1.

Prin recursul formulat, Autoritatea Europeană pentru Protecția Datelor (AEPD) solicită anularea Hotărârii Tribunalului Uniunii Europene din 26 aprilie 2023, SRB/AEPD (T‑557/20, denumită în continuare hotărârea atacată, EU:T:2023:219), prin care acesta a anulat decizia revizuită a AEPD din 24 noiembrie 2020 (denumită în continuare „decizia în litigiu”), privind cinci plângeri depuse de acționari și creditori afectați de rezoluția bancară a Banco Popular Español SA (denumită în continuare „Banco Popular”) care reclamă faptul că nu au fost informați cu privire la transferul datelor lor cu caracter personal.

2.

Prezenta cauză oferă Curții ocazia de a preciza, în contextul datelor pseudonimizate, noțiunea de „date cu caracter personal” și obligațiile care decurg din aceasta pentru a se conforma obligațiilor de prelucrare echitabilă și transparentă a datelor.

3.

Principalele dispoziții ale Regulamentului (UE) 2018/1725 ( 2 ) relevante în cadrul prezentului recurs sunt următoarele.

4.

Considerentele (16) și (17) ale acestui regulament au următorul cuprins:

5.

Articolul 3 din regulamentul menționat, intitulat „Definiții”, prevede la punctele 1 și 6 că:

„În sensul prezentului regulament, se aplică următoarele definiții:

[…]

6.

Articolul 4 din același regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede la alineatul (1) litera (a) și la alineatul (2):

„(1)   Datele cu caracter personal sunt:

[…]

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

7.

Articolul 15 din Regulamentul 2018/1725, intitulat „Informații care se furnizează în cazul în care date cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (1) litera (d):

„În cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

[…]

8.

La 7 iunie 2017, Comitetul Unic de Rezoluție (SRB) a adoptat o schemă de rezoluție pentru Banco Popular în temeiul Regulamentului (UE) nr. 806/2014 al Parlamentului European și al Consiliului din 15 iulie 2014 de stabilire a unor norme uniforme și a unei proceduri uniforme de rezoluție a instituțiilor de credit și a anumitor firme de investiții în cadrul unui mecanism unic de rezoluție și al unui fond unic de rezoluție și de modificare a Regulamentului (UE) nr. 1093/2010 ( 3 ), aprobată în aceeași zi prin decizia Comisiei Europene ( 4 ), ceea ce înseamnă în mod concret că instrumentelor de capital ale băncii li s‑a redus valoarea contabilă sau au fost convertite și cesionate prin transferul acțiunilor.

9.

În conformitate cu articolul 20 alineatele (16)-(18) din Regulamentul nr. 806/2014, SRB a încredințat Deloitte, în calitate de „persoană independentă” ( 5 ), sarcina de a efectua o evaluare a diferenței de tratament pentru a determina dacă acționarii și creditorii, afectați astfel de măsura de rezoluție, ar fi beneficiat de un tratament mai bun în cazul în care această instituție ar fi făcut obiectul unei proceduri obișnuite de insolvență.

10.

La 14 iunie 2018, Deloitte a transmis SRB această evaluare a diferenței de tratament (denumită în continuare „evaluarea 3”). Printr‑o decizie preliminară, SRB a arătat că, pentru a‑i permite să ia o decizie finală cu privire la necesitatea de a acorda sau nu acționarilor și creditorilor afectați de rezoluția Banco Popular o compensație în temeiul articolului 76 alineatul (1) litera (e) din Regulamentul nr. 806/2014, iniția procedura referitoare la dreptul de a fi audiat, inclusiv o primă fază de înscriere, pentru a verifica eligibilitatea părților care își manifestă interesul, și o a doua fază de consultare, în cadrul căreia acționarii și creditorii afectați și‑au prezentat comentariile cu privire la decizia preliminară a SRB, la care era anexată evaluarea 3.

11.

Datele colectate în faza de înscriere, și anume probele privind identitatea participanților și proprietatea asupra instrumentelor de capital ale Banco Popular, cu valoare contabilă redusă sau convertite și transferate, erau accesibile unui număr limitat de membri ai personalului SRB însărcinați cu prelucrarea acestor date pentru a stabili eligibilitatea participanților. Aceste date nu erau vizibile pentru membrii personalului SRB însărcinați cu prelucrarea comentariilor primite în faza de consultare, în cursul căreia aceștia au primit numai comentarii identificate prin referire la un cod alfanumeric ( 6 ) atribuit fiecărui comentariu prezentat prin intermediul formularului.

12.

După agregarea, filtrarea automată și clasificarea comentariilor, SRB a transmis Deloitte ( 7 ) comentariile referitoare la evaluarea 3 astfel filtrate, clasificate și agregate. Comentariile transferate Deloitte erau numai cele primite în faza de consultare și aveau un cod alfanumeric, dezvoltat în scopul auditului pentru a permite SRB să verifice și, eventual, să demonstreze a posteriori că fiecare comentariu a fost prelucrat și a fost luat în considerare în mod corespunzător. Prin intermediul acestui cod, SRB era singurul care putea conecta comentariile la datele primite în faza de înscriere. Deloitte nu avea și nu are nici în prezent acces la baza de date colectate în faza de înscriere.

13.

