadrul unei proceduri civile ( 12 ).

47.

Astfel cum a arătat instanța de trimitere, intimata a primit în mod efectiv anumite date cu caracter personal: numele și prenumele persoanei în cauză. Furnizarea celorlalte date solicitate a fost refuzată. Această decizie a fost luată, probabil, în temeiul legislației naționale.

48.

În consecință, în ceea ce privește datele cu caracter personal divulgate efectiv, apare ca fiind relevant aspectul dacă respectiva divulgare era compatibilă cu articolul 7 din directivă.

49.

Cu toate acestea, trebuie subliniat în mod clar faptul că partea următoare din prezentele concluzii se referă la posibilitatea de a divulga date cu caracter personal într‑o situație de fapt precum cea din litigiul principal, cu condiția ca dreptul național să prevadă temeiul juridic pentru o astfel de divulgare. Cu alte cuvinte, care sunt limitele stabilite de dreptul Uniunii pentru divulgarea datelor cu caracter personal într‑o astfel de situație? În cazul în care legislația națională prevede divulgarea datelor cu caracter personal într‑o situație similară, o astfel de divulgare este compatibilă cu articolul 7 litera (f) din directivă?

50.

În opinia noastră, într‑o situație precum cea în discuție în litigiul principal, furnizarea de date cu caracter personal în limitele necesare pentru ar permite unei părți prejudiciate să inițieze o acțiune civilă este pe deplin compatibilă cu articolul 7 litera (f).

51.

În consecință, în această secțiune, vom examina mai întâi temeiul juridic adecvat pentru prelucrarea datelor cu caracter personal în temeiul directivei într‑o situație de fapt similară. În al doilea rând, vom propune condițiile privind aplicarea articolului 7 litera (f) din directivă. În al treilea rând, vom analiza prezenta cauză în lumina acestor condiții.

52.

Un aspect preliminar, abordat atât în cadrul observațiilor scrise, cât și în cadrul observațiilor orale, este de a stabili care paragraf al articolului 7 din directivă ar trebui să fie aplicabil într‑o situație de fapt precum cea din litigiul principal.

53.

Majoritatea părților și a intervenienților s‑au întemeiat pe articolul 7 litera (f), invocat de instanța de trimitere. Cu toate acestea, guvernul austriac a susținut în observațiile scrise că articolul 7 litera (f) din directivă nu este temeiul juridic corect, nici măcar pentru formularea unei acțiuni civile, întrucât ar fi prea abstract și imprecis pentru a sta la baza prelucrării datelor. Acesta nu poate, așadar, să justifice o astfel de ingerință în dreptul la protecția datelor.

54.

În observațiile scrise, Comisia s‑a axat pe articolul 7 litera (f). Cu toate acestea, în observațiile orale, aceasta a sugerat de asemenea că o prelucrare de date precum cea din litigiul principal ar putea intra, de asemenea, sub incidența articolului 7 litera (c) sau a articolului 7 litera (e) din directivă.

55.

Articolul 7 din directivă stabilește diferite temeiuri juridice pentru prelucrarea legitimă a datelor cu caracter personal făcând distincție între șase situații. Pentru ca aceste date să fie prelucrate, ele trebuie să se încadreze în cel puțin una dintre categoriile prevăzute la articolul 7. Cu toate acestea, este clar că domeniul de aplicare și rațiunea acestor dispoziții sunt diferite.

56.

Privit dintr‑o perspectivă mai generală și mai abstractă, articolul 7 conține trei tipuri de excepții în cazul cărora prelucrarea datelor cu caracter personal este legitimă: în primul rând, în cazul în care persoana vizată și‑a dat consimțământul [articolul 7 litera (a)], în al doilea rând, în cazul în care interesele legitime ale unui operator sau ale părților terțe sunt într‑o oarecare măsură prezumate [articolul 7 literele (b)-(e)] și, în al treilea rând, în cazul în care interesele legitime în cauză nu trebuie doar să fie stabilite, ci trebuie de asemenea să fie mai importante decât interesele sau drepturile și libertățile persoanei vizate [articolul 7 litera (f)].

57.

Astfel, domeniul de aplicare al articolului 7 litera (f) este în mod evident mai larg decât cel al articolului 7 litera (c) sau cel al articolului 7 litera (e). Primul dintre acestea nu depinde de circumstanțele de drept sau de fapt, ci este redactat în termeni destul de generali. Cu toate acestea, aplicarea sa este mai strictă întrucât este condiționată de existența efectivă a intereselor legitime ale unui operator sau ale unui terț, acestea trebuind să fie mai importante decât cele ale persoanei vizate, condiție care nu este necesară în cazul articolului 7 litera (c) sau al articolului 7 litera (e).

58.

Cu toate acestea, lăsând la o parte discursul academic, trebuie subliniate două aspecte. În primul rând, excepțiile prevăzute la articolul 7 nu se exclud reciproc. Astfel, s‑ar putea aplica două dintre acestea sau chiar toate trei la o situație de fapt ( 13 ). În al doilea rând, în pofida modului de redactare oarecum diferit, este posibil ca diferența în aplicarea practică să fie mai degrabă una minimă, cu condiția să existe un interes legitim credibil și stabilit în mod clar.

59.

Având în vedere aceste precizări, însă raportându‑ne la opinia instanței de trimitere – care cunoaște pe deplin situația de fapt și dispozițiile dreptului național, astfel cum sunt prezentate în întrebarea adresată, și care invocă articolul 7 litera (f) din directivă drept cel care constituie excepția aplicabilă – considerăm că Curtea ar trebui să ia în considerare acest temei.

60.

Articolul 7 litera (f) prevede două condiții cumulative. Ambele trebuie să fie îndeplinite pentru ca prelucrarea datelor cu caracter personal să fie legitimă: în primul rând, prelucrarea datelor cu caracter personal trebuie să fie necesară pentru realizarea interesului legitim urmărit de operator sau de terțul căruia i se comunică datele. În al doilea rând, acest interes nu trebuie să prejudicieze drepturile și libertățile fundamentale ale persoanei vizate ( 14 ).

61.

A doua condiție vizează evaluarea comparativă a intereselor în cauză. Prima condiție poate fi împărțită, de fapt, în două subcondiții în scopuri didactice: justificarea în sine, pe de o parte, și caracterul necesar al prelucrării, respectiv un fel de proporționalitate, pe de altă parte.

62.

Astfel, trebuie să fie prezente trei elemente în vederea aplicării articolului 7 litera (f): existența unui interes legitim care să justifice prelucrarea (a), prevalența respectivului interes asupra drepturilor și intereselor persoanei vizate (echilibru de interese) (b) și necesitatea prelucrării pentru realizarea interesului legitim (c).

63.

În primul rând, prelucrarea în temeiul articolului 7 litera (f) din directivă este condiționată de existența unei interes legitim al operatorului sau al unui terț.

64.

Directiva nu definește interesul legitim ( 15 ). Astfel, revine operatorului de date sau persoanei împuternicite de operator, sub controlul instanțelor naționale, dreptul de a stabili dacă există un obiectiv legitim care ar putea justifica o ingerință în viața privată.

65.

Curtea a statuat deja că transparența ( 16 ) sau protecția proprietății, a sănătății și a vieții de familie ( 17 ) sunt interese legitime. Noțiunea de interes legitim este suficient de elastică pentru a permite alte tipuri de considerații. În opinia noastră, este cert că interesul unui terț în obținerea informațiilor cu caracter personal ale unei persoane care a produs daune unui bun aflat în proprietatea sa pentru a acționa în justiție respectiva persoană în vederea obținerii de despăgubiri poate fi calificat ca fiind un interes legitim.

66.

A doua condiție se referă la evaluarea comparativă a două serii de interese concurente, și anume interesele și drepturile persoanelor vizate ( 18 ) și interesele operatorului sau ale terților. Cerința privind evaluarea comparativă a intereselor rezultă în mod clar atât din articolul 7 litera (f), cât și din actele pregătitoare ale directivei. În ceea ce privește textul articolului 7 litera (f), acesta impune ca interesul legitim al persoanei vizate să fie evaluat comparativ în raport cu interesul legitim al operatorului sau al unui terț. Actele pregătitoare ale directivei confirmă că această evaluare comparativă a intereselor a fost deja prevăzută, într‑un mod ușor diferit, atât în propunerea inițială a Comisiei ( 19 ), cât și în propunerea sa modificată după prima lectură a Parlamentului European ( 20 ).

67.

Curtea a statuat că aplicarea articolului 7 litera (f) necesită o evaluare comparativă a drepturilor și a intereselor opuse în cauză. Trebuie să se țină cont de importanța drepturilor persoanei vizate care rezultă din articolele 7 și 8 din cartă ( 21 ). O astfel de evaluare comparativă trebuie să fie efectuată de la caz la caz ( 22 ).

68.

Evaluarea comparativă a intereselor este esențială pentru aplicarea corectă a articolului 7 litera (f). Tocmai această operațiune este cea care conferă articolului 7 litera (f) un caracter cu totul distinctiv în raport cu celelalte dispoziții ale articolului 7. Aceasta depinde întotdeauna de circumstanțele fiecărui caz în parte. Acestea sunt motivele pentru care Curtea a subliniat că statele membre nu pot stabili în mod definitiv, pentru anumite categorii de date cu caracter personal, rezultatul evaluării comparative a drepturilor și a intereselor opuse, fără a permite un rezultat diferit în funcție de împrejurările speciale ale unui caz concret ( 23 ).

69.

Pentru a se efectua această evaluare comparativă în mod pertinent, trebuie să se țină cont în mod corespunzător în special de natura și de gradul de sensibilitate al datelor solicitate, de gradul lor de publicitate ( 24 ), precum și de gravitatea încălcării comise. Unul dintre posibilele elemente care trebuie luate în considerare în cadrul evaluării comparative și care prezintă relevanță în prezenta cauză este vârsta persoanei vizate.

70.

În ceea ce privește necesitatea sau, într‑un anumit fel, proporționalitatea („basic proportionality”), Curtea a susținut în general că excepțiile și limitările în ceea ce privește protecția datelor cu caracter personal trebuie să se aplice numai în limitele strictului necesar ( 25 ). În consecință, natura datelor și cantitatea de date care pot fi prelucrate nu trebuie să depășească ceea ce este necesar în scopul realizării interesului legitim în cauză.

71.

Examinarea proporționalității reprezintă o analiză a relației dintre obiective și mijloacele alese. Mijloacele alese nu pot să depășească ceea ce este necesar. Această logică se aplică însă și în sens opus: mijloacele trebuie să fie în măsură să atingă obiectivul declarat.

72.

În concret, operatorul de date dispune de două opțiuni pentru aprecierea necesității. Astfel, acesta fie se abține de la divulgarea oricărei informații, fie, în cazul în care decide să prelucreze informațiile respective, trebuie să furnizeze toate informațiile necesare pentru realizarea interesului legitim în cauză ( 26 ).

73.

În primul rând, potrivit articolului 6 alineatul (1) litera (c) din directivă și considerentului (28) al acesteia, datele cu caracter personal trebuie să fie adecvate, pertinente și neexcesive în ceea ce privește scopurile pentru care sunt colectate și prelucrate ulterior ( 27 ). Astfel, din aceste dispoziții rezultă că datele comunicate sunt, de asemenea, adecvate și pertinente pentru realizarea intereselor legitime.

74.

În al doilea rând, bunul‑simț pledează pentru o abordare rezonabilă în ceea ce privește datele care ar trebui de fapt să fie prelucrate. Persoanelor care solicită astfel de date ar trebui, într‑adevăr, să le fie furnizate informații utile și pertinente, care sunt necesare și suficiente pentru ca ele să își realizeze propriile interese legitime, fără a trebui să trimită o cerere către o altă entitate care ar putea, de asemenea, să dețină aceste informații.

75.

