1.

Într‑o lume în care datele cu caracter personal au devenit o monedă de schimb și constituie pentru întreprinderi o mină de aur nou descoperită, în ce condiții pot fi aplicate amenzi administrative operatorilor sau persoanelor împuternicite de operatori pentru încălcarea normelor privind protecția datelor prevăzute în Regulamentul (UE) 2016/679 ( 2 )? Mai exact, este necesar să existe un element de „vinovăție” înainte să le poată fi aplicate astfel de amenzi? Aceasta este problema centrală ridicată de Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional din Vilnius, Lituania) în prezenta cauză.

2.

Litigiul aflat pe rolul acestei instanțe între Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centrul Național de Sănătate Publică din cadrul Ministerului Sănătății, Lituania, denumit în continuare „NVSC”), pe de o parte, și Valstybinė duomenų apsaugos inspekcija (Inspectoratul de Stat pentru Protecția Datelor, Lituania, denumit în continuare „inspectoratul”), pe de altă parte, privește în esență rolul jucat de NVSC în dezvoltarea și punerea la dispoziția publicului a unei aplicații mobile care a colectat, în lunile aprilie și mai 2020, datele cu caracter personal ale persoanelor care au fost în contact cu pacienți infectați cu COVID-19.

3.

În acest context, prezenta cauză oferă Curții ocazia de a furniza clarificări suplimentare cu privire la noțiunile de „operator”, „operatori asociați” și „prelucrare”, definite la articolul 4 punctul 7, la articolul 26 alineatul (1) și, respectiv, la articolul 4 punctul 2 din RGPD, și de a aprecia pentru prima dată dacă este posibil, în conformitate cu articolul 83 din acest regulament, să se aplice o amendă administrativă unui operator care nu a săvârșit în mod intenționat sau din neglijență nicio încălcare a normelor cuprinse în RGPD. Această întrebare impune Curții să clarifice dacă această dispoziție permite aplicarea de amenzi în absența oricărei culpe, pe baza unei răspunderi strict obiective.

4.

Considerentul (148) al RGPD afirmă:

„Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament […]. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu carta, inclusiv o protecție judiciară eficientă și un proces echitabil.”

5.

În conformitate cu considerentul (150) al acestui regulament:

„Pentru consolidarea și armonizarea sancțiunilor administrative în cazul încălcării prezentului regulament, fiecare autoritate de supraveghere ar trebui să aibă competența de a impune amenzi administrative. Prezentul regulament ar trebui să indice încălcările, limita maximă și criteriile pentru stabilirea amenzilor administrative aferente, care ar trebui să fie stabilite de autoritatea de supraveghere competentă în fiecare caz în parte, ținând seama de toate circumstanțele relevante ale situației specifice, luându‑se în considerare în mod corespunzător, în special, natura, gravitatea și durata încălcării, precum și consecințele acesteia și măsurile luate pentru a se asigura respectarea obligațiilor în temeiul prezentului regulament și pentru a se preveni sau atenua consecințele încălcării. […] Impunerea unei amenzi administrative sau transmiterea unei avertizări nu afectează aplicarea altor competențe ale autorităților de supraveghere sau a altor sancțiuni în temeiul prezentului regulament.”

6.

Articolul 4 punctul 7 din RGPD definește conceptul de „operator” ca fiind „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal […]”.

7.

Articolul 26 din acest regulament, intitulat „Operatori asociați”, prevede în partea relevantă:

„(1)   În cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare, aceștia sunt operatori asociați. […]

[…]”

8.

Articolul 83 din acest regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede:

„(1)   Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și, (6) este, în fiecare caz, eficace, proporțională și disuasivă.

(2)   În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:

[…]

(3)   În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

[…]”

9.

Articolul 72 alineatul (2) din Viešųjų pirkimų įstatymas (Legea privind achizițiile publice) prevede:

„Autoritatea contractantă desfășoară o procedură negociată fără publicarea unui anunț de participare având următoarele etape:

10.

Pentru a răspunde situației survenite prin răspândirea COVID-19, ministrul sănătății al Republicii Lituania (denumit în continuare „ministrul sănătății”) l‑a însărcinat, prin decizia din 24 martie 2020, pe directorul NVSC să organizeze dezvoltarea și achiziționarea unei aplicații mobile, și anume KARANTINAS. Această aplicație mobilă a fost concepută pentru a colecta și monitoriza datele cu caracter personal ale persoanelor care au fost în contact cu pacienți infectați cu COVID-19 ( 3 ).

11.

La 27 martie 2020, o persoană care susținea că este un agent care reprezintă NVSC a informat societatea „IT sprendimai sėkmei” UAB (denumită în continuare „ITSS”), că a fost selectată ca dezvoltator al aplicației mobile KARANTINAS. Au avut loc schimburi de e‑mailuri între ITSS și persoana respectivă, precum și între ITSS și o serie de salariați și directorul NVSC în legătură cu dezvoltarea aplicației respective. De asemenea, în etapa respectivă a fost redactat un acord de confidențialitate, în care erau indicați ca operatori atât ITSS, cât și NVSC.

12.

Aplicația mobilă care a fost dezvoltată în cele din urmă a fost pusă la dispoziția publicului pentru a fi descărcată din Google Play Store la 4 aprilie 2020 și din Apple App Store la 6 aprilie 2020. Atât ITSS, cât și NVSC au fost din nou menționați ca operatori în versiunea aplicației KARANTINAS care a fost pusă la dispoziția publicului pentru a fi descărcată. La momentul respectiv, această aplicație mobilă nu fusese încă achiziționată de NVSC.

13.

Prin decizia din 10 aprilie 2020, ministrul sănătății l‑a însărcinat pe directorul NVSC să achiziționeze aplicația mobilă KARANTINAS printr‑o procedură de negociere fără publicarea unui anunț de participare, în conformitate cu articolul 72 alineatul (2) din Legea privind achizițiile publice.

14.

Această procedură a fost inițiată, însă NVSC a închis‑o, deoarece nu a primit finanțarea necesară. Astfel, nu a fost încheiat niciun contract de achiziție publică. Cu toate acestea, aplicația KARANTINAS a continuat să fie disponibilă publicului pentru a fi descărcată.

15.

La 15 mai 2020, NVSC a solicitat ITSS să nu utilizeze niciun detaliu aparținând NVSC și să nu stabilească link‑uri cu NVSC în aplicația mobilă. La 18 mai 2020, inspectoratul a început o investigație cu privire atât la ITSS, cât și la NVSC, în legătură cu încălcarea normelor prevăzute în RGPD. Operațiunile KARANTINAS au fost suspendate la cererea inspectoratului la 26 mai 2020. Potrivit ITSS, 3802 utilizatori au furnizat datele lor cu caracter personal prin intermediul aplicației între 4 aprilie și 26 mai 2020.

16.

Prin decizia din 24 februarie 2021, inspectoratul a aplicat amenzi administrative atât NVSC, cât și ITSS, în calitatea lor de operatori asociați, pentru încălcarea articolelor 5, 13, 24, 32 și 35 din RGPD ( 4 ).

17.

Această decizie a fost contestată de NVSC la Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional, Vilnius). Această instanță se întreabă în esență dacă noțiunea de „operator”, în sensul articolului 4 punctul 7 din RGPD, trebuie interpretată în sens larg, astfel încât să includă orice persoană fizică sau juridică sau orice organism precum NVSC, care nu este dezvoltatorul unei aplicații mobile, dar care, pentru a achiziționa o astfel de aplicație mobilă prin intermediul unei proceduri de licitație, a stabilit „scopurile și mijloacele de prelucrare a datelor cu caracter personal”, sau dacă această noțiune trebuie interpretată mai strict, luând în considerare procedura de atribuire a contractelor de achiziții publice și rezultatul acesteia.

18.

În special, aceasta se întreabă dacă are relevanță în această privință faptul că procedura de cerere de ofertă a fost în cele din urmă abandonată, iar KARANTINAS nu a fost niciodată achiziționată de NVSC. Instanța se întreabă de asemenea dacă faptul că NVSC nu și‑a dat în mod oficial consimțământul sau nu a autorizat punerea la dispoziția publicului a acestei aplicații mobile are vreun impact asupra acestei evaluări.

19.

În plus, instanța de trimitere pune sub semnul întrebării relația dintre NVSC și ITSS. În această privință, aceasta se întreabă în ce împrejurări entitatea și societatea respective ar trebui considerate „operatori asociați” în sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD. În mod alternativ, în cazul în care NVSC și ITSS nu ar trebui considerate „operatori asociați”, ci „operator” și, respectiv, „persoană împuternicită de operator” ( 5 ) în sensul RGPD, aceasta dorește să știe când ar putea acțiunile ITSS să determine angajarea răspunderii NVSC. Referitor la acest aspect, ridică problema dacă articolul 83 din RGPD trebuie interpretat în sensul că o amendă administrativă poate fi aplicată unui operator precum NVSC, care nu a săvârșit el însuși, cu intenție sau din neglijență, nicio încălcare a acestui regulament.

20.

În aceste condiții, Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional, Vilnius), a decis să suspende judecarea cauzei și să adreseze Curții de Justiție următoarele întrebări preliminare:

21.

Cererea de decizie preliminară din data de 22 octombrie 2021 a fost înregistrată la Curte la 12 noiembrie 2021. NVSC, Inspectoratul, guvernul lituanian și Comisia Europeană au prezentat observații scrise.

22.

Guvernele lituanian și neerlandez, Comisia și Consiliul au fost reprezentate în ședința care a avut loc la 17 ianuarie 2023.

23.

În timpul pandemiei COVID-19, în multe state membre au fost puse la dispoziția publicului, pentru a fi descărcate, aplicații mobile concepute pentru „urmărirea și localizarea” persoanelor infectate cu virusul și/sau a celor care au intrat în contact cu cineva infectat cu virusul. Astfel de aplicații mobile au fost dezvoltate în efortul de a răspunde urgenței situației, adesea cu participarea mai multor entități publice și private (cum ar fi ministerele și alte entități publice, precum și societăți private). Utilizatorilor li s‑a cerut să își încarce datele cu caracter personal în aplicațiile mobile, în special datele referitoare la sănătatea lor ( 6 ).

24.

Procedura principală privește tocmai o astfel de aplicație mobilă, și anume KARANTINAS, care a fost dezvoltată de ITSS (o societate privată), la inițiativa NVSC (o autoritate publică), în urma unei decizii a ministrului sănătății. Nu reiese în mod clar din informațiile din dosarul cauzei, nici din cele furnizate în ședință ce alte entități publice din Lituania au fost implicate, în cazul în care a fost vreuna, în dezvoltarea aplicației ( 7 ). Există de asemenea unele îndoieli dacă NVSC a consimțit ca aplicația KARANTINAS să fie pusă la dispoziția publicului în perioada în care a avut loc prelucrarea datelor cu caracter personal (lunile aprilie și mai 2020). Cu toate acestea, în întrebările adresate Curții, Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional, Vilnius) a identificat următoarele împrejurări ca fiind relevante.

25.

În acest context, întrebările adresate Curții privesc interpretarea mai multor dispoziții din RGPD. Primele trei întrebări, precum și a cincea întrebare fac apel la o interpretare a noțiunii de „operator”, în sensul articolului 4 punctul 7 din acest regulament, și necesită o clarificare a împrejurărilor în care două sau mai multe entități pot fi considerate „operatori asociați” în conformitate cu această dispoziție și cu articolul 26 alineatul (1) din regulamentul menționat. Vom analiza mai întâi aceste întrebări împreună (A), înainte de a trece la a patra întrebare, care privește conceptul de „prelucrare”, în sensul articolului 4 punctul 2 din RGPD, și aplicarea lui în contextul fazei de testare a unei aplicații mobile (B) ( 8 ). Vom aprofunda ulterior chestiunea care se află în centrul prezentei cauze, și anume a șasea întrebare, care are un caracter transversal, întrucât privește condițiile în care pot fi aplicate amenzi administrative operatorilor, în conformitate cu articolul 83 din RGPD (C).

26.

Prin intermediul primelor trei întrebări, instanța de trimitere solicită să se stabilească în esență dacă, având în vedere împrejurările detaliate la punctul 24 de mai sus, o entitate precum NVSC trebuie considerată „operator”, în sensul articolului 4 punctul 7 din GDPR. În plus, prin intermediul celei de a cincea întrebări, instanța de trimitere solicită să se clarifice dacă, în astfel de împrejurări, două entități precum NVSC și ITSS trebuie considerate „operatori asociați”, în conformitate cu această dispoziție și cu articolul 26 alineatul (1) din regulamentul menționat, chiar dacă acestea nu au ajuns în mod oficial la vreun acord cu privire la scopurile și mijloacele de prelucrare și/sau nu par să își fi coordonat în alt mod acțiunile.

27.

Reamintim că, în conformitate cu articolul 4 punctul 7 din RGPD, un „operator” este definit ca fiind persoana sau entitatea care, „singur[ă] sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”. În termeni mai simpli, un operator nu trebuie să prelucreze el însuși datele cu caracter personal, dar trebuie să stabilească „de ce și cum” se efectuează operațiunile de prelucrare relevante ( 9 ). Curtea a sugerat că, pentru a îndeplini acest criteriu, o persoană sau o entitate trebuie să „[influențeze] prelucrarea datelor cu caracter personal” ( 10 ). Cu toate acestea, nu este necesar ca scopurile și mijloacele de prelucrare să fie stabilite în conformitate cu orientările sau instrucțiunile scrise ale operatorului ( 11 ). Într‑adevăr, articolul 4 punctul 7 din RGPD impune mai degrabă o analiză factuală decât una formală.

28.

În legătură cu aceasta, Comitetul European pentru Protecția Datelor (EDPB) a sugerat că este de asemenea posibil ca cineva să fie operator, indiferent de conferirea prin lege a unei competențe sau a unei puteri specifice de a controla datele. Într‑adevăr, capacitatea de a determina scopurile și mijloacele de prelucrare depinde, înainte de toate, de influența exercitată care poate fi dedusă din circumstanțele de fapt. O entitate care este de fapt în măsură să determine scopurile și mijloacele de prelucrare va fi, așadar, considerată „operator”, independent de desemnarea ca atare în mod formal (prin lege, printr‑un contract sau în alt mod) ( 12 ).

29.

Odată făcute aceste precizări, constatăm că unele dintre împrejurările descrise de instanța de trimitere în cadrul primelor trei întrebări sunt de natură pur formală; de exemplu, faptul că NVCS nu deține din punct de vedere juridic KARANTINAS sau că procedura de achiziție a acestei aplicații mobile nu a fost niciodată finalizată ori faptul că NVSC nu a autorizat în mod oficial punerea la dispoziția publicului larg a aplicației sau nu a aprobat ultima versiune a acesteia. În opinia noastră, niciuna dintre aceste împrejurări nu poate în sine împiedica constatarea că NVSC a acționat în calitate de „operator”, în sensul articolului 4 punctul 7 din RGPD, în contextul procedurii principale. Într‑adevăr, acestea nu sunt suficiente pentru a infirma concluzia că NVSC a fost de fapt în măsură să determine scopurile și mijloacele prelucrării datelor cu caracter personal care a avut loc. De altfel, considerăm că faptul că NVSC a fost menționat ca operator în politica de confidențialitate a versiunii KARANTINAS care a fost pusă la dispoziția publicului pentru a fi descărcată sau că în această versiune a aplicației mobile au fost incluse linkuri către această entitate este relevant, dar neconcludent în ceea ce privește influența exercitată efectiv de această entitate.

30.

În schimb, dovezile de care dispune instanța de trimitere care arată că NVSC a decis ce tip de date cu caracter personal ar trebui colectate de KARANTINAS și de la ce persoane vizate și/sau alte aspecte esențiale ale prelucrării sunt suficiente, în opinia noastră, pentru a demonstra că această entitate a stabilit „mijloacele” prelucrării. De asemenea, considerăm că faptul că aplicația KARANTINAS a fost creată pentru a îndeplini obiectivul definit de NVSC, și anume pentru a oferi suport în pandemia COVID-19, și că funcționarea sa a fost modificată în mod regulat de ITSS pentru a răspunde nevoilor stabilite de NVSC, în conformitate cu instrucțiunile furnizate de această entitate, este îndeajuns pentru a concluziona că entitatea amintită a stabilit „scopurile” acestei prelucrări.

31.

Acestea fiind spuse, considerăm că, pentru a stabili dacă o entitate precum NVSC poate fi considerată un „operator” în sensul articolului 4 punctul 7 din RGPD, instanța de trimitere trebuie să stabilească de asemenea dacă, în pofida influenței exercitate de NVSC în etapa de dezvoltare a KARANTINAS, decizia de a pune la dispoziția publicului această aplicație mobilă și, prin urmare, de a se angaja în prelucrarea datelor cu caracter personal a fost adoptată în realitate cu consimțământul (expres sau tacit) al acestei entități (independent de faptul că acest consimțământ nu a fost furnizat în mod oficial sau formal).

32.

Într‑adevăr, după cum arată în mod clar definiția noțiunii de „operator” de la articolul 4 punctul 7 din RGPD, influența exercitată de un operator trebuie să vizeze prelucrarea în sine a datelor cu caracter personal, iar nu doar oricare etapă anterioară. O persoană fizică sau juridică ori o entitate nu devine „operator” prin simplul fapt că inițiază dezvoltarea unei aplicații mobile sau definește parametrii acestei aplicații (sau ai unui alt instrument de colectare a datelor). Acțiunile sale trebuie să fie efectiv legate de prelucrarea datelor cu caracter personal și, prin urmare, trebuie să fi consimțit în mod expres sau tacit ca instrumentul relevant să fie utilizat pentru a efectua o astfel de prelucrare.

33.

Curtea a insistat asupra acestei cerințe în Hotărârea Fashion ID ( 13 ), în care a declarat expres că răspunderea unui operator este limitată la operațiunea sau la ansamblul operațiunilor de prelucrare de date cu caracter personal ale căror scopuri și mijloace le stabilește efectiv ( 14 ). Reiese deci că stabilirea scopurilor și a mijloacelor trebuie să fie direct legată de operațiunea relevantă sau de ansamblul operațiunilor ce implică prelucrarea datelor cu caracter personal.

34.

În opinia noastră, din aceste constatări rezultă că o entitate precum NVSC, care inițiază dezvoltarea unei aplicații mobile, poate fi considerată „operator” în sensul articolului 4 punctul 7 din RGPD numai în situația în care există suficiente elemente de natură mai degrabă factuală decât formală din care instanțele naționale pot deduce că o astfel de entitate a exercitat o influență reală asupra „scopurilor și mijloacelor” acestei prelucrări și că a consimțit efectiv la punerea la dispoziția publicului a aplicației mobile și, în consecință, la prelucrarea datelor cu caracter personal. Sub rezerva verificărilor care urmează să fie efectuate de instanța de trimitere, considerăm că NVSC îndeplinește aceste cerințe.

35.

A cincea întrebare privește condițiile care trebuie îndeplinite pentru ca două (sau mai multe) entități să fie considerate operatori asociați. Înțelegem că instanța de trimitere solicită clarificări cu privire la interpretarea acestei noțiuni, întrucât bănuiește că, în situația în discuție în procedura principală, NVSC și ITSS ar putea fi considerate „operatori asociați” și, în această calitate, ar putea fi răspunzătoare în solidar pentru prejudiciile cauzate ( 15 ) și/sau ar putea fi sancționate în solidar cu amendă pentru încălcări ale normelor privind protecția datelor săvârșite cu ocazia punerii la dispoziția publicului a aplicației KARANTINAS pentru a fi descărcată. Constatăm în această privință că, după cum am arătat la punctul 16 de mai sus, această entitate și această societate au fost în fapt deopotrivă considerate responsabile și sancționate cu amendă de către inspectorat în temeiul articolului 83 din RGPD pentru încălcările săvârșite în calitatea lor de operatori asociați.

36.

În conformitate cu articolul 26 alineatul (1) din RGPD, există „operatori asociați” în cazul în care doi sau mai mulți operatori stabilesc în comun scopurile și mijloacele de prelucrare. În consecință, fiecare operator asociat trebuie să îndeplinească în mod independent criteriile enumerate în definiția „operatorului” prevăzută la articolul 4 punctul 7 din acest regulament ( 16 ). În plus, operatorii asociați trebuie să aibă o anumită relație între ei, având în vedere că influența lor asupra prelucrării trebuie să fie exercitată în comun.

37.

Curtea a arătat că existența unei luări în comun a deciziilor nu implică în mod necesar o responsabilitate sau o participare egală a diferitelor persoane sau entități implicate. Dimpotrivă, operatorii asociați pot fi implicați în diferite stadii ale acestei prelucrări, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței ( 17 ). În plus, responsabilitatea comună a mai multor entități pentru aceeași prelucrare nu presupune ca fiecare dintre acestea să aibă acces la datele cu caracter personal vizate ( 18 ). Ceea ce contează însă este faptul că aceste entități participă în comun la stabilirea „scopurilor și mijloacelor” prelucrării.

38.

În această privință, observăm că, așa cum se precizează în Orientările 07/2020, o astfel de participare în comun se poate regăsi sub diferite forme. Aceasta poate rezulta dintr‑o decizie comună luată de două sau mai multe entități ori poate rezulta pur și simplu din decizii convergente ale acestor entități. În acest ultim caz, contează numai faptul că deciziile se completează reciproc și sunt necesare pentru ca prelucrarea să aibă loc, în așa fel încât acestea au un impact concret asupra stabilirii scopurilor și mijloacelor de prelucrare, ceea ce înseamnă în esență că prelucrarea nu ar fi posibilă fără participarea ambelor părți ( 19 ).

39.

În acest context, instanța de trimitere se întreabă dacă faptul că doi operatori (in casu, NVSC și ITSS), nu au ajuns la niciun acord formal cu privire la scopurile și mijloacele de prelucrare și/sau nu par să își fi coordonat în alt mod acțiunile nu permite ca aceștia să fie considerați „operatori asociați”.

40.

Înțelegem că îndoielile instanței de trimitere în această privință decurg din faptul că, în conformitate cu articolul 26 alineatul (1) din RGPD, operatorii asociați trebuie să stabilească în mod transparent, prin intermediul unui acord, responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor prevăzute de acest regulament. În plus, considerentul (79) al regulamentului respectiv precizează că este necesară „o atribuire clară a responsabilităților”, inclusiv în cazul în care un operator stabilește scopurile și mijloacele prelucrării împreună cu alți operatori. În opinia noastră însă, aceste obligații și cerințe se aplică operatorilor asociați numai din momentul în care ei pot fi considerați astfel. Obligațiile și cerințele respective nu fac parte din criteriile care trebuie îndeplinite pentru ca aceștia să fie calificați ca atare.

41.

După cum am afirmat la punctul 36 de mai sus, luarea în comun a deciziilor depinde doar de îndeplinirea a două condiții obiective. Prima, fiecare operator asociat trebuie să îndeplinească criteriile enumerate în definiția „operatorului” prevăzută la articolul 4 punctul 7 din RGPD. La dosarul cauzei nu există suficiente informații pe baza cărora să se poată stabili dacă, în situația din cauza principală, ITSS trebuie considerat „operator” în sensul acestei dispoziții. Totuși, în opinia noastră, în lumina constatărilor pe care le‑am făcut în secțiunea anterioară și sub rezerva verificărilor care urmează a fi efectuate de instanța de trimitere, cel puțin NVSC – dacă nu ambele, atât această entitate, cât și ITSS – îndeplinește condițiile pentru a fi considerat „operator” în sensul acestei dispoziții. A doua, influența operatorilor asupra prelucrării trebuie să fie exercitată în comun (ceea ce înseamnă că aceasta trebuie să fie exercitată în conformitate cu criteriile legale și cu jurisprudența amintite la punctele 37 și 38 de mai sus). În această privință, am explicat că participarea în comun la prelucrare poate avea loc sub diferite forme și nici măcar nu trebuie să provină dintr‑o decizie comună a părților implicate. Ca atare, abordarea materială și funcțională necesară pentru a stabili dacă o persoană sau o entitate trebuie să fie considerată „operator”, în sensul articolului 4 punctul 7 din RGPD, se aplică de asemenea, în opinia noastră, în cazul luării în comun a deciziilor ( 20 ).

42.

Având în vedere aceste elemente, considerăm, în primul rând, că absența oricărui acord sau înțelegere ori chiar a unei decizii comune între doi sau mai mulți operatori, cum sunt NVSC și ITSS, nu poate exclude, în sine, constatarea că sunt „operatori asociați” în sensul articolului 4 punctul 7 coroborat cu articolul 26 alineatul (1) din RGPD. În această privință, adăugăm că EDPB a sugerat că înțelegerile contractuale, deși pot fi utile în evaluarea luării în comun a deciziilor, ar trebui întotdeauna verificate în raport cu împrejurările de fapt ale relației dintre părți ( 21 ).

43.

În al doilea rând, considerăm de asemenea că doar pentru că NVSC și ITSS nu par, dincolo de faptul că nu au ajuns la un acord, la o înțelegere sau la o decizie comună, să își fi coordonat acțiunile sau să fi cooperat în alt mod una cu cealaltă nu înseamnă că nu pot fi considerate „operatori asociați”. Chiar dacă există o astfel de coordonare sau cooperare, aceasta nu are nicio relevanță în ceea ce privește chestiunea dacă relația dintre aceste două entități este sau nu una de control în comun. Într‑adevăr, se poate imagina cu ușurință că ar putea exista cooperare sau coordonare între două sau mai multe entități, fără ca acestea să fie deloc operatori asociați. De exemplu, doi operatori diferiți ar putea să își coordoneze acțiunile sau să coopereze reciproc cu intenția de a transfera date cu caracter personal între ei. Totuși, acest lucru nu i‑ar transforma în „operatori asociați” în sensul articolului 4 punctul 7 și al articolului 26 alineatul (1) din RGPD ( 22 ). Ceea ce contează, după cum am explicat la punctul 38 de mai sus, este faptul că prelucrarea nu ar fi posibilă fără participarea ambelor părți, întrucât ambele au un impact tangibil asupra stabilirii scopurilor și mijloacelor respectivei prelucrări.

44.

Având în vedere cele menționate anterior, considerăm că, pe de o parte, sub rezerva verificărilor care urmează să fie efectuate de instanța de trimitere, o entitate precum NVSC îndeplinește condițiile enumerate la articolul 4 punctul 7 din RGPD pentru a fi considerată „operator”. Pe de altă parte, faptul dacă NVSC și ITSS pot fi considerați „operatori asociați”, în conformitate cu criteriile pe care le‑am prezentat în secțiunea anterioară, sau dacă pot fi considerați „operator” și, respectiv, „persoană împuternicită de operator” depinde de natura relației lor, aspect a cărui verificare revine instanței de trimitere.

45.

În această privință, adăugăm că natura relației dintre NVSC și ITSS (și anume dacă sunt „operatori asociați” sau „operator” și, respectiv, „persoană împuternicită de operator”) este relevantă pentru a șasea întrebare. Prin urmare, vom reveni la constatările pe care le‑am făcut cu privire la a cincea întrebare atunci când vom aborda problemele ridicate prin a șasea întrebare.

46.

Prin intermediul celei de a patra întrebări, instanța de trimitere solicită să se stabilească în esență dacă definiția noțiunii de „prelucrare” prevăzută la articolul 4 punctul 2 din RGPD acoperă o situație în care datele cu caracter personal sunt utilizate în faza de testare a unei aplicații mobile ( 23 ). Deducem din cererea de decizie preliminară că aplicația KARANTINAS a fost supusă unei faze de testare înainte de a fi pusă la dispoziția publicului pentru a fi descărcată. Din câte înțelegem, a patra întrebare privește o situație care diferă de cea care stă în centrul celeilalte întrebări adresate Curții, toate referindu‑se la prelucrarea datelor cu caracter personal după derularea fazei de testare, când KARANTINAS a fost pusă la dispoziția publicului. Mai exact, instanța de trimitere dorește să știe dacă utilizarea datelor cu caracter personal în cursul acestei faze de testare poate fi calificată drept „prelucrare” în sensul articolului 4 punctul 2 din RGPD și, ca atare, ar putea atrage răspunderea potențială a operatorilor și/sau a persoanelor împuternicite de operatori implicate.

47.

Articolul 4 punctul 2 din RGPD definește „prelucrarea” ca fiind „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate […]” ( 24 ).

48.

Deducem din această formulare (în special din utilizarea cuvântului „orice” și a unor termeni generici, cum ar fi „operațiune” sau „set de operațiuni”) că dispoziția trebuie să primească o accepțiune largă, astfel încât să acopere cât mai multe situații posibile în care sunt utilizate date cu caracter personal. Lista neexhaustivă a unor astfel de situații prevăzută în această dispoziție confirmă interpretarea noastră, dată fiind varietatea operațiunilor incluse în aceasta ( 25 ).

49.

În plus, deși din secțiunea de mai sus rezultă că definiția „operatorului”, în sensul articolului 4 punctul 7 din regulamentul menționat, este strâns legată de scopurile prelucrării datelor cu caracter personal (motivele „pentru care” sunt colectate datele cu caracter personal), situația este diferită în cazul definiției de la articolul 4 punctul 2 din regulamentul respectiv. Ca atare, motivele pentru care se efectuează o operațiune sau un set de operațiuni sunt, în principiu, irelevante pentru întrebarea dacă acestea trebuie să fie calificate drept „prelucrare” în sensul acestei dispoziții. Implicit, în opinia noastră, împrejurarea că datele cu caracter personal sunt colectate în vederea testării sistemelor informatice încorporate într‑o aplicație mobilă sau în alt scop nu are nicio incidență asupra chestiunii dacă operațiunea în cauză poate fi calificată drept „prelucrare”.

50.

În această privință, observăm în continuare că „utilizarea” datelor cu caracter personal (fără nicio altă mențiune și, în consecință, indiferent de scopul utilizării) este enumerată printre operațiunile sau seturile de operațiuni care constituie o „prelucrare” ( 26 ). În plus, articolul 4 punctul 2 din RGPD nu conține nicio excepție, derogare sau excludere expresă pentru operațiunile referitoare la utilizarea datelor cu caracter personal în vederea testării sistemelor informatice. În concluzie, nimic nu împiedică să se considere utilizarea datelor cu caracter personal în vederea efectuării unor astfel de teste ca fiind o „prelucrare” în sensul dispoziției respective, ba dimpotrivă.

51.

În lumina acestor elemente, apreciem că definiția „prelucrării” prevăzută la articolul 4 punctul 2 din RGPD acoperă situația în care datele cu caracter personal sunt utilizate în timpul fazei de testare a unei aplicații mobile.

52.

Concluzia noastră în această privință nu este afectată de simplul fapt că este posibil ca datele cu caracter personal furnizate în scopul testării sistemelor informatice încorporate într‑o aplicație mobilă să fi fost supuse pseudonimizării ( 27 ). Singura împrejurare în care RGPD nu ar fi aplicabil este aceea în care informațiile furnizate pe aplicația mobilă constau doar în informații anonime care „nu sunt legate de o persoană fizică identificată sau identificabilă” sau în date cu caracter personal care au fost „anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă”. Cu toate acestea, constatăm că, în cauza din litigiul principal, datele utilizate pentru faza de testare nu par, pe baza informațiilor furnizate în dosarul cauzei, să fi constat în astfel de date anonimizate ( 28 ).

53.

Având în vedere cele menționate anterior, considerăm că definiția „prelucrării” prevăzută la articolul 4 punctul 2 din RGPD acoperă o situație în care datele cu caracter personal sunt utilizate în cursul fazei de testare a unei aplicații mobile, cu excepția cazului în care astfel de date au fost anonimizate în așa fel încât persoana vizată nu este sau nu mai este identificabilă. Faptul că datele cu caracter personal sunt colectate în vederea testării sistemelor informatice încorporate într‑o aplicație mobilă sau într‑un alt scop nu are, la rândul său, nicio influență asupra chestiunii dacă operațiunea în discuție poate fi considerată o „prelucrare” ( 29 ).

54.

Odată făcute aceste clarificări, vom trece în continuare la problema principală din prezenta cauză, referitoare la condițiile în care o amendă administrativă poate fi impusă unui operator sau unei persoane împuternicite de operator, în temeiul articolului 83 din RGPD.

55.

Înainte de adoptarea RGPD, sancțiunile pentru încălcarea normelor de protecție a datelor erau în mare parte lăsate la aprecierea statelor membre, în conformitate cu autonomia lor procedurală și procesuală ( 30 ). Amenzile administrative introduse prin articolul 83 din regulamentul menționat sunt, în consecință, o „evoluție” relativ nouă în dreptul Uniunii în materie de protecție a datelor. Acestea au fost descrise de Grupul de lucru „Articolul 29” ca fiind un „element central în cadrul noului sistem de punere în aplicare” ( 31 ). Chiar dacă această dispoziție nu a fost interpretată încă de Curte, ea a fost deja aplicată de autoritățile de supraveghere, uneori pentru a impune amenzi ridicate operatorilor sau persoanelor împuternicite de operatori ( 32 ).

56.

Articolul 83 din RGPD prevede un sistem de sancțiuni pe două niveluri, în funcție de tipul specific de dispoziție încălcată. În timp ce primul nivel, definit la articolul 83 alineatul (4) din acest regulament, se aplică situațiilor în care un operator sau o persoană împuternicită de operator încalcă obligațiile generale care îi revin, precum și anumite obligații specifice, cel de al doilea nivel este rezervat, după cum indică articolul 83 alineatul (5) din RGPD, unor încălcări mai grave, cum ar fi încălcarea printre altele a principiilor de bază pentru prelucrare, a drepturilor persoanelor vizate și a normelor referitoare la transferul de date cu caracter personal către un destinatar dintr‑o țară terță sau o organizație internațională.

57.

În cazul ambelor niveluri, autoritățile naționale competente, după ce au stabilit că o anumită dispoziție din RGPD a fost încălcată, trebuie să efectueze două evaluări. În primul rând, trebuie să stabilească dacă s‑ar impune să se aplice o amendă și, în al doilea rând, în cazul în care au stabilit că se impune, trebuie să determine cuantumul amenzii respective. Aceste evaluări trebuie efectuate în fiecare caz individual, având în vedere diferiții factori enumerați la articolul 83 alineatul (2) din GDPR. Printre acești factori se numără „dacă încălcarea a fost comisă intenționat sau din neglijență” [articolul 83 alineatul (2) litera (b) din acesta].

58.

Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită să se stabilească în esență dacă o amendă administrativă poate fi impusă unui operator atunci când acesta nu a încălcat în mod intenționat sau din neglijență normele privind protecția datelor, iar prelucrarea ilegală a datelor cu caracter personal nu a fost efectuată de operatorul însuși, ci de o persoană împuternicită de operator. Revenind la constatările făcute anterior cu privire la a cincea întrebare, considerăm că a șasea întrebare este adresată în cazul în care, în litigiul principal, NVSC și ITSS ar putea să nu fie considerați „operatori asociați”, în sensul articolului 4 punctul 7 coroborat cu articolul 26 alineatul (1) din RGPD, și ar trebui să fie considerați „operator” și, respectiv, „persoană împuternicită de operator”. În acest cadru special, instanța de trimitere ar dori să se clarifice în ce împrejurări NVSC poate fi sancționat cu amendă în temeiul articolului 83 din RGPD.

59.

Remarcăm încă faptul că a șasea întrebare menționează numai articolul 83 alineatul (1) din RGPD ca fiind dispoziția relevantă. Cu toate acestea, în opinia noastră, problemele ridicate de această întrebare impun luarea în considerare a articolului 83 din acest regulament în ansamblul său și în special după cum am explicat la punctul 57 de mai sus, luarea în considerare a articolului 83 alineatul (2) litera (b) din acesta, având în vedere că această dispoziție vizează „dacă încălcarea a fost comisă intenționat sau din neglijență”. Astfel, vom considera că a șasea întrebare privește interpretarea articolului 83 din RGPD în ansamblul său, iar nu doar a articolului 83 alineatul (1) din acesta.

60.

În opinia noastră, această întrebare conține două părți. În primul rând, se solicită Curții să stabilească dacă articolul 83 din RGPD permite ca amenzile administrative în general să fie impuse operatorilor sau persoanelor împuternicite de operatori în absența mens rea (element mental – culpă). În esență, instanța de trimitere ar dori să se stabilească dacă NVSC ar putea fi amendat pentru simplul motiv că a încălcat obligațiile care îi sunt impuse în virtutea calității de operator (răspundere strict obiectivă) sau dacă este necesar un element de vinovăție în comiterea încălcării/încălcărilor relevante. În al doilea rând, aceasta solicită să se clarifice dacă faptul că prelucrarea ilegală a datelor cu caracter personal nu a fost efectuată de operatorul însuși, ci de o persoană împuternicită de operator afectează în vreun fel capacitatea autorităților de supraveghere de a‑i impune o amendă operatorului.

61.

Vom analiza pe rând fiecare dintre aceste două părți.

62.

Articolul 83 din RGPD prevede că orice amendă administrativă impusă pentru încălcarea normelor privind protecția datelor trebuie să fie „eficace, proporțională și disuasivă”. Acest lucru este indicat la alineatul (1) din dispoziția respectivă. Acest alineat nu precizează însă dacă o astfel de amendă poate fi impusă numai dacă se stabilește și existenta vinovăției, cu alte cuvinte, dacă „vinovăția” este o condiție prealabilă pentru aplicarea unei amenzi administrative.

63.

Pe de altă parte, alineatul (2) litera (b) al acestei dispoziții menționează „dacă încălcarea a fost comisă intenționat sau din neglijență” printre elementele ( 33 ) cărora autoritățile de supraveghere trebuie să le acorde „atenția cuvenită” în fiecare caz în parte. Potrivit articolului 83 alineatul (2) litera (k) din regulamentul menționat, aceste elemente trebuie înțelese ca „factor[i] agravan[ți] sau atenuan[ți]” și nu sunt exhaustive.

64.

În acest context, există, în opinia noastră, două modalități posibile de a înțelege articolul 83 din RGPD.

65.

Pe de o parte, s‑ar putea considera că, deși decizia de a impune o amendă și cuantumul acesteia trebuie stabilite ținând seama în mod corespunzător de gradul de vinovăție existent (astfel încât, de exemplu, o amendă mai mare ar trebui impusă în principiu dacă încălcarea a fost rezultatul unui comportament intenționat și, dimpotrivă, un comportament neglijent ar trebui să conducă la o amendă mai mică), nimic nu împiedică impunerea unei amenzi și în absența oricărei forme de vinovăție, atât timp cât persoana împuternicită de operator sau operatorul poate fi considerat responsabil pentru încălcare. Această interpretare ar fi susținută de o lectură a articolului 83 alineatul (2) literele (b) și (k), în sensul că, prin menționarea unor forme diferite de vinovăție (intenție sau neglijență) ca „factor[i] agravan[ți] sau atenuan[ți]”, aceste dispoziții ar putea să implice faptul că, în general, vinovăția nu este o condiție prealabilă pentru impunerea unei amenzi.

66.

Pe de altă parte, s‑ar mai putea argumenta, asemenea Comisiei în prezenta cauză, că neglijența persoanei sau a entității care a săvârșit încălcarea trebuie, ca cerință minimă, să fie stabilită înainte de a se putea impune o amendă. Această abordare ar fi susținută de o interpretare diferită, mai prudentă, a articolului 83 alineatul (2) literele (b) și (k) din RGPD, și anume că aceste dispoziții obligă autoritățile de supraveghere să facă distincție între un factor atenuant (neglijența) și unul agravant (intenția), dar nu indică faptul că o amendă ar putea fi impusă în lipsa oricărei forme de vinovăție.

67.

Comisia a optat în mod expres pentru această interpretare în propunerea sa inițială care a condus la adoptarea RGPD ( 34 ), în care sugera organizarea sistemului de amenzi ca un sistem cu trei niveluri. Pentru fiecare nivel, Comisia a propus ca amenzile să poată fi exclusiv aplicate „oricărei persoane care, cu intenție sau din neglijență” ( 35 ), a săvârșit una sau mai multe dintre încălcările presupuse. Astfel, Comisia a avut în vedere în mod clar vinovăția drept condiție prealabilă pentru impunerea unei astfel de amenzi ( 36 ).

68.

Chiar dacă ambele abordări pot fi, în opinia noastră, susținute printr‑o interpretare literală a articolului 83 alineatul (2) din RGPD, întrucât fiecare dintre ele corespunde unei înțelegeri a formulării „dacă încălcarea a fost comisă intenționat sau din neglijență” drept factor „agravant” sau „atenuant”, considerăm că numai a doua abordare reflectă în mod corect intenția legiuitorului Uniunii. Există mai multe motive care ne ghidează spre această concluzie.

69.

În primul rând, observăm că mai mulți factori dintre cei enumerați la articolul 83 alineatul (2) din RGPD conțin formulări specifice din care se poate deduce că nu este posibil să se aplice astfel de factori în toate cazurile, ci numai în unele. În special, articolul 83 alineatul (2) literele (c), (e) și (k) începe de fiecare dată cu cuvântul „orice” [sau un echivalent al acestuia] („orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul […]”; „eventualele încălcări anterioare relevante […]”; „orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului […]”), sugerând astfel că, deși autoritățile de supraveghere trebuie să ia întotdeauna în considerare existența oricărei acțiuni atenuante, a unei încălcări anterioare sau a altui factor agravant sau atenuant relevant, în cazul în care există sau sunt dovedite asemenea elemente, pot în fapt exista situații în care aceleași elemente lipsesc pur și simplu și totuși autoritatea competentă în materie de protecție a datelor poate decide totuși să impună o amendă (sau, dimpotrivă, să nu impună o amendă). În mod similar, observăm că articolul 83 alineatul (2) litera (i) din RGPD este formulat tot într‑o manieră nesistematică, întrucât impune să se analizeze dacă operatorul sau persoana împuternicită de operator a respectat măsurile menționate la articolul 58 alineatul (2) din regulamentul menționat, dar numai „în cazul în care [astfel de] măsur[i] […] au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator”.

70.

În schimb, articolul 83 alineatul (2) litera (b) menționează „dacă încălcarea a fost comisă intenționat sau din neglijență” ( 37 ). Ca atare, considerăm că acesta face parte din factorii care trebuie să se regăsească în toate cazurile și, figurativ vorbind, care trebuie „bifat” în toate cazurile înainte de a se putea impune o amendă, la fel ca „natura, gravitatea și durata încălcării […]” [articolul 83 alineatul (2) litera (a)], „categoriile de date cu caracter personal afectate de încălcare […]” [articolul 83 alineatul (2) litera (g)], și „modul în care încălcarea a fost adusă la cunoștinț[ă] […]” [articolul 83 alineatul (2) litera (h)]. În opinia noastră, acești alți factori trebuie de asemenea să „se regăsească” în toate cazurile: de exemplu, „natura, gravitatea și durata încălcării” pot fi foarte diferite de la un caz la altul (și, în consecință, pot fi considerate fie ca un motiv „pentru”, fie ca un motiv „împotriva” impunerii unei amenzi). Cu toate acestea, în toate cazurile vor exista natura, o anumită gravitate și o anumită durată a încălcării care trebuie luate în considerare. În opinia noastră, acesta constituie primul indiciu că amenzile administrative au fost introduse la articolul 83 din RGPD astfel încât acestea să fie impuse numai în situațiile în care presupusa încălcare a fost săvârșită fie intenționat, fie din neglijență ( 38 ).

71.

În al doilea rând, observăm că, deși articolul 83 alineatul (2) din RGPD nu prevede în mod expres că încălcarea trebuie să fi avut loc „în mod intenționat sau din neglijență”, nu se poate spune același lucru despre alineatul (3) al acestei dispoziții, care conține o regulă generală ce exclude cumularea amenzilor administrative. Acest alineat menționează numai situația în care încălcarea/încălcările relevantă/relevante a/au avut loc „în mod intenționat sau din neglijență”.

72.

În opinia noastră, în mod logic rezultă că articolul 83 alineatul (2) din RGPD trebuie interpretat în sensul că o amendă poate fi impusă numai în cazul în care presupusa încălcare a avut loc în mod intenționat sau din neglijență. Într‑adevăr, dacă domeniul de aplicare al articolului 83 alineatele (2) și (3) din RGPD ar fi diferit, atunci ar fi posibilă impunerea unor amenzi cumulate pentru încălcări mai puțin grave (și anume cele săvârșite fără nicio formă de vinovăție), întrucât acestea, deși ar putea încă să determine aplicarea unei amenzi în temeiul primei dintre dispozițiile menționate [articolul 83 alineatul (2)], nu ar intra sub incidența celei de a doua dispoziții [articolul 83 alineatul (3)], dar ar putea totuși să conducă la aplicarea unei amenzi în temeiul primei dispoziții [articolul 83 alineatul (2)]. Cu toate acestea, nu ar fi posibil același lucru în cazul încălcărilor săvârșite din neglijență sau cu intenție, întrucât toate ar face obiectul regulii care nu permite cumulul, prevăzută la articolul 83 alineatul (3) din acest regulament. Un astfel de rezultat ar fi în mod clar contrar principiului de bază al regimului sancționator instituit de RGPD, și anume că încălcările grave ar trebui, în principiu, să fie sancționate mai strict decât cele mai puțin grave, și nu invers.

73.

În al treilea rând, remarcăm că amenzile impuse în temeiul articolului 83 din RGPD pot avea ca rezultat o pedepsire severă. Într‑adevăr, primul nivel, care este reglementat de articolul 83 alineatul (4) din acest regulament, poate conduce la impunerea unor amenzi de până la 10000000 de euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându‑se în calcul cea mai mare valoare. Al doilea nivel prevede amenzi de până la 20000000 de euro sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior (luându‑se în calcul, din nou, cea mai mare valoare).

74.

În consecință, considerăm că amenzile aplicate în conformitate cu articolul 83 din RGPD urmăresc un scop punitiv, cel puțin în anumite situații ( 39 ), și prezintă un grad ridicat de severitate, astfel încât pot fi considerate ca fiind de natură penală ( 40 ) și, prin urmare, ca intrând sub incidența articolului 49 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) ( 41 ).

75.

În lumina acestor elemente și îndeosebi a naturii penale a amenzilor aplicate în temeiul articolului 83 din RGPD, am putea fi tentați să susținem că ar fi astfel incompatibil cu cerința de la alineatul (1) al aceste dispoziții ca amenzile să fie, în toate cazurile, nu doar „eficiente” și „disuasive”, ci și „proporționale”, pentru a permite ca astfel de amenzi să fie aplicate în lipsa vinovăției. Cu alte cuvinte, ar fi disproporționat să se impună amenzi în cazurile în care nici măcar neglijența nu a fost stabilită. În opinia noastră, acest argument este însă greu de susținut, având în vedere că Curtea a constatat deja că un regim de sancțiuni bazat pe răspunderea strict obiectivă, chiar și unul de natură penală, nu este, în sine, disproporționat în raport cu obiectivele urmărite atunci când acest regim este de natură să stimuleze persoanele în cauză să respecte dispozițiile unui regulament și când obiectivele urmărite prezintă un interes general care poate justifica instituirea unui asemenea regim ( 42 ). În plus, Curtea Europeană a Drepturilor Omului (Curtea EDO) a statuat, în ceea ce privește articolul 7 din Convenția Europeană a Drepturilor Omului (CEDO) (care corespunde articolului 49 din cartă) ( 43 ), că, deși pedeapsa în temeiul acestei dispoziții presupune în general existența unei legături mentale prin care să poată fi detectat un element de răspundere în comportamentul persoanei care a săvârșit fizic infracțiunea, această cerință nu exclude existența anumitor forme de răspundere obiectivă ( 44 ).

76.

Deducem însă din această jurisprudență că, de regulă, pentru a impune o sancțiune penală este necesar să existe mens rea și că răspunderea obiectivă constituie astfel un fel de „excepție” de la această regulă generală, încât trebuie să își găsească justificare în lumina obiectivelor urmărite de regulament.

77.

În opinia noastră, dacă luăm în considerare RGPD în ansamblul său, amenzile administrative au fost avute în vedere de legiuitorul Uniunii ca fiind numai unul dintre instrumentele prevăzute în acest act normativ pentru a asigura respectarea efectivă a acestuia. Într‑adevăr, amenzile trebuie să fie impuse „în completarea sau în locul” celorlalte măsuri enumerate la articolul 58 alineatul (2) din acest regulament, care conferă autorităților de supraveghere o serie de competențe corective (precum competența de a emite avertizări, mustrări sau somații) ( 45 ). În plus, în situațiile în care nu este impusă o amendă administrativă în conformitate cu articolul 83 din RGPD, autoritățile de supraveghere au posibilitatea de a impune alte sancțiuni în temeiul articolului 84 din acest regulament ( 46 ).

78.

În opinia noastră, aceste dispoziții arată în mod clar că, atunci când a adoptat acest regulament, legiuitorul Uniunii nu a avut intenția de a sancționa cu amendă administrativă fiecare încălcare a normelor privind protecția datelor. Acesta a urmărit mai degrabă să prevadă un sistem flexibil și diferențiat de penalități și sancțiuni. Acest lucru este confirmat de considerentul (148) al RGPD, care prevede că autoritățile de supraveghere se pot abține de la impunerea unei amenzi administrative și pot emite în schimb un avertisment, în cazul unei „încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică”. În acest context, limitarea aplicării articolului 83 din RGPD la situațiile în care se constată existența neglijenței, ca cerință minimă, se aliniază, în opinia noastră, la aceste obiective și la logica generală a diferitelor dispoziții potrivit cărora aplicarea unor amenzi administrative ar trebui să fie posibilă numai pentru anumite tipuri de încălcări.

79.

De asemenea, considerăm că, atunci când legiuitorul Uniunii și‑a manifestat dorința de a introduce în RGPD răspunderea obiectivă sau prezumată, a făcut acest lucru folosind o formulare specifică ce nu se regăsește la articolul 83 din acesta. De exemplu, în ceea ce privește răspunderea civilă (și anume răspunderea operatorilor și a persoanelor împuternicite de operatori față de persoanele vizate), reglementată la articolul 82 din RGPD, legiuitorul Uniunii a afirmat că operatorii și persoanele împuternicite de operatori au obligația strictă de a despăgubi prejudiciile pe care le cauzează persoanelor vizate, cu excepția cazului în care reușesc să demonstreze că nu sunt răspunzători în niciun fel de evenimentele care au cauzat prejudiciul ( 47 ). „Vinovăția”, ca element, nu joacă niciun rol în contextul aplicării acestei dispoziții. În schimb, articolul 83 din acest regulament nu conține o formulare similară cu textul articolului 84 din RGPD. Acest lucru confirmă, în opinia noastră, faptul că legiuitorul Uniunii nu a avut intenția ca această dispoziție să introducă un sistem de amenzi bazat pe răspunderea obiectivă sau prezumată.

80.

În al patrulea rând și poate cel mai important, considerăm că, în practică, pragul pentru o încălcare din neglijență a RGPD, în sensul articolului 83 alineatul (2) litera (b) din acest regulament, este, în orice caz, atât de scăzut încât sunt dificil de imaginat situații în care va fi imposibilă aplicarea unei amenzi pentru simplul motiv că elementul respectiv nu există. Ca atare, considerăm că simplul fapt că trebuie să se stabilească intenția sau neglijența înainte de a se putea impune o amendă în conformitate cu articolul 83 din regulamentul amintit nu pune în pericol obiectivul urmărit de legiuitorul Uniunii de a garanta aplicarea efectivă a normelor din regulament privind protecția datelor cuprinse, ci dimpotrivă.

81.

În această privință, s‑a susținut că simpla neluare a niciunei măsuri într‑o situație în care operatorul sau persoana împuternicită de operator are oarecare îndoieli cu privire la legalitatea prelucrării întreprinse constituie deja o acceptare deliberată a unei posibile încălcări a RGPD și, prin urmare, o neglijență gravă ( 48 ). În plus, Grupul de lucru „Articolul 29” a sugerat că o încălcare din neglijență echivalează, în multe privințe, cu o încălcare „neintenționată”, întrucât, în opinia sa, o astfel de încălcare poate exista acolo unde nu a existat nicio intenție de a săvârși încălcarea, iar operatorul sau persoana împuternicită de operator și‑a încălcat obligația de diligență ( 49 ). În special, aceasta a declarat că inclusiv simple „erori umane” ( 50 ) pot fi un indiciu privind neglijența.

82.

Avem în vedere două concluzii. În primul rând, linia de demarcație dintre o încălcare fără vinovăție și una din neglijență este, de fapt, foarte subțire. Considerăm că autoritățile de supraveghere vor avea rareori dificultăți în a găsi suficiente elemente care să ateste că presupusa încălcare s‑a produs cel puțin din neglijență. În această privință, observăm că în literatura de specialitate s‑a afirmat că, „având în vedere deja numeroasele acțiuni de conștientizare […] pentru a asigura conformitatea cu RGPD […], este greu de imaginat […] existența unor încălcări ale RGPD fără a fi cel puțin în prezența unei neglijențe” ( 51 ). Suntem întru totul de acord și reamintim că RGPD urmărește în mod specific garantarea că operatorii și persoanele împuternicite de operatori sunt conștienți de normele privind protecția datelor, ceea ce face și mai dificil, în opinia noastră, să se considere că ar putea avea loc o încălcare fără nicio formă de vinovăție (nici măcar neglijență) ( 52 ).

83.

În al doilea rând, acest rezultat pare perfect coerent cu obiectivul principal al RGPD, care este acela de a garanta un nivel coerent și ridicat de protecție a persoanelor fizice în cadrul Uniunii Europene ( 53 ). Într‑adevăr, amenzile au un efect disuasiv ( 54 ). Datorită stimulentului pe care îl creează pentru operatori și pentru persoanele împuternicite de operatori să se conformeze RGPD, acestea contribuie în general la consolidarea protecției persoanelor vizate și, în consecință, reprezintă un element‑cheie în asigurarea respectării drepturilor acestora ( 55 ). În opinia noastră, rezultă că, deși nu se poate renunța la „vinovăție”, gradul de vinovăție, impus de articolul 83 din acest regulament, care trebuie să existe este suficient de scăzut, astfel încât să se asigure un nivel adecvat de protecție a persoanelor vizate.

84.

În plus, dorim să subliniem că această abordare pe care o propunem Curții spre adoptare ar confirma de asemenea alinierea sistemului de amenzi instituit prin această dispoziție cu cel prevăzut la articolul 23 alineatul (1) din Regulamentul (CE) nr. 1/2003 ( 56 ), pentru încălcările dreptului concurenței, care este de asemenea aplicabil numai dacă se stabilește intenția sau neglijența. Faptul că acest alt sistem de amenzi a inspirat formularea articolului 83 din RGPD este susținut de considerentul (150) al acestuia, care prevede că, „[î]n cazul în care amenzile administrative sunt impuse unei întreprinderi, o întreprindere ar trebui înțeleasă ca fiind o întreprindere în conformitate cu articolele 101 și 102 TFUE în aceste scopuri”, precum și de alte similitudini între aceste două sisteme de amenzi, cum este faptul că în ambele sisteme valoarea amenzilor se poate baza, în cazul întreprinderilor, pe cifra de afaceri a acestora. Remarcăm totodată că mai mulți factori dintre cei enumerați la articolul 83 alineatul (2) din RGPD reflectă factorii care sunt relevanți la stabilirea cuantumului unei amenzi pentru încălcări ale dreptului concurenței ( 57 ).

85.

Odată ce am subliniat motivele pentru care considerăm că trebuie să se stabilească vinovăția înainte de a se putea impune o amendă unui operator sau unei persoane împuternicite de operator în temeiul articolului 83 alineatul (2) din RGPD, ne rămâne să spunem câteva cuvinte despre raționamentul prezentat de Consiliu și de guvernul lituanian. Potrivit acestor părți, este de competența statelor membre să decidă dacă este necesară sau nu stabilirea vinovăției înainte de a se putea impune o amendă administrativă.

86.

În ceea ce ne privește, pur și simplu nu suntem de acord cu această sugestie.

87.

Este clar, în opinia noastră, că unul dintre obiectivele de bază ale RGPD și în special ale articolului 83 din acesta este acela de a atinge un nivel mai mare de armonizare în întreaga Uniune Europeană în ceea ce privește îndeosebi impunerea de amenzi ( 58 ). Ca atare, considerăm, contrar celor susținute de Consiliu și de guvernul lituanian, că legiuitorul Uniunii nu a urmărit ca statele membre să dispună de o marjă de apreciere cu privire la necesitatea existenței sau inexistenței vinovăției.

88.

Este adevărat că în legislația națională pot fi prevăzute cerințe suplimentare privind procedura care trebuie respectată de autoritățile de supraveghere la impunerea unei amenzi (în ceea ce privește aspecte precum notificarea amenzii și termenele pentru depunerea observațiilor, pentru formularea căii de atac, pentru punerea în aplicare și pentru a efectua plata) ( 59 ). Acest lucru reiese clar din articolul 83 alineatul (8) din RGPD, care prevede că exercitarea de către autoritățile de supraveghere a competențelor lor de a aplica amenzi are loc „cu condiția existenței unor garanții procedurale adecvate”, care trebuie prevăzute în dreptul intern, dar cu garantarea respectării dreptului Uniunii (și în special a dreptului la o cale de atac judiciară eficientă și la un proces echitabil).

89.

Această putere de apreciere nu se poate extinde însă la cerințele de fond care se aplică pentru impunerea unei amenzi, cum ar fi gradul de vinovăție. În opinia noastră, această concluzie izvorăște în mod direct din mai multe considerente ale acestui regulament ( 60 ), care prevăd că sistemul de amenzi administrative instituit prin articolul 83 din RGPD a fost conceput de legiuitorul Uniunii pentru a produce rezultate coerente pe întreg teritoriul Uniunii Europene.

90.

Din motive de exhaustivitate, adăugăm că, având în vedere că amenzile au un impact puternic asupra concurenței între întreprinderi și au repercusiuni semnificative pe piață, este esențial, în opinia noastră, ca articolul 83 din RGPD să fie aplicat în mod coerent, în caz contrar putând contribui de fapt la introducerea unor denaturări ale concurenței între întreprinderi ( 61 ).

91.

Prin intermediul celei de a doua părți a celei de a șasea întrebări, instanța de trimitere solicită să se stabilească în esență dacă un operator poate fi sancționat în conformitate cu articolul 83 din RGPD într‑un context în care prelucrarea ilicită a datelor cu caracter personal nu a fost efectuată de operatorul însuși, ci de o persoană împuternicită de operator (in casu, de ITSS).

92.

În opinia noastră, răspunsul la această întrebare trebuie să fie unul afirmativ.

93.

În această privință, reamintim că, astfel cum am arătat la punctul 27 de mai sus, un operator nu trebuie să prelucreze el însuși vreuna din datele cu caracter personal, atât timp cât stabilește „de ce și cum” se efectuează operațiunile de prelucrare relevante. Remarcăm de asemenea că articolul 4 punctul 8 din RGPD definește „persoana împuternicită de operator” ca fiind „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului” ( 62 ).

94.

Aceste definiții confirmă, în opinia noastră, faptul că, în contextul aplicării RGPD, un operator poate fi tras la răspundere și, în consecință, poate fi amendat în temeiul articolului 83 din acest regulament într‑o situație în care datele cu caracter personal sunt prelucrate în mod ilegal, iar această prelucrare ilegală nu a fost efectuată de operatorul însuși, ci de o persoană împuternicită de operator. Această posibilitate rămâne în vigoare atât timp cât o astfel de persoană împuternicită de operator prelucrează date cu caracter personal în numele operatorului.

95.

Acest lucru este valabil atât timp cât persoana împuternicită de operator acționează în limitele mandatului încredințat de operator și prelucrează datele în conformitate cu instrucțiunile legale primite de la operator ( 63 ). Cu toate acestea, în cazul în care persoana împuternicită de operator depășește întinderea acestui mandat și utilizează datele primite în calitate de persoană împuternicită de operator în scopuri proprii și este clar că părțile nu sunt „operatori asociați” în sensul articolului 4 punctul 7 și al articolului 21 alineatul (6) din RGPD, atunci operatorul nu poate, după părerea noastră, să fie amendat în temeiul articolului 83 din acest regulament, în legătură cu prelucrarea ilegală care a avut loc ( 64 ).

96.

Rezultă că, într‑un caz precum cel din litigiul principal, NVSC poate fi amendat în temeiul articolului 83 din RGPD, chiar dacă datele cu caracter personal au fost prelucrate în mod ilegal numai de ITSS, iar NVSC nu a participat la prelucrare. Există această posibilitate atât timp cât se poate considera că respectiva societate a prelucrat date cu caracter personal în numele NVSC, ceea ce nu va fi cazul dacă ITSS a acționat în afara sau contrar instrucțiunilor legale date de NVSC și a utilizat datele cu caracter personal în scopuri proprii și este clar că NVSC și ITSS nu au acționat în calitate de operatori asociați.

97.

Având în vedere cele menționate anterior, propunem Curții să răspundă la întrebările preliminare adresate de Vilniaus apygardos administracinis teismas (Tribunalul Administrativ Regional din Vilnius, Lituania) după cum urmează: