Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62020CC0175

Concluziile avocatului general M. Bobek prezentate la 2 septembrie 2021.
„SS” SIA împotriva Valsts ieņēmumu dienests.
Cerere de decizie preliminară formulată de Administratīvā apgabaltiesa.
Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 2 – Domeniu de aplicare – Articolul 4 – Noțiunea de «prelucrare» – Articolul 5 – Principii legate de prelucrare – Limitarea scopului – Reducerea la minimum a datelor – Articolul 6 – Legalitatea prelucrării – Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public cu care este învestit operatorul – Prelucrare necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului – Articolul 23 – Restricții – Prelucrarea datelor în scopuri fiscale – Cerere de comunicare de informații privind anunțuri de vânzări de autovehicule publicate pe internet – Proporționalitate.
Cauza C-175/20.

Court reports – general – 'Information on unpublished decisions' section ; Court reports – general

ECLI identifier: ECLI:EU:C:2021:690

 CONCLUZIILE AVOCATULUI GENERAL

DOMNUL MICHAL BOBEK

prezentate la 2 septembrie 2021 ( 1 )

Cauza C‑175/20

SIA „SS”

împotriva

Valsts ieņēmumu dienests

[cerere de decizie preliminară formulată de Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia)]

„Cerere de decizie preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Temeiul juridic al prelucrării – Obligația impusă de dreptul național furnizorilor de servicii de publicitate pe internet de a furniza, la cererea autorităților fiscale, orice informație pe care o dețin cu privire la persoanele impozabile care au utilizat aceste servicii – Solicitări de comunicare de informații adresate de autoritatea fiscală furnizorului de servicii – Domeniu de aplicare – Limite materiale și temporale care decurg din RGPD”

I. Introducere

1.

Regulamentul (UE) 2016/679 (denumit în continuare „RGPD”) ( 2 ) nu este un act legislativ restrâns. Domeniul său de aplicare definit în sens larg, eliminarea efectivă pe cale judiciară a oricăror excepții de la acesta ( 3 ), precum și abordarea avută în vedere pentru interpretarea sa, bazată pe definiții, abstractă și, în consecință, destul de amplă ( 4 ), sunt factori care au determinat fiecare în parte ca domeniul său de aplicare să fie practic nelimitat. Într‑adevăr, într‑o abordare de acest tip, este destul de dificil de găsit în prezent o situație în care cineva să nu prelucreze undeva, la un moment dat, anumite date cu caracter personal.

2.

Această abordare, întemeiată pe ridicarea protecției datelor cu caracter personal la rangul de (supra)drept fundamental atotcuprinzător, în temeiul articolului 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), conduce însă la efecte centripete reale pe care protecția datelor cu caracter personal a început să le exercite asupra altor domenii ale dreptului și asupra litigiilor care decurg din acestea. O serie de cauze încep brusc să fie prezentate drept chestiuni legate de protecția datelor cu caracter personal și aduse (și) în fața Curții ca o chestiune de interpretare a RGPD. Cu toate acestea, chestiunile specifice ridicate în aceste litigii nu sunt, uneori, cele care ne putem aștepta să fie reglementate de un act legislativ precum RGPD, în pofida domeniului său de aplicare destul de larg.

3.

Într‑adevăr, puțini ar fi considerat probabil anterior că RGPD sau actul său predecesor, Directiva 95/46/CE ( 5 ), ar putea fi considerate, pentru a menționa numai câteva dintre cele mai interesante exemple, ca reglementând accesul contabililor stagiari la foile lor de examen, eventual însoțit de dreptul de rectificare a acestor date cu caracter personal după desfășurarea examenului ( 6 ), sau ca împiedicând identificarea de către poliție a unui particular implicat într‑un accident de circulație, astfel încât partea vătămată să nu poată formula o acțiune în fața instanței civile pentru repararea pagubelor produse vehiculului acesteia din urmă ( 7 ), sau în sensul de a limita divulgarea de informații privind datoriile fiscale achitate de o societate intrată între timp în faliment către administratorul judiciar al societății respective pentru a restabili egalitatea între creditorii de drept privat și cei de drept public în contextul acțiunilor revocatorii din cadrul procedurilor de insolvență ( 8 ).

4.

Prezenta cauză este încă un exemplu de astfel de efecte centripete ale RGPD. SIA „SS” este un furnizor de servicii de publicitate online. În contextul activității sale comerciale, aceasta obține datele cu caracter personal ale persoanelor care postează anunțuri pe site‑ul său. Autoritatea fiscală națională competentă a solicitat acestei întreprinderi să îi transmită o serie de date referitoare la anunțurile publicate pe site‑ul respectiv cu privire la autovehiculele second‑hand pentru a asigura colectarea corectă a taxelor pe vânzarea de autovehicule. Autoritatea fiscală menționată a stabilit în detaliu formatul datelor pe care dorește să le obțină. De asemenea, a precizat că aceste transferuri de date ar trebui să fie permanente și, aparent, fără compensație financiară.

5.

În acest context, instanța de trimitere solicită informații cu privire la domeniul de aplicare admisibil al unor astfel de solicitări de transfer de date. Precum în cauzele anterioare, RGPD pare a fi aplicabil și în prezenta cauză. Datele cu caracter personal sunt sau vor fi cu siguranță prelucrate undeva de către cineva ulterior, în cadrul efectuării transferului. Drepturile persoanelor vizate în cadrul unei astfel de prelucrări ar trebui protejate, după cum ar trebui protejate și datele cu caracter personal implicate. Totuși, aceasta nu înseamnă că RGPD reglementează în mod specific raportul dintre un viitor operator (o autoritate publică) și un operator actual (o întreprindere privată). Într‑adevăr, RGPD urmărește și protejează datele oriunde ar ajunge acestea, reglementând astfel obligațiile oricărui operator succesiv în raport cu datele și față de persoanele vizate. În schimb, RGPD nu reglementează, cu câteva excepții explicite, detaliile concrete ale raportului reciproc dintre doi operatori succesivi ai acestor date. În special, RGPD nu prevede modalitățile exacte ale raportului dintre operatori, indiferent că acesta este de origine contractuală sau de drept public, în temeiul căruia unul poate solicita și obține date de la celălalt.

II. Cadrul juridic

A.   Dreptul Uniunii

6.

Considerentul (31) al RGPD are următorul conținut:

„Autoritățile publice cărora le sunt divulgate date cu caracter personal în conformitate cu o obligație legală în vederea exercitării funcției lor oficiale, cum ar fi autoritățile fiscale și vamale, unitățile de investigare financiară, autoritățile administrative independente sau autoritățile piețelor financiare responsabile de reglementarea și supravegherea piețelor titlurilor de valoare, nu ar trebui să fie considerate destinatari în cazul în care primesc date cu caracter personal care sunt necesare pentru efectuarea unei anumite anchete de interes general, în conformitate cu dreptul Uniunii sau cel al statelor membre. Cererile de divulgare trimise de autoritățile publice ar trebui să fie întotdeauna prezentate în scris, motivate și ocazionale și nu ar trebui să se refere la un sistem de evidență în totalitate sau să conducă la interconectarea sistemelor de evidență. Prelucrarea datelor cu caracter personal de către autoritățile publice respective ar trebui să respecte normele aplicabile în materie de protecție a datelor în conformitate cu scopurile prelucrării.”

7.

Considerentul (45) al RGPD este formulat după cum urmează:

„În cazul în care prelucrarea este efectuată în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice, prelucrarea ar trebui să aibă un temei în dreptul Uniunii sau în dreptul intern. Prezentul regulament nu impune existența unei legi specifice pentru fiecare prelucrare în parte. Poate fi suficientă o singură lege drept temei pentru mai multe operațiuni de prelucrare efectuate în conformitate cu o obligație legală a operatorului sau în cazul în care prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care face parte din exercitarea autorității publice. De asemenea, ar trebui ca scopul prelucrării să fie stabilit în dreptul Uniunii sau în dreptul intern. Mai mult decât atât, dreptul respectiv ar putea să specifice condițiile generale ale prezentului regulament care reglementează legalitatea prelucrării datelor cu caracter personal, să determine specificațiile pentru stabilirea operatorului, a tipului de date cu caracter personal care fac obiectul prelucrării, a persoanelor vizate, a entităților cărora le pot fi divulgate datele cu caracter personal, a limitărilor în funcție de scop, a perioadei de stocare și a altor măsuri pentru a garanta o prelucrare legală și echitabilă. De asemenea, ar trebui să se stabilească în dreptul Uniunii sau în dreptul intern dacă operatorul care îndeplinește o sarcină care servește unui interes public sau care face parte din exercitarea autorității publice ar trebui să fie o autoritate publică sau o altă persoană fizică sau juridică guvernată de dreptul public sau, atunci când motive de interes public justifică acest lucru, inclusiv în scopuri medicale, precum sănătatea publică și protecția socială, precum și gestionarea serviciilor de asistență medicală, de dreptul privat, cum ar fi o asociație profesională.”

8.

Articolul 2 stabilește domeniul de aplicare material al RGPD:

„(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

(a)

în cadrul unei activități care nu intră sub incidența dreptului Uniunii;

[…]

(d)

de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.

[…]”

9.

Articolul 4 conține definiții și prevede că, în sensul RGPD:

„1.   «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]

2.   «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

7.   «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;

8.   «persoană împuternicită de operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;

9.   «destinatar» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice respective respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării;

[…]”

10.

Articolul 5 din RGPD stabilește principiile legate de prelucrarea datelor cu caracter personal:

„(1)   Datele cu caracter personal sunt:

(a)

prelucrate în mod legal, echitabil și transparent față de persoana vizată («legalitate, echitate și transparență»);

(b)

colectate în scopuri determinate, explicite și legitime și nu sunt prelucrate ulterior într‑un mod incompatibil cu aceste scopuri; prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile inițiale, în conformitate cu articolul 89 alineatul (1) («limitări legate de scop»);

(c)

adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate («reducerea la minimum a datelor»);

(d)

exacte și, în cazul în care este necesar, să fie actualizate; trebuie să se ia toate măsurile necesare pentru a se asigura că datele cu caracter personal care sunt inexacte, având în vedere scopurile pentru care sunt prelucrate, sunt șterse sau rectificate fără întârziere («exactitate»);

(e)

păstrate într‑o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele; datele cu caracter personal pot fi stocate pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu articolul 89 alineatul (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în prezentul regulament în vederea garantării drepturilor și libertăților persoanei vizate («limitări legate de stocare»);

(f)

prelucrate într‑un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare («integritate și confidențialitate»).

