1.

Prezenta trimitere preliminară oferă Curții posibilitatea de a se pronunța cu privire la condițiile în care se poate aplica o amendă administrativă unei persoane juridice pentru încălcări ale Regulamentului (UE) 2016/679 ( 2 ).

2.

În special, se urmărește să se stabilească:

3.

În considerentul (74) se arată că:

„Ar trebui să se stabilească responsabilitatea și răspunderea operatorului pentru orice prelucrare a datelor cu caracter personal efectuată de către acesta sau în numele său. În special, operatorul ar trebui să fie obligat să implementeze măsuri adecvate și eficace și să fie în măsură să demonstreze conformitatea activităților de prelucrare cu prezentul regulament, inclusiv eficacitatea măsurilor. Aceste măsuri ar trebui să țină seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscul pentru drepturile și libertățile persoanelor fizice.”

4.

Considerentul (150) are următorul cuprins:

„Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a impune amenzi administrative. Prezentul regulament ar trebui să indice încălcările, și limita maximă și criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de autoritatea de supraveghere competentă în fiecare caz în parte, ținând seama de toate circumstanțele relevante ale situației specifice, luându‑se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării, precum și consecințele acesteia și măsurile luate pentru a se asigura respectarea obligațiilor în temeiul prezentului regulament și pentru a se preveni sau atenua consecințele încălcării. În cazul în care amenzile administrative sunt impuse unei întreprinderi, o întreprindere ar trebui înțeleasă ca fiind o întreprindere în conformitate cu articolele 101 și 102 TFUE în aceste scopuri. […] Mecanismul pentru asigurarea coerenței poate fi, de asemenea, utilizat pentru a promova aplicarea consecventă a amenzilor administrative […]”

5.

Articolul 4 („Definiții”) prevede:

„În sensul prezentului regulament:

[…]

[…]

[…]”

6.

Articolul 58 („Competențe”) alineatul (2) prevede:

„Fiecare autoritate de supraveghere are toate următoarele competențe corective:

[…]

[…]”

7.

Articolul 83 („Condiții generale pentru impunerea amenzilor administrative”) prevede:

„(1)   Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă.

(2)   În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

(3)   În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

(4)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 10000000 de euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare […]

(5)   Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20000000 de euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare:

[…]

(6)   Pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu articolul 58 alineatul (2) se aplică, în conformitate cu alineatul (2) din prezentul articol, amenzi administrative de până la 20000000 de euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare.

[…]

(8)   Exercitarea de către autoritatea de supraveghere a competențelor sale în temeiul prezentului articol are loc cu condiția existenței unor garanții procedurale adecvate în conformitate cu dreptul Uniunii și cu dreptul intern, inclusiv căi de atac judiciare eficiente și dreptul la un proces echitabil.

[…]”

8.

În conformitate cu articolul 9 alineatul (1), în cazul în care o persoană acționează în calitate de a) organ (sau membru al organului respectiv) ce are dreptul să reprezinte o persoană juridică, b) asociat ce are dreptul să reprezinte o societate de persoane cu personalitate juridică sau c) reprezentant legal al unui terț, aceasta intră sub incidența oricărei legi în temeiul căreia funcțiile, relațiile sau circumstanțele personale specifice justifică o eventuală sancțiune atunci când circumstanțele respective nu o privesc pe ea, ci persoana reprezentată.

9.

În temeiul articolului 9 alineatul (2), considerațiile anterioare se aplică de asemenea proprietarului unei unități (întreprinderi) care încredințează unei alte persoane, în totalitate sau parțial, gestionarea acesteia sau îndeplinirea, pe propria răspundere, a sarcinilor care revin în sarcina proprietarului.

10.

Articolul 30 alineatul (1) permite aplicarea unei amenzi administrative unei persoane juridice în cazul în care persoana fizică ce o reprezintă, o administrează sau este responsabilă de funcționarea sa a săvârșit o infracțiune sau nu a respectat obligațiile care îi revin persoanei juridice.

11.

În conformitate cu articolul 30 alineatul (4), aplicarea autonomă a unei amenzi unei persoane juridice presupune că nu a fost inițiată nicio procedură împotriva membrului organului sau împotriva reprezentantului persoanei juridice sau, în cazul în care a fost inițiată o astfel de procedură, că procedura respectivă a încetat.

12.

În conformitate cu articolul 130 alineatul (1), se consideră că orice persoană care, în calitate de proprietar al unei exploatații sau al unei întreprinderi, în mod intenționat sau din culpă, nu ia măsurile de supraveghere necesare pentru a preveni, în cadrul exploatației sau al întreprinderii, încălcarea obligațiilor la care este supus titularul său și a căror încălcare se pedepsește cu o sancțiune sau o amendă, săvârșește o încălcare administrativă în cazul în care încălcarea respectivă ar fi putut să fie prevenită sau împiedicată prin măsuri de supraveghere adecvate, inclusiv prin numirea, selectarea atentă și verificarea persoanelor responsabile să efectueze controalele.

13.

Deutsche Wohnen SE (denumită în continuare „Deutsche Wohnen”) este o întreprindere imobiliară cotată la bursă, cu sediul în Berlin (Germania). Deține indirect, prin intermediul unor participații, aproximativ 163000 de unități rezidențiale și 3000 de spații comerciale.

14.

Proprietarii acestor imobile sunt filiale asociate cu Deutsche Wohnen („societăți holding”) care gestionează activitatea operațională, în timp ce Deutsche Wohnen este responsabilă de conducerea centrală a grupului. Societățile holding închiriază unitățile rezidențiale și spațiile comerciale, care sunt administrate de alte societăți din grup, denumite societăți de servicii.

15.

În cadrul activității sale comerciale, Deutsche Wohnen și societățile din grup prelucrează de asemenea date cu caracter personal ale chiriașilor imobilelor. Aceste date includ, printre altele, dovezi de identitate, date fiscale, de securitate socială și de asigurări de sănătate, precum și informații despre raporturile de închiriere anterioare.

16.

La 23 iunie 2017, Berliner Beauftragte für den Datenschutz (autoritatea responsabilă cu protecția datelor din Berlin, denumită în continuare „autoritatea pentru protecția datelor”) a informat Deutsche Wohnen, cu ocazia unei inspecții la fața locului, că societățile din grupul său au stocat datele cu caracter personal ale chiriașilor într‑un sistem de arhivare electronică, fără a se putea stabili dacă stocarea era necesară și fără a se garanta că datele care nu mai erau necesare vor fi șterse.

17.

Autoritatea pentru protecția datelor a solicitat Deutsche Wohnen să șteargă anumite documente din sistemul de arhivare electronică începând din momentul respectiv și până cel târziu la finalul anului 2017.

18.

Deutsche Wohnen a respins solicitarea, declarând că ștergerea nu este posibilă din motive tehnice și juridice. Această obiecție a fost discutată în cadrul unei întâlniri între Deutsche Wohnen și autoritatea pentru protecția datelor, în cursul căreia aceasta din urmă a indicat că existau soluții tehnice pentru ștergerea datelor. Discuțiile au continuat, iar Deutsche Wohnen a anunțat că avea în vedere implementarea unui nou sistem în locul celui respins de autoritatea pentru protecția datelor.

19.

La 5 martie 2020, autoritatea pentru protecția datelor a efectuat un control la sediul central al grupului de întreprinderi, în cursul căruia au fost prelevate în total 16 eșantioane aleatorii din bazele de date. În același timp, Deutsche Wohnen a informat autoritatea că sistemul de arhivare în discuție fusese deja desființat și că migrarea datelor către noul sistem urma să se efectueze în scurt timp.

20.

La 30 octombrie 2020, autoritatea pentru protecția datelor a sancționat Deutsche Wohnen pentru:

21.

Pentru încălcarea intenționată a articolului 25 alineatul (1) și a articolului 5 alineatul (1) literele (a), (c) și (e) din RGPD, autoritatea a aplicat o amendă de 14385000 de euro, iar pentru încălcarea articolului 6 alineatul (1) din RGPD alte 15 amenzi, fiecare dintre acestea având un cuantum cuprins între 3000 și 17000 de euro.

22.

Deutsche Wohnen a contestat sancțiunile în fața Landgericht Berlin (Tribunalul Regional din Berlin, Germania), care a admis acțiunea.

23.

Staatsanwaltschaft Berlin (Parchetul din Berlin, Germania) a atacat hotărârea primei instanțe în fața Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania), care adresează Curții următoarele întrebări preliminare:

24.

Cererea de decizie preliminară a fost înregistrată la grefa Curții la 23 decembrie 2021.

25.

Au formulat observații scrise Deutsche Wohnen, guvernele german, estonian și norvegian, precum și Comisia Europeană.

26.

La 9 noiembrie 2022, în conformitate cu articolul 101 alineatul (1) din Regulamentul de procedură, Curtea a solicitat instanței de trimitere să clarifice:

27.

Clarificările respective au fost depuse la Curte la 11 ianuarie 2023.

28.

La ședința desfășurată la 17 ianuarie 2023, pe lângă cei care au formulat observații scrise, au participat guvernul neerlandez, Parlamentul European și Consiliul Uniunii Europene.

29.

Prima întrebare adresată de instanța de trimitere se referă în esență la aspectul dacă, în temeiul dreptului Uniunii, este posibilă sancționarea unei persoane juridice pentru încălcarea RGPD fără a fi necesar ca această încălcare să i se impute în prealabil unei persoane fizice.

30.

Cu toate acestea, instanța de trimitere a introdus mai multe elemente de complexitate în întrebarea sa:

31.

Instanța de trimitere susține că legislația internă permite aplicarea unei amenzi unei întreprinderi doar în cazul în care i se pot imputa anumite încălcări săvârșite (numai) de persoanele din conducere desemnate ca reprezentanți ( 5 ).

32.

Deutsche Wohnen și guvernul german nu sunt de acord cu această formulare. În opinia lor, articolul 30 din OWiG trebuie să fie interpretat în coroborare cu articolul 9 și cu articolul 130 din OWiG, împreună cu care formează un sistem coerent de sancțiuni. În cadrul sistemului respectiv, este posibilă aplicarea de sancțiuni administrative unei întreprinderi fără a fi necesară inițierea unei proceduri împotriva persoanei fizice care a acționat în numele său ( 6 ).

33.

Chemată de Curte să se pronunțe cu privire la eventualul efect al articolului 130 din OWiG, instanța de trimitere a răspuns că acesta nu este relevant pentru prima întrebare preliminară. În susținerea poziției sale, susține că:

34.

Din aceste precizări rezultă că prima dintre întrebările preliminare adresate de instanța de trimitere corespunde unei interpretări a dreptului național care, contrar opiniei guvernului german, admite un regim al răspunderii persoanelor juridice ale cărui caracteristici ar putea să îl facă incompatibil cu dreptul Uniunii.

35.

Curtea este obligată să respecte cadrul juridic național, astfel cum a fost descris de instanța de trimitere ( 7 ), care este interpretul autorizat al dreptului său intern. Întrebările referitoare la interpretarea dreptului Uniunii adresate de instanța națională trebuie să fie soluționate luând în considerare cadrul normativ și factual pe care îl definește sub propria răspundere și a cărui exactitate Curtea nu are competența să o verifice ( 8 ).

36.

Plecând de la aceste premise, vom examina, așadar, prima întrebare preliminară.

37.

Nimic nu împiedică, în conformitate cu dreptul Uniunii, ca Deutsche Wohnen să fie considerată autoarea încălcării și persoana responsabilă pentru sancțiunea aplicată. Această posibilitate se regăsește, în abstract, în RGPD și, în concret, a fost utilizată în prezenta cauză:

38.

În ceea ce privește abordarea abstractă, nu sunt necesare prea multe considerații pentru a confirma postulatul potrivit căruia o persoană juridică poate fi sancționată direct pentru încălcarea RGPD. Acest postulat poate fi dedus fără dificultăți interpretative din lectura articolelor 4, 58 și 83 din RGPD:

39.

Din toate aceste dispoziții se deduce în mod perfect natural că RGPD prevede că amenzile administrative care rezultă din încălcarea sa pot fi impuse direct unei persoane juridice ( 12 ). Aceeași naturalețe și‑au asumat și autoritățile naționale competente în acest domeniu, care nu au ezitat să aplice amenzi, uneori semnificative, persoanelor juridice care încalcă RGPD ( 13 ).

40.

În ceea ce privește abordarea concretă, astfel cum am arătat, autoritatea pentru protecția datelor s‑a adresat Deutsche Wohnen în calitatea sa de operator de date, solicitându‑i să șteargă anumite date cu caracter personal ale chiriașilor din fișierele sale, solicitare la care întreprinderea nu s‑a conformat pentru o anumită perioadă, până când și‑a schimbat sistemele de stocare.

41.

Potrivit instanței de trimitere, dreptul intern prevede că, pentru a sancționa în mod direct o întreprindere pentru încălcarea RGPD, trebuie să se constate în prealabil angajarea răspunderii unei persoane fizice. Acest lucru ar rezulta din articolul 30 din OWiG: se pot aplica amenzi unei întreprinderi numai dacă aceasta poate fi considerată responsabilă pentru anumite încălcări săvârșite de persoanele cu funcții de conducere desemnate ca reprezentanți, scop în care este necesar ca reprezentantul să fi încălcat norma pe care se întemeia amenda atât sub aspectul laturii obiective, cât și sub aspectul laturii subiective (cu vinovăție) ( 14 ).

42.

Ca răspuns la obiecția guvernului german, care invocă articolul 130 din OWiG pentru a contesta interpretarea instanței de trimitere, aceasta din urmă se exprimă în termenii pe care i‑am indicat anterior cu ocazia redării răspunsului pe care l‑a dat Curții ( 15 ). Pe scurt, ea susține că protecția intereselor juridice oferită de dispoziția respectivă este foarte limitată în comparație cu regimul răspunderii reglementat de articolele 101 și 102 TFUE.

43.

Regula angajării prealabile a răspunderii persoanei fizice, invocată de instanța de trimitere, nu s‑ar aplica însă dacă articolul 83 alineatele (4)-(6) din RGPD și‑ar însuși, prin includerea sa în dreptul național, „noțiunea funcțională de întreprindere” caracteristică articolelor 101 și 102 TFUE.

44.

Articolul 83 alineatele (4)-(6) din RGPD are scopul de a stabili valoarea sancțiunilor pentru încălcările RGPD menționate la articolul respectiv. Concret, cele trei alineate prevăd ipoteza în care partea sancționată este o „întreprindere”.

45.

Acesta este contextul în care trebuie interpretată trimiterea efectuată în considerentul (150) al RGPD la noțiunea de întreprindere în sensul articolelor 101 și 102 TFUE. Reamintim că, potrivit Curții, „dreptul concurenței al Uniunii vizează activitățile întreprinderilor și […] noțiunea de întreprindere cuprinde orice entitate care exercită o activitate economică, independent de statutul juridic al acestei entități și de modul său de finanțare” ( 16 ).

46.

În măsura în care valoarea maximă a sancțiunilor pentru încălcarea RGPD este stabilită, pentru întreprinderile care au calitatea de operator sau de persoană împuternicită de operator, la un procent din „cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior”, referința pentru stabilirea cuantumului respectiv nu poate fi dată de personalitatea juridică formală a unei întreprinderi, ci de cea de „unitate economică”, în sensul arătat anterior.

47.

Acest lucru se datorează faptului că, în conformitate cu articolul 83 alineatul (1) din RGPD, amenzile administrative prevăzute la alineatele (4)-(6) trebuie să fie „eficace, proporționale și disuasive”. Aceste trei caracteristici nu pot fi atribuite decât unei amenzi a cărei valoare este stabilită pe baza capacității economice reale sau materiale a destinatarului. De aici rezultă necesitatea de a utiliza mai degrabă o noțiune materială sau economică de „întreprindere” decât o noțiune strict formală pentru calcularea amenzii.

48.

Legiuitorul european își asumă, așadar, definiția reală sau materială a noțiunii de „întreprindere”, caracteristică dreptului concurenței ( 17 ) pentru determinarea valorii amenzilor pentru încălcarea RGPD. Insistăm însă asupra faptului că RGPD face referire la noțiunea respectivă doar în aceste scopuri.

49.

În prezenta cauză, noțiunea de întreprindere, prevăzută la articolele 101 și 102 TFUE, ar putea fi, prin urmare, relevantă pentru cuantificarea amenzii aplicabile Deutsche Wohnen. Atribuirea sau nu a statutului de entitate sancționată (rectius, autoare a încălcării) nu depinde în mod strict de aplicarea celor două articole menționate din TFUE.

50.

Acest lucru nu exclude faptul că, prin analogie, principiile generale care guvernează regimul sancționator al dreptului concurenței (care a fost interpretat pe larg de Curte) se aplică, mutatis mutandis, răspunderii persoanelor juridice pentru încălcările acestora cu privire la protecția datelor cu caracter personal ( 18 ).

51.

Este compatibilă cu RGPD o legislație națională care condiționează impunerea de sancțiuni administrative persoanelor juridice de aplicarea în prealabil a acestora unei persoane fizice?

52.

Natura RGPD implică, pe lângă domeniul său de aplicare general, caracterul său obligatoriu și aplicabilitatea directă a acestuia în fiecare stat membru, în conformitate cu articolul 288 TFUE. Caracteristicile respective ar fi subminate dacă statele membre ar avea posibilitatea de a se îndepărta de la forma finală a cerințelor impuse în RGPD de legiuitorul Uniunii.

53.

Este adevărat că, tocmai ca urmare a caracterului unic și a caracteristicilor scopului său, unele dispoziții din RGPD permit statelor membre o anumită marjă de manevră pentru a menține sau a adopta norme naționale în vederea specificării suplimentare a unora dintre ele. Această situație există, de exemplu:

54.

Această marjă de apreciere a statului, care a fost dezbătută în ședință, nu poate, în opinia noastră, să fie extinsă până în punctul în care s‑ar reduce posibilitatea imputării unor încălcări în sarcina unei persoane juridice, așa cum ar rezulta, potrivit instanței de trimitere, din articolul 30 OWiG.

55.

O astfel de configurație a regimului răspunderii persoanelor juridice ar face posibilă excluderea din domeniul de aplicare al sistemului de sancțiuni prevăzut de RGPD a încălcărilor care, potrivit regulamentului, trebuie să fie imputate unei persoane juridice în calitate de operator sau de persoană împuternicită de operator. Această situație ar exista atunci când nu au fost implicate în încălcările respective persoanele fizice care reprezintă, conduc sau administrează persoana juridică.

56.

Având în vedere că, după cum am menționat, o persoană juridică poate fi operator de date și, în această calitate, autorul încălcărilor RGPD care i se impută, aplicarea articolului 30 din OWiG ar putea conduce la o limitare sau la o reducere nejustificată a domeniului de aplicare al comportamentelor sancționabile, ceea ce nu este compatibil cu dispoziția generală a RGPD.

57.

O persoană juridică ce poate să fie calificată drept operator sau persoană împuternicită de operator trebuie să suporte consecințele, în materie de sancțiuni, ale încălcărilor RGPD săvârșite nu numai de reprezentanții, directorii sau administratorii săi, ci și de persoanele fizice (angajați, în sens larg) care acționează în cadrul activității întreprinderii și sub supravegherea lor.

58.

Aceste persoane fizice, în realitate, modelează și definesc voința persoanei juridice, materializând‑o prin intermediul unor acte particulare și concrete. Aceste acte particulare, ca manifestare concretă a voinței respective, sunt imputabile în cele din urmă persoanei juridice înseși.

59.

În definitiv, este vorba despre persoane fizice care, fără să fie propriu‑zis reprezentanți ai unei persoane juridice, acționează sub autoritatea celor care, reprezentând‑o pe aceasta din urmă, nu au reușit să le supravegheze sau să le controleze pe primele. În ultimă instanță, imputabilitatea ajunge să conducă la persoana juridică însăși, în măsura în care încălcarea săvârșită de angajatul care acționează sub autoritatea organelor sale de conducere reprezintă o deficiență a sistemului de control și de supraveghere, pentru care acestea sunt direct responsabile.

60.

Considerațiile anterioare corespund interpretării date de instanța de trimitere dreptului său intern. Cu toate acestea, guvernul german susține că aplicarea coroborată a articolelor 9, 30 și 130 din OWiG creează un sistem în care încălcările atribuite unei persoane juridice, săvârșite de persoane fizice care nu dețin funcții de conducere sau de reprezentare în cadrul persoanelor juridice, pot fi sancționate fără a fi necesară identificarea lor ( 21 ).

61.

Astfel cum am arătat, îi revine instanței de trimitere sarcina de a interpreta dispozițiile dreptului său național. Este de competența instanțelor germane să decidă dacă, în conformitate cu jurisprudența națională și cu doctrina invocate de guvernul german ( 22 ), dispozițiile respective permit o interpretare a dreptului național conformă cu cerințele dreptului Uniunii.

62.

În cazul în care această interpretare ar fi contra legem și ar fi imposibil, ca urmare a structurii particulare a sistemului său național de sancțiuni, să se confere efect deplin normelor RGPD în această materie, instanța de trimitere ar trebui să excludă aplicarea normei naționale incompatibile cu dreptul Uniunii pentru a asigura supremația RGPD.

63.

Instanța de trimitere solicită să se stabilească dacă, în conformitate cu articolul 83 alineatele (4)-(6) din RGPD, „este necesar ca întreprinderea să fi săvârșit încălcarea cu vinovăție, prin intermediul unui angajat […] sau, pentru aplicarea unei amenzi, este în principiu suficientă o încălcare obiectivă a obligațiilor care îi este imputabilă («strict liability»)”[ ( 23 )].

64.

Întrebarea astfel formulată are un caracter ipotetic, ceea ce o face inadmisibilă din două motive.

65.

În primul rând, conform deciziei de trimitere, sancțiunea aplicată în sarcina Deutsche Wohnen a fost impusă pentru un comportament intenționat (deliberat), iar nu pentru o simplă „încălcare obiectivă” a RGPD. Din situația de fapt descrisă anterior rezultă că întreprinderea respectivă, în cunoștință de cauză și în mod deliberat, nu a dat curs solicitării autorității pentru protecția datelor și a continuat prelucrarea interzisă a datelor. Este irelevant pentru o asemenea calificare că aceasta a invocat o serie de dificultăți tehnice și juridice în ceea ce privește modificarea sistemelor sale de prelucrare a datelor.

66.

În al doilea rând, fiind invitată de Curte să își clarifice întrebarea, instanța de trimitere a precizat că instanța de prim grad de jurisdicție nu este legată de constatările din decizia de sancționare și că, în viitor, instanța respectivă ar putea să se pronunțe cu privire la motivele căii de atac împotriva sancțiunii. În cazul în care ar constata că încălcarea a avut loc, ar fi necesar să se stabilească ce tip de încălcare a avut loc, ceea ce ar depinde de răspunsul la a doua întrebare preliminară.

67.

Pe baza acestei precizări, a doua întrebare preliminară își dezvăluie din nou caracterul ipotetic: hotărârea privind calificarea comportamentului nu este indispensabilă pentru soluționarea litigiului desfășurat în fața instanței de trimitere, ci, dacă este cazul, după trimiterea cauzei la instanța de prim grad de jurisdicție spre rejudecare, pentru ca aceasta să se pronunțe în viitor.

68.

În orice caz și în situația în care Curtea ar decide să examineze fondul cauzei, considerăm că răspunsul la această întrebare nu depinde de interpretarea articolului 83 alineatele (4)-(6) din RGPD, al cărui obiect constă în modalitatea de stabilire a amenzilor administrative.

69.

Instanța de trimitere face distincție între: a) încălcarea săvârșită de angajatul unei persoane juridice și b) prezența intenției sau a culpei persoanei juridice în ceea ce privește acea încălcare.

70.

În opinia noastră, „încălcarea săvârșită de angajat” este, în realitate, astfel cum s‑a arătat în legătură cu prima întrebare, o încălcare săvârșită de persoana juridică sub autoritatea căreia a acționat acesta.

71.

Formulată corect, întrebarea se referă, prin urmare, la posibilitatea ca o persoană juridică să poată fi sancționată pentru încălcarea obiectivă (fără vinovăție) a obligațiilor care îi revin în calitate de operator sau de persoană împuternicită de operator.

72.

Pentru a răspunde la această întrebare, poate fi util să se facă trimitere la jurisprudența Curții Europene a Drepturilor Omului (Curtea EDO) în legătură cu principiul legalității penale, care este garantat de articolul 7 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale (CEDO).

73.

Deși CEDO nu constituie un instrument juridic integrat în mod formal în ordinea juridică a Uniunii, având în vedere că Uniunea nu a aderat la acesta, drepturile fundamentale recunoscute în convenția respectivă fac parte din dreptul Uniunii ca principii generale [articolul 6 alineatul (3) TUE].

74.

Potrivit Curții, „articolul 52 alineatul (3) din cartă, care prevede că drepturile conținute în aceasta, corespunzătoare drepturilor garantate de CEDO, au același înțeles și aceeași întindere ca cele pe care le conferă convenția amintită, este destinat să asigure coerența necesară între drepturile respective, fără a aduce atingere autonomiei dreptului Uniunii și a Curții” ( 24 ).

75.

Or, jurisprudența Curții EDO stabilită cu ocazia interpretării articolului 7 din CEDO conține nuanțe care nu coincid în totalitate:

76.

În realitate, importul categoriilor dogmatice ale dreptului penal (nulla poena sine culpa) în vederea aplicării lor în dreptul contravențional prezintă dificultăți interpretative considerabile. În cadrul noțiunii de vinovăție (în forma sa de culpă), pot fi incluse cazurile de simplă încălcare a unei dispoziții legale, atunci când autorul său avea obligația de a cunoaște conduita care i se impunea.

77.

Din această perspectivă, diferitele forme de vinovăție, inclusiv cele cu un grad de severitate redus, precum și diferitele titluri de imputare (culpa in vigilando sau in eligendo, de exemplu) ar putea fi atribuite unor comportamente pe care, dintr‑o altă perspectivă, unele instanțe le‑ar califica drept cazuri de răspundere obiectivă. Prin urmare, granițele dintre categorii nu sunt atât de clare în dreptul contravențional pe cât pare să se deducă din decizia de trimitere.

78.

Este adevărat că, în ceea ce privește dreptul Uniunii, Curtea a acceptat, în anumite cazuri, un regim pe care îl consideră ca fiind de răspundere obiectivă în domeniul sancțiunilor. Ea a acceptat acest regim, de exemplu, în Hotărârea din 22 martie 2017, Euro‑Team și Spirál‑Gép, în următorii termeni:

79.

Cu toate acestea, jurisprudența respectivă a fost stabilită și în alte sectoare decât cel al protecției datelor, în legătură cu încălcarea unor obligații de a face cu conotații mai degrabă formale: era vorba despre sancțiuni aplicate pentru utilizarea unui tronson de autostradă fără să fi fost plătit cuantumul taxei de trecere corespunzătoare ( 29 ) sau pentru nerespectarea dispozițiilor referitoare la utilizarea foii de înregistrare a aparaturii de înregistrare instalate într‑un vehicul greu ( 30 ).

80.

În cazul obligațiilor prevăzute de RGPD – printre care figurează cele care condiționează prelucrarea datelor (articolul 5 din RGPD) și legalitatea sa (articolul 6 din RGPD) – aprecierea respectării lor implică un proces complex de evaluare și de investigare, care depășește simpla constatare a unei încălcări formale.

81.

În orice caz, considerăm că articolul 83 din RGPD confirmă excluderea unui regim de răspundere obiectivă (fără vinovăție) în materie de sancțiuni, cu alte cuvinte necesită prezența intenției sau a culpei în ceea ce privește comportamentul sancționabil. În opinia noastră, acest lucru rezultă cu claritate din mai multe alineate ale articolului menționat:

82.

Teza pe care tocmai am prezentat‑o ar putea fi inadmisibilă în cazul în care, așa cum susțin unele dintre guvernele care au intervenit în procedură, lipsa unor dispoziții explicite în acest sens în RGPD ar presupune că statelor membre li se oferă posibilitatea de a opta pentru un sistem de răspundere subiectivă (intenție sau culpă) sau pentru un sistem care să includă de asemenea răspunderea obiectivă.

83.

Recunoaștem că abordarea acestor guverne are o anumită greutate argumentativă: în măsura în care articolul 83 alineatul (2) din RGPD se referă la intenție sau la culpă ca factori de stabilire a valorii amenzii, iar nu ca elemente indispensabile (esențiale) ale comportamentului nelegal în sine, dispoziția ar lăsa deschisă posibilitatea ca statele membre să modeleze în mod discreționar aceste elemente esențiale ale încălcării.

84.

Totuși, asemenea Comisiei, considerăm că o interpretare corectă a sistemului de sancțiuni instituit de RGPD, a cărui aplicabilitate directă este incontestabilă, impune o soluție unitară și coerentă pentru toate statele membre ( 33 ), iar nu o soluție în care fiecare stat membru să decidă singur dacă încălcările sancționabile ar trebui sau nu să fie extinse la cele care au fost săvârșite în mod intenționat sau din culpă.

85.

În opinia noastră, pertinența soluției unitare (și inaplicabilitatea soluției dezintegratoare) este confirmată de considerentele RGPD citate de instanța de trimitere în cererea de decizie preliminară, care reiterează necesitatea de a sancționa încălcările cu sancțiuni echivalente ( 34 ). Echivalența nu s‑ar obține dacă fiecare stat membru și‑ar permite să sancționeze încălcări de natură diferită, inclusiv cele care constau în simple încălcări obiective lipsite de orice element intenționat sau culpabil.

86.

În lumina considerațiilor care precedă, propunem Curții să răspundă Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania) după cum urmează:

„Articolul 58 alineatul (2) litera (i) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) coroborat cu articolul 4 alineatul (7) și cu articolul 83 din același regulament

trebuie interpretat în sensul că

aplicarea unei amenzi administrative unei persoane juridice responsabile de prelucrarea datelor cu caracter personal nu este condiționată de constatarea prealabilă a unei încălcări săvârșite de una sau mai multe persoane fizice individuale aflate în serviciul persoanei juridice respective.

Amenzile administrative care pot fi aplicate în temeiul Regulamentului 2016/679 presupun prezența intenției sau a culpei în comportamentul care constituie încălcarea sancționată.”