Metaforic vorbind, aplicarea criteriului necesității nu trebuie să transforme realizarea unui interes legitim într‑o căutare de comori kafkiană, care să se asemene izbitor cu un episod din Fort Boyard, în care participanții sunt trimiși de la o cameră la alta pentru a colecta indicii parțiale în scopul descoperirii în cele din urmă a locului în care ar trebui să meargă.

76.

În sfârșit, ar trebui reiterat faptul că stabilirea datelor exacte care urmează să fie comunicate este un aspect care ține de dreptul național. Desigur, dreptul național ar putea de asemenea să prevadă numai o astfel de comunicare parțială, care în sine ar fi insuficientă. Acest lucru este într‑adevăr posibil. Faptul că reglementarea națională nu pare să aibă prea mult sens din punct de vedere practic nu înseamnă că aceasta este, în mod automat, incompatibilă cu dreptul Uniunii, în măsura în care această reglementare se încadrează în sfera de reglementare a statelor membre. În prezentele concluzii nu se sugerează altceva decât faptul că articolul 7 litera (f) din directivă nu se opune divulgării complete a tuturor informațiilor necesare pentru realizarea în mod efectiv a unui obiectiv legitim al unei persoane, atât timp cât celelalte condiții sunt îndeplinite.

77.

Fiind stabilit cadrul general de analiză, ne vom referi în continuare la prezenta cauză, cu mențiunea că, desigur, este în cele din urmă de competența instanței naționale să se pronunțe în speță, având în vedere că aceasta cunoaște în mod detaliat situația de fapt și dreptul național.

78.

Rīgas Satiksme a solicitat poliției să îi comunice numărul cărții de identitate și domiciliul pasagerului din taxi pentru a iniția o acțiune civilă în scopul obținerii de despăgubiri pentru prejudiciul suferit.

79.

În primul rând, după cum au susținut pe bună dreptate guvernele ceh, spaniol și portughez, formularea unei acțiuni în justiție, cum este cazul în litigiul principal, constituie un interes legitim, astfel cum se menționează la articolul 7 litera (f).

80.

Această ipoteză este confirmată și de articolul 8 alineatul (2) litera (e) din directivă, care prevede posibilitatea prelucrării anumitor date sensibile „atunci când prelucrarea se referă la date care sunt […] necesare pentru constatarea, exercitarea sau apărarea unui drept în justiție”. Din moment ce exercitarea unui drept în justiție poate justifica prelucrarea datelor sensibile în temeiul articolului 8, nu vedem de ce aceasta nu ar putea să fie considerată a fortiori un interes legitim care justifică prelucrarea datelor nesensibile în temeiul articolului 7 litera (f). Această interpretare rezultă de asemenea dintr‑o abordare pragmatică a directivei, luând în considerare celelalte instrumente de drept derivat (menționate mai sus) care urmăresc realizarea unui echilibru adecvat între protecția vieții private și protecția jurisdicțională efectivă ( 28 ).

81.

În al doilea rând, în ceea ce privește evaluarea comparativă a intereselor, în general, nu vedem niciun motiv pentru care interesele legate de drepturile fundamentale ale persoanei vizate ar trebui să prevaleze asupra obiectivului legitim specific al părții prejudiciate de a iniția o acțiune civilă. De asemenea, este poate util să adăugăm în acest context că intimata solicită de fapt doar să i se acorde posibilitatea de a iniția o acțiune civilă. În consecință, comunicarea în sine nu ar conduce la o modificare imediată a situației juridice a persoanei vizate.

82.

Cu toate acestea, astfel cum arată în mod corect guvernul portughez, în această fază de evaluare comparativă a intereselor trebuie să se țină seama în special de vârsta persoanei vizate.

83.

Într‑adevăr, instanța de trimitere solicită să se stabilească în ce măsură prezintă relevanță faptul că pasagerul din taxi era minor la momentul accidentului. În opinia noastră, și având în vedere circumstanțele speciale din prezenta cauză, acest fapt nu prezintă relevanță.

84.

În general, faptul că persoana vizată este un minor reprezintă un factor care ar trebui să fie luat în considerare în cadrul evaluării comparative a intereselor. Cu toate acestea, considerațiile deosebite care se impun în cazul minorilor, precum și nivelul ridicat de protecție de care beneficiază aceștia ar trebui să fie în mod clar corelate cu tipul de prelucrare a datelor în cauză. Cu excepția cazului în care se stabilește cu precizie modul în care divulgarea în acest caz particular ar pune în pericol, de exemplu, dezvoltarea fizică sau mintală a unui copil, nu înțelegem de ce faptul că prejudiciul a fost cauzat de un minor ar trebui să conducă efectiv la o exonerare de răspundere civilă.

85.

În sfârșit, în cazul în care în urma evaluării comparative a intereselor se constată că interesul persoanei vizate nu prevalează asupra interesului persoanei care solicită divulgarea datelor cu caracter personal, rămâne de clarificat un ultim aspect: necesitatea și întinderea informațiilor care urmează a fi divulgate.

86.

Din nou, revine instanței de trimitere sarcina de a identifica temeiul juridic din dreptul național care justifică o astfel de divulgare. De îndată ce acest temei este identificat, criteriul „necesității” prevăzut la articolul 7 litera (f) din directivă nu se opune cu siguranță, în opinia noastră, divulgării complete a tuturor informațiilor necesare pentru inițierea unei acțiuni civile în conformitate cu dreptul leton.

87.

Guvernul leton a susținut că, potrivit unei jurisprudențe constante, protecția dreptului fundamental la viață privată impune ca derogările de la protecția datelor cu caracter personal și limitările acesteia să nu depășească ceea ce este strict necesar. Deși a recunoscut că există metode alternative pentru obținerea de date suplimentare, acesta a admis că numele și prenumele au fost probabil insuficiente pentru formularea unei acțiuni în justiție și, în consecință, a lăsat la aprecierea instanței naționale stabilirea acestui aspect.

88.

Ar trebui remarcat faptul că articolul 8 alineatul (7) din directivă acordă statelor membre o marjă de manevră cu privire la posibilitatea divulgării numerelor de identificare. Prin urmare, statele membre nu trebuie să fie obligate să prelucreze numerele de identificare, cu excepția cazului în care o astfel de prelucrare este absolut necesară pentru inițierea unor acțiuni civile.

89.

Indiferent de natura exactă a acestora, ceea ce contează este posesia tuturor datelor relevante care sunt indispensabile pentru formularea unei acțiuni în justiție. Astfel, în cazul în care, în temeiul dreptului național, domiciliul este suficient, atunci nicio altă informație nu ar trebui divulgată.

90.

Revine instanței naționale sarcina de a stabili volumul de date cu caracter personal de care Rīgas satiksme are nevoie pentru a iniția efectiv o acțiune în justiție ( 29 ) în temeiul dreptului leton. Ne vom limita la a sublinia că, astfel cum s‑a arătat anterior la punctele 74-75 din prezentele concluzii, existența unor soluții alternative pentru obținerea datelor cu caracter personal necesare nu este relevantă pentru aplicarea articolului 7 litera (f). Rīgas satiksme ar trebui să fie în măsură să obțină toate informațiile necesare de la operatorul căruia i‑a adresat cererea.

91.

Acesta este un caz oarecum neobișnuit. Instanța de trimitere ridică problema dacă o excepție care permite prelucrarea datelor cu caracter personal poate fi interpretată ca o obligație în sarcina operatorului de date de a divulga identitatea unei persoane care a cauzat un accident rutier. Se pare că motivul real pentru adresarea acestei întrebări este acela că, la nivel național, căile de obținere a informațiilor respective au fost îngreunate sau chiar blocate complet în numele protecției datelor.

92.

Analizând seria de evenimente din prezenta cauză, o persoană neavizată ar putea adresa următoarea întrebare nevinovată: chiar este necesar ca o cerere individuală de comunicare a identității unei persoane care a produs deteriorarea unui bun al solicitantului și pe care acesta dorește să o acționeze în judecată pentru obținerea de despăgubiri să fie analizată de mai multe ori de poliție în vederea evaluării comparative a intereselor și a proporționalității, iar apoi să facă obiectul unei proceduri judiciare de durată și al unui aviz din partea autorității naționale de protecție a datelor?

93.

Prezenta cauză constituie un nou exemplu ( 30 ) în care legile în materie de protecție a datelor se aplică în circumstanțe destul de surprinzătoare. Acest lucru generează, nu doar în cazul persoanelor neavizate, un anumit disconfort intelectual cu privire la funcția și la utilizarea rezonabilă a normelor privind protecția datelor. Vom profita de această ocazie pentru a face câteva observații finale în această privință.

94.

Nu există nicio îndoială că protecția datelor cu caracter personal este de o importanță primordială în epoca digitală. Curtea s‑a aflat în prima linie în ceea ce privește evoluția jurisprudenței în acest domeniu ( 31 ), și pe bună dreptate.

95.

Cu toate acestea, cauzele citate reflectă cu adevărat principala preocupare legată de protecția datelor cu caracter personal, respectiv motivul pentru care aceasta a fost inițial introdusă și pentru care trebuie să fie garantată în mod energic: prelucrarea pe scară largă a datelor cu caracter personal, prin mijloace automate, digitale,în toate formele sale, cum ar fi constituirea, administrarea și utilizarea de seturi mari de date, transmiterea seturilor de date pentru alte scopuri decât cele legitime, asamblarea și recoltarea metadatelor și așa mai departe.

96.

Ca în orice alt domeniu al dreptului, normele care reglementează anumite activități trebuie să fie suficient de flexibile pentru a cuprinde toate situațiile potențiale care ar putea apărea. Acest lucru ar putea totuși să conducă la pericolul interpretării și aplicării ample a acestor norme. Ele ar putea ajunge să fie aplicate și în situații în care legătura cu scopul inițial este destul de redusă și ridică semne de întrebare. În cele din urmă, o aplicare prea amplă însoțită de un anumit „absolutism al aplicării” ar putea ajunge să discrediteze ideea inițială, care, în sine, a fost foarte importantă și legitimă.

97.

În Hotărârea Promusicae, Curtea a insistat, la modul general, asupra necesității ca directivelor referitoare la datele cu caracter personal să li se dea o interpretare care să asigure un just echilibru între diferitele drepturi fundamentale protejate de ordinea juridică a Uniunii ( 32 ).

98.

În completare ar trebui poate să fie adăugată o regulă de bun‑simț care să fie utilizată la momentul evaluării comparative a intereselor. Acest lucru ar însemna să se aibă în vedere scopul inițial și primar (în niciun caz unic, ci doar primar) al reglementării respective, și anume să guverneze operațiunile efectuate la scară mai mare prin mijloace automate, mecanice, precum și utilizarea și transferul de informații obținute astfel. În schimb, în umila noastră opinie, ar trebui să există o abordare mai simplă a situațiilor în care o persoană solicită o anumită informație referitoare la o anumită persoană într‑un raport concret și atunci când există un scop clar și întru totul legitim care rezultă din aplicarea normală a legii.

99.

În concluzie, bunul‑simț nu constituie un izvor de drept, însă ar trebui cu siguranță să orienteze interpretarea acestuia. Ar fi regretabil ca protecția datelor cu caracter personal să fie înlocuită de obstrucționarea prin intermediul datelor cu caracter personal.

100.

În lumina considerațiilor de mai sus, recomandăm Curții să răspundă la întrebarea preliminară adresată de Augstākā tiesa, Administratīvo lietu departaments (Curtea Supremă, Secția de Contencios Administrativ, Letonia) după cum urmează:

„Articolul 7 litera (f) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date nu poate fi interpretat în sensul că instituie o obligație a operatorului de a divulga datele cu caracter personal solicitate de un terț în scopul formulării unei acțiuni civile.

Cu toate acestea, articolul 7 litera (f) din directivă nu se opune unei astfel de divulgări în măsura în care dreptul național prevede divulgarea de date cu caracter personal în situații precum cea din litigiul principal. Faptul că persoana vizată era minoră la momentul accidentului nu este semnificativ în această privință.”