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

11.

În conformitate cu articolul 6 din RGPD:

„(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

[…]

(c)

prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

[…]

(e)

prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul;

[…]

(2)   Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.

(3)   Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

(a)

dreptul Uniunii sau

(b)

dreptul intern care se aplică operatorului.

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament, printre altele: condițiile generale care reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate; entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare; și operațiunile și procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.”

12.

Capitolul III, intitulat „Drepturile persoanei vizate”, stabilește, la articolele 12-22, drepturile și obligațiile corespunzătoare ale operatorilor de date. Articolul 23 din RGPD încheie acest capitol. Acesta este intitulat „Restricții” și prevede:

„(1)   Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:

[…]

(e)

alte obiective importante de interes public general ale Uniunii sau ale unui stat membru, în special un interes economic sau financiar important al Uniunii sau al unui stat membru, inclusiv în domeniile monetar, bugetar și fiscal și în domeniul sănătății publice și al securității sociale;

[…]

(2)   În special, orice măsură legislativă menționată la alineatul (1) conține dispoziții specifice cel puțin, dacă este cazul, în ceea ce privește:

(a)

scopurile prelucrării sau ale categoriilor de prelucrare;

(b)

categoriile de date cu caracter personal;

(c)

domeniul de aplicare al restricțiilor introduse;

(d)

garanțiile pentru a preveni abuzurile sau accesul sau transferul ilegal;

(e)

menționarea operatorului sau a categoriilor de operatori;

(f)

perioadele de stocare și garanțiile aplicabile având în vedere natura, domeniul de aplicare și scopurile prelucrării sau ale categoriilor de prelucrare;

(g)

riscurile pentru drepturile și libertățile persoanelor vizate și

(h)

dreptul persoanelor vizate de a fi informate cu privire la restricție, cu excepția cazului în care acest lucru poate aduce atingere scopului restricției.”

B.   Dreptul leton

13.

În temeiul articolului 15 alineatul (6) din Likums „Par nodokļiem un nodevām” („Legea privind impozitele și taxele”), în versiunea în vigoare la momentul faptelor din prezenta cauză, furnizorii de servicii de publicitate pe internet au obligația de a furniza, la cererea Administrației fiscale a statului, orice informație pe care o dețin cu privire la persoanele impozabile care au utilizat aceste servicii pentru a publica anunțuri publicitare și cu privire la anunțurile publicate de acestea.

III. Situația de fapt, procedura națională și întrebările preliminare

14.

La 28 august 2018, directorul Nodokļu kontroles pārvalde (Oficiul de inspecție fiscală) al Valsts ieņēmumu dienests (autoritatea fiscală letonă) (denumită în continuare „pârâta”) a trimis către SIA „SS” (denumită în continuare „reclamanta”) o solicitare de comunicare de informații în temeiul articolului 15 alineatul (6) din Legea privind impozitele și taxele.

15.

Prin această cerere, pârâta a solicitat reclamantei să îi reînnoiască accesul la informațiile privind numerele de telefon ale persoanelor care au publicat anunțurile și seriile de șasiu ale autovehiculelor ce figurau în anunțurile publicate pe site‑ul de internet administrat de reclamantă (www.ss.com). De asemenea, pârâta a solicitat reclamantei să îi furnizeze, până la 3 septembrie 2018, informații privind anunțurile publicate în secțiunea „Autovehicule” a site‑ului menționat în perioada cuprinsă între 14 iulie și 31 august 2018. Reclamantei i se solicita să furnizeze informațiile pe cale electronică; într‑un format care să permită filtrarea și selectarea datelor. De asemenea, reclamantei i se solicita să includă următoarele informații în fișier: linkul către anunț, textul anunțului, marca autovehiculului, modelul, seria de șasiu, prețul, numerele de telefon ale vânzătorului.

16.

În cazul în care nu era posibilă reînnoirea accesului, reclamantei i se solicita să comunice motivul (motivele) refuzului și să furnizeze în mod regulat informații referitoare la anunțurile publicate, cel târziu în a treia zi a fiecărei luni.

17.

Reclamanta a depus o reclamație administrativă prin care a contestat solicitarea de comunicare de informații la directorul general interimar al pârâtei. Potrivit reclamantei, conținutul solicitării de comunicare a informațiilor, care constituie date cu caracter personal în sensul articolului 4 alineatul (1) din RGPD, nu este justificat de lege. Solicitarea de comunicare de informații nu specifică nici grupul concret de persoane interesate, nici scopul sau conținutul prelucrării preconizate, nici durata obligației de a furniza informațiile, astfel încât pârâta, în calitatea sa de operator, nu a acționat în conformitate cu principiul proporționalității sau cu principiul reducerii la minimum a prelucrării datelor cu caracter personal, care decurge din RGPD, căruia pârâta îi este supusă.

18.

Prin decizia din 30 octombrie 2018 (denumită în continuare „decizia contestată”), pârâta a respins reclamația și a admis cererea de informații.

19.

În motivarea acestei decizii, pârâta a arătat în esență că, în contextul prelucrării datelor cu caracter personal respective, autoritatea fiscală îndeplinește funcțiile și exercită competențele care îi sunt conferite prin lege. Aceasta este responsabilă cu colectarea și verificarea impozitelor, a taxelor și a altor contribuții. Ea are obligația legală să supravegheze activitățile economice și financiare ale persoanelor fizice și juridice pentru a se asigura că plățile respective sunt încasate la bugetul statului și la bugetul Uniunii. Pentru îndeplinirea acestor funcții, legea conferă pârâtei competența de a colecta documentele și informațiile necesare pentru identificarea și contabilizarea faptelor generatoare de impozite sau pentru controlul impozitelor și a taxelor. În special, în conformitate cu articolul 15 alineatul (6) din Legea privind impozitele și taxele, furnizorii de servicii publicitare pe internet sunt obligați să furnizeze, la solicitarea autorității fiscale, orice informație de care dispun cu privire la persoanele impozabile care au publicat anunțuri utilizând serviciile respective, precum și cu privire la anunțurile propriu‑zise. Informațiile confidențiale deținute de pârâtă sunt protejate de lege, în special prin interdicția de divulgare care este impusă angajaților autorității fiscale. În consecință, cererea de informații este legală.

20.

Reclamanta a formulat o acțiune în anularea deciziei contestate în fața Administratīvā rajona tiesa (Tribunalul Administrativ Districtual, Letonia), prin care a susținut că în motivarea deciziei nu se indicau nici scopul concret al prelucrării datelor, nici criteriile de selecție a informațiilor solicitate în legătură cu un anumit grup de persoane identificabile.

21.

Prin hotărârea din 21 mai 2019, Administratīvā rajona tiesa (Tribunalul Administrativ Districtual) a respins acțiunea, considerând în esență întemeiate argumentele pârâtei potrivit cărora nu se poate impune nicio restricție cu privire la volumul de informații care poate fi accesat de autoritatea fiscală în legătură cu orice persoană, cu excepția cazului în care se consideră că informațiile respective nu sunt conforme cu obiectivele administrării chestiunilor fiscale. Potrivit acestei hotărâri, informațiile solicitate erau necesare pentru a identifica activitățile economice nedeclarate. Dispozițiile RGPD se aplică numai reclamantei, în calitatea sa de furnizor de servicii, însă nu și autorității fiscale.

22.

Reclamanta a atacat această hotărâre în fața Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia). Potrivit reclamantei, RGPD este aplicabil în speță. În ceea ce privește datele cu caracter personal colectate prin intermediul solicitării de comunicare de informații, pârâta trebuie să fie considerată operator în sensul acestui regulament și, prin urmare, trebuie să respecte cerințele prevăzute de acesta. Or, prin solicitarea de comunicare de informații, pârâta a încălcat principiul proporționalității, solicitând să i se transmită în fiecare lună un volum considerabil de date referitoare la un număr nedefinit de anunțuri, fără a indica persoanele impozabile concrete împotriva cărora au fost inițiate controalele fiscale. Reclamanta arată că solicitarea de comunicare de informații nu indică pe ce perioadă de timp va fi supusă obligației de a furniza pârâtei informațiile menționate în această cerere. Astfel, aceasta consideră că pârâta a încălcat principiile care guvernează prelucrarea datelor cu caracter personal, prevăzute la articolul 5 din RGPD (legalitate, echitate și transparență). Ea susține că nici în solicitarea de comunicare de informații, nici în motivarea deciziei contestate nu se precizează cadrul specific (scopul) în care are loc prelucrarea informațiilor stabilite de pârâtă sau volumul de informații necesare (reducerea la minimum a datelor). Aceasta susține că în solicitarea de comunicare de informații autoritatea administrativă trebuie să includă criterii clar definite pentru selectarea informațiilor solicitate de această autoritate în legătură cu un anumit grup de persoane identificabile.

23.

În opinia instanței de trimitere, nu se poate constata fără echivoc că o astfel de solicitare de comunicare de informații poate fi considerată „motivată în mod corespunzător” și „ocazională” și că ea nu se referă la toate informațiile cuprinse în rubrica „Autovehicule” a site‑ului internet al reclamantei, având în vedere că administrația fiscală dorește în esență să efectueze verificări continue și exhaustive. Instanța de trimitere are îndoieli cu privire la faptul că prelucrarea datelor cu caracter personal avută în vedere de pârâtă poate fi considerată ca fiind conformă cu normele de protecție a datelor aplicabile având în vedere scopul prelucrării în sensul considerentului (31) al RGPD. În consecință, este necesar să se stabilească criteriile pentru a aprecia dacă solicitarea de comunicare de informații formulată de pârâtă respectă drepturile și libertățile fundamentale și dacă această solicitare poate fi considerată necesară și proporțională într‑o societate democratică pentru a proteja obiective importante de interes public ale Uniunii și ale Letoniei în domeniul fiscal și bugetar.

24.

Potrivit instanței de trimitere, solicitarea de comunicare de informații în cauză nu face referire la nicio „anchetă specială” efectuată de pârâtă în sensul dispozițiilor RGPD. Prin această cerere sunt solicitate informații care se referă nu la anumite persoane, ci la toate persoanele vizate care au publicat anunțuri în rubrica „Autovehicule” a site‑ului de internet. De asemenea, autoritatea fiscală solicită ca aceste informații să fie furnizate cel târziu în a treia zi a fiecărei luni (ceea ce înseamnă că reclamanta trebuie să furnizeze pârâtei toate informațiile privind anunțurile publicate în luna precedentă). Având în vedere cele de mai sus, instanța de trimitere se întreabă dacă o astfel de practică din partea unei autorități naționale este compatibilă cu cerințele prevăzute de RGPD.

25.

În acest context factual și juridic, Administratīvā apgabaltiesa (Curtea Administrativă Regională) a decis să suspende judecarea cauzei și să adreseze Curții de Justiție următoarele întrebări preliminare:

„1)

Cerințele prevăzute de [RGPD] trebuie interpretate în sensul că o solicitare de comunicare de informații formulată de Administrația fiscală precum cea în discuție în prezenta cauză, prin care se solicită furnizarea de informații conținând un volum considerabil de date cu caracter personal, trebuie să respecte cerințele prevăzute de [RGPD] [în special la articolul 5 alineatul (1) din acesta]?

2)

Cerințele prevăzute de [RGPD] trebuie interpretate în sensul că Administrația fiscală [letonă] poate să deroge de la dispozițiile articolului 5 alineatul (1) din regulamentul menționat, inclusiv atunci când legislația în vigoare în Republica Letonia nu conferă această prerogativă acestei administrații?

3)

Se poate considera, în contextul interpretării cerințelor prevăzute de [RGPD], că există un obiectiv legitim care justifică obligația, impusă prin intermediul unei solicitări de comunicare de informații precum cea în discuție în prezenta cauză, de a furniza toate datele solicitate într‑un volum și pentru o perioadă nedeterminate, fără să se stabilească data la care încetează executarea respectivei solicitări de comunicare de informații?

4)

Se poate considera, în contextul interpretării cerințelor prevăzute de [RGPD], că există un obiectiv legitim care justifică obligația impusă prin intermediul unei solicitări de comunicare de informații precum cea în discuție în prezenta cauză, de a furniza toate datele solicitate, inclusiv atunci când în solicitarea de comunicare de informații nu se indică (sau se indică în mod incomplet) scopul comunicării informațiilor?

5)

Se poate considera, în contextul interpretării cerințelor prevăzute de [RGPD], că există un obiectiv legitim care justifică obligația, impusă prin intermediul unei solicitări de comunicare de informații precum cea în discuție în prezenta cauză, de a furniza toate datele solicitate, inclusiv atunci când, în practică, aceasta se referă la absolut toate persoanele interesate care au publicat anunțuri în secțiunea «Autovehicule» a unui site internet?

6)

Ce criterii trebuie să se aplice pentru a se verifica dacă Administrația fiscală, în calitate de operator, garantează în mod corespunzător că prelucrarea datelor (inclusiv obținerea informațiilor) îndeplinește cerințele prevăzute de [RGPD]?

7)

Ce criterii trebuie să se aplice pentru a se verifica dacă o solicitare de comunicare de informații precum cea în discuție în prezenta cauză este motivată în mod corespunzător și are caracter ocazional?

8)

Ce criterii trebuie să se aplice pentru a se verifica dacă prelucrarea datelor cu caracter personal se realizează în măsura necesară și în conformitate cu cerințele prevăzute de [RGPD]?

9)

Ce criterii trebuie să se aplice pentru a se verifica dacă Administrația fiscală, în calitate de operator, garantează conformitatea prelucrării datelor cu cerințele prevăzute la articolul 5 alineatul (1) din [RGPD]?”

26.

Au prezentat observații scrise guvernele belgian, elen, spaniol și leton, precum și Comisia Europeană. Reclamanta, guvernele belgian, spaniol și leton, împreună cu Comisia au răspuns la întrebările scrise adresate de Curte în conformitate cu articolul 61 alineatul (1) din Regulamentul de procedură al Curții de Justiție.

IV. Apreciere

27.

Prezentele concluzii sunt structurate după cum urmează. Mai întâi, vom examina dacă RGPD este aplicabil unei solicitări adresate de o autoritate publică unui operator pentru obținerea unui anumit volum de date cu caracter personal. Având în vedere întrebările ridicate de instanța de trimitere, este necesară o dublă clarificare de la bun început: cine ce calitate are în acțiunea principală și ce norme specifice prevede RGPD în astfel de cazuri (A). În continuare, ne vom referi la cadrul juridic (mai degrabă sumar) care derivă din RGDP în ceea ce privește solicitările privind transferul de date adresate de autoritățile publice întreprinderilor private (B). Vom încheia apoi cu câteva observații cu privire la ceea ce constituie, cel puțin în opinia noastră, adevărata problemă spinoasă a acestei cauze, chiar dacă aceasta nu a fost ridicată în mod expres de instanța de trimitere (C).

A.   Aplicabilitatea RGPD

28.

Instanța de trimitere a adresat nouă întrebări, fiecare dintre acestea vizând, într‑un fel sau altul, legalitatea unor cereri specifice de transfer al anumitor date cu caracter personal adresate de o autoritate fiscală unei întreprinderi private, în scopul colectării impozitelor și al depistării evaziunii fiscale. Datele cu caracter personal în cauză au fost obținute de întreprinderea privată de la persoanele vizate în cadrul activității sale comerciale obișnuite.

29.

Cu toate acestea, din cele nouă întrebări adresate nu rezultă în mod evident cine anume ce obligații are și în temeiul cărei dispoziții din RGPD. Această ambiguitate indică mai degrabă un grad semnificativ de incertitudine în ceea ce privește încadrarea prezentei cauze, în cel puțin două moduri.

30.

În primul rând, dintre categoriile stabilite de RGPD, cine ce calitate are în prezenta cauză? Prezenta cauză se referă la transferul, de la întreprinderea privată la autoritatea publică, al anumitor date dintr‑un set mai mare de date colectate și controlate de întreprinderea privată. Aceasta este operațiunea specifică de prelucrare, în sensul articolului 4 alineatul (2) din RGPD, care stă la baza întrebărilor adresate Curții.

31.

Cu toate acestea, rezultă de asemenea că, în ceea ce privește acest transfer de date, instanța de trimitere consideră deja că autoritatea fiscală (pârâta) este operatorul responsabil cu operațiunea de prelucrare specifică ( 9 ). Această ipoteză, care stă la baza întregii decizii de trimitere, este formulată în mod expres la întrebările 6 și 9. Acest lucru necesită o clarificare preliminară: cine anume trebuie să respecte RGPD în prezenta cauză? Cine este operatorul pentru această operațiune de prelucrare specifică? (2)

32.

În al doilea rând, din cauza acestei incertitudini, există o altă problemă importantă: care sunt dispozițiile specifice ale RGPD care se aplică solicitărilor de transferuri de date și care dintre aceste dispoziții se referă, în special, la tipul și la cantitatea de date pe care o autoritate publică le‑ar putea solicita unei întreprinderi private? În această privință, este destul de revelator faptul că trei dintre întrebările instanței de trimitere nu menționează decât articolul 5 alineatul (1) din RGPD, o dispoziție transversală care stabilește principiile referitoare la prelucrarea datelor cu caracter personal de către orice operator. În schimb, celelalte întrebări se referă pur și simplu la „cerințele prevăzute de RGPD”, fără a preciza ce dispoziții specifice ar trebui să conțină aceste cerințe.

33.

Astfel, este necesară o altă clarificare preliminară în legătură cu dispoziția aplicabilă (dispozițiile aplicabile) din RGPD, în special în ceea ce privește raportul dintre întreprinderea reclamantă și autoritatea fiscală pârâtă. Cum reglementează în mod specific RGDP astfel de solicitări de transfer de date și drepturile și obligațiile reciproce dintre o întreprindere privată și o autoritate publică? (3)

34.

Acestea fiind spuse, înainte de a aborda aceste două aspecte, vom reaminti motivul pentru care, în opinia noastră, aplicarea și respectarea RGPD nu pot fi privite într‑o manieră abstractă, interpretând definiții care nu se referă la o operațiune de prelucrare specifică ce ar trebui să fie considerată punct de plecare. Odată explicat acest lucru, numai atunci este posibilă o analiză corectă a actorilor și a obligațiilor respective ale acestora (1).

1. Definițiile abstracte și caracterul atotcuprinzător al RGPD

35.

În prezenta cauză, toate părțile interesate, inclusiv guvernul leton, sunt de acord că, în cazul în care punctul de plecare al analizei se bazează pe definițiile legislative ale noțiunilor „date cu caracter personal” și „prelucrare”, prevăzute la articolul 4 din RGPD, atunci acest instrument este cu siguranță aplicabil cauzei din acțiunea principală.

36.

În primul rând, datele vizate de solicitarea de comunicare de informații sunt date cu caracter personal în sensul articolului 4 alineatul (1) din RGPD. Informațiile solicitate, precum numărul de telefon al persoanelor vizate sau numărul de șasiu al mașinii, constituie „informații privind o persoană identificată sau identificabilă”. Într‑adevăr, aceste informații permit identificarea vânzătorilor de autovehicule și, prin urmare, a potențialilor contribuabili.

37.

În al doilea rând, conform jurisprudenței consacrate, o comunicare a datelor cu caracter personal ( 10 ) prin transmitere constituie, la fel ca reținerea de date sau orice altă formă de punere la dispoziție, o prelucrare ( 11 ). Într‑adevăr, „divulgarea prin transmitere” este inclusă în lista descriptivă a operațiunilor de prelucrare enumerate la articolul 4 alineatul (2) din RGPD.

38.

În al treilea rând, această prelucrare a datelor cu caracter personal este în mod clar efectuată prin mijloace automatizate, în sensul articolului 2 alineatul (1) din RGPD.

39.

În plus, niciuna dintre aceste excepții, care, în orice caz, trebuie interpretate în mod restrictiv ( 12 ), nu este aplicabilă în prezenta cauză. În lumina Hotărârii Österreischischer Rundfunk și alții ( 13 ) și în special în urma recentei hotărâri Penalty Points ( 14 ), nu se poate susține că prelucrarea datelor cu caracter personal în cauză a avut loc „în cadrul unei activități care nu intră sub incidența dreptului Uniunii”, în sensul articolului 2 alineatul (2) litera (a) din RGPD.

40.

Nici excepția prevăzută la articolul 2 alineatul (2) litera (d) din RGPD nu pare să fie aplicabilă. „Autoritățile competente”, în temeiul dispoziției respective, par a fi organisme precum poliția sau serviciile ministerului public ( 15 ). Acestea nu includ autoritățile fiscale care acționează în scopul colectării impozitelor, nici, cu atât mai puțin, furnizorii de servicii de publicitate pe internet. În plus, chiar dacă prelucrarea datelor de către autoritățile fiscale competente ar putea în unele cazuri să conducă în cele din urmă la detectarea unei infracțiuni sub forma unei fraude fiscale, aceasta este doar o posibilitate ipotetică în acest stadiu ( 16 ).

41.

Astfel, dacă urmăm această abordare, trebuie să concluzionăm că RGPD este aplicabil: există în speță date cu caracter personal care sunt prelucrate prin mijloace automatizate. Or, astfel cum am făcut deja aluzie în introducerea prezentelor concluzii, o astfel de abordare, bazată pe noțiunile relevante de la articolul 4 din RGPD, precum „prelucrare” ( 17 ), „date cu caracter personal” ( 18 ) sau „operator” ( 19 ), interpretate în mod extensiv și în afara oricărei operațiuni specifice de prelucrare, înseamnă că orice comunicare a oricărei informații ar fi reglementată de RGPD.

42.

Pentru a interpreta corect obligațiile tuturor actorilor implicați, punctul de plecare al unei analize în temeiul RGPD ar trebui să fie identificarea clară a unei operațiuni specifice de prelucrare. Numai atunci se poate efectua în mod corespunzător o apreciere a obligațiilor care decurg din RGPD în cazul acestei operațiuni specifice pentru actorii efectiv implicați în prelucrarea respectivă ( 20 ). Operațiunea reglementată este operațiunea specifică de prelucrare, activitatea efectuată asupra datelor și în legătură cu acestea. Logica normativă a RGDP și miza acestuia sunt legate de prestații și axate pe procesele respective, fiind, prin urmare, în mod necesar dinamice.

2. Cine ce calitate are în prezenta cauză?

43.

Care este operațiunea de prelucrare specifică în prezenta cauză? Executarea unor solicitări de comunicare de informații precum cele din acțiunea principală necesită, fără îndoială, prelucrarea unor date cu caracter personal cărora RGPD le va fi, în principiu, aplicabil. În prezenta cauză, există două entități diferite care efectuează o prelucrare de date la un moment dat. În întrebările sale, instanța de trimitere se concentrează asupra prelucrării efectuate de către pârâtă, și anume de către autoritatea fiscală națională. Or, din faptele cauzei reiese că prelucrarea ar trebui efectuată mai întâi de către reclamantă, și anume de întreprinderea privată.

44.

În Hotărârea pronunțată în cauza Fashion ID ( 21 ), Curtea a analizat operațiunile specifice în cauză în cadrul prelucrării datelor pentru a identifica operatorul relevant (operatorii relevanți). Curtea a constatat că noțiunea de „operator” nu face trimitere în mod necesar la un organism unic și poate privi mai mulți actori care participă la această prelucrare, fiecare dintre ei fiind în acest caz supus dispozițiilor aplicabile în materie de protecție a datelor ( 22 ). Cu toate acestea, o persoană fizică sau juridică nu poate fi considerată operator în privința unor operațiuni anterioare sau ulterioare din lanțul de prelucrare cărora nu le stabilește nici scopurile, nici mijloacele ( 23 ).

45.

În prezenta cauză, pârâta este susceptibilă de a fi operator din momentul în care a primit datele solicitate de la reclamantă și a început prelucrarea acestora în sensul articolului 4 alineatul (2) din RGPD ( 24 ). În această etapă, pârâta nu numai că va începe să prelucreze datele, dar este probabil să stabilească și mijloacele și scopurile propriei prelucrări în sensul articolului 4 alineatul (7) din RGPD. Atunci când va efectua ea însăși orice operațiune viitoare de prelucrare a datelor, pârâta va trebui să respecte în momentul respectiv – cu condiția ca statul membru să nu fi adoptat restricții în acest sens în temeiul articolului 23 din RGPD – principiile referitoare la calitatea datelor prevăzute la articolul 5 din RGPD și să își întemeieze operațiunea (operațiunile) de prelucrare pe unul dintre scenariile prevăzute la articolul 6 alineatul (1) din RGPD ( 25 ).

46.

Cu toate acestea, din decizia de trimitere rezultă clar că prezenta procedură nu a ajuns încă în această etapă. Autoritatea fiscală nu se află în posesia datelor solicitate. Prin urmare, aceasta nu ar fi putut începe nicio operațiune de prelucrare a acestor date. În plus, Curtea nu a primit nicio informație cu privire la ce anume intenționează pârâta să facă cu datele sau cu privire la tipul de prelucrare ce ar urma să fie efectuată de aceasta.

47.

Tot ceea ce s‑a întâmplat până acum este că autoritatea fiscală a solicitat unei întreprinderi private să îi furnizeze un anumit set de date. Aceasta, în sine, nu reprezintă o prelucrare a datelor cu caracter personal, cu siguranță nu a datelor care încă nu au fost obținute. Într‑un astfel de scenariu factual, reclamanta, și anume întreprinderea privată, rămâne operatorul datelor în măsura în care le‑a obținut în primul rând prin intermediul propriei sale activități, deci pentru mijloace și scopuri definite de ea însăși. Atunci când prelucrează datele pe care le deține pentru a le comunica pârâtei în conformitate cu condițiile primite, reclamanta rămâne operator și pentru această operațiune de prelucrare. Reclamanta este cea care efectuează această prelucrare ulterioară ( 26 ).

48.

În acest context și în conformitate cu articolul 6 alineatul (1) litera (c) din RGPD, reclamanta asigură astfel respectarea unei obligații legale care îi revine în calitate de operator, și anume articolul 15 alineatul (6) din Legea privind impozitele și taxele. În calitatea sa de operator, reclamanta este de asemenea obligată să respecte RGPD atunci când prelucrează date cu caracter personal, precum și în cazul comunicării acestor date către pârâtă. Cu toate acestea, instanța de trimitere nu cere să se stabilească domeniul de aplicare al prelucrării datelor solicitate reclamantei în cadrul executării cererii în cauză. De fapt, aceasta nu a adresat nicio întrebare cu privire la posibilele obligații ale reclamantei în temeiul RGPD atunci când efectuează această prelucrare.

49.

Prin evidențierea pârâtei ca presupus titular al obligațiilor în temeiul RGPD, instanța de trimitere pare să fie preocupată de temeiul (juridic) al prelucrării în sensul articolului 6 alineatul (3) din RGPD, și anume de articolul 15 alineatul (6) din Legea privind impozitele și taxele, astfel cum a fost pus în aplicare în continuare prin solicitările de comunicare de informații depuse de pârâtă.

50.

În concluzie, problema‑cheie care stă la baza tuturor celor nouă întrebări ale instanței de trimitere pare să fie cea a domeniului de aplicare și a condițiilor de transfer al datelor cu caracter personal între doi operatori succesivi ( 27 ). Care sunt dispozițiile din RGPD, în cazul în care acestea există, care reglementează raporturile dintre operatorii succesivi? Conține RGPD vreo limită (materială sau temporală) în ceea ce privește domeniul de aplicare și tipul de transferuri de date cu caracter personal între doi operatori, în speță o întreprindere privată și o autoritate publică? Toate aceste aspecte se referă în mod corespunzător la temeiul juridic al obținerii datelor cu caracter personal și nu privesc cu adevărat operațiunea de prelucrare.

3. Obligații specifice care decurg din RGPD?

51.

RGPD se referă în primul rând la protecția datelor cu caracter personal ale persoanelor vizate și la raportul dintre aceste persoane și orice entitate care le prelucrează datele. În acest sens, RGPD stabilește drepturile persoanelor vizate și obligațiile operatorilor relevanți în cadrul prelucrării datelor cu caracter personal.

52.

O astfel de logică de reglementare se concentrează pe date, precum și pe entitățile care le accesează și lucrează cu acestea. Există foarte puține dispoziții în cadrul RGPD care reglementează în mod direct și expres raporturile dintre entitățile de prelucrare a datelor ( 28 ). Desigur, RGPD se extinde la aceste raporturi în mod indirect. Acesta obligă orice entitate ulterioară care obține datele să protejeze datele și drepturile persoanelor vizate. În acest mod, RGPD stabilește într‑adevăr anumite condiții pentru divulgarea și transferul de date. Totuși, cu siguranță acest lucru nu înseamnă că RGPD ar reglementa în mod direct raporturile dintre aceste entități.

53.

Într‑un fel, în cazul în care datele ar fi privite ca bunuri, atunci logica de reglementare a RGPD este analoagă cu un regim de drept public specific pentru anumite tipuri de bunuri (prețioase, artistice, istorice). Un astfel de regim impune anumite limitări asupra acestor bunuri: cum pot fi fabricate astfel de bunuri, cum trebuie utilizate, în ce condiții pot fi modificate, stocate, revândute sau distruse. Un astfel de regim specific protejează bunurile și obligă astfel în mod indirect orice proprietar sau posesor succesiv al acestor bunuri. Cu toate acestea, în sine, acest regim specific rămâne legat de bunuri. Acesta nu reglementează nici acordurile private în cadrul cărora astfel de bunuri ar putea fi vândute între doi particulari, nici condițiile în care aceleași bunuri ar putea sau ar trebui să fie transmise de la o entitate privată la una publică. Reglementarea bunurilor este diferită de reglementarea titlului de proprietate asupra acestor bunuri sau a comerțului cu acestea.

54.

RGPD poate fi interpretat în mod rezonabil doar prin clarificarea acestei logici de reglementare a RGPD, precum și prin concentrarea asupra operațiunii specifice de prelucrare ca punct de plecare pentru obligațiile potențiale care decurg din acest instrument. Altfel, RGPD va fi întotdeauna aplicabil, în timp ce, oricât de creativă ar fi interpretarea acestuia, pur și simplu nu va exista nicio dispoziție care să reglementeze chestiunea specifică prezentată. Rezultatul inevitabil al unor astfel de cauze va fi că RGPD nu se opune unei anumite legislații sau practici naționale. Totuși, această „lipsă a opoziției” nu va fi neapărat rezultatul faptului că regimurile naționale sunt în principiu legale, ci mai degrabă al faptului că o astfel de chestiune pur și simplu nu este reglementată de RGPD, chiar dacă ea atinge, într‑un fel sau altul, datele cu caracter personal.

55.

Jurisprudența Curții este familiarizată cu astfel de „cazuri fals pozitive” în ceea ce privește diversele obligații de divulgare a datelor prevăzute de legislația națională din diferite motive. Din nou, majoritatea acestor cazuri nu se referă la o operațiune precisă de prelucrare aflată în curs de desfășurare, ci mai degrabă la chestiunea în amonte față de temeiul juridic pentru o astfel de operațiune viitoare. Acestea variază de la inițierea unor proceduri civile pentru a asigura respectarea drepturilor de autor ( 29 ) la gestionarea adecvată a fondurilor publice ( 30 ) sau la protejarea securității naționale ( 31 ). Printre exemplele din această categorie se pot număra și cauze precum Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ) sau J & S Service ( 35 ).

56.

Desigur, în toate aceste situații, RGPD era aplicabil în ceea ce privește drepturile persoanelor vizate în raport cu operatorul (operatorii) în contextul unor operațiuni de prelucrare specifice care tocmai avuseseră loc sau urmau să aibă loc. Or, încă o dată, logica de reglementare a RGPD și domeniul de aplicare propriu acestuia trebuie să urmărească fluxul de date și să asigure protecția datelor cu caracter personal în cadrul operațiunilor de prelucrare. RGDP nu are ca obiect să reglementeze orice raport în amonte între diverse entități care ar putea fi în posesia datelor, inclusiv motivele pentru care și modul în care acestea ar putea intra în posesia datelor respective. Cu alte cuvinte, RGPD nu garantează niciun „drept” al unui operator împotriva altui operator.

57.

Aceasta nu înseamnă că astfel de aspecte nu sunt reglementate de lege. Ele sunt reglementate, dar prin alte instrumente care vizează în principal aplicarea legii. În aceste instrumente se regăsește în primul rând temeiul juridic al prelucrării care este prevăzută la articolul 6 alineatul (3) din RGPD. În ceea ce privește transferurile obligatorii de date cu caracter personal, aceste transferuri tind într‑adevăr să fie prevăzute, în mod destul de logic, în „instrumentele de aplicare a legii”, fie că este vorba de dreptul Uniunii ( 36 ) sau de dreptul național. În ceea ce privește transferurile voluntare de date cu caracter personal, în măsura în care este posibil și permis de regimul de drept public reprezentat de RGPD, baza acestor transferuri va fi dreptul intern al afacerilor sau dreptul intern contractual, în funcție de tipul de acorduri în vigoare între operatorii succesivi respectivi.

58.

Având în vedere aceste clarificări, în opinia noastră, prezenta cauză nu se referă (încă) la nicio operațiune de prelucrare. Aceasta vizează temeiul juridic al prelucrării respective, care este o chestiune la care RGPD doar face referire, dar pe care nu o reglementează în mod direct. Totuși, acestea fiind spuse și în efortul de a asista pe deplin instanța de trimitere, ceea ce urmează în secțiunea următoare a prezentelor concluzii este conturarea cadrului de bază care derivă din RGPD și care va fi aplicabil operațiunii de prelucrare odată ce aceasta este efectuată de operator, întreprinderea privată (B). Obiectivul RGPD este de a proteja persoana vizată, iar nu o întreprindere privată, împotriva unei ingerințe publice în ceea ce privește libertatea sa de a desfășura o activitate comercială sau dreptul său de proprietate sub forma exploatării datelor. Aceasta nu înseamnă că o astfel de problemă nu poate da naștere unei preocupări valide, ci mai degrabă că este greu să poată fi reglementată de RGPD (C).

B.   (Temeiul juridic pentru) transferurile de date cu caracter personal către autoritățile publice

59.

Ceea ce urmează este o discuție destul de generală privind temeiul juridic pentru prelucrarea datelor pe care reclamanta ar trebui să o efectueze atunci când execută o solicitare de comunicare de informații din partea pârâtei. În această privință, probabil că dispoziția relevantă este articolul 6 din RGPD, în special alineatele (1) și (3), interpretate în lumina considerentului (45).

60.

Cu titlu preliminar, trebuie menționat că nu au fost furnizate Curții informații specifice cu privire la niciun fel de norme interne suplimentare aplicabile în materie de protecție a datelor în împrejurări precum cele din acțiunea principală. În plus, Curtea nu a primit nicio informație cu privire la existența, în afară de articolul 15 alineatul (6) din Legea privind impozitele și taxele, a altor acte naționale cu aplicabilitate generală (de exemplu, un decret sau orientări privind punerea în aplicare) care să reglementeze mai detaliat obligația în cauză pentru furnizorii de servicii (de publicitate pe internet) de a comunica anumite date autorităților fiscale. De asemenea, există, în general, foarte puține informații privind cadrul legislativ național de punere în aplicare a RGPD.

61.

În plus, nu s‑a precizat dacă articolul 23 alineatul (1) litera (e) din RGPD a fost pus în aplicare în dreptul intern în orice alt mod. Faptul că această dispoziție de drept al Uniunii a fost sau nu pusă în aplicare nu determină legalitatea solicitării de transfer de informații. Totuși, aceasta ar fi relevantă pentru a determina domeniul de aplicare și natura obligațiilor pe care un operator ulterior (o autoritate publică) le‑ar putea avea față de persoanele vizate, precum și pentru a determina obligațiile operatorului inițial și informațiile pe care acesta din urmă trebuie să le furnizeze persoanelor vizate.

62.

Prin urmare, discuția care urmează nu poate fi decât una oarecum generală. Vom aborda mai întâi principiile care decurg din articolul 6 din RGPD pentru viitoarea prelucrare ce urmează să fie efectuată de o întreprindere privată pentru a răspunde unei solicitări de date din partea unei autorități publice, iar aceasta în ceea ce privește scopul unor astfel de transferuri de date (1), precum și domeniul de aplicare și durata acestora (2). Vom trece apoi la temeiul juridic al unor asemenea transferuri, întrucât cerințele referitoare la acest temei devin mai clare odată ce au fost abordate subproblemele anterioare (3).

1. Scopul

63.

În general, scopul pentru care autoritatea fiscală solicită divulgarea datelor cu caracter personal în cadrul acțiunii principale este fără îndoială unul legitim. Astfel, asigurarea colectării corespunzătoare a impozitelor și detectarea unor potențiale încălcări ale obligației de plată a impozitelor pot fi cu siguranță încadrate în tipurile de obiective și scopuri legitime pentru prelucrarea datelor, în conformitate atât cu articolul 6 alineatul (1), cât și cu articolul 6 alineatul (3) din RGPD ( 37 ).

64.

Cheia problemelor ridicate de prezenta cauză este nivelul de abstractizare necesar atunci când se menționează un astfel de obiectiv. În această privință, pare să existe o anumită confuzie între două tipuri de scopuri specifice: pe de o parte, căutarea anumitor tipuri de informații (pentru a detecta încălcări ale legii) și, pe de altă parte, (ii) verificarea faptului că anumite încălcări au avut loc (și solicitarea divulgării unor date specifice pentru a confirma această presupunere).

65.

Natura celor două tipuri de transferuri de date (și, prin urmare, domeniul lor de aplicare) este inevitabil diferită. Căutarea și detectarea au o logică ex ante, amplă și în mare măsură nedeterminată în ceea ce privește persoanele vizate concrete. Dacă scopul este acela de a detecta posibile încălcări, atunci năvodul metaforic trebuie aruncat destul de departe. În schimb, logica verificării posibilelor încălcări prin divulgarea datelor relevante poate fi mult mai nuanțată și mai țintită. În acest caz, logica este mult mai ex post și este axată pe verificarea anumitor suspiciuni legate în general de o persoană vizată deja identificabilă.

66.

În opinia noastră, articolul 6 din RGPD permite ambele scenarii. Acestea fiind spuse, articolul 6 alineatul (3) din RGPD necesită un temei juridic clar pentru fiecare dintre aceste transferuri de date.

67.

Cu toate acestea, dacă luăm în considerare modul de redactare a articolului 15 alineatul (6) din Legea privind impozitele și taxele, înțelegem ezitările instanței de trimitere în contextul prezentei cauze. În modul de redactare ce era aparent în vigoare în momentul în care instanța de trimitere a formulat cererea de decizie preliminară, această dispoziție preciza că, la cererea autorității fiscale de stat, furnizorii de servicii de publicitate pe internet puteau fi obligați să furnizeze informații cu privire la persoanele impozabile (în cauză).

68.

În consecință, ar părea că, în prezenta cauză, scopul divulgării, astfel cum este menționat în temeiul juridic relevant, seamănă cu cel din al doilea scenariu prezentat mai sus: verificarea anumitor informații cu privire la persoane impozabile specifice. Or, autoritatea fiscală națională pare să fi utilizat acest temei juridic pentru ceea ce pare a fi o solicitare de transferuri (nelimitate) de date sau chiar o colectare de date în mod direct în vederea efectuării unui exercițiu general de căutare și detectare, care se încadrează în primul scenariu descris mai sus. În aceasta constă disonanța logică ce pare să se afle la baza prezentei cauze la nivel național, rezultând un sentiment de confuzie atât cu privire la proporționalitatea unei astfel de măsuri (2), cât și cu privire la temeiul juridic adecvat al acesteia (3).

2. Domeniul de aplicare și durata

69.

Proporționalitatea, precum și, de altfel, „reducerea la minimum” reprezintă o analiză a raportului dintre obiectivele (declarate) și mijloacele (alese). Problema în prezenta cauză este că, în funcție de obiectivul ales în cadrul celor două scenarii (ideale ( 38 )) care tocmai au fost prezentate, aprecierea proporționalității este posibil să fie diferită.

70.

În cadrul unui obiectiv de „căutare și detectare”, autoritățile publice își vor arunca năvodul cât mai departe posibil pentru a se asigura că pot fi găsite informații relevante. Acest lucru poate implica prelucrarea unei cantități mari de date. Într‑adevăr, necesitatea de a obține și de a prelucra seturi mai mari de date este inerentă acestui tip de căutare generală și nedeterminată a informațiilor. În acest scenariu, proporționalitatea și reducerea la minimum a prelucrării datelor se pot referi cu adevărat doar la tipul de date solicitate în cazul în care informațiile necesare pot fi potențial găsite ( 39 ).

71.

În cadrul unui obiectiv de „verificare”, în care autoritățile publice au nevoie să obțină dovezi referitoare la conținutul unei tranzacții sau al unui set de tranzacții specifice, aprecierea proporționalității poate fi, în mod natural, mai exigentă. În acest caz, autoritatea fiscală poate solicita doar tranzacții specifice, într‑un anumit interval de timp, pentru a face verificări ex post, de regulă în ceea ce privește anumite persoane impozabile. Astfel, solicitările de informații pot fi adaptate la datele specifice care conțin tipul de informații respectiv.

72.

Logica considerentului (31) al RGPD, în măsura în care suntem în măsură să distingem vreuna, pare să se refere doar la cel de al doilea scenariu. A doua teză a considerentului respectiv, care a fost invocată și discutată din abundență de părțile interesate, în special de Comisie, prevede că solicitările de comunicare a datelor adresate de autoritățile publice ar trebui să fie formulate întotdeauna în scris, motivate și cu caracter ocazional și nu ar trebui să se refere la întregul sistem de evidență sau să conducă la interconectarea sistemelor de evidență.

73.

Or, în opinia noastră, nu este posibil să scoatem din context un considerent al unui regulament (sau o parte a acestui considerent), să îl tratăm ca pe o dispoziție independentă și obligatorie, fără ca acesta să fie cel puțin reluat în altă parte în cadrul textului obligatoriu din punct de vedere juridic al instrumentului respectiv ( 40 ), și, pe această bază, să proclamăm că orice transfer de date cu caracter personal către autoritățile publice poate avea loc numai în condițiile respective. Pur și simplu nu putem accepta sugestia conform căreia o parte a considerentului (31), examinată în mod izolat, interzice toate transferurile de date la scară mai mare către autoritățile publice, chiar și pe cele care au un temei juridic adecvat (în dreptul intern și/sau al Uniunii) și sunt conforme cu toate dispozițiile obligatorii din RGPD.

74.

În contextul prezentei cauze, guvernul leton a susținut că volumul de informații solicitate poate fi considerat rezonabil în măsura în care solicitarea de comunicare include doar anunțuri publicate la rubrica „Autovehicule”, una din cele 112 secțiuni ale site‑ului internet în cauză administrat de reclamantă. Guvernele belgian și spaniol au adăugat că, în opinia lor, problema nu este cantitatea de date, ci mai degrabă tipul de date solicitate.

75.

Suntem de acord cu aceste observații.

76.

Proporționalitatea căutării și detectării ex ante presupune un „control al calității” în ceea ce privește tipul de date solicitate. Doar pentru verificarea ex post a anumitor fapte se poate aplica pe deplin „controlul cantitativ” mai tradițional. În caz contrar, majoritatea mijloacelor de control sau de supraveghere a datelor ar fi, în practică, excluse.

77.

În măsura în care există un temei juridic adecvat în dreptul Uniunii sau în dreptul intern, o autoritate fiscală națională poate solicita în principiu toate datele necesare pentru tipul de examinare pe care trebuie să o efectueze, fără nicio limitare în timp. Singura limită care decurge din RGPD este proporționalitatea în ceea ce privește tipul de date solicitate. Astfel cum subliniază în mod corect guvernul elen, solicitările de comunicare de informații ar trebui să se limiteze la tipul de date referitoare la activitatea economică a persoanelor impozabile, spre deosebire de cele care se raportează la viața privată a acestora.

78.

Pentru a da un exemplu, în cazul în care scopul declarat este de a detecta veniturile nedeclarate din vânzarea autovehiculelor de ocazie, autoritatea fiscală nu are dreptul să solicite și informații cu privire la faptul dacă persoana care vinde autovehiculul este sau nu roșcată, dacă urmează un anumit regim alimentar sau dacă deține o piscină. În consecință, tipul de informații solicitate trebuie să aibă o legătură clară cu căutarea și cu investigația divulgată.

79.

Pe lângă acestea, aprecierea proporționalității în oricare dintre cele două scenarii prezentate mai sus rămâne în sarcina instanței naționale, fiind efectuată în lumina împrejurărilor de fapt și de drept din fiecare cauză ( 41 ). În termeni simpli, în prezenta cauză, întrebarea care trebuie pusă este dacă tipul de date solicitate este adecvat pentru a permite pârâtei să obțină informațiile necesare pentru a‑și îndeplini obiectivul declarat.

3. Temeiul juridic (pentru prelucrarea viitoare)

80.

În sfârșit, având în vedere clarificările care tocmai au fost făcute, abia acum poate fi examinată în mod util chestiunea esențială a temeiului juridic. În mod firesc, ambele scenarii prezentate în subsecțiunile anterioare ale prezentelor concluzii („căutarea și detectarea” și „verificarea”) necesită o bază juridică în temeiul articolului 6 alineatul (3) din RGPD pentru ca prelucrarea efectuată de reclamantă să aibă loc. Dispoziția respectivă permite în mod expres adaptarea specifică a aplicării normelor generale ale RGPD, fie că este vorba despre dreptul Uniunii sau despre dreptul statelor membre.

81.

Cu toate acestea, în orice caz, temeiul juridic prevăzut trebuie să acopere în mod logic scopul specific al prelucrării și tipul de prelucrare efectuată în acest scop. Modul exact în care se va proceda în acest sens ține de dispozițiile specifice de adaptare ale statului membru sau ale Uniunii, potrivit articolului 6 alineatul (3) din RGPD. În general, cu cât transferurile de date sunt mai generalizate, mai ample și mai permanente, cu atât baza legislativă trebuie să fie mai solidă, mai detaliată și mai expresă, întrucât astfel de transferuri de date presupun o ingerință mai mare în raport cu garantarea protecției datelor. În schimb, cu cât solicitările de divulgare sunt mai discrete și mai limitate – de obicei în ceea ce privește doar una sau unele dintre persoanele vizate sau chiar și în ceea ce privește o cantitate limitată de date – cu atât este mai probabil ca aceste solicitări să poată fi efectuate la nivelul unor cereri administrative individuale, clauza de abilitare legislativă rămânând mai degrabă largă și generică.

82.

Cu alte cuvinte, cele două niveluri de reglementare, și anume cel legislativ și cel administrativ, care constituie în cele din urmă temeiul juridic pentru prelucrarea datelor, funcționează împreună. Cel puțin unul dintre acestea trebuie să fie suficient de specific și de adaptat la un anumit tip sau la o anumită cantitate de date cu caracter personal solicitate. Cu cât este mai elaborat nivelul legislativ, structural pentru astfel de transferuri de date, cu atât mai puțin necesar este ca cererea administrativă individuală să fie astfel. Nivelul legislativ ar putea chiar să fie atât de detaliat și de cuprinzător încât să fie complet autonom și aplicabil în mod automat. În schimb, cu cât nivelul legislativ este mai generic și mai vag, cu atât se impune ca la nivelul cererii administrative individuale să existe mai multe detalii, inclusiv o formulare clară a obiectivelor care va delimita astfel domeniul de aplicare.

83.

Acest punct oferă în mod indirect un răspuns la chestiunea ridicată de instanța de trimitere cu referire la proporționalitate, chestiune care, de fapt, ar putea fi cel mai bine abordată aici pentru a determina dacă autoritățile fiscale pot formula cereri de date nelimitate în timp. În opinia noastră, în temeiul RGPD, ele pot face acest lucru. Totuși, întrebarea mai pertinentă ar trebui să fie dacă acestea au un temei juridic adecvat în dreptul național pentru ceea ce echivalează în esență cu un transfer de date continuu și permanent. Atât timp cât, în dreptul intern, astfel de transferuri au un temei clar, precum și o durată, articolul 6 alineatul (3) din RGPD nu le exclude. Din nou, considerentul (31) al RGPD nu schimbă prea multe în această privință ( 42 ). Considerăm că nu există prea mult simț practic în interpretarea acestui considerent ca impunând în mod efectiv autorităților administrative să emită în continuu (fie că este vorba de fiecare zi, lună sau an) cereri individuale identice pentru a obține ceva ce ar fi putut obține deja pe baza legislației naționale.

84.

În prezenta cauză, temeiul juridic al prelucrării pare să fie constituit atât de articolul 15 alineatul (6) din Legea privind impozitele și taxele, cât și de cererile specifice de divulgare a datelor formulate de autoritatea fiscală. Prin urmare, pare să existe un temei juridic dublu, cuprinzând, pe de o parte, o clauză legislativă generală de abilitare și, pe de altă parte, aplicarea administrativă specifică și țintită a acestei dispoziții.

85.

În ansamblu, un astfel de temei juridic dublu pare a fi suficient pentru a justifica prelucrarea datelor cu caracter personal de către reclamantă în scopul transferului acestora către o autoritate publică în temeiul articolului 6 alineatul (1) litera (c) și alineatul (3) din RGPD. Chiar dacă legislația națională care abilitează autoritățile fiscale să solicite informații rămâne mai degrabă generală, solicitările specifice de date par să vizeze în mare măsură un anumit tip de date, în pofida cantității eventual mari a acestora.

86.

Cu toate acestea, revine în cele din urmă instanței naționale sarcina de a verifica, cu deplina cunoaștere a dreptului intern, inclusiv a oricăror alte norme interne de punere în aplicare care nu au fost menționate în cursul prezentei proceduri, dacă prelucrarea solicitată de reclamantă în acțiunea principală îndeplinește sau nu cerințele prevăzute în această secțiune a prezentelor concluzii.

87.

Chestiunea care se află în centrul acestei aprecieri și care necesită o atenție deosebită este dacă, în cadrul examinării temeiului juridic, articolul 15 alineatul (6) din Legea privind impozitele și taxele, împreună cu cererile specifice de informații respectă cerința de previzibilitate ( 43 ). Legislația care permite transferul de date trebuie să stabilească norme clare și precise care să reglementeze domeniul de aplicare și aplicarea măsurii în cauză și să impună garanții minime, astfel încât persoanele ale căror date cu caracter personal sunt afectate să aibă suficiente garanții că aceste date vor fi protejate în mod eficient împotriva riscurilor de abuz ( 44 ).

88.

În consecință, temeiul juridic în ansamblul său (nivelurile legislativ și administrativ combinate) trebuie formulat cu suficientă precizie pentru toate persoanele implicate: autoritățile publice cu privire la ceea ce pot solicita, întreprinderile în legătură cu ceea ce pot furniza și, mai ales, persoanele vizate, astfel încât acestea să știe cine ar putea avea acces la datele lor și în ce scopuri. Ar putea fi reamintit faptul că informarea cu privire la prelucrarea datelor este într‑adevăr o cerință esențială în cadrul RGPD. Persoanele vizate trebuie să fie conștiente de existența unei astfel de prelucrări, iar această informare este o condiție prealabilă pentru exercitarea altor drepturi precum dreptul de acces, de ștergere sau de rectificare ( 45 ).

89.

Cu excepția cazului în care articolul 23 din RGPD a fost transpus în vreun fel în legislația națională pentru a restricționa drepturile persoanelor vizate în temeiul capitolului III din RGPD, rezultă din articolele 13 și 14 din RGPD că operatorul prelucrării trebuie să furnizeze informații persoanei vizate. În contextul transferurilor succesive de date, ar putea fi dificil de stabilit cui îi revine obligația de informare ( 46 ). În plus, în termeni practici, în absența oricăror restricții adoptate în temeiul articolului 23 alineatul (1) din RGPD, care în dreptul intern trebuie să îndeplinească cerința prevăzută la articolul 23 alineatul (2) din RGPD, o autoritate publică ce a obținut datele ar putea avea obligația de a furniza informațiile relevante menționate la articolul 14 din RGPD tuturor persoanelor vizate în cauză. În cazul în care nu există un temei juridic clar și previzibil care să permită în cele din urmă ca astfel de transferuri de date să aibă loc, cu greu se poate aștepta din partea operatorului care a colectat datele să informeze deja în mod corespunzător persoana vizată în temeiul articolului 13 din RGPD.

90.

În concluzie, considerăm, așadar, că articolul 6 alineatul (1) litera (c) și alineatul (3) din RGPD nu se opune ca normele naționale să prevadă, fără vreo limită în timp, obligația furnizorilor de servicii de publicitate pe internet de a comunica anumite date cu caracter personal unei autorități fiscale, atât timp cât există un temei juridic clar în dreptul intern pentru acest tip de transferuri de date, iar datele solicitate sunt adecvate și necesare pentru ca autoritatea fiscală să își îndeplinească sarcinile oficiale.

C.   O observație finală: întrebarea care nu a fost ridicată în prezenta cauză

91.

Nu este atribuția noastră să speculăm cu privire la motivele reale ale părților aflate în fața instanței naționale. Prin urmare, vom rămâne fideli speranței că există buni samariteni care intervin în mod dezinteresat în apărarea altora. De ce nu ar putea o companie privată să apere pur și simplu drepturile persoanelor vizate de la care a colectat datele cu caracter personal?

92.

Deși nu putem decât să ne bucurăm atunci când întreprinderile comerciale se angajează în cauza protecției datelor, presupunem că unele întreprinderi pot avea și alte motive pentru care ar putea dori să se opună transferurilor de date cu caracter personal pe care le‑au colectat, decretate de puterile publice. Un motiv ar putea fi legat de costurile unui astfel de demers. Ar trebui oare să li se permită autorităților publice să externalizeze efectiv o parte din exercițiul administrației publice, forțând întreprinderile private să suporte costurile pentru exercitarea a ceea ce în esență este administrație publică? Această problemă devine semnificativă în cazurile de transferuri de date permanente, la scară largă, care ar trebui efectuate de întreprinderi private pentru binele comun, fără nicio compensație ( 47 ). Alte motive ar putea fi mai degrabă de ordin comercial. Dacă presupunem pentru o clipă, bineînțeles la nivel pur ipotetic, că oamenilor în general nu le face plăcere să plătească impozite, poate că nu este exagerat să presupunem și că unii dintre acești oameni ar putea alege alte căi pentru a face publicitate mașinilor lor de ocazie decât un site internet care comunică ulterior informațiile aferente autorităților fiscale.

93.

Găsirea unui echilibru între toate interesele prezente într‑o astfel de situație este departe de a fi simplă. Pe de o parte, faptul ca autoritățile publice să solicite întreprinderilor private date care trebuie să fie pregătite și transmise în conformitate cu cerințele exacte ale acestora din urmă s‑ar putea apropia în mod periculos de o externalizare forțată a exercițiului administrației publice. Acest lucru ar putea fi valabil în special în ceea ce privește datele care, altfel, sunt disponibile în mod liber și pe care entitățile publice le‑ar fi putut colecta ele însele cu un mic efort tehnic. Pe de altă parte, astfel cum a subliniat în mod pertinent guvernul belgian, subliniind relevanța mai largă a situației din acțiunea principală, un răspuns ceva mai nuanțat ar putea fi necesar în situațiile diferitor forme de platforme de economie partajată sau în alte scenarii în care autoritățile publice solicită accesul la date care sunt esențiale pentru scopul public legitim declarat, dar care nu sunt disponibile în mod liber, neputând fi colectate de autoritățile publice însele. Cu toate acestea, chiar și în astfel de împrejurări, rămâne deschisă problema unei eventuale compensații.

94.

Observăm cu siguranță probleme de acest gen care se ascund în spatele procedurilor principale. Cu toate acestea, găsirea unui echilibru rezonabil pentru astfel de cazuri ar trebui să aibă loc în primul rând la nivel național sau la nivelul Uniunii, la momentul adoptării legislației relevante care prevede temeiul juridic pentru acest tip de transferuri. Aceasta nu ar trebui să facă obiectul unei intervenții judiciare, cu atât mai mult într‑o cauză în care instanța de trimitere nici măcar nu a adresat în mod explicit vreuna dintre aceste întrebări. În plus, există cel puțin două motive suplimentare pentru care prezenta cauză nu se pretează acestui tip de discuții.

95.

În primul rând, la fel ca numeroase alte aspecte care gravitează într‑o anumită măsură în jurul fluxului de date cu caracter personal, fără a avea cu adevărat legătură cu protecția drepturilor persoanelor vizate, astfel de aspecte pur și simplu nu sunt reglementate în mod specific de RGPD. Problema protecției juridice a operatorilor de date – întreprinderi private împotriva ingerințelor eventual ilegale sau disproporționate în raport cu libertatea lor de a desfășura activități comerciale, cu eventualul lor drept de proprietate ( 48 ) sau chiar cu potențialul lor drept la o compensație echitabilă pentru datele transferate – nu este o chestiune reglementată de RGPD.

96.

În al doilea rând, atât timp cât temeiul juridic al unui astfel de transfer de date nu este prevăzut de dreptul Uniunii ( 49 ), nici problema unei eventuale compensații pentru astfel de transferuri de date impuse nu poate fi o chestiune de drept al Uniunii. Din nou, aceasta nu înseamnă că astfel de probleme nu pot apărea, fie chiar și ca problemă de protecție a drepturilor fundamentale (ale operatorilor de date vizați). Totuși, aceste probleme ar trebui abordate astfel în mod corespunzător de instanțele din statul membru care impune în primul rând astfel de transferuri. În consecință, orice caz de acest tip ar trebui mai degrabă să facă obiectul unei proceduri în fața unei instanțe naționale (constituționale).

V. Concluzie

97.

Propunem Curții să răspundă la întrebările preliminare adresate de Administratīvā apgabaltiesa (Curtea Administrativă Regională, Letonia) după cum urmează:

Articolul 6 alineatul (1) litera (c) și alineatul (3) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date nu se opune ca o reglementare națională să prevadă, fără limitare în timp, obligația furnizorilor de servicii de publicitate pe internet de a comunica anumite date cu caracter personal unei autorități fiscale, atât timp cât există un temei juridic clar în dreptul național pentru un astfel de tip de transfer de date, iar datele solicitate sunt adecvate și necesare pentru ca autoritatea fiscală să își îndeplinească sarcinile oficiale.


( 1 ) Limba originală: engleza.

( 2 ) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare „Regulamentul general privind protecția datelor”) (JO 2016, L 119, p. 1).

( 3 ) Începând deja, în ceea ce privește excepțiile formulate în Directiva 95/46, cu Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 41), și cu Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctele 37-48). A se vedea mai recent, în ceea ce privește RGPD, Hotărârea din 22 iunie 2021, B (Puncte de penalizare) (C‑439/19, EU:C:2021:504, punctele 61-72).

( 4 ) A se vedea printre altele Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctele 29-39). A se vedea însă și Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629, punctul 74).

( 5 ) Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

( 6 ) Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994, punctele 18-23).

( 7 ) Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctele 12-17).

( 8 ) Hotărârea din 10 decembrie 2020, J & S Service (C‑620/19, EU:C:2020:1011, punctele15-29).

( 9 ) Contrar a ceea ce părea a fi poziția instanței de prim grad, Administratīvā rajona tiesa (Tribunalul Administrativ Districtual), care a considerat că, pentru această etapă a prelucrării datelor, operatorul era reclamanta (a se vedea mai sus punctul 21 din prezentele concluzii).

( 10 ) A se vedea printre altele Hotărârea din 29 iunie 2010, Comisia/Bavarian Lager (C‑28/08 P, EU:C:2010:378, punctul 69), și Hotărârea din 19 aprilie 2012, Bonnier Audio și alții (C‑461/10, EU:C:2012:219, punctul 52).

( 11 ) A se vedea printre altele Hotărârea din 29 ianuarie 2008, Promusicae (C‑275/06, EU:C:2008:54, punctul 45), și Hotărârea din 6 octombrie 2020, Privacy International (C‑623/17, EU:C:2020:790, punctul 41), în contextul Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63). A se vedea de asemenea, în contextul transferurilor de date către o țară terță, Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650, punctul 45).

( 12 ) A se vedea printre altele Hotărârea din 9 iulie 2020, Land Hessen (C‑272/19, EU:C:2020:535, punctul 68).

( 13 ) Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctele 39-47).

( 14 ) Hotărârea din 22 iunie 2021, B (Puncte de penalizare) (C‑439/19, EU:C:2021:504, punctele 61-72).

( 15 ) A se vedea în acest sens articolul 3 alineatul (7) din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).

( 16 ) Posibilitate viitoare ipotetică care nu este deloc concludentă pentru definirea ex ante a domeniului de aplicare normativ al unui instrument de drept al Uniunii. A se vedea de asemenea Concluziile noastre prezentate în cauzele conexe Ministerul Public – Parchetul de pe lângă Înalta Curte de Casație și Justiție – Direcția Națională Anticorupție și alții (C‑357/19 și C‑547/19, EU:C:2021:170, punctele 109-115), cu privire la un argument similar în ceea ce privește domeniul de aplicare al articolului 325 alineatul (1) TFUE.

( 17 ) A se vedea printre altele în acest sens Hotărârea din 11 decembrie 2014, Ryneš (C‑212/13, EU:C:2014:2428, punctul 30), și Hotărârea din 10 iulie 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punctul 51). În această din urmă cauză, Curtea a statuat că colectarea de date cu caracter personal efectuată de membrii unei comunități religioase în cadrul unei activități de predicare din casă în casă și prelucrarea ulterioară a acestor date pot intra în domeniul de aplicare material al RGPD.

( 18 ) A se vedea printre altele Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994, punctul 62), în care Curtea a statuat că răspunsurile scrise furnizate de un candidat în cadrul unui examen profesional și eventualele observații ale examinatorului referitoare la aceste răspunsuri constituie date cu caracter personal.

( 19 ) A se vedea printre altele Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 34), și Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctele 28-44), în care Curtea a statuat că noțiunea de „operator” cuprinde și administratorul unei pagini de fani găzduite pe o rețea socială.

( 20 ) A se vedea Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629, punctele 72 și 74).

( 21 ) Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629).

( 22 ) Ibidem, punctul 67.

( 23 ) Ibidem, punctul 74.

( 24 ) Pentru o ilustrare recentă a prelucrării de către autoritățile publice, a se vedea Hotărârea din 9 iulie 2020, Land Hessen (C‑272/19, EU:C:2020:535, punctele 64 și 65).

( 25 ) A se vedea printre altele Hotărârea din 16 ianuarie 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punctul 57). A se vedea de asemenea în acest sens Hotărârea din 1 octombrie 2015, Bara și alții (C‑201/14, EU:C:2015:638, punctul 30), și Hotărârea din 27 septembrie 2017, Puškár (C‑73/16, EU:C:2017:725, punctul 104).

( 26 ) Astfel cum prevede în special articolul 13 alineatul (2) din RGPD, deși într‑un alt context, și anume cel al informațiilor care trebuie furnizate.

( 27 ) Din motive de exhaustivitate, s‑ar putea adăuga că alte scenarii prevăzute de RGPD, precum controlul în comun între autoritatea fiscală și întreprinderea privată asupra etapei respective de prelucrare (articolul 26), sau situația interpretată ca fiind într‑o anumită măsură cea a unui raport de facto dintre un operator și o persoană împuternicită (articolul 28), par a fi excluse din situația de fapt prezentată de instanța de trimitere.

( 28 ) Cu cele două excepții notabile de la articolele 26 și 28 din RGPD menționate în nota de subsol anterioară sau, de exemplu, la articolul 19 din RGPD. Cu toate acestea și în ceea ce privește aceste dispoziții, includerea pe cale normativă a acestor categorii ar putea fi considerată în continuare ca fiind una de protecție a datelor, asigurând în esență că operatorul nu poate renunța la răspundere și nu poate fi scutit de aceasta fie prin partajarea datelor, fie prin externalizarea prelucrării acestora.

( 29 ) A se vedea printre altele Hotărârea din 24 noiembrie 2011, Scarlet Extended (C‑70/10, EU:C:2011:771).

( 30 ) Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294).

( 31 ) A se vedea printre altele Hotărârea din 21 decembrie 2016, Tele2 Sverige and Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970), și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791).

( 32 ) Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336).

( 33 ) Hotărârea din 29 ianuarie 2008, Promusicae (C‑275/06, EU:C:2008:54).

( 34 ) Hotărârea din 19 aprilie 2012, Bonnier Audio și alții (C‑461/10, EU:C:2012:219).

( 35 ) Hotărârea din 10 decembrie 2020, J & S Service (C‑620/19, EU:C:2020:1011).

( 36 ) A se vedea printre altele, în temeiul dreptului Uniunii, articolul 4 din fosta Directivă 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51) sau articolul 8 din Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO 2016, L 119, p. 132).

( 37 ) A se vedea printre altele în acest sens Hotărârea din 27 septembrie 2017, Puškár (C‑73/16, EU:C:2017:725, punctul 108), în ceea ce privește întocmirea unei liste de către o autoritate publică în scopul perceperii impozitului și al combaterii fraudei fiscale.

( 38 ) Ideale în sensul că cele două scenarii descrise reprezintă două extreme ale unei linii imaginare, mai degrabă decât niște cutii închise ermetic.

( 39 ) Ceea ce subliniază încă o dată adevărata natură a prezentei cauze, care este mult mai apropiată de cazurile în care Curtea a fost solicitată să analizeze diverse scenarii de păstrare a datelor sau de transferuri de date către țări terțe, decât o „adevărată” cauză RGPD (a se vedea mai sus la punctele 56 și 57 din prezentele concluzii, precum și jurisprudența citată la notele de subsol 11, 31 și 44).

( 40 ) A se vedea printre altele Hotărârea din 12 iulie 2005, Alliance for Natural Health și alții (C‑154/04 și C‑155/04, EU:C:2005:449, punctele 91 și 92), Hotărârea din 21 decembrie 2011, Ziolkowski și Szeja (C‑424/10 și C‑425/10, EU:C:2011:866, punctele 42 și 43), sau Hotărârea din 25 iulie 2018, Confédération paysanne și alții (C‑528/16, EU:C:2018:583, punctele 44-46 și 51).

( 41 ) A se vedea de asemenea în acest sens Hotărârea din 27 septembrie 2017, Puškár (C‑73/16, EU:C:2017:725, punctul 113).

( 42 ) A se vedea mai sus punctele 72 și 73 din prezentele concluzii.

( 43 ) A se vedea printre altele în acest sens Hotărârea din 20 mai 2003, Österreichischer Rundfunk și alții (C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctele 77 și 79).

( 44 ) A se vedea printre altele mai recent Hotărârea din 6 octombrie 2020, Privacy International (C‑623/17, EU:C:2020:790, punctul 68).

( 45 ) A se vedea în acest sens Hotărârea din 1 octombrie 2015, Bara și alții (C‑201/14, EU:C:2015:638, punctul 33).

( 46 ) A se vedea în acest sens Hotărârea din 1 octombrie 2015, Bara și alții (C‑201/14, EU:C:2015:638, punctele 34-38), și Hotărârea din 16 ianuarie 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punctul 69).

( 47 ) Pentru o problemă similară în contextul costurilor cu păstrarea datelor, a se vedea Ordonanța din 26 noiembrie 2020, Colt Technology Services și alții (C‑318/20, nepublicată, EU:C:2020:969).

( 48 ) În economiile moderne din ce în ce mai mult bazate pe date, este doar o chestiune de timp până când datele vor fi recunoscute drept un tip de bunuri sau chiar de proprietate, după cum o serie de alte bunuri imateriale au devenit bunuri cu valoare economică, inclusiv diversele tipuri de proprietate intelectuală. A se vedea în acest sens poziția deja deschisă în jurisprudența Curții Europene a Drepturilor Omului față de includerea diferitor tipuri de „bunuri” în domeniul de aplicare al articolului 1 din Primul Protocol adițional, astfel cum demonstrează printre altele Hotărârea CEDO din 11 ianuarie 2007, Anheuser‑Busch Inc. împotriva Portugaliei (CE:ECHR:2007:0111JUD007304901, punctele 63-65).

( 49 ) Spre deosebire de cazurile în care transferurile de date, stocarea sau prelucrarea datelor sunt prevăzute de un instrument de drept al Uniunii, cum este cazul celor date ca exemplu mai sus, la nota de subsol 36. De altfel, Propunerea inițială de directivă a Parlamentului European și a Consiliului privind păstrarea datelor prelucrate în legătură cu furnizarea de servicii publice de comunicații electronice și de modificare a Directivei 2002/58/CE {SEC(2005) 1131}, COM/2005/0438 final – COD 2005/0182, prezentată de Comisie, a părut să recunoască indirect acest lucru la articolul 10 și în considerentul (13) propuse inițial. Totuși, aceste dispoziții nu au fost reținute în versiunea adoptată a directivei.

Top