Acționarii și creditorii afectați (denumiți în continuare „reclamanții”) au transmis AEPD, în temeiul Regulamentului 2018/1725, cinci plângeri pentru motivul că declarația de confidențialitate privind prelucrarea datelor cu caracter personal publicată de SRB nu conținea nicio mențiune cu privire la transmiterea către Deloitte a datelor colectate prin intermediul formularului. Ei invocau o încălcare de către SRB a obligației sale de informare referitoare la prelucrarea datelor cu caracter personal în temeiul acestui regulament, prevăzută la articolul 15 alineatul (1) litera (d) din regulamentul menționat.

14.

AEPD a adoptat o decizie inițială la 24 iunie 2020, anulată în urma unei cereri de reexaminare formulate de SRB și înlocuită, la 24 noiembrie 2020, prin decizia în litigiu, redactată după cum urmează:

15.

Prin cererea introductivă depusă la grefa Tribunalului la 1 septembrie 2020 și printr‑un memoriu în adaptare depus la 29 ianuarie 2021, SRB a introdus o acțiune având ca obiect, pe de o parte, anularea deciziei în litigiu și, pe de altă parte, declararea nelegalității deciziei inițiale a AEPD din 24 iunie 2020.

16.

SRB a invocat, în susținerea primului capăt de cerere ( 8 ), două motive. Primul motiv era întemeiat pe încălcarea articolului 3 punctul 1 din Regulamentul 2018/1725, întrucât informațiile transmise Deloitte nu constituiau date cu caracter personal, iar al doilea motiv, pe încălcarea dreptului la bună administrare, consacrat la articolul 41 din Carta drepturilor fundamentale a Uniunii Europene.

17.

Prin hotărârea atacată, Tribunalul a declarat admisibil acest capăt de cerere. Pe fond, Tribunalul a admis primul motiv al acțiunii și a anulat decizia în litigiu, fără a examina al doilea motiv.

18.

În ceea ce privește primul motiv, Tribunalul a considerat, în primul rând, că AEPD a apreciat că informațiile transmise Deloitte „priveau” o persoană fizică în sensul articolului 3 punctul 1 din Regulamentul 2018/1725 întemeindu‑se pe o prezumție, fără a examina nici conținutul, nici finalitatea, nici efectul informațiilor transmise Deloitte ( 9 ), cu încălcarea Hotărârii Nowak ( 10 ).

19.

În al doilea rând, în ceea ce privește condiția prevăzută la articolul 3 punctul 1 din Regulamentul 2018/1725, potrivit căreia informația trebuie să privească o persoană fizică „identificată sau identificabilă”, Tribunalul a apreciat că în speță revenea AEPD sarcina de a examina dacă comentariile transmise Deloitte constituiau, în raport cu aceasta, date cu caracter personal. Or, potrivit hotărârii atacate, AEPD s‑a limitat să examineze posibilitatea de a reidentifica autorii comentariilor din punctul de vedere al SRB, iar nu al Deloitte. Prin urmare, întrucât AEPD nu a cercetat dacă Deloitte dispunea de mijloace legale și realizabile în practică care să îi permită accesul la informațiile suplimentare necesare pentru reidentificarea autorilor comentariilor, AEPD nu putea concluziona că informațiile transmise Deloitte constituiau informații privind o „persoană fizică identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725 ( 11 ).

20.

Prin înscrisul depus la grefa Curții la 5 iulie 2023, AEPD a formulat recurs împotriva hotărârii atacate. Prin Ordonanța președintelui Curții din 29 noiembrie 2023 ( 12 ), s‑a admis intervenția Comitetului european pentru protecția datelor în susținerea concluziilor AEPD și, prin decizia din 20 octombrie 2023, s‑a admis intervenția Comisiei Europene în susținerea SRB.

21.

AEPD solicită Curții:

22.

Comitetul european pentru protecția datelor, care intervine în susținerea AEPD, solicită Curții:

23.

SRB solicită Curții:

24.

Comisia Europeană, care intervine în susținerea SRB, solicită Curții:

25.

În susținerea recursului formulat, AEPD, susținută de Comitetul european pentru protecția datelor, invocă două motive. Primul urmărește să conteste interpretarea de către Tribunal a noțiunii de „date cu caracter personal” în sensul articolului 3 punctele 1 și 6 din Regulamentul 2018/1725, astfel cum este interpretat de jurisprudența Curții. Al doilea motiv este întemeiat pe încălcarea principiului responsabilității prevăzut la articolul 4 alineatul (2) și la articolul 26 alineatul (1) din acest regulament.

26.

Primul motiv este împărțit în două aspecte. Primul aspect se referă la condiția potrivit căreia informațiile în litigiu trebuie „să privească” o persoană fizică, iar al doilea se referă la condiția ca această persoană să fie „identificată sau identificabilă”.

27.

AEPD, susținută de Comitetul european pentru protecția datelor, arată că Tribunalul a săvârșit o eroare în măsura în care a statuat că AEPD s‑a întemeiat pe o prezumție privind interpretarea condiției potrivit căreia informațiile transmise Deloitte priveau o persoană fizică, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725. În opinia sa, în împrejurările speței, nu era necesară o examinare mai aprofundată din partea Curții.

28.

SRB susține, la rândul său, că, astfel cum a statuat Tribunalul, AEPD s‑a limitat să indice că comentariile în litigiu, prezentate de reclamanți în faza de consultare a procedurii referitoare la dreptul de a fi audiat, reflectau opiniile sau punctele de vedere ale acestora, deși ar fi trebuit să examineze dacă informațiile transmise Deloitte erau legate de o anumită persoană prin conținutul, finalitatea sau efectul lor, după cum impune Hotărârea Nowak.

29.

Trebuie amintit că Curtea a statuat în mod repetat că utilizarea expresiei „orice informație” în definiția noțiunii de „date cu caracter personal” reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații ( 13 ), atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea „să privească” persoana vizată.

30.

În această privință, o informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a finalității sau a efectului său, informația este „legată” de o persoană determinată ( 14 ).

31.

În ceea ce privește opiniile sau aprecierile, precum comentariile reclamanților în discuție în speță, considerăm că este relevant să se distingă după cum se examinează dacă opiniile sau aprecierile respective „au legătură” cu o persoană vizată sau cu persoane vizate de textul opiniei sau al aprecierii sau dacă, precum în speță, trebuie să se stabilească dacă acestea au legătură cu autorul lor. În primul caz, pentru a concluziona în sensul existenței unei informații care are legătură cu persoana care face obiectul aprecierii, este necesar să se analizeze dacă conținutul, finalitatea sau efectul aprecierii o privesc pe această persoană. În schimb, în al doilea caz, pentru a stabili dacă aprecierea are legătură cu persoana care a emis‑o, considerăm că s‑ar putea prezuma că aceasta este situația și că o opinie sau o apreciere are legătură în mod necesar cu autorul său.

32.

Astfel, în Hotărârea Nowak, era vorba în esență despre aprecierea informațiilor conținute într‑o foaie de examinare. Erau vizate prin urmare două persoane: candidatul și examinatorul. Este adevărat că Curtea a examinat conținutul, finalitatea și efectul răspunsurilor candidatului pentru a deduce că acestea îl privesc. În aceste condiții, în ceea ce privește în special observațiile examinatorului, care reflectă opinia sau aprecierea sa ( 15 ), deși Curtea a examinat conținutul, finalitatea și efectul informațiilor cuprinse în foaia respectivă pentru a concluziona că aceste aprecieri îl privesc pe candidat, nu a efectuat o astfel de examinare pentru a considera că acestea constituie informații referitoare la examinator care este autorul lor ( 16 ). Prin urmare, în opinia noastră, nu se poate exclude în totalitate posibilitatea aplicării unei prezumții (simple) atunci când se evaluează dacă o opinie sau o apreciere sau, precum în speță, un comentariu îl „privește” pe autorul său.

33.

Concluzionăm că, în lipsa unei probe contrare, comentariile în discuție în speță, din moment ce proveneau de la reclamanți și evidențiau „logica și raționamentul lor”, reflectând astfel expresia „opiniei lor subiective”, îi „priveau” în mod necesar pe reclamanții menționați, indiferent de finalitatea sau de efectul comentariilor lor.

34.

În orice caz, chiar în lipsa unei astfel de prezumții în speță, considerăm că, din cauza conținutului, a finalității și a efectului lor, comentariile în discuție „au legătură” cu reclamanții.

35.

În această privință, SRB susține că argumentele întemeiate pe finalitatea și pe contextul comentariilor în cauză sunt inoperante, întrucât nu au fost examinate în decizia în litigiu, inadmisibile întrucât cuprind o afirmație factuală nouă și, în orice caz, eronate.

36.

Nu împărtășim acest argument. Astfel, atât examinarea efectuată de AEPD în decizia în litigiu, cât și aprecierea Tribunalului se înscriu într‑un context juridic care a fost luat în considerare și care menționează în mod clar finalitatea și efectul comentariilor în cauză, prezentate în cadrul procedurii referitoare la dreptul de a fi audiat. Aceste argumente referitoare la finalitatea și la efectul comentariilor în cauză sunt, așadar, operante și admisibile.

37.

În plus, pe fond, din cadrul juridic aplicabil reiese că finalitatea procedurii referitoare la dreptul de a fi audiat, în cadrul căreia au fost prezentate comentariile în cauză, era de a permite acționarilor și creditorilor afectați să contribuie la procedură, în special pentru a permite SRB să dispună de toate informațiile necesare pentru a lua o decizie finală cu privire la necesitatea de a acorda sau nu o compensație acționarilor și creditorilor afectați de rezoluția Banco Popular, în aplicarea principiului potrivit căruia niciun creditor nu trebuie să fie dezavantajat în raport cu lichidarea potrivit unei proceduri normale de insolvență ( 17 ). În plus, aceste comentarii, odată luate în considerare de SRB, erau susceptibile să aibă un efect asupra intereselor și a drepturilor reclamanților în materie de compensație financiară.

38.

Concluzionăm că comentariile în discuție au legătură cu persoanele vizate în speță, inclusiv ca urmare a finalității și a efectului lor.

39.

Am adăuga că, desigur, comentariile în cauză, astfel cum au fost transferate către Deloitte, au fost „filtrate, clasificate și agregate”, așa încât, după cum reiese din faptele stabilite de Tribunal ( 18 ), comentariile individuale nu puteau fi distinse în cadrul aceleiași teme; cu toate acestea, se poate admite că, chiar agregate, aceste comentarii colective reflectă în conținutul lor puncte de vedere personale privind evaluarea 3. Astfel, ele constituie o sumă de opinii care, ca atare, constituie informații care privesc persoanele care le‑au exprimat. Filtrarea lor, clasificarea lor și agregarea lor nu modifică această constatare, altfel ar fi suficientă agregarea mai multor puncte de vedere pentru a nu îndeplini condiția informațiilor care „privesc” o persoană fizică. Faptul că nu este posibil, în cadrul acestei sume de comentarii, să se facă distincția între diferitele opinii individuale pare că intră mai degrabă în sfera de aplicare a celei de a doua condiții cumulative, referitoare la caracterul identificabil al persoanelor vizate, examinată în cadrul celui de al doilea aspect al prezentului motiv, decât a condiției potrivit căreia comentariul trebuie să fie „legat” de o persoană fizică.

40.

În aceste împrejurări, opinăm că aprecierea Tribunalului poate fi considerată afectată de o eroare de drept în această privință, întrucât el a considerat că AEPD nu a efectuat examinarea impusă de Hotărârea Nowak pentru a concluziona că comentariile în cauză „privesc” persoane fizice, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.

41.

În cazul în care Curtea ar decide să respingă acest prim aspect și ar considera că comentariile pseudonimizate în cauză nu îi privesc pe autorii lor, examinarea celui de al doilea aspect al motivului s‑ar dovedi superfluă, în măsura în care, potrivit articolului 3 punctul 1 din Regulamentul 2018/1725, este vorba despre o condiție necesară pentru existența unei date cu caracter personal, cumulativă cu cea a caracterului identificabil al persoanelor vizate, examinată în continuare.

42.

AEPD și Comitetul european pentru protecția datelor susțin în esență că Tribunalul a săvârșit două erori, prima privind noțiunea de „pseudonimizare”, iar a doua privind interpretarea Hotărârii Breyer ( 19 ), ceea ce SRB și Comisia contestă.

43.

Această critică ilustrează existența a două abordări foarte diferite în ceea ce privește domeniul de aplicare al normelor privind protecția datelor. Este necesar ca datele pseudonimizate să fie incluse automat pentru simplul motiv că persoanele vizate rămân identificabile, indiferent de accesibilitatea datelor suplimentare de identificare sau trebuie să se considere că, în urma procesului de pseudonimizare, datele au caracter personal numai pentru persoanele care pot identifica în mod rezonabil persoanele vizate?

44.

AEPD și Comitetul european pentru protecția datelor susțin în esență că datele pseudonimizate rămân date cu caracter personal pentru simplul motiv că persoanele vizate rămân identificabile întrucât informațiile care permit identificarea lor continuă să existe. Abordarea Tribunalului ar fi eronată în măsura în care ar permite ca datele pseudonimizate să fie considerate date anonimizate în privința destinatarului, ceea ce ar prezenta un risc pentru protecția persoanelor vizate și ar crea o confuzie între pseudonimizare și anonimizare. O astfel de abordare, contrară textului și obiectivului Regulamentului 2018/1725, ar permite operatorului să excludă în mod nejustificat datele cu caracter personal din domeniul de aplicare al dreptului Uniunii în materie de protecție a unor astfel de date.

45.

La rândul lor, SRB și Comisia susțin că datele pseudonimizate rămân date cu caracter personal pentru operatorul care le‑a pseudonimizat, dar că, pentru destinatari, este necesar să se examineze caracterul identificabil al persoanelor vizate. În plus, chiar dacă articolul 3 punctul 1 din Regulamentul 2018/1725 nu precizează cine trebuie să fie în măsură să identifice persoana vizată, în lumina considerentului (16) și în contextul articolului 15 alineatul (1) litera (d) din acest regulament, în discuție în speță, ceea ce contează ar fi punctul de vedere al destinatarului. În opinia lor, în cazul în care acest destinatar nu primește date cu caracter personal, persoanele vizate nu au niciun interes să fie informate cu privire la transferul de date, deoarece drepturile lor nu sunt afectate.

46.

De la bun început, nu este inutil să amintim că pseudonimizarea este o prelucrare aplicată datelor cu caracter personal pentru a „reduce riscurile”, în conformitate cu considerentul (17) al Regulamentului 2018/1725, de corelare a unui set de date cu identitatea unei persoane vizate și pentru a „ajuta operatorii și persoanele împuternicite de către operatori să își îndeplinească obligațiile de protecție a datelor”.

47.

Articolul 3 punctul 6 din Regulamentul 2018/1725 definește astfel pseudonimizarea ca fiind „prelucrarea datelor cu caracter personal într‑un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare [care sunt] stocate separat și [fac] obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile” ( 20 ).

48.

Pseudonimizarea nu este, așadar, un element al definiției datelor cu caracter personal, definite la rândul lor la articolul 3 punctul 1 din Regulamentul 2018/1725 în raport cu noțiunea de „caracter identificabil” al persoanei vizate. De altfel, după cum a arătat Comisia în memoriul său în intervenție, regulamentul definește noțiunea de „pseudonimizare”, făcând astfel referire la procesul de punere în aplicare a unei măsuri de protecție sau a unei măsuri tehnice și organizatorice, dar nu și noțiunea de „date pseudonimizate”.

49.

Această interpretare este confirmată de coroborarea articolului 3 punctul 6 cu considerentul (16) al regulamentului respectiv, a cărui primă teză amintește că „[p]rincipiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă”.

50.

În plus, considerentul (16) al Regulamentului 2018/1725 merită să fie analizat mai detaliat ( 21 ). Astfel, acesta conține o a doua teză, care enunță că „[d]atele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă”. Urmează apoi a treia și a patra teză, care precizează conținutul acestei cerințe privind caracterul identificabil.

51.

Deducem din textul acestor dispoziții că pseudonimizarea lasă deschisă posibilitatea ca persoanele vizate să nu fie identificabile, în caz contrar formularea acestui considerent (16) nu ar avea nicio rațiune de a exista. Adăugăm că ultimele teze ale considerentului menționat cu privire la anonimizare confirmă această interpretare: acestea exclud datele anonime (sau care sunt anonimizate) din domeniul de aplicare al Regulamentului 2018/1725 ( 22 ), dar nu exclud datele pseudonimizate decât în măsura în care persoanele vizate nu sunt identificabile. În cazul în care identificarea persoanelor menționate este imposibilă, acestea sunt, prin urmare, considerate din punct de vedere juridic ca fiind suficient protejate prin procesul de pseudonimizare, în pofida faptului că datele suplimentare de identificare nu au fost șterse în totalitate.

52.

Cu alte cuvinte, nu se pune problema excluderii în mod automat a datelor pseudonimizate din domeniul de aplicare al acestui regulament ( 23 ). Totuși, având în vedere considerentul (16) al acestuia din urmă, nu se poate exclude eventualitatea ca astfel de date să poată, în anumite condiții, ieși din sfera de aplicare a noțiunii de „date cu caracter personal”.

53.

Contrar celor susținute de AEPD, o asemenea abordare nu ni se pare contrară obiectivului de a garanta un nivel ridicat de protecție a datelor cu caracter personal, în special având în vedere cerințele privind caracterul identificabil impuse de dispozițiile aplicabile, pe de o parte, și având în vedere interpretarea lor jurisprudențială, pe de altă parte.

54.

În primul rând, considerentul (16) al Regulamentului 2018/1725 se referă la caracterul identificabil fie de către operator, „fie [de către] o altă persoană”: această concepție largă, deși nu este nelimitată ( 24 ), face parte dintr‑o abordare protectoare a datelor cu caracter personal.

55.

De asemenea, acest considerent (16) enunță că ar trebui să se țină seama de mijloacele care, în mod rezonabil, pot fi utilizate în scopul identificării, în mod direct sau indirect, a unei persoane fizice, luând în considerare toți factorii obiectivi, cum ar fi costurile și intervalul de timp necesare pentru identificare, ținându‑se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică, ceea ce constituie o definiție largă și protectoare a datelor cu caracter personal.

56.

În al doilea rând, interpretarea jurisprudențială a acestei noțiuni de „caracter identificabil”, axată pe riscul de reidentificare a persoanelor vizate, permite de asemenea o aplicare largă a noțiunii de „date cu caracter personal”. Astfel, Curtea a calificat în mod sistematic drept „date cu caracter personal” datele care, deși disociate de datele de identificare aflate în posesia unei alte persoane, puteau, în contextul în discuție, implica un risc ca persoanele vizate să fie reidentificate ( 25 ).

57.

Astfel, numai în cazul în care riscul de identificare este inexistent sau nesemnificativ ( 26 ), o dată poate să nu fie calificată din punct de vedere juridic drept „dată cu caracter personal”.

58.

Argumentele AEPD și ale Comitetului european pentru protecția datelor cu privire la pericolele care decurg dintr‑o interpretare prea strictă a datelor cu caracter personal nu sunt convingătoare. Astfel, faptul că normele care decurg din Regulamentul 2018/1725 nu se aplică datelor care privesc persoane neidentificabile nu ar împiedica angajarea, dacă este cazul, a răspunderii juridice a entităților care s‑ar afla la originea unor comportamente sancționabile, de exemplu în cazul unei divulgări a datelor care cauzează un prejudiciu. În schimb, considerăm că este disproporționat să se impună unei entități, care nu ar putea în mod rezonabil să identifice persoanele în cauză, obligații care decurg din Regulamentul 2018/1725 ( 27 ), obligații pe care această entitate nu ar putea, prin ipoteză, să le respecte sau care ar obliga‑o tocmai să încerce să identifice persoanele în cauză.

59.

Având în vedere aceste considerații, dacă se analizează litigiul în raport cu datele astfel cum au fost transferate către Deloitte, considerăm că, contrar celor susținute de AEPD, trebuia să se stabilească dacă prelucrarea prin care s‑au pseudonimizat datele în cauză era suficient de solidă pentru a concluziona că reclamanții, autorii informațiilor transmise Deloitte, nu erau identificabili în mod rezonabil. Cu alte cuvinte, în acest context, dacă Deloitte dispunea de mijloace rezonabile pentru a identifica reclamanții menționați, s‑ar putea considera că a prelucrat date cu caracter personal.

60.

Prin urmare, prima critică invocată de AEPD ar trebui, în opinia noastră, să fie respinsă.

61.

Potrivit AEPD, susținută de Comitetul european pentru protecția datelor, datele pseudonimizate în discuție sunt date cu caracter personal pentru SRB și, prin urmare, obligația de informare în privința persoanelor vizate, cu privire la destinatar, revenea SRB. Acesta susține în esență că Tribunalul a interpretat în mod eronat Hotărârea Breyer, care privea o situație de fapt diferită.

62.

În schimb, potrivit SRB, susținut de Comisie, comparația cu Hotărârea Breyer ar fi relevantă și ar conduce la concluzia că obligația de informare nu se aplică decât dacă datele transferate sunt date cu caracter personal din punctul de vedere al destinatarului, în speță Deloitte, ceea ce, după cum Tribunalul a statuat în mod întemeiat, nu a fost demonstrat în speță.

63.

Considerăm că obligația de informare, prevăzută la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725, și paralelismul cu Hotărârea Breyer conduc în speță la o soluție diferită de cea a Tribunalului, ceea ce vom prezenta în cadrul analizei prezentei critici.

64.

Articolul 4 alineatul (1) litera (a) din Regulamentul 2018/1725 impune cerința unei prelucrări legale, echitabile și transparente a datelor față de persoana vizată.

65.

În special, articolul 15 alineatul (1) litera (d) din acest regulament prevede că, în cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul informează persoanele vizate, „în momentul obținerii acestor date cu caracter personal”, cu privire la destinatarii potențiali ai acestor date. Rezultă astfel că această informație trebuie dată de operator imediat, și anume la momentul colectării datelor ( 28 ).

66.

Importanța respectării unei astfel de obligații de informare este confirmată și de considerentul (35) al Regulamentului 2018/1725, care enunță că, conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, subliniindu‑se că operatorul ar trebui să furnizeze orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal ( 29 ).

67.

O astfel de obligație de informare este cu atât mai importantă cu cât validitatea consimțământului dat de persoana vizată depinde printre altele de aspectul dacă această persoană a obținut în prealabil informațiile la care ea avea dreptul în raport cu toate circumstanțele în care are loc prelucrarea datelor în discuție, în virtutea articolelor 14 și 15 din Regulamentul 2018/1725, și care îi permit să își dea consimțământul în deplină cunoștință de cauză ( 30 ).

68.

Adăugăm că singura excepție de la această obligație de informare, prevăzută la articolul 15 alineatul (4) din Regulamentul 2018/1725, se referă la ipoteza în care persoana vizată deține deja informațiile în cauză.

69.

Deducem de aici că, în speță, această obligație de informare se înscrie în cadrul raportului juridic existent între persoanele vizate, în speță reclamanții, pe de o parte, și SRB în calitate de operator, pe de altă parte, iar nu în cadrul raportului dintre SRB și destinatar, și anume Deloitte. Obligația de informare are astfel ca obiect datele așa cum sunt deținute de SRB înainte de transferul către Deloitte. Or, nu se contestă că este vorba despre date cu caracter personal, întrucât SRB deține comentariile și baza de identificare a persoanelor care le‑au emis.

70.

O asemenea abordare cu privire la „punctul de vedere pertinent” ( 31 ) ne conduce astfel la o soluție diferită de cea a Tribunalului, chiar efectuând comparația cu Hotărârea Breyer.

71.

Amintim că, în litigiul aflat la originea întrebării preliminare adresate în această hotărâre, domnul Breyer dorea obligarea operatorului (Republica Federală Germania) să înceteze să stocheze adresa sa IP dinamică. Informațiile suplimentare care permiteau identificarea sa prin intermediul adresei IP atașate calculatorului său nu erau în posesia operatorului, ci a furnizorului de acces la internet. Întrebarea era, așadar, dacă adresa IP dinamică deținută de operator poate fi calificată drept „dată cu caracter personal” și, prin urmare, în cadrul raportului juridic dintre domnul Breyer și operatorul menționat, poate să dea naștere unor obligații în materie de stocare în sarcina acestuia din urmă, deși elementele de identificare ale domnului Breyer erau în posesia altei persoane decât operatorul. În esență, s‑a statuat că operatorul, deși nu deținea informațiile suplimentare de identificare, putea în mod rezonabil să le acceseze și, prin urmare, adresa IP dinamică a fost calificată drept „dată cu caracter personal”.

72.

În speță, astfel cum s‑a amintit anterior ( 32 ), obligația de informare se înscrie în cadrul relației dintre persoanele vizate (reclamanții) și operator (SRB): obligația de informare intervine atunci când datele în cauză sunt colectate de SRB și, în ceea ce privește în special informarea cu privire la destinatar, cel târziu atunci când acesta este cunoscut. Or, atunci când acest moment se cristalizează, datele în cauză sunt date cu caracter personal aflate în posesia SRB, care deține datele suplimentare de identificare. Având în vedere obligația de informare în cauză și având în vedere momentul în care aceasta se cristalizează, datele în cauză constituiau, așadar, date cu caracter personal, independent de caracterul lor identificabil de către Deloitte, care nu este vizată nici de raportul juridic dintre reclamanți și SRB, singurul relevant, nici de această obligație de informare care revine SRB.

73.

Din acest punct de vedere, considerăm că paralelismul cu Hotărârea Breyer trebuie relativizat în speță.

74.

Rezultă că obligația de informare revenea SRB în calitate de operator și ca urmare a raportului său cu reclamanții, de la care a colectat datele în cauză, independent de caracterul personal sau nepersonal al datelor astfel cum au fost transferate sub controlul Deloitte.

75.

Argumentul SRB, reiterat în ședință, potrivit căruia punctul de vedere al destinatarului ar fi pertinent, întrucât este important să se verifice dacă acesta este sau nu „destinatar al datelor cu caracter personal”, trebuie, în această logică, să fie respins.

76.

În această privință, este adevărat că textul articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725, care evocă „destinatarii […] datelor cu caracter personal”, poate genera confuzie. Cu toate acestea, efectul util al acestei dispoziții impune ca informația să fie transmisă persoanelor vizate cât mai curând posibil și înainte de transferul de date menționat ( 33 ). În speță, chiar dacă SRB nu avea, la momentul colectării inițiale a comentariilor, intenția de a solicita opinia Deloitte pentru a determina dacă aceste comentarii modificau evaluarea 3, din decizia în litigiu în fața Tribunalului reiese că Deloitte a asistat SRB în cadrul procedurii privind dreptul de a fi audiat ( 34 ). În plus, se poate considera că intenția SRB de a comunica Deloitte datele pseudonimizate a existat cel târziu la momentul la care s‑a decis prelucrarea comentariilor în cauză tocmai în scopul pseudonimizării ( 35 ), în caz contrar pseudonimizarea neavând nicio justificare.

77.

Considerăm astfel că faptul de a controla respectarea obligației de informare la momentul la care datele au fost transferate de SRB către Deloitte, plasându‑se din punctul de vedere al destinatarului pentru a califica datele în cauză ca fiind sau nu personale, conduce la decalarea în timp a controlului menționat. Acest control ar fi în consecință amânat în mod eronat în măsura în care ar fi efectuat cu privire la datele deja transferate destinatarului, în condițiile în care obiectul obligației de informare privește relația dintre SRB și reclamanți și urmărește să permită consimțământul informat al acestora din urmă înainte de transfer.

78.

În plus, în ceea ce privește consimțământul reclamanților, participarea acestora la procedura privind dreptul de a fi audiat poate fi, desigur, interpretată ca un consimțământ implicit de a partaja date cu caracter personal cu operatorul în vederea luării în considerare a comentariilor lor. Acest lucru nu poate fi însă suficient, în opinia noastră, pentru a constitui un consimțământ informat în vederea pseudonimizării datelor și a transferului lor către Deloitte fără o informare prealabilă în această privință din partea SRB ( 36 ).

79.

Rezultă că, în opinia noastră, obligația de informare care revine SRB se aplica în speță înainte de transferul datelor în cauză către Deloitte, independent de caracterul lor personal sau nu.

80.

Prin urmare, aspectul dacă pseudonimizarea este sau nu suficient de solidă și de eficientă, astfel încât să se poată considera că datele aflate în posesia Deloitte constituie sau nu date cu caracter personal, nu ni se pare în cele din urmă relevant în raport cu obligația de informare care revine SRB.

81.

În consecință, obligația de informare care revine SRB în calitate de operator trebuia respectată în speță, iar hotărârea atacată trebuie, pentru acest motiv, să fie anulată pentru eroare de drept.

82.

Având în vedere că punctul de vedere al destinatarului datelor în cauză nu este relevant în raport cu obligația de informare prevăzută la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725, argumentele părților privind posibilitatea Deloitte de a identifica, prin mijloace legale și realizabile în practică, persoanele vizate se dovedesc inoperante și, prin urmare, nu este necesar să fie examinate.

83.

În cazul în care Curtea nu ar împărtăși acest punct de vedere, arătăm cu titlu subsidiar că AEPD contestă, în această privință, constatarea Tribunalului potrivit căreia Deloitte nu ar avea acces la datele de identificare. Aceasta se întemeiază în special pe raportul contractual de subcontractare care ar exista între SRB și Deloitte. SRB și Comisia susțin că, procedând astfel, AEPD invocă noi susțineri în fapt care sunt inadmisibile în stadiul recursului. Suntem de acord cu acest punct de vedere. Astfel, existența unui raport contractual între SRB și Deloitte, care ar demonstra posibilitatea Deloitte de a solicita SRB identificarea reclamanților, constituie o argumentație nouă, cu privire la care, de altfel, Tribunalul nu s‑a pronunțat nicidecum. Rezultă că această argumentație ar trebui, dacă este cazul, să fie respinsă ca inadmisibilă în temeiul articolului 170 alineatul (1) a doua teză din Regulamentul de procedură al Curții, potrivit căruia recursul nu poate modifica obiectul litigiului dedus judecății Tribunalului ( 37 ).

84.

Prin intermediul celui de al doilea motiv, întemeiat pe încălcarea principiului responsabilității prevăzut la articolul 4 alineatul (2) și la articolul 26 alineatul (1) din Regulamentul 2018/1725, AEPD, susținută de Comitetul european pentru protecția datelor, arată că Tribunalul a statuat în mod eronat că îi revenea sarcina de a demonstra că informațiile transmise Deloitte constituiau date cu caracter personal, cu încălcarea principiului responsabilității SRB.

85.

Având în vedere ceea ce precedă și în special punctele 81 și 82 de mai sus, considerăm că nu este necesar să se examineze acest al doilea motiv.

86.

Prin urmare, îl vom evoca doar pe scurt, cu titlu subsidiar.

87.

Cu privire la admisibilitatea, contestată de SRB, a acestui motiv neinvocat în fața Tribunalului, amintim că un recurent are dreptul să formuleze recurs invocând motive derivate din însăși hotărârea atacată prin care să conteste temeinicia în drept a acesteia ( 38 ). Considerăm că aceasta este situația prezentului motiv, care este, așadar, admisibil.

88.

Cu privire la fond, trebuie amintit că Tribunalul a statuat că, întrucât AEPD nu a verificat dacă Deloitte dispunea de mijloace legale și realizabile în practică care să îi permită accesul la informațiile suplimentare necesare pentru reidentificarea reclamanților, AEPD nu putea concluziona că informațiile transmise Deloitte constituiau informații privind o „persoană fizică identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.

89.

AEPD, susținută de Comitetul european pentru protecția datelor, afirmă în esență că Tribunalul ar fi trebuit să verifice dacă SRB, operatorul, a dovedit că anonimizase datele în litigiu față de Deloitte.

90.

SRB contestă această argumentație, arătând că principiul responsabilității nu se aplică decât în prezența unor date cu caracter personal și că, în speță, datele aflate sub controlul Deloitte fuseseră anonimizate.

91.

La rândul său, Comisia susține că, într‑o primă etapă, AEPD suportă o sarcină a probei rezonabilă pentru a dovedi, pe baza elementelor de probă disponibile, existența unor date cu caracter personal. Într‑o a doua etapă, ar reveni operatorului în cauză sarcina de a infirma această concluzie prin prezentarea unor elemente suplimentare.

92.

Amintim că, în temeiul articolului 4 alineatul (1) litera (a) din Regulamentul 2018/1725, datele cu caracter personal trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată. Articolul 4 alineatul (2) din acest regulament prevede că „[o]peratorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare”. Rezultă astfel din principiul responsabilității, enunțat la articolul 4 alineatul (2) și precizat la articolul 26 alineatul (1) din regulamentul menționat, că operatorul trebuie să poată demonstra că respectă principiile legate de prelucrarea datelor cu caracter personal enunțate la alineatul (1) al articolului 4 ( 39 ).

93.

Din moment ce operatorul ar furniza elemente de probă suficiente în acest sens, s‑ar putea considera că acesta a îndeplinit sarcina probei care îi revine ( 40 ).

94.

În speță, considerăm că SRB a invocat mai multe elemente de fapt (în special procesele de filtrare, de clasificare, de agregare a comentariilor, descrise în decizia în litigiu și în hotărârea atacată) pentru a dovedi, în conformitate cu principiul responsabilității care îi revenea, că identificarea de către Deloitte a persoanelor vizate era imposibilă.

95.

În fața Tribunalului, AEPD a adoptat în această privință o poziție de principiu care constă în a se plasa din punctul de vedere al SRB, iar nu al Deloitte, și a califica astfel drept „date cu caracter personal” comentariile transferate către Deloitte.

96.

Dacă se admite, în scopul examinării subsidiare a prezentului motiv, că punctul de vedere al Deloitte era relevant în speță ( 41 ), s‑ar putea considera că, astfel cum a statuat Tribunalul, revenea AEPD sarcina de a demonstra ( 42 ) motivul, juridic sau tehnic, pentru care procesul de pseudonimizare pus în aplicare de SRB în speță nu era suficient și trebuia să conducă la concluzia că Deloitte prelucra date cu caracter personal.

97.

Prin urmare, considerăm că, dacă este cazul, hotărârea atacată ar trebui să fie confirmată cu privire la acest al doilea motiv.

98.

În temeiul articolului 61 primul paragraf din Statutul Curții de Justiție a Uniunii Europene, în cazul în care recursul este întemeiat, Curtea anulează decizia Tribunalului. În acest caz, Curtea poate fie să soluționeze ea însăși în mod definitiv litigiul atunci când acesta este în stare de judecată, fie să trimită cauza Tribunalului pentru a se pronunța asupra acesteia.

99.

Primul motiv invocat de SRB împotriva deciziei în litigiu în fața Tribunalului este întemeiat pe încălcarea articolului 3 punctul 1 din Regulamentul 2018/1725. Din cuprinsul punctelor 63-82 din prezentele concluzii rezultă că, întrucât SRB nu și‑a îndeplinit obligația de informare care îi revine în temeiul articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725, decizia în litigiu ar trebui, prin urmare, în opinia noastră, să fie confirmată.

100.

În schimb, considerăm că al doilea motiv, întemeiat pe încălcarea de către AEPD a dreptului la bună administrare în cadrul procedurii care a condus la adoptarea deciziei în litigiu, nu este în stare de judecată.

101.

Astfel, SRB susține în special că, în cadrul procedurii administrative care precedă adoptarea deciziei în litigiu, AEPD a încălcat dreptul său de acces la dosar, dreptul său de a fi audiat, precum și principiul egalității armelor, refuzându‑i accesul la dosar, pe de o parte, și necomunicându‑i observațiile reclamanților sau conținutul acestora, pe de altă parte.

102.

Or, Tribunalul a apreciat că, întrucât fusese admis primul motiv, nu era necesară examinarea celui de al doilea motiv invocat în fața sa. În consecință, acest motiv, care implică în special aprecieri de fapt, nu este în stare de judecată. Prin urmare, considerăm că cauza trebuie trimisă Tribunalului pentru a se pronunța asupra acesteia, cererile privind cheltuielile de judecată urmând a fi soluționate odată cu fondul.

103.

Având în vedere considerațiile care precedă, propunem Curții să statueze după cum urmează: