1.

În anul 1946, George Orwell a spus despre campania „Țineți moartea la distanță de șosele”, care se desfășura la momentul respectiv într‑un fost stat membru al Uniunii Europene, următoarele: „Dacă doriți într‑adevăr să țineți moartea la distanță de șosele, ar trebui să refaceți planul întregii rețele rutiere astfel încât coliziunile să devină imposibile. Gândiți‑vă ce înseamnă acest lucru (ar implica, de exemplu, demolarea și reconstruirea în întregime a Londrei) și puteți vedea că este absolut peste puterile oricărei națiuni în momentul de față. În afară de aceasta, puteți doar să luați măsuri paliative, care se reduc în final la creșterea nivelului de prudență al oamenilor” ( 2 ).

2.

Cauza aflată în discuție în fața Satversmes tiesa (Curtea Constituțională, Letonia), care s‑a adresat Curții prin intermediul prezentei cereri de decizie preliminară, are ca obiect „măsurile paliative” menționate mai sus: pentru promovarea siguranței rutiere prin creșterea gradului de conștientizare și de prudență al conducătorilor auto, acestora li se aplică puncte de penalizare pentru încălcarea normelor de circulație rutieră. Ulterior, această informație este comunicată și transmisă pentru reutilizare. Instanța de trimitere, în fața căreia s‑a ridicat o excepție de neconstituționalitate, trebuie să aprecieze compatibilitatea legislației naționale în discuție cu Regulamentul (UE) 2016/679 ( 3 ) (denumit în continuare „RGPD”).

3.

Aceasta face ca prezenta cauză să fie o cauză aproape clasică în domeniul protecției datelor, în sensul că este situată cu precădere în spațiul „offline” și presupune o relație pe verticală între un stat și o persoană fizică, ceea ce o plasează în mod firesc în cadrul unei serii de cauze care au ajuns la Curte după hotărârea de principiu Stauder ( 4 ), fără îndoială prima hotărâre referitoare la protecția datelor în sens larg ( 5 ).

4.

Vom propune Curții ca, atunci când va aprecia în ce măsură un stat membru poate interveni în drepturile personale ale unui particular pentru a urmări obiectivul său de promovare a siguranței rutiere, să constate că măsurile precum legislația letonă aflată în discuție nu sunt proporționale în raport cu scopul pe care urmăresc să îl realizeze.

5.

Dar înainte de a ajunge la acest aspect, prezenta cauză ridică o serie întreagă de probleme fundamentale și complexe, care ne vor trece prin RGPD cu o viteză amețitoare. Puneți‑vă centurile de siguranță. Se poate să scăpați de câteva puncte de penalizare.

6.

Capitolul I din RGPD, intitulat „Dispoziții generale”, cuprinde articolele 1-4, care prevăd obiectul și obiectivele, domeniul de aplicare material și teritorial, precum și definiții.

7.

Articolul 1 din RGPD, intitulat „Obiect și obiective”, are următorul cuprins:

„(1)   Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.

(2)   Prezentul regulament asigură protecția drepturilor și libertăților fundamentale ale persoanelor fizice și în special a dreptului acestora la protecția datelor cu caracter personal.

(3)   Libera circulație a datelor cu caracter personal în interiorul Uniunii nu poate fi restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

8.

Articolul 2 din RGPD, intitulat „Domeniul de aplicare material”, prevede:

„(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.

(2)   Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:

[…]”

9.

Capitolul II, care conține articolele 5-11, stabilește principiile regulamentului: principiile legate de prelucrarea datelor cu caracter personal, legalitatea prelucrării, condițiile privind consimțământul, inclusiv consimțământul unui copil în legătură cu serviciile societății informaționale, prelucrarea de categorii speciale de date cu caracter personal și de date cu caracter personal referitoare la condamnări penale și infracțiuni, precum și prelucrarea care nu necesită identificare.

10.

Potrivit articolului 5 din RGPD, intitulat „Principii legate de prelucrarea datelor cu caracter personal”:

„(1)   Datele cu caracter personal sunt:

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

11.

Articolul 10 din RGPD, intitulat „Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni”, prevede:

„Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) se efectuează numai sub controlul unei autorități de stat sau atunci când prelucrarea este autorizată de dreptul Uniunii sau de dreptul intern care prevede garanții adecvate pentru drepturile și libertățile persoanelor vizate. Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.”

12.

Articolul 1 din Directiva 2003/98/CE ( 6 ), intitulat „Obiectul și domeniul de aplicare”, are următorul cuprins:

(1)   Prezenta directivă stabilește un set minim de norme privind reutilizarea, precum și mijloacele practice de facilitare a reutilizării documentelor existente deținute de organismele din sectorul public ale statelor membre.

(2)   Prezenta directivă nu se aplică:

(3)   Prezenta directivă se bazează pe regimurile de acces din statele membre și nu le aduce atingere.

(4)   Prezenta directivă lasă intact și nu aduce atingere în niciun fel nivelului de protecție al persoanelor prevăzut în legislația Uniunii sau internă privind prelucrarea datelor personale și în special nu modifică drepturile și obligațiile prevăzute de Directiva 95/46/CE[ ( 7 )].

(5)   Obligațiile impuse prin prezenta directivă se aplică numai în măsura în care sunt compatibile cu prevederile acordurilor internaționale privind protejarea drepturilor de proprietate intelectuală, în special Convenția de la Berna[ ( 8 )] și Acordul TRIPS”[ ( 9 )].

13.

Articolul 2 din Directiva 2003/98, intitulat „Definiții”, are următorul cuprins:

„În sensul prezentei directive, se aplică următoarele definiții:

14.

Articolul 3 din Directiva 2003/98, intitulat „Principiu general”, are următorul cuprins:

„(1)   Sub rezerva dispozițiilor alineatului (2), statele membre se asigură că documentele care intră sub incidența prezentei directive în conformitate cu articolul 1 sunt reutilizabile în scopuri comerciale sau necomerciale în conformitate cu condițiile stabilite în capitolele III și IV.

(2)   În cazul documentelor asupra cărora bibliotecile, inclusiv bibliotecile universitare, muzeele și arhivele, dețin drepturi de proprietate intelectuală, statele membre se asigură că, dacă este permisă reutilizarea acestui tip de documente, ele sunt reutilizabile în scopuri comerciale sau necomerciale în conformitate cu condițiile stabilite în capitolele III și IV.”

15.

Articolul 141 alineatul (2) din Ceļu satiksmes likums (denumită în continuare „Legea privind circulația rutieră”) ( 10 ) are următorul cuprins:

„Informațiile referitoare la un vehicul deținut de o persoană juridică, […] la dreptul unei persoane de a conduce vehicule, la amenzile pentru încălcarea normelor de circulație aplicate unei persoane și care nu au fost plătite în termenele prevăzute de lege și alte informații înregistrate în registrul național al vehiculelor și al conducătorilor auto [denumit în continuare «registrul național al vehiculelor»], precum și în sistemul de informații privind mijloacele de tracțiune și conducătorii auto sunt considerate informații accesibile publicului.”

16.

B, reclamantul în procedura de pe rolul instanței de trimitere, este o persoană fizică căreia i‑au fost aplicate puncte de penalizare în temeiul Legii privind circulația rutieră și al unui decret special ( 11 ). Ceļu satiksmes drošības direkcija (Direcția pentru Siguranță Rutieră, Letonia, denumită în continuare „CSDD”) este un organism public care a înscris aceste puncte de penalizare în registrul național al vehiculelor.

17.

Întrucât informațiile referitoare la respectivele puncte de penalizare pot fi comunicate la cerere și, potrivit lui B, au fost transmise în scopul reutilizării lor mai multor societăți, B a sesizat instanța de trimitere cu o excepție de neconstituționalitate având ca obiect conformitatea articolului 141 alineatul (2) din Legea privind circulația rutieră cu dreptul la viață privată consacrat la articolul 96 din Latvijas Republikas Satversme (Constituția letonă).

18.

Întrucât articolul 141 alineatul (2) din Legea privind traficul rutier a fost adoptat de Latvijas Republikas Saeima (Parlamentul leton, denumit în continuare „Saeima”), această instituție a participat la procedură. De asemenea, CSDD, care prelucrează datele în cauză, a fost ascultată. În plus, Datu valsts inspekcija (Autoritatea pentru protecția datelor, Letonia) – care este în Letonia autoritatea de supraveghere în sensul articolului 51 din RGPD – și mai multe alte autorități și persoane au fost invitate să își exprime opinia în calitate de amici curiae în fața instanței de trimitere.

19.

Saeima recunoaște că, în temeiul dispoziției în discuție, orice persoană poate obține informații cu privire la punctele de penalizare ale altei persoane fie prin informarea directă la CSDD, fie prin utilizarea serviciilor furnizate de reutilizatorii comerciali.

20.

În acest context, Saeima consideră că dispoziția în discuție este legală, întrucât este justificată de obiectivul îmbunătățirii siguranței rutiere, care impune ca autorii încălcărilor normelor de circulație să fie identificați în mod public, iar conducătorii auto să fie descurajați de la săvârșirea încălcărilor.

21.

În plus, ar trebui să fie respectat dreptul de acces la informații, prevăzut la articolul 100 din Constituția letonă. În orice caz, prelucrarea informațiilor referitoare la punctele de penalizare are loc sub controlul autorității publice și cu respectarea garanțiilor adecvate pentru drepturile și libertățile persoanelor vizate.

22.

Saeima explică în continuare că, în practică, comunicarea informațiilor cuprinse în registrul național al vehiculelor este supusă condiției ca persoana care le solicită să indice numărul național de identificare al conducătorului auto despre care dorește să se informeze. Această condiție prealabilă pentru obținerea informațiilor se explică prin faptul că, spre deosebire de numele unei persoane, numărul național de identificare este un identificator unic.

23.

La rândul său, CSDD a explicat instanței de trimitere funcționarea sistemului punctelor de penalizare și a confirmat că legislația națională nu impune nicio limită în ceea ce privește accesul publicului la datele referitoare la punctele respective și reutilizarea lor.

24.

CSDD a furnizat totodată detalii ale contractelor încheiate cu reutilizatorii comerciali. Ea a subliniat că aceste contracte nu prevăd transferul legal de date și că reutilizatorii se asigură că informațiile transmise clienților lor nu sunt mai mult decât ceea ce se poate obține de la CSDD. În plus, una dintre dispozițiile contractuale stipulează că informațiile trebuie utilizate de către dobânditorul lor în modul prevăzut de reglementările în vigoare și în conformitate cu scopurile indicate în contract.

25.

Autoritatea pentru protecția datelor a exprimat unele îndoieli legate de compatibilitatea dispoziției în litigiu cu articolul 96 din Constituția letonă. Ea nu a exclus posibilitatea ca prelucrarea datelor în discuție să fie inadecvată sau disproporționată.

26.

Autoritatea respectivă a observat totodată că, deși statisticile privind accidentele de circulație din Letonia indică o diminuare a numărului de accidente, nu există nicio dovadă că sistemul punctelor de penalizare și accesul publicului la informațiile referitoare la acesta au contribuit la această evoluție favorabilă.

27.

Satversmes tiesa (Curtea Constituțională) arată mai întâi că procedura cu care este sesizată nu privește articolul 141 alineatul (2) din Legea privind circulația rutieră în ansamblul său, ci numai în măsura în care această dispoziție face accesibile publicului informațiile referitoare la punctele de penalizare înscrise în registrul național al vehiculelor.

28.

Instanța menționată consideră în continuare că punctele de penalizare sunt date cu caracter personal și, prin urmare, este necesar să fie prelucrate în concordanță cu dreptul la respectarea vieții private. Ea subliniază că, pentru a aprecia domeniul de aplicare al articolului 96 din Constituția letonă, trebuie să se țină seama de RGPD, precum și de articolul 16 TFUE și de articolul 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

29.

În ceea ce privește obiectivele Legii privind circulația rutieră, instanța de trimitere afirmă că încălcările normelor de circulație săvârșite de conducătorii auto, care sunt considerate ca având caracter administrativ în Letonia, sunt înscrise în registrul național al sancțiunilor, iar punctele de penalizare sunt înscrise în registrul național al vehiculelor, în scopul influențării conduitei conducătorilor auto și astfel al minimizării riscurilor pentru viața, sănătatea și bunurile persoanelor.

30.

Registrul național al sancțiunilor constituie un registru unic al sancțiunilor aplicate persoanelor care au săvârșit încălcări (fie penale, fie administrative), printre altele în scopul de a facilita controlul sancțiunilor impuse. În schimb, registrul național al vehiculelor permite monitorizarea încălcărilor normelor de circulație rutieră și punerea în aplicare a unor măsuri în funcție de numărul unor asemenea încălcări săvârșite. Sistemul punctelor de penalizare urmărește îmbunătățirea siguranței rutiere prin distingerea conducătorilor auto care încalcă în mod sistematic și cu rea‑credință normele de circulație rutieră de conducătorii auto care săvârșesc încălcări ocazional și prin influențarea conduitei participanților la trafic în mod disuasiv.

31.

Instanța de trimitere observă că articolul 141 alineatul (2) din Legea privind circulația rutieră acordă oricărei persoane dreptul de a solicita și de a obține de la CSDD informațiile care figurează în registrul național al vehiculelor referitoare la punctele de penalizare aplicate conducătorilor auto. În practică, informațiile referitoare la punctele de penalizare sunt furnizate solicitantului de îndată ce acesta indică numărul național de identificare al conducătorului auto în cauză.

32.

Satversmes tiesa (Curtea Constituțională) precizează în continuare că informațiile privind punctele de penalizare, ca urmare a calificării lor drept informații aflate la dispoziția publicului, intră în domeniul de aplicare al Legii privind divulgarea informațiilor și, prin urmare, pot fi reutilizate în scopuri comerciale sau necomerciale, altele decât scopul inițial pentru care au fost înregistrate.

33.

Pentru interpretarea și aplicarea articolului 96 din Constituția letonă în conformitate cu dreptul Uniunii, instanța de trimitere urmărește să afle, în primul rând, dacă punctele de penalizare precum cele aplicate în temeiul dreptului leton intră în domeniul de aplicare al articolului 10 din RGPD. În special, instanța de trimitere urmărește să se stabilească dacă articolul 141 alineatul (2) din Legea privind circulația rutieră încalcă cerințele care figurează la articolul 10 din RGPD, potrivit cărora prelucrarea datelor vizate de această dispoziție poate avea loc numai „sub controlul unei autorități de stat” sau cu „garanții adecvate pentru drepturile și libertățile persoanelor vizate”.

34.

Instanța menționată observă că articolul 8 alineatul (5) din Directiva 95/46, care a lăsat fiecărui stat membru posibilitatea de a aprecia dacă normele speciale privind datele referitoare la infracțiuni și condamnări penale trebuie să fie extinse asupra datelor referitoare la contravențiile și sancțiunile administrative, a fost transpus în Letonia prin articolul 12 din Fizisko personu datu aizsardzības likums (Legea privind protecția datelor persoanelor fizice), potrivit căruia datele cu caracter personal referitoare la contravenții puteau să fie prelucrate, la fel ca datele care privesc infracțiuni și condamnări penale, exclusiv de către persoanele și în circumstanțele prevăzute de lege.

35.

Din acestea rezultă că, timp de peste un deceniu, în Letonia s‑au aplicat cerințe similare pentru prelucrarea datelor cu caracter personal care privesc infracțiuni și condamnări penale și a datelor cu caracter personal care privesc contravenții.

36.

Aceeași instanță observă de asemenea că domeniul de aplicare al articolului 10 din RGPD trebuie să fie apreciat, în conformitate cu considerentul (4) al regulamentului respectiv, ținând seama de funcția drepturilor fundamentale în societate. Ea consideră în această privință că obiectivul de a garanta că viața privată și profesională a unei persoane nu este afectată negativ în mod nejustificat ca urmare a unei condamnări anterioare ar putea exista atât în cazul condamnărilor penale, cât și al contravențiilor.

37.

Satversmes tiesa (Curtea Constituțională) solicită să se stabilească, în al doilea rând, domeniul de aplicare al articolului 5 din RGPD. În special, ea ridică problema de a se stabili dacă, având în vedere considerentul (39) al regulamentului menționat, legiuitorul leton a respectat obligația, prevăzută la articolul 5 alineatul (1) litera (f) din RGPD, de a asigura prelucrarea datelor cu caracter personal cu „integritate și confidențialitate”. Aceasta observă că articolul 141 alineatul (2) din Legea privind circulația rutieră, care, prin acordarea accesului la informațiile referitoare la punctele de penalizare, permite să se verifice dacă în cazul unei persoane s‑a constatat săvârșirea unei încălcări a normelor de circulație rutieră, nu a fost însoțit de măsuri specifice care să asigure securitatea unor astfel de date.

38.

Instanța de trimitere solicită să se stabilească, în al treilea rând, dacă Directiva 2003/98 este relevantă pentru aprecierea compatibilității articolului 141 alineatul (2) din Legea privind circulația rutieră cu articolul 96 din Constituția letonă. Ea subliniază că, potrivit directivei respective, reutilizarea datelor cu caracter personal poate fi permisă doar cu respectarea dreptului la viață privată.

39.

În al patrulea rând, având în vedere jurisprudența Curții potrivit căreia interpretarea dreptului Uniunii furnizată în deciziile preliminare produce efecte erga omnes și ex tunc, instanța de trimitere ridică problema dacă ar putea totuși, în cazul incompatibilității articolului 141 alineatul (2) din Legea privind circulația rutieră cu articolul 96 din Constituția letonă, înțeles din perspectiva dreptului Uniunii astfel cum a fost interpretat de Curte, să statueze că efectele în timp ale articolului 141 alineatul (2) vor fi menținute până la data pronunțării hotărârii sale de declarare a neconstituționalității dispoziției menționate, pentru motivul că un număr mare de raporturi juridice vor fi afectate de hotărârea sa.

40.

În această privință, instanța de trimitere precizează că, potrivit dreptului leton, un act care este declarat neconstituțional trebuie să fie considerat nul de la data publicării hotărârii Satversmes tiesa (Curtea Constituțională), cu excepția situației în care instanța respectivă dispune altfel. De asemenea, explică practica sa, care constă în aceea că urmărește crearea unui echilibru între principiul securității juridice, pe de o parte, și drepturile fundamentale ale diferitor persoane vizate, pe de altă parte, cu ocazia stabilirii datei de la care dispoziția declarată neconstituțională nu va mai fi în vigoare.

41.

În aceste condiții, prin ordonanța din 4 iunie 2019, primită de Curte la 11 iunie 2019, Satversmes tiesa (Curtea Constituțională) a adresat următoarele întrebări preliminare:

42.

Guvernele leton, neerlandez, austriac și portughez și Comisia Europeană au depus observații scrise.

43.

În contextul răspândirii virusului SARS‑CoV‑2, Curtea a decis să anuleze ședința din prezenta cauză care era stabilită pentru data de 11 mai 2020. Prin intermediul unor măsuri de organizare a procedurii și ca o etapă excepțională, Curtea a decis să înlocuiască această ședință cu întrebări la care să se răspundă în scris. Guvernele leton și suedez și Comisia au răspuns la întrebările care le‑au fost adresate de Curte.

44.

Prezenta cerere de decizie preliminară ridică o serie de probleme fundamentale legate de RGPD. Toate problemele menționate presupun însă aplicabilitatea RGPD în cauza de față ( 12 ). Punem în discuție această chestiune întrucât Uniunea Europeană nu a legiferat în domeniul punctelor de penalizare aferente încălcării normelor de circulație rutieră.

45.

Potrivit articolului 2 alineatul (2) litera (a) din RGPD, regulamentul respectiv nu se aplică prelucrării datelor cu caracter personal în cadrul unei activități care nu intră sub incidența dreptului Uniunii. Este evident că, în timp ce articolul 2 alineatul (1) din RGPD formulează în mod pozitiv ceea ce intră sub incidența acestui regulament ( 13 ), articolul 2 alineatul (2) din regulamentul în cauză exclude patru tipuri de activități din domeniul său de aplicare. Fiind o excepție de la norma generală, articolul 2 alineatul (2) din RGPD trebuie să fie interpretat în sens strict ( 14 ).

46.

Legiuitorul Uniunii a ales să folosească un regulament ca formă a instrumentului juridic pentru a spori gradul de uniformitate al dreptului Uniunii în domeniul protecției datelor, în special pentru a crea condiții uniforme între operatorii (economici) din cadrul pieței interne, independent de locul unde își au sediul operatorii respectivi ( 15 ).

47.

Articolul 16 TFUE nu conține doar temeiul juridic pentru adoptarea unor texte precum RGPD, ci constituie, la modul mai general, întrucât este inclus în partea întâi din titlul II din Tratatul FUE ( 16 ), o dispoziție orizontală cu caracter constituțional care trebuie luată în considerare în exercitarea oricărei eventuale competențe a Uniunii.

48.

La fel cum a făcut predecesoarea sa, Directiva 95/46, RGPD urmărește să asigure un nivel ridicat de protecție a drepturilor și a libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal ( 17 ).

49.

Modul de redactare a articolului 2 alineatul (2) litera (a) din RGPD îl reflectă în esență pe cel al articolului 16 alineatul (2) TFUE ( 18 ), care constituie temeiul legal al acestui regulament în dreptul primar. Potrivit articolului 16 alineatul (2) TFUE, legiuitorul Uniunii trebuie să stabilească normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către statele membre „în exercitarea activităților care fac parte din domeniul de aplicare al dreptului Uniunii, precum și normele privind libera circulație a acestor date” ( 19 ). Prin urmare, această dispoziție are un caracter declarativ. În consecință, analiza care urmează este valabilă atât pentru articolul 2 alineatul (2) litera (a) din RGPD, cât și pentru articolul 16 alineatul (2) TFUE.

50.

Primul lucru care trebuie observat este acela că modul de redactare a articolului 2 alineatul (2) litera (a) din RGPD („o activitate care nu intră sub incidența dreptului Uniunii”) diferă de modul de redactare a articolului 51 alineatul (1) din cartă ( 20 ), potrivit căruia „dispozițiile prezentei carte se adresează […] statelor membre numai în cazul în care acestea pun în aplicare dreptul Uniunii” ( 21 ).

51.

Dacă s‑ar considera că acesta este un indiciu că modul de redactare a articolului 2 alineatul (2) litera (a) din RGPD este mai larg decât modul de redactare a articolului 51 alineatul (1) din cartă ( 22 ), întrucât Curtea a interpretat articolul 51 alineatul (1) din cartă în sensul că aceasta din urmă se aplică „atunci când o reglementare națională intră în domeniul de aplicare al dreptului Uniunii” ( 23 ), nu există nicio diferență substanțială între modurile de redactare a celor două dispoziții, potrivit interpretării Curții ( 24 ).

52.

Acestea fiind spuse, în opinia noastră, nu trebuie să se facă analogii cu jurisprudența Curții privind domeniul de aplicare al cartei ( 25 ). Abordarea de mai sus ar fi prea restrictivă și ar fi contrară obiectivului urmărit de articolul 16 TFUE și de RGPD. Astfel, rațiunea cartei este complet diferită de cea a RGPD: carta urmărește disciplinarea exercitării puterii de către instituțiile Uniunii și de către statele membre atunci când acestea acționează în cadrul domeniului de aplicare al dreptului Uniunii și, pe de altă parte, furnizarea unui scut care să permită particularilor să își valorifice drepturile care le revin. În schimb, protecția datelor cu caracter personal este mai mult decât un drept fundamental. După cum demonstrează articolul 16 TFUE ( 26 ), protecția datelor constituie un domeniu de politică al Uniunii de sine stătător. Astfel, însuși scopul RGPD este aplicarea sa oricărei forme de procesare a datelor cu caracter personal, independent de obiectul acestora – și aceasta, de altfel, indiferent dacă este efectuată de statele membre sau de persoane fizice. Interpretarea prevederilor articolului 2 alineatul (2) litera (a) din RGPD în sens restrictiv ar compromite în totalitate acest obiectiv. RGPD, care era menit să fie un tigru pentru protecția datelor, s‑ar dovedi a fi un pisoi domestic.

53.

Simpla existență a unei dispoziții precum articolul 10 din RGPD, care va fi interpretată în detaliu mai jos în cadrul analizei noastre cu privire la prima întrebare a instanței de trimitere, este un exemplu perfect în această privință. Dacă RGPD privește „prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1)“ ( 27 ), într‑un moment în care condamnările penale și infracțiunile sunt stabilite aproape exclusiv de dreptul național, iar nu de dreptul Uniunii, sub rezerva nevalidității articolului 10 din RGPD, acest regulament nu poate avea funcția accesorie care este proprie cartei.

54.

Aceeași este situația în ceea ce privește existența articolului 87 din RGPD, care permite statelor membre să detalieze în continuare condițiile specifice de prelucrare a unui număr de identificare național ( 28 ).

55.

Mai mult, trebuie să se țină seama de considerentul (16) al RGPD care, în partea nenormativă, dar totuși instructivă a acestui regulament, reflectă articolul 2 din RGPD. În cazul de față, securitatea națională este menționată ca exemplu de domeniu care nu intră în sfera de aplicare a dreptului Uniunii. Aceeași situație se regăsește în ceea ce privește precizarea de asemenea neobligatorie referitoare la articolul 16 din Tratatul FUE ( 29 ), în care se menționează că, „de fiecare dată când, în temeiul articolului 16 [TFUE], trebuie adoptate norme privind protecția datelor cu caracter personal care ar putea avea un impact direct asupra securității naționale, trebuie să se țină seama de aceste norme în mod corespunzător” și în care se amintește că, „în special, Directiva 95/46 […] prevede derogări specifice în acest sens” ( 30 ).

56.

Această concentrare explicită pe securitatea națională indică în mod clar ceea ce au avut în vedere atât autorii Tratatului FUE (articolul 16 TFUE), cât și legiuitorul Uniunii [articolul 2 alineatul (2) litera (a) din RGPD] atunci când au redactat pasajele respective.

57.

Legiuitorul Uniunii a precizat în altă parte, tot în contextul protecției datelor, că securitatea națională este necesar să fie înțeleasă, în acest context, ca fiind „siguranța statului” ( 31 ).

58.

În aceste condiții, se impune ca articolul 2 alineatul (2) litera (a) din RGPD să fie interpretat din perspectiva articolului 4 alineatul (2) TUE, care prevede că Uniunea trebuie să respecte funcțiile esențiale ale statului în statele membre ( 32 )și în acest sens specifică, cu titlu de exemplu, că „securitatea națională rămâne responsabilitatea exclusivă a fiecărui stat membru“. Articolul 2 alineatul (2) litera (a) din RGPD nu face decât să reitereze această cerință constituțională legată de ceea ce trebuie să se garanteze pentru funcționarea unui stat ( 33 ).

59.

Având în vedere analiza care precedă, nu avem motive să considerăm că articolul 2 alineatul (2) litera (a) din RGPD introduce un criteriu cu un prag ridicat care trebuie să fie atins pentru a atrage aplicabilitatea RGPD și nici că aceasta ar fi fost intenția legiuitorului Uniunii.

60.

În sfârșit, o scurtă examinare a celorlalte trei excepții de la domeniul de aplicare material al RGPD, care figurează la articolul 2 alineatul (2) literele (b)-(d), confirmă analiza menționată. Astfel, RGPD nu se aplică prelucrării de date cu caracter personal efectuate de statele membre atunci când desfășoară activități care intră sub incidența politicii externe și de securitate comună a Uniunii Europene ( 34 ), de către o persoană fizică în cadrul unei activități exclusiv personale sau domestice ( 35 ) și de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor, sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora ( 36 ).

61.

Excluderea politicii externe și de securitate comună, care continuă să fie predominant interguvernamentală, este pur și simplu logică ( 37 ). În orice caz, activitățile exclusiv personale sau domestice ale persoanelor fizice sunt, în principiu, în afara domeniului de aplicare al dreptului Uniunii, întrucât nu sunt reglementate de dreptul primar sau derivat. Același lucru este valabil, în principiu, pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracțiunilor sau pentru executarea sancțiunilor penale. Totuși, această din urmă excepție este motivată de faptul că Uniunea a adoptat o directivă specială ( 38 ), întâmplător la aceeași dată la care a fost adoptat și RGPD. În plus, din articolul 23 alineatul (1) litera (d) din RGPD reiese că prelucrarea datelor cu caracter personal efectuată de persoane fizice în aceleași scopuri intră în domeniul de aplicare al RGPD ( 39 ).

62.

În consecință, pentru a avea vreo importanță juridică normativă, cele două excepții nu pot fi considerate ca fiind în afara domeniului de aplicare al dreptului Uniunii în sensul articolului 2 alineatul (2) litera (a) din RGPD.

63.

În sfârșit, trebuie arătat că nu există nicio dovadă vizibilă în sensul că, în principiu, Curtea ar aplica un criteriu strict în ceea ce privește incidența RGPD sau a Directivei 95/46 în temeiul articolului 2 din RGPD și, respectiv, al articolului 3 din Directiva 95/46 ( 40 ). Dimpotrivă, Curtea tinde să sublinieze că „aplicabilitatea Directivei 95/46 nu poate să depindă de aspectul dacă situațiile concrete aflate în discuție în procedura principală au o legătură suficientă cu exercitarea libertăților fundamentale garantate de tratat” ( 41 ).

64.

Pentru a încheia această parte preliminară a analizei, articolul 2 alineatul (2) litera (a) din RGPD trebuie interpretat în sensul că regulamentul menționat se aplică prelucrării de date cu caracter personal într‑un stat membru sau de către acesta, cu excepția cazului în care prelucrarea respectivă este efectuată într‑un domeniu în care Uniunea Europeană nu este competentă.

65.

În consecință, RGPD este aplicabil prezentei cauze și trebuie să fie luat în considerare de instanța de trimitere atunci când examinează validitatea legislației naționale.

66.

Din motive de exhaustivitate, am dori să abordăm pe scurt prevederile articolului 86 din RGPD în prezenta cauză.

67.

Potrivit acestui articol, datele cu caracter personal din documentele oficiale deținute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei sarcini care servește interesului public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidența căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale și dreptul la protecția datelor cu caracter personal în temeiul RGPD.

68.

Dispoziția respectivă nu face decât să recunoască importanța accesului public la documentele oficiale. Mai mult, după cum în mod corect a arătat Comisia, dispoziția menționată nu furnizează orientări suplimentare referitoare la modul în care trebuie să se stabilească un echilibru între accesul public la documente oficiale și normele privind protecția datelor ( 42 ). Dispoziția are mai degrabă un caracter declarativ, fiind mai asemănătoare cu un considerent decât cu o dispoziție normativă a unui text legislativ ( 43 ). În consecință, susținem că „norma narativă” de la articolul 86 din RGPD nu are nicio relevanță pentru analiza care urmează.

69.

Prin intermediul primei întrebări, instanța de trimitere solicită să se stabilească dacă articolul 10 din RGPD trebuie interpretat în sensul că include cazurile de prelucrare a informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră, prevăzută de legislația națională.

70.

Potrivit acestei dispoziții, prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni sau la măsuri de securitate conexe în temeiul articolului 6 alineatul (1) din RGPD ( 44 ) trebuie să se efectueze numai sub controlul unei autorități de stat ( 45 ). Orice registru cuprinzător al condamnărilor penale se ține numai sub controlul unei autorități de stat.

71.

Având în vedere faptul că CSDD pare să fie o autoritate de stat, în sensul de „autoritate publică”, se poate pune sub semnul întrebării pertinența primei întrebări și se poate ridica problema dacă ea este ipotetică în sensul jurisprudenței Curții în materie de admisibilitate. Totuși, înlăturăm aceste îndoieli arătând că prezenta cauză privește atât comunicarea punctelor de penalizare (de către CSDD), cât și reutilizarea datelor menționate de către alte organisme. Considerăm că, în măsura în care face referire la aceste alte organisme, prima întrebare preliminară este admisibilă.

72.

Articolul 4 alineatul (1) din RGPD prevede că „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.

73.

Nu există niciun motiv să existe îndoieli în legătură cu faptul că informațiile referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră constituie date cu caracter personal în sensul articolului 4 alineatul (1) din RGPD.

74.

În ceea ce privește „infracțiunile” menționate la articolul 10 din RGPD, trebuie arătat că nu este complet clar în toate versiunile lingvistice ale acestei dispoziții dacă se referă doar la infracțiuni sau dacă vizează și contravențiile. Interpretarea cea mai firească și intuitivă a versiunii în limba engleză este aceea că termenul „criminal” („penale”) a fost plasat, ca să spunem așa, înainte de paranteză și se referă atât la „convictions” („condamnări”), cât și la „offences” („infracțiuni”). În această privință, unele versiuni lingvistice ( 46 ) sunt fără echivoc: „infracțiunile” în cadrul articolului 10 din RGPD trebuie să fie interpretate în sensul că au caracter „penal”. Alte versiuni lingvistice ( 47 ) sunt ambigue, întrucât permit mai multe interpretări. Versiunea lingvistică letonă (saistītiem drošības pasākumiem), care este probabil versiunea lingvistică pe care instanța de trimitere o cunoaște cel mai bine, este de asemenea ambiguă. În cazul de față, pe lângă faptul că nu se specifică dacă „infracțiunile” (pārkāpumi) trebuie să aibă caracter penal, nu este clar nici aspectul dacă și „condamnările” (sodāmība) trebuie să aibă caracter penal ( 48 ).

75.

Chiar dacă diferitele versiuni lingvistice pot fi variate, în acest stadiu pot fi totuși trase câteva concluzii.

76.

Toate limbile oficiale ale Uniunii Europene constituie limbile autentice ale actelor în care sunt redactate, astfel încât tuturor versiunilor lingvistice ale unui act al Uniunii trebuie de principiu să le fie recunoscută aceeași valoare ( 49 ). Interpretarea unei dispoziții a dreptului Uniunii implică astfel o comparație a diferite versiuni lingvistice ( 50 ). Mai mult, diferitele versiuni lingvistice ale unui text al Uniunii trebuie să fie interpretate în mod uniform ( 51 ).

77.

În aceste împrejurări, este necesar ca sensul versiunilor lingvistice mai „precise” să fie considerat cel corect, în special întrucât acest sens mai precis este totodată una dintre interpretările posibile în cadrul versiunilor lingvistice mai puțin precise, în cazul cărora o posibilitate este ca „infracțiunile” să fie interpretate ca având doar caracter „penal”. Prin urmare, putem concluziona cu titlu provizoriu în această etapă, pe baza unei interpretări comparative a diferitelor versiuni lingvistice ale articolului 10 din RGPD, că termenul „penale” vizează atât „condamnările”, cât și „infracțiunile” ( 52 ).

78.

Mai mult, interpretarea respectivă propusă pentru articolul 10 din RGPD reține distincția făcută de precursorul său, articolul 8 alineatul (5) din Directiva 95/46. Potrivit acestei dispoziții, pentru procesarea datelor referitoare la condamnări penale și la infracțiuni exista obligația de control din partea autorității publice ( 53 ), în timp ce în cazul sancțiunilor administrative exista posibilitatea supunerii procesării datelor controlului autorității de stat ( 54 ). Dacă, în temeiul articolului 8 alineatul (5) din Directiva 95/46, termenul „infracțiuni” ar fi fost înțeles în sensul că include contravențiile, atunci partea a doua a dispoziției respective ar fi fost redundantă.

79.

Această constatare lasă în continuare deschisă chestiunea ce anume trebuie să se înțeleagă prin termenul de „infracțiuni”.

80.

Prima problemă aici este aceea dacă termenul menționat constituie un termen autonom al dreptului Uniunii sau dacă interpretarea sa este lăsată la aprecierea statelor membre.

81.

Potrivit unei jurisprudențe constante a Curții, atât din cerința aplicării uniforme a dreptului Uniunii, cât și din cea a principiului egalității rezultă că termenii unei dispoziții a dreptului Uniunii care nu conține nicio trimitere expresă la dreptul statelor membre pentru a stabili sensul și domeniul său de aplicare trebuie, în mod normal, să primească în întreaga Uniune o interpretare autonomă și uniformă ( 55 ). Această interpretare trebuie să țină seama de termenii, de obiectivele și de contextul legislativ al dispoziției în cauză, precum și de ansamblul dispozițiilor dreptului Uniunii. Geneza unei dispoziții a dreptului Uniunii poate de asemenea să ofere elemente importante pentru interpretarea acesteia ( 56 ).

82.

În speță, este clar că, în principiu, legislația penală și normele de procedură penală sunt de competența statelor membre ( 57 ). În consecință, statele membre vor fi în măsură să stabilească ceea ce constituie o infracțiune ( 58 ).

83.

Totuși, odată ce legiuitorul Uniunii a ales forma juridică a unui regulament, iar nu pe cea a unei directive, considerăm că o interpretare uniformă în întreaga Uniune Europeană a termenilor regulamentului respectiv trebuie să fie regula, pentru a se asigura aplicarea sa generală și aplicabilitatea sa directă în toate statele membre, în conformitate cu articolul 288 al doilea paragraf TFUE.

84.

În aceeași ordine de idei, există indicii în sensul că legiuitorul Uniunii nu a urmărit să facă trimitere la legislația națională (sau legislațiile naționale) în ceea ce privește interpretarea termenului „infracțiuni”. Astfel, considerentul (13) al Directivei 2016/680 ( 59 ) precizează că noțiunea de infracțiune, în sensul directivei menționate, ar trebui să constituie o noțiune autonomă de drept al Uniunii astfel cum este interpretat de Curtea de Justiție a Uniunii Europene. În spiritul maximei a maiore ad minus, considerăm că o astfel de afirmație este valabilă și pentru RGPD, care, după cum s‑a afirmat mai sus, fiind un regulament, constituie un act juridic care în mod automat prezintă un grad mai ridicat de integrare și de centralizare.

85.

A doua problemă, care constă în stabilirea aspectului dacă datele cu caracter personal în discuție se referă la condamnări penale și infracțiuni sau la măsuri de securitate conexe în sensul articolului 10 din RGPD, este mai dificilă.

86.

Curtea a avut ocazia anterior să se pronunțe cu privire la definiția unei „infracțiuni” în contextul principiului ne bis in idem ( 60 ) în temeiul articolului 50 din cartă ( 61 ).

87.

În această privință, Curtea se inspiră din jurisprudența Curții Europene a Drepturilor Omului ( 62 ), potrivit căreia trei criterii sunt pertinente pentru definirea termenului „procedură penală”: calificarea juridică a infracțiunii în dreptul intern, natura însăși a infracțiunii și natura și gradul de severitate ale sancțiunii pe care persoana interesată riscă să o suporte ( 63 ).

88.

Punctele de penalizare precum cele aplicate în temeiul legislației naționale în discuție nu constituie, în opinia noastră, o infracțiune potrivit jurisprudenței respective, întrucât nu îndeplinesc criteriile menționate. În special, ele nu au un caracter foarte sever ( 64 ).

89.

În sfârșit, dorim să subliniem că, în urma acestei analize, nu este necesar să se examineze delimitarea dintre articolul 10 din RGPD și dispozițiile Directivei 2016/680, întrucât această directivă nu este aplicabilă în cauza în discuție.

90.

Prin urmare, propunem să se răspundă la prima întrebare că articolul 10 din RGPD trebuie interpretat în sensul că nu include cazurile de prelucrare a informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră, prevăzută de o reglementare națională precum articolul 141 alineatul (2) din Legea privind circulația rutieră.

91.

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile RGPD se opun prelucrării și comunicării de către un stat membru a informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră.

92.

Deși instanța de trimitere invocă, cu titlu de exemplu, principiul integrității și al confidențialității prevăzut la articolul 5 alineatul (1) litera (f) din RGPD ( 65 ), întrebarea este formulată în termeni generali, întrucât face trimitere la ansamblul dispozițiilor acestui regulament ( 66 ). Prin urmare, analiza de mai jos va fi extinsă la alte dispoziții ale RGPD decât cea menționată de instanța de trimitere în întrebarea sa.

93.

Orice prelucrare de date cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile referitoare la calitatea datelor enunțate la articolul 5 din RGPD și, pe de altă parte, să răspundă unuia dintre principiile referitoare la legitimarea prelucrărilor de date enumerate la articolul 6 din acest regulament ( 67 ). Din textul celor două dispoziții putem deduce că primele au caracter cumulativ ( 68 ), iar cele din urmă au caracter subsidiar ( 69 ).

94.

A doua întrebare are ca obiect principiile legate de calitatea datelor. Instanța de trimitere pare să pornească – în mod întemeiat – de la premisa că CSDD prelucrează date și nu ridică problema înregistrării punctelor de penalizare ca atare, ci a divulgării lor la cerere.

95.

CSDD este în mod incontestabil un „operator”, în sensul articolului 4 punctul 7 din RGPD, care prelucrează date cu caracter personal în sensul articolului 4 punctul 2 din regulamentul menționat prin înregistrarea punctelor de penalizare în registrul național al vehiculelor.

96.

Este suficient să se arate că, în ceea ce privește un „registru al societăților” accesibil publicului, Curtea a statuat că, întrucât le transcrie și le stochează în registru și le comunică, după caz, la cerere unor terți, autoritatea responsabilă cu ținerea acestui registru efectuează o „prelucrare a datelor cu caracter personal” pentru care este „responsabilă” în sensul definițiilor furnizate în Directiva 95/46 ( 70 ), care constituie precursoarele definițiilor prevăzute la articolul 4 punctele 2 și 7 din RGPD ( 71 ).

97.

Se pune problema dacă au fost respectate principiile integrității și confidențialității, prevăzute la articolul 5 alineatul (1) litera (f) din RGPD, dispoziție la care instanța de trimitere însăși face referire în întrebarea sa.

98.

Potrivit articolului 5 alineatul (1) litera (f) din RGPD, datele cu caracter personal trebuie să fie prelucrate într‑un mod care asigură securitatea lor adecvată, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare.

99.

După cum rezultă deja din modul său de redactare, dispoziția respectivă se referă la măsurile de securitate, tehnice și organizatorice legate de prelucrarea datelor cu caracter personal ( 72 ). Ne aflăm aici în prezența unor cerințe de formă generale în materie de securitate a datelor ( 73 ).

100.

Pe de altă parte, instanța de trimitere solicită orientări mai fundamentale, făcând referire la posibilitatea legală a unei astfel de prelucrări. Altfel spus și în termeni mai sugestivi, ea solicită orientări privind aspectul dacă se efectuează prelucrarea datelor cu caracter personal, în timp ce articolul 5 alineatul (1) litera (f) din RGPD reglementează modul în care se efectuează o asemenea prelucrare. În consecință, articolul 5 alineatul (1) litera (f) din RGPD nu este relevant în speță.

101.

Potrivit articolului 5 alineatul (1) litera (a) din RGPD, este necesar ca datele cu caracter personal să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată.

102.

Trebuie observat că termenul „legalitate” figurează atât la articolul 5 alineatul (1) litera (a), cât și la articolul 6 din RGPD. Extinderea cerințelor detaliate ale articolului 6 în cazul articolului 5 din regulamentul menționat nu ar avea prea mult sens din perspectiva redactării legislative dacă articolul 5 ar conține și criteriile prevăzute la articolul 6 din RGPD.

103.

În schimb, legalitatea în cadrul articolului 5 alineatul (1) litera (a) din RGPD trebuie interpretată mai degrabă din perspectiva considerentului (40) al regulamentului respectiv ( 74 ), în sensul că are la bază fie consimțământul, fie un alt temei juridic prevăzut de lege ( 75 ).

104.

Prin urmare (există un temei legal în dreptul național), nu vedem niciun motiv pentru contestarea legalității prelucrării în cauza de față ( 76 ).

105.

Așadar, în concordanță cu observațiile guvernului austriac ( 77 ), considerăm că acest principiu nu are legătură cu situația de fapt din cauza aflată în discuție.

106.

Articolul 5 alineatul (1) litera (b) din RGPD prevede principiul „limitării legate de scop”, precizând că datele cu caracter personal trebuie să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri ( 78 ).

107.

Instanța de trimitere precizează că dispoziția în cauză, și anume articolul 141 alineatul (2) din Legea privind circulația rutieră, are drept scop asigurarea siguranței rutiere prin expunerea conducătorilor auto care încalcă regulile. Ca atare, comunicarea punctelor de penalizare pare să fie un scop determinat, explicit și legitim. Mai mult, prelucrarea datelor cu caracter personal nu pare incompatibilă cu acest scop.

108.

Potrivit articolului 5 alineatul (1) litera (c) din RGPD, principiul reducerii la minimum a datelor impune ca datele cu caracter personal să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate. În același mod, considerentul (39) al RGPD precizează că datele cu caracter personal trebuie prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace.

109.

Înțelegem acest principiu în sensul că, la fel ca celelalte principii consacrate la articolul 5 alineatul (1) din RGPD, reflectă principiul proporționalității ( 79 ), motiv pentru care considerăm adecvat să continuăm analiza prin examinarea aspectului dacă reglementarea națională în cauză este proporțională în raport cu obiectivul pe care urmărește să îl atingă.

110.

Potrivit unei jurisprudențe constante, principiul proporționalității, ca principiu general al dreptului Uniunii, impune ca mijloacele puse în aplicare printr‑un act al Uniunii să fie apte să realizeze obiectivul urmărit și să nu depășească ceea ce este necesar pentru atingerea acestuia ( 80 ).

111.

Astfel, articolul 141 alineatul (2) din Legea privind circulația rutieră trebuie să fie adecvat și necesar pentru realizarea presupusului scop în cauză, și anume îmbunătățirea siguranței rutiere.

112.

Primul presupus obiectiv al dreptului național este posibilitatea de a identifica conducătorii auto care încalcă sistematic și grav regulile sistemului de circulație rutieră. Este evident că identificarea persoanelor care încalcă regulile de circulație rutieră nu depinde în niciun fel de caracterul public (general disponibil) al punctelor de penalizare aplicate autorului unei încălcări. Revine exclusiv unei autorități publice sarcina de a identifica cu precizie asemenea persoane care au încălcat normele de circulație rutieră și de a ține evidența punctelor de penalizare care le‑au fost aplicate, astfel încât să fie deduse consecințele juridice corespunzătoare și să poată fi aplicate sancțiunile aferente.

113.

Al doilea obiectiv al dispoziției de drept național care autorizează divulgarea datelor cu caracter personal în discuție, invocat de Saeima, este influențarea conduitei participanților la traficul rutier, în vederea descurajării eventualilor autori ai încălcărilor de la săvârșirea altor încălcări. În cazul de față, se poate admite că faptul de a da oricărei persoane posibilitatea de a cunoaște cine încalcă regulile de circulație rutieră este posibil să aibă un anumit efect disuasiv: mulți conducători auto s‑ar opune ca asemenea informații care îi privesc să fie divulgate publicului larg, pentru a nu fi etichetați drept persoane care încalcă legea.

114.

Obiectivul menționat este de asemenea afirmat în mod clar la articolul 431 din Legea privind circulația rutieră ca fiind obiectivul urmărit prin instituirea sistemului punctelor de penalizare. Este destul de evident că simplul fapt de a face publice punctele de penalizare poate constitui, într‑o anumită măsură, un factor disuasiv suplimentar. Astfel, dispoziția în cauză ar putea, în principiu, să fie în concordanță cu interesul general urmărit, și anume promovarea siguranței rutiere și evitarea accidentelor de circulație.

115.

Totuși, dacă datele cu caracter personal în cauză sunt puse la dispoziție numai la cerere și dacă solicitantul trebuie să furnizeze numărul de identificare personal al persoanei vizate, se ridică problema de a ști cât de dificil este să se obțină numărul respectiv. De fapt, cu cât va fi mai dificilă obținerea unor astfel de date, cu atât mai puțin disuasiv va fi regimul de divulgare, întrucât aspectul dacă datele sunt accesibile publicului va depinde de alți factori care sunt greu de prevăzut.

116.

Acesta este motivul pentru care avem îndoieli serioase cu privire la caracterul adecvat al reglementării naționale în cauză.

117.

Revine instanței de trimitere sarcina de a decide, având în vedere ansamblul împrejurărilor speței, dacă articolul 141 alineatul (2) din Legea privind circulația rutieră este în mod real adecvat pentru atingerea obiectivului legitim de îmbunătățire a siguranței rutiere.

118.

În ceea ce privește problema necesității, altfel spus cerința ca măsura în cauză să nu depășească ceea ce este necesar pentru realizarea obiectivului urmărit, situația pare mai clară.

119.

Din nou, revine instanței de trimitere sarcina de a decide, ținând seama de ansamblul împrejurărilor speței, dacă dispoziția în cauză este într‑adevăr necesară. Totuși, având în vedere informațiile disponibile, nu vedem cum dispoziția contestată ar putea fi considerată în vreun fel necesară.

120.

Deși obiectivul promovării siguranței rutiere este important, este necesar să se stabilească un echilibru echitabil între diferitele interese implicate și, în consecință, revine legiuitorului național să decidă dacă divulgarea datelor cu caracter personal în cauză depășește ceea ce este necesar pentru atingerea obiectivelor legitime urmărite, dată fiind în special încălcarea drepturilor fundamentale generată de o astfel de divulgare.

121.

Decizia de trimitere nu precizează dacă Saeima, înainte de adoptarea dispoziției în cauză, a examinat alte mijloace de realizare a obiectivului promovării siguranței rutiere, care ar fi determinat o atingere mai redusă adusă dreptului persoanelor fizice la protecția datelor. În plus, este necesar ca legiuitorul să fie în măsură să demonstreze că derogările și limitările privind protecția datelor respectă în mod strict limitele impuse. Înainte de publicarea unui ansamblu de date (sau înainte de adoptarea unei legi care impune publicarea sa) se impune efectuarea unei evaluări atente a impactului asupra protecției datelor, care să includă aprecierea posibilităților de reutilizare și a impactului potențial al reutilizării.

122.

Existența și precizia unor astfel de informații sunt esențiale pentru a decide dacă obiectivele privind promovarea siguranței rutiere și reducerea accidentelor rutiere pot fi atinse prin măsuri care ar aduce atingere mai puțin drepturilor persoanelor vizate și astfel evită sau, cel puțin, atenuează încălcarea protecției acordate de articolul 8 din cartă.

123.

Atingerea adusă vieții private cauzată de publicarea de date referitoare la încălcările normelor de circulație rutieră și la pedepsele aplicate este, în sine, deosebit de gravă: se divulgă astfel publicului larg informații despre încălcările respective săvârșite de o persoană. Mai mult, nu se poate exclude posibilitatea ca astfel de prelucrări de date inerente publicării datelor în cauză să conducă la stigmatizarea autorului încălcării și la alte consecințe negative. Prin urmare, asemenea „liste negre” trebuie să fie strict reglementate.

124.

În sfârșit, după cum afirmă Autoritatea pentru protecția datelor, caracterul preventiv al dispoziției în cauză și statisticile care indică tendințe favorabile, și anume reducerea numărului de accidente de circulație, nu demonstrează că reducerea menționată este legată de introducerea sistemului punctelor de penalizare ca atare sau de faptul că informațiile referitoare la punctele de penalizare aplicate sunt accesibile publicului.

125.

În consecință, propunem Curții să răspundă la a doua întrebare că articolul 5 alineatul (1) litera (c) din RGPD se opune unei reglementări naționale precum articolul 141 alineatul (2) din Legea privind circulația rutieră, care permite prelucrarea și comunicarea informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră.

126.

După cum prevede articolul 1 alineatul (1) din Directiva 2003/98, această directivă stabilește un set minim de norme privind reutilizarea, precum și mijloacele practice de facilitare a reutilizării documentelor existente deținute de organismele din sectorul public ale statelor membre.

127.

Putem presupune pentru prezenta cauză că, în Letonia, punctele de penalizare sunt înregistrate în documente care sunt deținute de CSDD în calitate de organism din sectorul public în sensul dispoziției respective.

128.

Totuși, prezenta cauză nu intră în domeniul de aplicare al Directivei 2003/98, întrucât articolul 1 alineatul (2) litera (c) din cuprinsul său precizează că această directivă nu se aplică documentelor la care accesul este exclus sau restrâns în temeiul regimurilor de acces pentru motive legate de protecția datelor cu caracter personal ( 81 ). Mai mult, în conformitate cu articolul 1 alineatul (4) din Directiva 2003/98, directiva în cauză lasă intact și nu aduce atingere în niciun fel nivelului de protecție al persoanelor prevăzut în legislația Uniunii sau internă privind prelucrarea datelor personale și în special nu modifică drepturile și obligațiile prevăzute de RGPD ( 82 ).

129.

Din dispozițiile de mai sus rezultă că prelucrarea datelor cu caracter personal în discuție trebuie apreciată din perspectiva normelor Uniunii în domeniul protecției datelor, și anume RGPD, iar nu a Directivei 2003/98 ( 83 ).

130.

După cum arată în mod corect instanța de trimitere, în cazul în care informațiile referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră pot fi comunicate oricărei persoane, inclusiv operatorilor care sunt implicați în reutilizare, nu va fi posibil să se identifice scopul prelucrării ulterioare a datelor și să se evalueze dacă prelucrarea datelor cu caracter personal este efectuată într‑o manieră incompatibilă cu aceste scopuri.

131.

În acest context, analiza noastră efectuată în cazul celei de a doua întrebări adresate este valabilă pe deplin nu doar mutatis mutandis, ci și a fortiori: societățile private ar putea fi tentate să exploateze datele cu caracter personal în scopuri comerciale, altfel spus în scopuri care sunt incompatibile cu finalitatea prelucrării, care este îmbunătățirea siguranței rutiere.

132.

Mai mult, posibilitatea terților de a prelucra ulterior datele cu caracter personal depășește în mod clar limitarea legată de scop prevăzută la articolul 5 alineatul (1) litera (b) din RGPD.

133.

În consecință, propunem să se răspundă la a treia întrebare că o reglementare națională precum articolul 141 alineatul (2) din Legea privind circulația rutieră, care permite prelucrarea și comunicarea, inclusiv în scopul reutilizării, a informațiilor referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație rutieră, nu este vizată de dispozițiile Directivei 2003/98. Mai mult, ea este interzisă de articolul 5 alineatul (1) litera (c) din RGPD.

134.

Prin intermediul celei de a patra întrebări, instanța de trimitere urmărește să afle dacă – în ipoteza în care s‑ar stabili că reglementarea națională în cauză este contrară dreptului Uniunii – ar fi posibil să se aplice norma în litigiu și să se mențină efectele sale juridice până când decizia finală care urmează a fi adoptată de Satversmes tiesa (Curtea Constituțională) va dobândi autoritate de lucru judecat.

135.

Prin urmare, instanța de trimitere solicită ca efectele juridice ale normei în cauză să fie menținute până când va pronunța o hotărâre definitivă.

136.

Potrivit unei jurisprudențe constante, interpretarea dată de Curte unei norme de drept al Uniunii în exercitarea competenței pe care i‑o conferă articolul 267 TFUE lămurește și precizează semnificația și domeniul de aplicare ale acestei norme, astfel cum trebuie sau ar fi trebuit să fie înțeleasă și aplicată de la data intrării sale în vigoare ( 84 ). Rezultă că norma astfel interpretată poate și trebuie să fie aplicată de către instanțe unor raporturi juridice născute și constituite înainte de hotărârea asupra cererii de interpretare, dacă, pe de altă parte, sunt întrunite condițiile care permit sesizarea instanțelor competente cu un litigiu referitor la aplicarea normei respective ( 85 ). Numai în mod cu totul excepțional, în aplicarea principiului general al securității juridice, inerent ordinii juridice a Uniunii, Curtea poate fi determinată să limiteze posibilitatea oricărei persoane interesate de a invoca o dispoziție pe care a interpretat‑o în scopul de a contesta raporturi juridice stabilite cu bună‑credință ( 86 ).

137.

În orice caz, numai Curtea poate să determine condițiile unei eventuale suspendări ( 87 ), și aceasta doar pentru un motiv întemeiat: în caz contrar, o instanță națională ar putea amâna efectele acestei decizii, afectând astfel caracterul său erga omnes, al cărui obiectiv primordial este asigurarea aplicării uniforme a dreptului Uniunii și a principiului securității juridice în toate statele membre și crearea unor condiții uniforme pentru statele membre, cetățeni și operatorii economici. Astfel, nu se poate admite ca norme de drept național, fie ele de natură constituțională, să aducă atingere unității și eficacității dreptului Uniunii ( 88 ).

138.

Pentru a putea impune o astfel de limitare, este necesară întrunirea a două criterii esențiale: buna‑credință a celor interesați și riscul unor perturbări grave ( 89 ).

139.

Trebuie adăugat că numai în mod excepțional ( 90 ) Curtea a recurs la o asemenea soluție și aceasta numai în circumstanțe bine determinate: în cazul în care exista un risc de repercusiuni economice grave, cauzate mai ales de numărul mare de raporturi juridice constituite cu bună‑credință pe baza reglementării considerate ca fiind în mod legal în vigoare, și reieșea că particularii și autoritățile naționale au fost determinați să adopte un comportament neconform cu dreptul Uniunii ca urmare a unei incertitudini obiective și importante privind domeniul de aplicare al normelor de drept al Uniunii, incertitudine la care contribuise eventual însuși comportamentul altor state membre sau al Uniunii ( 91 ).

140.

În prezenta cauză, informațiile menționate în decizia de trimitere nu permit să se concluzioneze că un număr mare de raporturi juridice constituite cu bună‑credință pe baza dispoziției contestate ar fi fost afectate și că, așadar, ar fi deosebit de dificil să se asigure respectarea ex tunc a deciziei preliminare a Curții prin care această dispoziție este declarată incompatibilă cu dreptul Uniunii.

141.

Prin urmare, nu este necesar să se limiteze efectele în timp ale deciziei Curții în cauza de față.

142.

În consecință, propunem să se răspundă la a patra întrebare că nu sunt posibile aplicarea normei în litigiu și menținerea efectelor sale juridice până când decizia finală care urmează a fi adoptată de Satversmes tiesa (Curtea Constituțională) va dobândi autoritate de lucru judecat.

143.

Având în vedere considerațiile precedente, propunem Curții să răspundă la întrebările adresate de Satversmes tiesa (Curtea Constituțională, Letonia) după cum urmează: