1.

Cererea de decizie preliminară de față, adresată în temeiul articolului 267 TFUE de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania), are ca obiect interpretarea articolului 6 alineatul (1) și a articolului 22 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ( 2 ) (denumit în continuare „RGPD”).

2.

Această cerere se înscrie în cadrul unui litigiu între reclamantă, OQ, persoană fizică, și Land Hessen (landul Hessen, Germania), reprezentat de Hessischer Beauftragte für Datenschutz und Informationsfreiheit (responsabilul landului Hessa cu protecția datelor și libertatea informației, denumit în continuare „HBDI”), cu privire la protecția datelor cu caracter personal. SCHUFA Holding AG (denumită în continuare „SCHUFA”), un birou de drept privat, are calitatea de intervenientă în susținerea HBDI. În cadrul activității sale economice care constă în furnizarea către clienții săi de informații cu privire la bonitatea unor terțe persoane, SCHUFA a furnizat unei instituții de credit o valoare a bonității referitoare la reclamantă, care a constituit justificarea pentru refuzul creditului solicitat de aceasta din urmă. Reclamanta a solicitat SCHUFA să șteargă înregistrarea referitoare la valoarea bonității și să îi permită accesul la datele corespunzătoare, însă SCHUFA i‑a comunicat numai valoarea relevantă a bonității și, la modul general, principiile care stau la baza metodei de calcul al valorii bonității, fără a o informa cu privire la datele specifice luate în considerare la calculul respectiv și cu privire la relevanța care le este atribuită în acest context, susținând că metoda de calcul ține de secretul profesional.

3.

Întrucât reclamanta susține că refuzul SCHUFA de a da curs cererii sale este contrar regimului privind protecția datelor, Curtea va trebui să se pronunțe asupra restricțiilor pe care RGPD le impune în cazul activității economice a birourilor de informații din sectorul financiar, în special în ceea ce privește gestionarea datelor, dar și asupra incidenței pe care o are secretul profesional. În mod similar, Curtea va trebui să clarifice întinderea competențelor de reglementare pe care anumite dispoziții din RGPD le conferă legiuitorului național prin derogare de la obiectivul general de armonizare urmărit prin acest act juridic.

4.

Articolul 4 punctul 4 din RGPD prevede:

„În sensul prezentului regulament:

[…]

5.

Articolul 6 din RGPD, intitulat „Legalitatea prelucrării”, prevede:

„(1)   Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

Litera (f) din primul paragraf nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.

(2)   Statele membre pot menține sau introduce dispoziții mai specifice de adaptare a aplicării normelor prezentului regulament în ceea ce privește prelucrarea în vederea respectării alineatului (1) literele (c) și (e) prin definirea unor cerințe specifice mai precise cu privire la prelucrare și a altor măsuri de asigurare a unei prelucrări legale și echitabile, inclusiv pentru alte situații concrete de prelucrare, astfel cum este prevăzut în capitolul IX.

(3)   Temeiul pentru prelucrarea menționată la alineatul (1) literele (c) și (e) trebuie să fie prevăzut în:

Scopul prelucrării este stabilit pe baza respectivului temei juridic sau, în ceea ce privește prelucrarea menționată la alineatul (1) litera (e), este necesar pentru îndeplinirea unei sarcini efectuate în interes public sau în cadrul exercitării unei funcții publice atribuite operatorului. Respectivul temei juridic poate conține dispoziții specifice privind adaptarea aplicării normelor prezentului regulament, printre altele: condițiile generale care reglementează legalitatea prelucrării de către operator; tipurile de date care fac obiectul prelucrării; persoanele vizate; entitățile cărora le pot fi divulgate datele și scopul pentru care respectivele date cu caracter personal pot fi divulgate; limitările legate de scop; perioadele de stocare și operațiunile și procedurile de prelucrare, inclusiv măsurile de asigurare a unei prelucrări legale și echitabile cum sunt cele pentru alte situații concrete de prelucrare astfel cum sunt prevăzute în capitolul IX. Dreptul Uniunii sau dreptul intern urmărește un obiectiv de interes public și este proporțional cu obiectivul legitim urmărit.

(4)   În cazul în care prelucrarea în alt scop decât cel pentru care datele cu caracter personal au fost colectate nu se bazează pe consimțământul persoanei vizate sau pe dreptul Uniunii sau dreptul intern, care constituie o măsură necesară și proporțională într‑o societate democratică pentru a proteja obiectivele menționate la articolul 23 alineatul (1), operatorul, pentru a stabili dacă prelucrarea în alt scop este compatibilă cu scopul pentru care datele cu caracter personal au fost colectate inițial, ia în considerare, printre altele:

6.

Articolul 15 din RGPD, intitulat „Dreptul de acces al persoanei vizate”, dispune:

„(1)   Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:

[…]

[…]”

7.

Articolul 21 din RGPD, intitulat „Dreptul la opoziție”, prevede:

„(1)   În orice moment, persoana vizată are dreptul să se opună, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f), a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.

[…]”

8.

Potrivit articolului 22 din RGPD, intitulat „Procesul decizional individual automatizat, inclusiv crearea de profiluri”:

„(1)   Persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă.

(2)   Alineatul (1) nu se aplică în cazul în care decizia:

(3)   În cazurile menționate la alineatul (2) literele (a) și (c), operatorul de date pune în aplicare măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate, cel puțin dreptul acesteia de a obține intervenție umană din partea operatorului, de a‑și exprima punctul de vedere și de a contesta decizia.

(4)   Deciziile menționate la alineatul (2) nu au la bază categoriile speciale de date cu caracter personal menționate la articolul 9 alineatul (1), cu excepția cazului în care se aplică articolul 9 alineatul (2) litera (a) sau (g) și în care au fost instituite măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate.”

9.

Articolul 31 din Bundesdatenschutzgesetz (Legea privind protecția datelor) din 30 iunie 2017 ( 3 ), astfel cum a fost modificată prin Legea din 20 noiembrie 2019 ( 4 ) (denumită în continuare „BDSG”), intitulat „Protecția tranzacțiilor economice în cazul evaluării bonității și al furnizării informațiilor privind bonitatea”, prevede:

„(1)   Utilizarea unei valori de probabilitate privind un anumit comportament viitor al unei persoane fizice în vederea luării unei decizii privind justificarea, executarea sau încetarea unui raport contractual cu această persoană (evaluarea bonității) este permisă numai dacă

(2)   Utilizarea unei valori de probabilitate stabilite de societățile care furnizează informații economice cu privire la solvabilitatea și la disponibilitatea de plată a unei persoane fizice nu este permisă în cazul includerii informațiilor privind creanțele decât în măsura în care condițiile menționate la alineatul (1) sunt îndeplinite și sunt luate în considerare numai creanțele referitoare la o prestație datorată care nu a fost furnizată în pofida scadenței

Admisibilitatea prelucrării, inclusiv stabilirea valorilor de probabilitate, a altor date relevante privind bonitatea din perspectiva dreptului comun în materia protecției datelor nu este afectată.”

10.

Rezultă din decizia de trimitere că reclamanta din acțiunea principală nu a obținut un credit ca urmare a unei evaluări a bonității efectuate de SCHUFA. Aceasta este o societate de drept privat care gestionează un serviciu de informații în materie de creditare ce furnizează clienților săi informații privind bonitatea consumatorilor. În acest scop, SCHUFA realizează evaluări ale bonității, în cadrul cărora previzionează, pornind de la anumite caracteristici ale unei persoane, pe baza unei metode statistice matematice, probabilitatea unui comportament viitor, cum ar fi rambursarea unui împrumut.

11.

Reclamanta a solicitat societății SCHUFA să șteargă datele inexacte care o privesc și să îi permită accesul la datele înregistrate care o privesc. SCHUFA i‑a comunicat reclamantei în special valoarea bonității calculată în ceea ce o privește, precum și modul în care se calculează de principiu valoarea bonității, dar nu i‑a comunicat importanța diferitelor informații la efectuarea calculului. SCHUFA consideră că nu este obligată să divulge metodele sale de calcul, întrucât acestea intră sub incidența secretului profesional și comercial. În plus, consideră că furnizează informații numai clienților săi care adoptă deciziile propriu‑zise cu privire la contractele de credit.

12.

Reclamanta a sesizat pârâtul, o autoritate pentru protecția datelor, cu o plângere cu privire la raportul SCHUFA, prin care i‑a solicitat pârâtului să oblige societatea să furnizeze și să șteargă informații în conformitate cu cererea ei. În decizia pronunțată asupra plângerii, HBDI a considerat că nu era necesar să dea dispoziții societății, întrucât aceasta respectă cerințele specificate în Legea federală germană privind protecția datelor.

13.

Instanța de trimitere este sesizată cu o acțiune formulată de reclamantă împotriva deciziei pârâtului. Aceasta consideră că, pentru a se pronunța în cauza principală, este esențial să se stabilească dacă activitatea prestatorilor de servicii de informare în materie de credit, prin care aceștia stabilesc valori ale bonității cu privire la persoane fizice și le transmit terților, fără alte recomandări sau comentarii, intră în domeniul de aplicare al articolului 22 alineatul (1) din RGPD.

14.

Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

15.

Decizia de trimitere din data de 1 octombrie 2021 a fost primită la grefa Curții la 15 octombrie 2021.

16.

Părțile din acțiunea principală, SCHUFA, guvernele danez, portughez și finlandez, precum și Comisia Europeană au prezentat observații scrise în termenul prevăzut la articolul 23 din Statutul Curții de Justiție a Uniunii Europene.

17.

În ședința din 26 ianuarie 2023, reprezentanții ad litem ai părților din litigiul principal, ai SCHUFA, precum și agenții guvernelor german și finlandez și ai Comisiei au prezentat observații orale.

18.

Întrucât încrederea reciprocă reprezintă baza oricărui angajament contractual într‑o economie de piață, este în principiu de înțeles dintr‑un punct de vedere antreprenorial că furnizorii de servicii și bunuri doresc să își cunoască clienții, precum și riscurile inerente unui astfel de angajament contractual. Societățile de informații economice pot contribui la consolidarea acestei încrederi reciproce prin metode statistice care permit întreprinderilor să stabilească dacă sunt îndeplinite în speță anumite criterii relevante, inclusiv bonitatea clienților lor. Procedând astfel, acestea ajută întreprinderile să se conformeze diferitelor dispoziții de drept al Uniunii care le impun în mod specific o astfel de obligație pentru anumite categorii de contracte, în special pentru contractele de credit ( 5 ). Unele dintre metodele utilizate se pot baza pe datele cu caracter personal ale clienților, colectate și prelucrate în mod automat prin intermediul tehnologiei informatice. La polul opus acestui interes se află interesul persoanelor vizate de a cunoaște modul în care sunt gestionate și înregistrate aceste date și metodele utilizate de întreprinderi pentru a lua decizii cu privire la clienții lor.

19.

RGPD, aplicabil începând de la data de 25 mai 2018, a creat un cadru juridic care urmărește să se țină seama în întreaga Uniune de interesele menționate mai sus, în special prin impunerea anumitor restricții privind prelucrarea datelor cu caracter personal. Astfel, restricții specifice sunt aplicabile în cazul prelucrării automate susceptibile să producă efecte juridice care privesc o persoană fizică sau o afectează în mod semnificativ. Aceste restricții sunt justificate în contextul creării de profiluri, și anume al unei evaluări a aspectelor personale care urmărește să analizeze sau să prezică situația economică, fiabilitatea sau comportamentul unei persoane fizice. În acest context, vom menționa restricțiile prevăzute la articolul 22 din RGPD, relevante în prezenta cauză, care au ca scop protejarea demnității umane, nepermițând ca persoana vizată să facă obiectul unei decizii luate exclusiv pe baza unei prelucrări automate, fără nicio intervenție umană care să poată verifica, dacă este necesar, faptul că această decizie a fost luată într‑un mod corect, echitabil și nediscriminatoriu ( 6 ). Intervenția umană care trebuie prevăzută în contextul acestui tip de prelucrare automată a datelor este garanția că persoana vizată va avea posibilitatea să își exprime punctul de vedere, să obțină o explicație cu privire la decizia luată în urma acestui tip de evaluare și să o conteste în caz de dezacord cu această decizie. Întinderea restricțiilor menționate la articolul 22 din RGPD face chiar obiectul primei întrebări preliminare.

20.

Deși RGPD a creat un cadru de reglementare global pentru protecția datelor cu caracter personal care este în principiu complet, trebuie remarcat însă că anumite dispoziții dau statelor membre posibilitatea să prevadă norme naționale suplimentare mai stricte sau derogatorii, care lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare aceste dispoziții („clauze de deschidere”), cu condiția ca aceste norme să nu aducă atingere conținutului și obiectivelor RGPD ( 7 ). Domeniul de aplicare al acestei competențe de reglementare reziduale a statelor membre se află în centrul celei de a doua întrebări preliminare care urmează să fie examinată în cadrul prezentelor concluzii.

21.

HBDI și SCHUFA contestă admisibilitatea cererii de decizie preliminară. Cu privire la acest aspect, SCHUFA susține că trimiterea nu este nici necesară pentru soluționarea litigiului, nici suficient motivată. Aceasta ar deschide o a doua cale de atac și ar fi în contradicție cu celelalte cereri de decizie preliminară adresate și ulterior retrase de aceeași instanță de trimitere.

22.

Trebuie amintit de la bun început că, potrivit unei jurisprudențe constante a Curții, în cadrul cooperării dintre aceasta din urmă și instanțele naționale, instituită prin articolul 267 TFUE, numai instanța națională care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate au ca obiect interpretarea sau validitatea unei norme de drept al Uniunii, Curtea este în principiu obligată să se pronunțe. Rezultă că întrebările privind dreptul Uniunii beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională numai dacă este evident că interpretarea sau aprecierea validității unei norme a Uniunii solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate ( 8 ).

23.

Aceste condiții nu sunt îndeplinite în speță, întrucât rezultă în mod clar din cuprinsul punctului 40 din decizia de trimitere că soluționarea litigiului depinde de prima întrebare preliminară. Instanța de trimitere explică faptul că, în cazul în care articolul 22 alineatul (1) din GDPR ar trebui interpretat în sensul că evaluarea bonității de către o societate ce furnizează informații economice constituie o decizie autonomă în sensul articolului 22 alineatul (1) din acest regulament, această societate, mai exact activitatea sa relevantă, ar fi supusă interdicției privind procesul decizional individual automatizat. În consecință, ar fi necesar un temei juridic la nivelul statului membru în sensul articolului 22 alineatul (2) litera (b) din RGPD, pentru care intră în discuție numai articolul 31 din BDSG. Or, instanța de trimitere exprimă îndoieli serioase cu privire la compatibilitatea acestei dispoziții naționale cu articolul 22 alineatul (1) din RGPD. Potrivit instanței de trimitere, nu doar că SCHUFA ar acționa fără a avea un temei juridic, dar ar încălca și interdicția prevăzută în această din urmă dispoziție. În consecință, reclamanta ar avea dreptul ca HBDI să continue să se ocupe de cazul său în calitate de autoritate de supraveghere. Prin urmare, este evident că un răspuns la întrebările adresate de instanța de trimitere se dovedește a fi determinant pentru soluționarea litigiului.

24.

SCHUFA susține de asemenea că cererea de decizie preliminară este inadmisibilă pentru motivul că reclamanta a fost deja informată cu privire la logica valorii bonității. Cu toate acestea, din decizia de trimitere rezultă că reclamanta dorea să fie informată cât mai detaliat cu putință cu privire la toate datele colectate și la metoda utilizată pentru stabilirea valorii bonității. În măsura în care SCHUFA i‑a comunicat reclamantei în linii mari modul în care se calculează de principiu valoarea bonității, însă nu i‑a comunicat diversele informații incluse în calcul și nici importanța lor, este clar că SCHUFA nu a dat curs acestei cereri de informații. În consecință, reclamanta are un interes legitim de a se stabili, prin intermediul unei decizii preliminare, drepturile persoanei vizate în raport cu o societate de informații economice precum SCHUFA.

25.

În ceea ce privește pretinsul risc de a deschide o a doua cale de atac pentru persoana vizată, trebuie observat că, contrar celor susținute de SCHUFA în observațiile sale, faptul că reclamanta a sesizat mai întâi instanțele de drept comun și apoi instanța administrativă de trimitere nu constituie un impediment în calea admisibilității cererii de decizie preliminară. Prin cele două acțiuni, reclamanta a exercitat căile de atac prevăzute la articolele 78 și 79 din RGPD, dispoziții care garantează dreptul la o cale de atac jurisdicțională efectivă împotriva autorității de supraveghere și, respectiv, împotriva operatorului de date. În măsura în care aceste căi de atac coexistă în mod autonom, fără ca una să fie subsidiară în raport cu cealaltă, ele pot fi exercitate în paralel ( 9 ). Prin urmare, reclamantei nu i se poate reproșa nicio neregulă în modul de apărare a drepturilor sale protejate de RGPD.

26.

În plus, trebuie reamintit că, potrivit unei jurisprudențe constante a Curții, în lipsa unei reglementări a Uniunii în materie, revine ordinii juridice interne a fiecărui stat membru să desemneze instanțele judecătorești competente și să stabilească modalitățile procedurale de exercitare a acțiunilor în justiție menite să asigure protecția drepturilor pe care particularii le au în temeiul dreptului Uniunii ( 10 ). În consecință, nu există niciun motiv obiectiv pentru a pune la îndoială sistemul căilor de atac dintr‑un stat membru, cu excepția cazurilor în care eficacitatea dreptului Uniunii ar fi amenințată, de exemplu dacă instanțele naționale ar fi private de posibilitatea sau dispensate de obligația, prevăzută la articolul 267 TFUE, de a sesiza Curtea de Justiție cu întrebări privind interpretarea sau validitatea dreptului Uniunii.

27.

În prezenta cauză, nu există niciun indiciu că existența a două căi de atac care permit acționarea în justiție efectivă împotriva autorității de supraveghere și, respectiv, împotriva operatorului de date amenință eficacitatea dreptului Uniunii sau privează instanțele naționale de posibilitatea de a recurge la procedura prevăzută la articolul 267 TFUE. Dimpotrivă, după cum am explicat deja, în lumina articolelor 78 și 79 din RGPD, este clar că RGPD nu se opune instituirii unui astfel de sistem de căi de atac, lăsând mai curând statului membru responsabilitatea de a desemna instanțele competente și de a defini modalitățile procedurale de exercitare a acțiunilor în justiție, în deplină conformitate cu principiul autonomiei procedurale. Curtea a recunoscut acest lucru în jurisprudența sa recentă ( 11 ).

28.

În sfârșit, trebuie remarcat că SCHUFA se limitează să critice căile de atac existente în temeiul dreptului german, fără a explica însă în mod concret de ce o hotărâre a Curții pronunțată în cadrul prezentei proceduri preliminare ar fi inutilă pentru soluționarea litigiului. Or, astfel cum arată instanța de trimitere, o interpretare de către Curte a articolului 22 alineatul (1) din RGPD ar permite pârâtului să își exercite competențele de supraveghere asupra SCHUFA cu respectarea dreptului Uniunii. În consecință, considerăm că argumentația prin care SCHUFA contestă admisibilitatea cererii de decizie preliminară este nefondată.

29.

Aceste considerații sunt în principiu suficiente pentru a respinge argumentația formulată de SCHUFA. În interesul unei mai bune înțelegeri a prezentei cauze, considerăm totuși necesar să abordăm argumentul întemeiat pe o pretinsă nemotivare a cererii de decizie preliminară. Contrar celor afirmate de SCHUFA, decizia de trimitere prezintă în mod suficient de detaliat aspectele în discuție în prezenta cauză pentru a îndeplini cerințele articolului 94 litera (c) din Regulamentul de procedură al Curții. Mai exact, instanța de trimitere explică faptul că reclamanta intenționează să își exercite drepturile în raport cu SCHUFA. Potrivit instanței de trimitere, articolul 22 alineatul (1) din RGPD este în principiu susceptibil, cu excepția cazului în care este interpretat în mod restrictiv, să ofere protecție reclamantei în ceea ce privește prelucrarea automată a datelor sale cu caracter personal.

30.

Instanța de trimitere consideră că, având în vedere importanța acordată de anumite întreprinderi valorii bonității stabilite de societățile care furnizează informații economice pentru evaluarea prospectivă a performanței economice a unei persoane fizice, această valoare a bonității ar putea fi considerată o „decizie” autonomă în sensul dispoziției menționate anterior. O interpretare în acest sens ar fi necesară pentru a suplini o lacună juridică care ar rezulta din faptul că, în caz contrar, persoana vizată nu ar fi în măsură să obțină informațiile necesare în temeiul articolului 15 alineatul (1) litera (h) din RGPD. Având în vedere această motivare detaliată, considerăm că argumentația societății SCHUFA trebuie respinsă și cererea de decizie preliminară trebuie declarată admisibilă.

31.

Articolul 22 alineatul (1) din RGPD prezintă o particularitate în raport cu celelalte restricții privind prelucrarea datelor conținute în acest regulament, întrucât stabilește un „drept” al persoanei vizate de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri. În pofida terminologiei utilizate, aplicarea articolului 22 alineatul (1) din RGPD nu impune ca persoana vizată să invoce acest drept în mod activ. Într‑adevăr, o interpretare în lumina considerentului (71) al acestui regulament și care ia în considerare economia articolului 22, în special alineatul (2), care stabilește cazurile în care o astfel de prelucrare automată este autorizată în mod excepțional, conduce mai degrabă la concluzia că dispoziția menționată instituie o interdicție generală privind deciziile de tipul celui descris mai sus. Trebuie subliniat însă că această interdicție se aplică numai în împrejurări foarte specifice, și anume în mod concret deciziilor „care produc efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă”.

32.

Prin intermediul primei întrebări, instanța de trimitere solicită să se stabilească dacă calcularea unei valori a bonității de către o societate care furnizează informații în materie de creditare intră sub incidența articolului 22 alineatul (1) din RGPD atunci când valoarea bonității obținută este transmisă unei întreprinderi care o utilizează în mod determinant pentru a lua o decizie privind stabilirea, executarea sau încetarea unui raport contractual cu persoana vizată. Cu alte cuvinte, se pune problema dacă această dispoziție se aplică societăților care furnizează informații în materie de creditare care pun la dispoziția întreprinderilor financiare valori ale bonității. Examinarea acestei întrebări va impune să se stabilească dacă în prezenta cauză sunt îndeplinite condițiile prevăzute la articolul 22 alineatul (1) din RGPD.

33.

Această dispoziție impune în primul rând existența unei prelucrări automate a datelor cu caracter personal, „crearea de profiluri” fiind considerată o subcategorie, judecând după modul său de redactare ( 12 ). În această privință, trebuie remarcat că evaluarea bonității efectuată de SCHUFA se încadrează în definiția legală cuprinsă la articolul 4 punctul 4 din RGPD, având în vedere că această procedură utilizează date cu caracter personal pentru a evalua anumite aspecte referitoare la persoane fizice pentru a analiza sau a previziona elemente referitoare la situația lor economică, fiabilitatea lor și comportamentul lor probabil. Într‑adevăr, din dosarul cauzei rezultă că metoda utilizată de SCHUFA furnizează o „valoare a bonității” pe baza anumitor criterii, și anume un rezultat care permite desprinderea unor concluzii cu privire la bonitatea persoanei vizate. În sfârșit, dorim să subliniem că niciuna dintre părțile interesate nu contestă calificarea procedurii în cauză drept „creare de profiluri”, astfel încât această condiție poate fi considerată îndeplinită în prezenta cauză.

34.

Aplicarea articolului 22 alineatul (1) din RGPD impune ca decizia în cauză să producă „efecte juridice” în privința persoanei vizate sau să o „afecte[ze] în mod similar într‑o măsură semnificativă”. RGPD admite în acest fel că procesul decizional automatizat, inclusiv crearea de profiluri, poate avea consecințe grave pentru persoanele vizate. Chiar dacă RGPD nu definește sintagma „efecte juridice”, nici expresia „în mod similar într‑o măsură semnificativă”, nu este mai puțin adevărat că formularea utilizată arată în mod clar că numai efectele care au un impact grav vor fi vizate de această dispoziție. În această privință, trebuie atras atenția de la bun început asupra faptului că considerentul (71) al RGPD menționează în mod explicit „refuzul automat al unei cereri de credit online” ca exemplu tipic de decizie care afectează persoana vizată „într‑o măsură semnificativă”.

35.

Trebuie luat în continuare în considerare că, pe de o parte, în măsura în care prelucrarea unei cereri de credit constituie o etapă prealabilă încheierii unui contract de împrumut, refuzul unei astfel de cereri poate avea „efecte juridice” pentru persoana în cauză, întrucât aceasta nu mai poate beneficia de un raport contractual cu instituția financiară în cauză. Pe de altă parte, trebuie subliniat că un astfel de refuz este de asemenea susceptibil să aibă un impact asupra situației financiare a persoanei în cauză. În consecință, este logic să se concluzioneze că această persoană va fi, în orice caz, afectată „în mod similar” în sensul acestei dispoziții. Legiuitorul Uniunii pare să fi fost conștient de acest lucru cu ocazia redactării considerentului (71) al RGPD, în lumina căruia trebuie interpretat articolul 22 alineatul (1) din acest regulament. În consecință, considerăm că, având în vedere situația în care se află reclamanta, condițiile acestei dispoziții sunt îndeplinite în speță, indiferent dacă accentul este pus pe consecințele juridice sau economice ale refuzului de acordare a unui credit.

36.

Două condiții suplimentare trebuie să fie îndeplinite. În primul rând, este necesar ca un act, care are natura unei „decizii”, să fie efectuat în privința persoanei vizate. În al doilea rând, decizia în cauză trebuie să fie „bazată exclusiv pe prelucrarea automată”. În ceea ce privește această ultimă condiție, nu există niciun indiciu în expunerea situației de fapt din decizia de trimitere că, pe lângă metoda matematică și statistică aplicată de SCHUFA, valorile bonității sunt stabilite în vreun mod determinant prin intermediul unei evaluări și al unei aprecieri individuale de către o ființă umană. În consecință, stabilirea valorii bonității, ca act efectuat de SCHUFA, trebuie considerată ca fiind „bazată exclusiv pe prelucrarea automată”. Cu toate acestea, nu trebuie pierdut din vedere că instituția financiară căreia SCHUFA îi comunică valoarea bonității este solicitată să adopte un act care se presupune a fi autonom în raport cu persoana vizată, și anume acordarea sau refuzul unui credit. Astfel, se pune problema care dintre aceste două acte poate fi calificat drept „decizie” în sensul articolului 22 alineatul (1) din RGPD, problemă care va fi examinată în continuare.

37.

În ceea ce privește prima condiție, este necesar mai întâi să se stabilească care este natura juridică a unei „decizii” și ce formă trebuie să ia aceasta. Din punct de vedere etimologic, această noțiune implică o „opinie” sau o „luare de poziție” cu privire la o situație determinată. De asemenea, acesteia trebuie să i se confere „caracter obligatoriu” pentru a o deosebi de simplele „recomandări” care, în principiu, nu au nicio consecință juridică sau faptică ( 13 ). Însă, contrar celor susținute de HBDI, considerăm că o analogie cu articolul 288 al patrulea paragraf TFUE nu este relevantă în context, cu atât mai mult cu cât aceasta nu are niciun fundament în dispozițiile RGPD.

38.

Inexistența unei definiții legale permite să se deducă faptul că legiuitorul Uniunii a optat pentru un concept larg, susceptibil să includă mai multe acte care pot afecta persoana vizată în multiple moduri. Într‑adevăr, după cum am arătat deja, o „decizie” în sensul articolului 22 alineatul (1) din RGPD poate fie să aibă „efecte juridice”, fie să afecteze persoana vizată „în mod similar”, ceea ce înseamnă că „decizia” în cauză poate avea un impact care nu este neapărat juridic, ci mai degrabă economic și social. Având în vedere că articolul 22 alineatul (1) din RGPD urmărește să protejeze persoanele fizice împotriva efectelor potențial discriminatorii și nedrepte ale prelucrării automate a datelor, considerăm că o vigilență deosebită se impune și trebuie să se reflecte de asemenea în interpretarea acestei norme.

39.

În sfârșit, trebuie subliniat că, în măsura în care actele atribuibile unei instituții financiare private pot avea și consecințe grave pentru independența și libertatea de acțiune a persoanei în cauză într‑o economie de piață, în special atunci când se pune problema certificării bonității solicitantului unui credit ( 14 ), nu vedem niciun motiv obiectiv pentru a limita conceptul de „decizie” la domeniul strict public, și anume la relația dintre stat și cetățean, astfel cum sugerează în mod implicit analogia propusă de HBDI. Calificarea drept „decizie” a unei luări de poziție în privința persoanei vizate considerăm că necesită o examinare de la caz la caz, luând în considerare circumstanțele specifice, precum și gravitatea efectelor asupra statutului juridic, economic și social al persoanei menționate ( 15 ).

40.

Pe baza criteriilor prevăzute la punctele anterioare, este necesar să se stabilească apoi care este „decizia” relevantă în speță. După cum s‑a menționat mai sus, există, pe de o parte, actul prin care o bancă acceptă sau refuză să acorde un credit solicitantului și, pe de altă parte, valoarea bonității care rezultă dintr‑o procedură de creare de profiluri efectuată de SCHUFA. În opinia noastră, este imposibil să se dea un răspuns categoric la această întrebare, întrucât calificarea depinde de circumstanțele fiecărui caz în parte. Mai exact, modul în care este structurată procedura de luare a deciziilor are o importanță crucială. Această procedură constă, de obicei, în mai multe etape precum crearea de profiluri, stabilirea valorii bonității și decizia propriu‑zisă de acordare a creditului.

41.

În opinia noastră, este clar că, în cazul în care o instituție financiară își poate asuma această procedură, nimic nu o împiedică să delege anumite sarcini pe cale contractuală unei societăți de informații economice, spre exemplu crearea de profiluri și stabilirea valorii bonității. Într‑adevăr, articolul 22 alineatul (1) din RGPD nu impune în niciun caz ca aceste sarcini să fie îndeplinite de unul sau mai multe organisme. Considerăm însă că eventuala delegare a anumitor competențe către un furnizor de servicii extern nu joacă un rol esențial în cadrul analizei, întrucât o astfel de delegare depinde în general de considerente economice și organizatorice care pot varia de la caz la caz.

42.

Aspectul care credem, în schimb, că joacă un rol crucial este cel legat de întrebarea dacă procedura de luare a deciziilor este concepută în așa fel încât evaluarea bonității efectuată de societatea de informații economice predetermină decizia instituției financiare de a acorda sau de a refuza creditul. În cazul în care evaluarea bonității ar trebui efectuată fără nicio intervenție umană care să poată verifica, dacă este necesar, rezultatul său și corectitudinea deciziei care urmează să fie luată în privința solicitantului de credit, pare logic să se considere că aceasta constituie ea însăși „decizia” menționată la articolul 22 alineatul (1) din RGPD.

43.

A presupune contrariul, întrucât decizia de a acorda sau de a refuza creditul revine în mod formal instituției financiare, ar fi nu numai un formalism excesiv, dar nu ar ține seama deloc de împrejurările specifice ale unui astfel de caz. Acest lucru pare a fi cu atât mai adevărat cu cât articolul 22 alineatul (1) din RGPD nu impune nicidecum ca „decizia” să aibă o formă anume. Factorul decisiv este efectul pe care „decizia” îl are asupra persoanei vizate. Întrucât o valoare negativă a bonității poate avea, prin ea însăși, efecte defavorabile pentru persoana vizată, și anume să limiteze în mod semnificativ exercitarea libertăților sale sau chiar să o stigmatizeze în societate, pare justificat ca aceasta să fie calificată drept „decizie” în sensul dispoziției sus‑menționate atunci când o instituție financiară îi acordă o importanță primordială în procesul decizional ( 16 ). Într‑adevăr, în astfel de împrejurări, solicitantul unui credit este afectat încă din etapa de evaluare a bonității sale de către societatea de informații economice, iar nu doar în etapa finală de refuz al creditului, când instituția financiară nu face decât să aplice rezultatul acestei evaluări în cazul concret ( 17 ).

44.

Având în vedere că, în primul rând, articolul 22 alineatul (1) din RGPD impune ca decizia în cauză să se bazeze „exclusiv” pe prelucrarea automată ( 18 ) și că, în al doilea rând, modul de redactare a unei dispoziții constituie, în general, limita oricărei interpretări, este necesar ca prelucrarea automată să rămână singurul element care să justifice abordarea instituției financiare față de solicitantul unui credit. Acesta ar fi cazul dacă ar exista o implicare umană în cadrul procesului decizional, fără a putea influența însă legătura de cauzalitate dintre prelucrarea automată și decizia finală. Societatea de informații economice ar trebui să ia de facto decizia finală pentru instituția financiară. Acest lucru depinde de normele și practicile interne ale instituției financiare în cauză, care, în general, nu trebuie să îi lase nicio marjă de manevră în ceea ce privește aplicarea valorii bonității în cazul unei cereri de credit.

45.

Aceasta este în esență o chestiune de fapt care, în opinia noastră, poate fi cel mai bine evaluată de instanțele naționale. În consecință, propunem să se lase instanței de trimitere sarcina de a stabili ea însăși în ce măsură instituția financiară este, în general, obligată să respecte evaluarea bonității realizată de o societate de informații economice precum SCHUFA, luând în considerare criteriile menționate mai sus ( 19 ). Ne vom baza pe informațiile conținute în decizia de trimitere pentru a oferi un răspuns util instanței naționale în prezenta cauză.

46.

În această privință, dorim mai întâi să subliniem că, potrivit instanței de trimitere, chiar dacă o intervenție umană este încă posibilă în principiu în această etapă a procesului decizional, decizia de a intra într‑o relație contractuală cu persoana vizată „este determinată în practică într‑un mod atât de semnificativ de valoarea bonității comunicată de [societățile] de informații economice, încât aceasta din urmă influențează decizia operatorului terț”. Potrivit instanței de trimitere, „în realitate, în ceea ce privește oportunitatea și modalitatea de intrare într‑o relație contractuală a operatorului terț cu persoana vizată, chiar este determinantă valoarea bonității stabilită de [societatea] de informații economice pe baza prelucrării automate”. Instanța de trimitere explică de asemenea că, în pofida faptului că decizia terțului nu trebuie să depindă numai de valoarea bonității, nu este mai puțin adevărat că, „de regulă, el face totuși acest lucru în mod determinant”. Aceasta adaugă că, „[d]eși acordarea de credite poate fi refuzată în pofida unei valori a bonității, în principiu, suficiente (pentru alte motive, cum ar fi, de exemplu, lipsa garanțiilor sau îndoieli cu privire la succesul investiției care urmează a fi finanțată), în schimb, o valoare insuficientă a bonității, în orice caz, în domeniul creditelor de consum, va conduce aproape întotdeauna la refuzul unui credit, inclusiv atunci când o investiție apare ca fiind profitabilă în rest”. În sfârșit, această instanță afirmă că „rolul determinant al valorilor bonității în acordarea de credite și în elaborarea condițiilor acestora este dovedit de experiențele dobândite în supravegherea protecției datelor de către autorități”.

47.

Considerentele prezentate mai sus par să indice, în opinia noastră, sub rezerva aprecierii situației de fapt care este în sarcina tuturor instanțelor naționale să o efectueze în fiecare caz în parte, că valoarea bonității stabilită de o societate de informații economice și comunicată unei instituții financiare tinde în general să determine anticipat decizia acesteia din urmă dacă să acorde sau nu un credit persoanei vizate, astfel încât această poziționare trebuie considerată ca având doar un caracter pur formal în cadrul procesului decizional ( 20 ). Rezultă că valoarea bonității în sine trebuie considerată ca fiind o „decizie” în sensul articolului 22 alineatul (1) din RGPD.

48.

Considerăm rezonabilă o astfel de concluzie, întrucât nicio altă interpretare nu ar răspunde obiectivului urmărit de legiuitorul Uniunii prin această dispoziție de a proteja drepturile persoanelor vizate. După cum a afirmat în mod corect instanța de trimitere, o interpretare strictă a articolului 22 alineatul (1) din RGPD ar conduce la o lacună în protecția juridică: societatea de informații economice de la care ar trebui obținute informațiile solicitate de persoana vizată nu este obligată să le dea în temeiul articolului 15 alineatul (1) litera (h) din RGPD, căci se presupune că nu ar desfășura propriul „proces decizional automatizat” în sensul dispoziției menționate, iar instituția financiară care ia decizia sa pe baza valorii bonității stabilite în mod automatizat și care este obligată să furnizeze informațiile solicitate, în conformitate cu articolul 15 alineatul (1) litera (h) din RGPD, nu le poate furniza pentru că nu dispune de aceste informații.

49.

În consecință, instituția financiară nu ar fi în măsură să controleze evaluarea bonității solicitantului unui credit în cazul contestării deciziei, cum prevede articolul 22 alineatul (3) din RGPD, sau să asigure o prelucrare echitabilă, transparentă și nediscriminatorie prin intermediul unor proceduri matematice sau statistice adecvate, precum și al unor măsuri tehnice și organizatorice adecvate, astfel cum prevede considerentul (71) a șasea teză al RGPD ( 21 ). Pentru a evita o astfel de situație, care ar fi în mod clar contrară obiectivului legislativ menționat la punctul anterior, propunem o interpretare a articolului 22 alineatul (1) din RGPD care să țină seama de impactul real al evaluării bonității asupra situației persoanei vizate.

50.

Considerăm că o astfel de abordare este una logică, deoarece societatea de informații economice ar trebui să fie, în general, singura entitate în măsură să răspundă altor solicitări ale persoanei vizate, bazate pe drepturi garantate de asemenea de RGPD, și anume dreptul la rectificare menționat la articolul 16 din RGPD, în cazul în care datele cu caracter personal utilizate pentru evaluarea bonității s‑ar dovedi inexacte, precum și dreptul la ștergerea datelor menționat la articolul 17 din RGPD, în cazul în care datele menționate ar fi fost prelucrate ilegal. Întrucât instituția financiară nu este, în general, implicată nici în colectarea acestor date, nici în crearea de profiluri în cazul în care aceste sarcini sunt delegate unui terț, este rezonabil să se excludă posibilitatea ca aceasta să fie în măsură să asigure în mod efectiv respectarea drepturilor menționate. Or, persoana vizată nu ar trebui să fie obligată să suporte consecințele defavorabile ale unei astfel de delegări de sarcini.

51.

Considerăm că angajarea răspunderii societății de informații economice ca urmare a stabilirii valorii bonității, iar nu pentru utilizarea sa ulterioară, este cea mai eficientă modalitate de a asigura protecția drepturilor fundamentale ale persoanei vizate, și anume a dreptului la protecția datelor cu caracter personal menționat la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), dar și a dreptului la respectarea vieții private menționat la articolul 7 din cartă, dat fiind că această activitate constituie în cele din urmă „sursa” oricărui eventual prejudiciu. Având în vedere riscul ca valoarea bonității stabilită de societatea de informații economice să fie utilizată de o multitudine de instituții financiare, pare rezonabil să se permită persoanei vizate să își exercite drepturile direct împotriva acesteia.

52.

Pentru motivele menționate anterior, considerăm că sunt întrunite condițiile prevăzute la articolul 22 alineatul (1) din RGPD, astfel încât această dispoziție este aplicabilă în împrejurări precum cele din cauza principală.

53.

În acest context, nu se poate sublinia îndeajuns importanța respectării depline de către operatorul de date a obligațiilor sale de informare față de persoana vizată. În conformitate cu articolul 15 alineatul (1) litera (h) din RGPD, aceasta din urmă are dreptul de a obține din partea operatorului de date nu numai confirmarea faptului că date cu caracter personal care o privesc sunt sau nu sunt prelucrate, ci și alte informații precum existența unui proces decizional automatizat, inclusiv crearea de profiluri, în sensul articolului 22 din RGPD, informații utile cu privire la logica utilizată și la importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.

54.

Întrucât SCHUFA a refuzat să îi divulge reclamantei anumite informații referitoare la metoda de calcul pe motiv că ele ar constitui secrete comerciale, este relevant să se precizeze domeniul de aplicare al dreptului la informare menționat la articolul 15 alineatul (1) litera (h) din RGPD, în special în ceea ce privește obligația de a furniza „informații pertinente privind logica utilizată”. În opinia noastră, această dispoziție trebuie interpretată în sensul că acoperă, în principiu, și metoda de calcul utilizată de o societate informații economice în scopul stabilirii unei valori a bonității, cu condiția să nu existe interese conflictuale demne de protecție. În această privință, trebuie amintit considerentul (63) al RGPD, din care rezultă printre altele că „drept[ul] de acces la datele cu caracter personal […] nu ar trebui să aducă atingere drepturilor sau libertăților altora, inclusiv secretului comercial sau proprietății intelectuale și, în special, drepturilor de autor care asigură protecția programelor software” (sublinierea noastră).

55.

Se pot desprinde o serie de concluzii dintr‑o interpretare a articolului 15 alineatul (1) litera (h) din RGPD în lumina considerentelor (58) și (63) ale acestui regulament. În primul rând, este evident că legiuitorul Uniunii a fost pe deplin conștient de conflictele care ar putea apărea între, pe de o parte, dreptul la protecția datelor cu caracter personal garantat de articolul 8 din cartă și, pe de altă parte, dreptul la protecția proprietății intelectuale vizat la articolul 17 alineatul (2) din cartă. În al doilea rând, este clar că legiuitorul Uniunii nu a intenționat să sacrifice un drept fundamental în beneficiul altuia. Dimpotrivă, o analiză mai aprofundată a dispozițiilor RGPD permite să se concluzioneze că acesta a urmărit asigurarea unui just echilibru între drepturi și responsabilități.

56.

Îndemnul legiuitorului Uniunii din considerentul (63) al RGPD potrivit căruia „considerațiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informațiile persoanei vizate” ( 22 ) înseamnă, în opinia noastră, că un minim de informații trebuie furnizate, în orice caz, pentru a nu compromite conținutul esențial al dreptului la protecția datelor cu caracter personal. Rezultă că, deși protecția secretului comercial sau a proprietății intelectuale constituie, în principiu, un motiv legitim pentru ca o societate de informații economice să refuze să dezvăluie algoritmul utilizat pentru a calcula valoarea bonității persoanei vizate, aceasta nu poate justifica în schimb niciodată un refuz absolut de informare. Acest lucru este valabil în special atunci când există mijloace de comunicare adecvate care facilitează înțelegerea, asigurând în același timp un anumit grad de confidențialitate.

57.

Considerăm că articolul 12 alineatul (1) din RGPD, în temeiul căruia „[o]peratorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații [în temeiul articolului 15] referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu” ( 23 ), este deosebit de relevant în acest context. Această dispoziție susține raționamentul prezentat mai sus, în condițiile în care rezultă din aceasta că obiectivul real al articolului 15 alineatul (1) litera (h) din RGPD este acela de a asigura ca persoana vizată să obțină informații într‑o manieră inteligibilă și accesibilă, în conformitate cu necesitățile sale. În opinia noastră, aceste cerințe exclud deja o eventuală obligație de divulgare a algoritmului având în vedere complexitatea lui. Într‑adevăr, utilitatea comunicării unei formule deosebit de complexe ar fi îndoielnică fără furnizarea explicațiilor necesare. În această privință, trebuie atrasă atenția asupra considerentului (58) al RGPD, din care rezultă că respectarea cerințelor menționate mai sus este deosebit de importantă „în situații în care […] complexit[atea], din punct de vedere tehnologic, a practicii, [face] dificil ca persoana vizată să știe și să înțeleagă dacă datele cu caracter personal care o privesc sunt colectate, de către cine și în ce scop” ( 24 ).

58.

Pentru motivele enunțate, considerăm că obligația de a furniza „informații pertinente privind logica utilizată” trebuie înțeleasă în sensul că include explicații suficient de detaliate despre metoda utilizată pentru calcularea valorii bonității și cauzele care au condus la un anumit rezultat. În general, operatorul de date ar trebui să furnizeze persoanei vizate informații globale, în special cu privire la factorii luați în considerare pentru procesul decizional și la importanța fiecăruia dintre aceștia la nivel agregat, care îi sunt de asemenea utile persoanei vizate pentru a contesta orice „decizie” în sensul articolului 22 alineatul (1) din RGPD ( 25 ).

59.

În lumina considerațiilor care precedă, considerăm că articolul 22 alineatul (1) din RGPD trebuie interpretat în sensul că stabilirea automatizată a unei valori de probabilitate în legătură cu capacitatea viitoare a unei persoane vizate de a beneficia de un credit constituie o decizie bazată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într‑o măsură semnificativă, atunci când această valoare, stabilită pe baza datelor cu caracter personal ale persoanei vizate, este transmisă de operatorul de date unui terț operator de date, iar acest terț, conform unei practici constante, utilizează în mod determinant această valoare în vederea luării unei decizii privind stabilirea, executarea sau încetarea unui raport contractual cu persoana vizată.

60.

Chiar dacă a doua întrebare a fost adresată numai pentru ipoteza în care s‑ar răspunde negativ la prima întrebare, considerăm că aceasta este relevantă și în cazul în care Curtea ar trebui să ajungă la concluzia că evaluarea bonității intră sub incidența interdicției privind procesul decizional automatizat prevăzute la articolul 22 alineatul (1) din RGPD. Într‑un astfel de caz, după cum arată în mod corect guvernul finlandez, ar fi necesar să se examineze dacă se poate face o excepție de la această interdicție în temeiul articolului 22 alineatul (2) litera (b) din RGPD. Potrivit acestei dispoziții, interdicția nu se aplică „în cazul în care decizia […] este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului”.

61.

Această dispoziție conține o marjă de manevră reglementară explicită în cazul în care crearea automată de profiluri pe care o vizează se întemeiază pe dreptul Uniunii sau pe dreptul unui stat membru. În cazul în care crearea de profiluri se întemeiază pe dreptul unui stat membru, legislația națională trebuie să prevadă garanții specifice pentru persoana vizată. Curtea ar trebui apoi să stabilească dacă o astfel de „autorizare” poate fi dedusă din însuși articolul 6 din RGPD sau dintr‑o dispoziție națională, adoptată pe baza unui temei juridic prevăzut de acesta. Considerăm că acest ultim caz necesită o analiză aprofundată, întrucât instanța de trimitere are îndoieli cu privire la conformitatea articolului 31 din BDSG cu articolele 6 și 22 din RGPD, ceea ce presupune ca articolele 6 și 22 din RGPD să poată constitui temeiuri juridice adecvate.

62.

Instanța de trimitere își exprimă îndoiala tocmai în această privință, dat fiind că, în opinia sa, niciuna dintre dispozițiile menționate la articolele 6 și 22 din RGPD nu ar putea servi drept temei juridic pentru adoptarea unei dispoziții naționale precum cea menționată la articolul 31 din BDSG, care prevede anumite norme privind evaluarea bonității. Se ridică astfel întrebarea dacă legiuitorul național a făcut o aplicare conformă a dispozițiilor RGPD, care conferă acestuia o marjă de manevră pentru a stabili norme naționale privind prelucrarea datelor cu caracter personal în temeiul RGPD sau, în anumite împrejurări, chiar pentru a deroga de la acestea. Răspunsul la această întrebare se dovedește a fi unul complex, întrucât legiuitorul german nu face referire la nicio clauză de deschidere în expunerea de motive a legii ( 26 ). Cu toate acestea, întrebarea este cu atât mai relevantă cu cât articolul 31 alineatul (1) punctul 1 din BDSG prevede în mod expres că evaluarea bonității „este permisă numai dacă au fost respectate dispozițiile legislației privind protecția datelor” (sublinierea noastră). Astfel cum vom explica în continuare, există mai multe argumente care ne conduc la un răspuns negativ la această întrebare.

63.

Trebuie menționată de la bun început dispoziția de la articolul 22 alineatul (2) litera (b) din RGPD, care conferă statelor membre competența de a autoriza o decizie bazată exclusiv pe prelucrarea automată a datelor, inclusiv crearea de profiluri, și care ar putea fi, prin urmare, invocată ca temei juridic. Cu toate acestea, trebuie remarcat că acest alineat (2) nu ar fi aplicabil în ipoteza în care Curtea ar constata că evaluarea bonității nu intră sub incidența interdicției prevăzute la alineatul (1) al acestui articol 22. Într‑adevăr, după cum reiese în mod clar din modul de redactare, precum și din economia generală a articolului 22 din RGPD, aplicarea alineatului (2) presupune că sunt îndeplinite condițiile prevăzute la alineatul (1). În consecință, este evident că o aplicare a articolului 22 alineatul (2) litera (b) din RGPD ar trebui exclusă în cazul unui răspuns negativ la prima întrebare.

64.

Din motive de exhaustivitate și având în vedere răspunsul afirmativ care îl propunem pentru prima întrebare, considerăm necesar să examinăm aplicabilitatea acestei dispoziții în cazul în care Curtea ar considera la rândul său că evaluarea bonității realizată de o societate de informații economice constituie o „decizie” în sensul alineatului (1) al acestui articol 22. Totuși, chiar și în acest caz, subzistă îndoieli că articolul 22 alineatul (2) litera (b) din regulamentul menționat ar putea servi drept temei juridic din mai multe motive.

65.

În primul rând, trebuie amintit că articolul 22 din RGPD privește numai deciziile luate „exclusiv” pe baza prelucrării automate a datelor, în timp ce, potrivit instanței de trimitere, articolul 31 din BDSG conține în mod nediferențiat norme care se aplică și deciziilor neautomate, reglementând în același timp legalitatea utilizării prelucrării datelor în scopul evaluării bonității. Cu alte cuvinte, articolul 31 din BDSG are un domeniu de aplicare ratione materiae mult mai larg decât articolul 22 din RGPD ( 27 ). În consecință, este îndoielnic faptul că articolul 22 alineatul (2) litera (b) din RGPD poate servi drept temei juridic.

66.

În al doilea rând, trebuie remarcat, după cum arată instanța de trimitere, că articolul 31 din BDSG reglementează „utilizarea” unei valori de probabilitate de către actori economici, dar nu și „stabilirea” acestei valori de către societăți de informații economice, aspect care face totuși obiectul primei întrebări preliminare. Acest lucru poate fi dedus și din declarațiile făcute de guvernul german în ședință. Astfel cum am arătat în mod detaliat în cadrul examinării acestei întrebări, articolul 22 alineatul (1) din RGPD se aplică și în etapa „stabilirii” valorii bonității, iar nu doar în etapa „utilizării” ei de o instituție financiară, sub rezerva îndeplinirii anumitor condiții ( 28 ). Cu alte cuvinte, articolul 31 din BDSG pare să vizeze reglementarea unei situații diferite de cea care intră în domeniul de aplicare ratione materiae al articolului 22 din RGPD, aspect pe care instanța de trimitere trebuie să îl confirme. În lumina considerațiilor care precedă, considerăm că articolul 22 alineatul (2) litera (b) din RGPD trebuie exclus ca temei juridic pentru adoptarea unei măsuri legislative naționale precum cea menționată la articolul 31 din BDSG.

67.

În temeiul articolului 6 alineatul (1) din RGPD, prelucrarea datelor cu caracter personal este legală numai dacă este îndeplinită condiția referitoare la unul dintre motivele pe care le enumeră. Astfel cum a statuat deja Curtea, este vorba despre o listă exhaustivă și limitativă de cazuri în care o astfel de prelucrare poate fi considerată legală ( 29 ). În consecință, pentru a putea fi considerată legală, stabilirea unei valori a bonității de către o societate de informații economice trebuie să se încadreze în unul dintre cazurile prevăzute de această dispoziție.

68.

Într‑un caz precum cel din cauza principală, articolul 6 alineatul (1) literele (b), (c) și (f) din RGPD ar putea fi în principiu aplicabile. În conformitate cu alineatul (2) al acestui articol, statele membre pot menține sau introduce dispoziții mai specifice pentru adaptarea aplicării normelor din RGPD. Or, trebuie precizat că această dispoziție se aplică numai în scopul respectării alineatului (1) literele (c) și (e). În mod similar, alineatul (3) al acestui articol 6 prevede că temeiul prelucrării trebuie să fie prevăzut în dreptul intern care se aplică operatorului de date în măsura în care prelucrarea privește cazurile menționate la alineatul (1) literele (c) și (e).

69.

Rezultă că statele membre pot adopta norme mai specifice în cazul în care prelucrarea este „necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului” sau „prelucrarea este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul”. Aceste condiții au ca efect stabilirea unui cadru strict al puterii de reglementare a statelor membre, excluzând astfel recurgerea arbitrară la clauzele de deschidere prevăzute în RGPD, care ar putea submina obiectivul de armonizare a legislației privind protecția datelor cu caracter personal.

70.

În plus, trebuie remarcat în acest context că, în măsura în care unele dintre aceste clauze utilizează o terminologie specifică RGPD, fără a prevedea nicio trimitere expresă la dreptul statelor membre, termenii utilizați trebuie să primească o interpretare autonomă și uniformă ( 30 ). În acest context, este necesar să se examineze în continuare dacă reglementarea de la articolul 31 din BDSG se încadrează în vreunul dintre motivele enumerate la articolul 6 alineatul (1) din RGPD.

71.

În ceea ce privește litera (b), rezultă din această dispoziție că prelucrarea este legală numai dacă și în măsura în care este necesară pentru „executarea unui contract la care persoana vizată este parte” sau pentru „a face demersuri la cererea persoanei vizate înainte de încheierea unui contract”. În această privință, trebuie remarcat că serviciile societăților de informații sunt utilizate numai în cazuri excepționale, în etapa de executare a unui contract. Cea mai importantă etapă este etapa precontractuală, în cursul căreia se obțin în general informații privind bonitatea. Considerăm că transmiterea unei cereri de informații către o societate de informații economice în scopul verificării bonității este permisă în temeiul acestei dispoziții ( 31 ). Cu toate acestea, trebuie precizat că această dispoziție privește numai autorizarea desfășurării unor investigații privind bonitatea de către potențiali parteneri contractuali, creditori și/sau prestatori de servicii juridice și creează astfel condițiile prealabile pentru colectarea legală a datelor de către societățile de informații economice. În schimb, considerăm că această dispoziție nu este suficientă în sine pentru a servi drept temei juridic pentru a da în general legitimitate activităților unei societăți de informații economice ( 32 ).

72.

În plus, trebuie reamintit că, deși articolul 6 alineatul (1) litera (b) din RGPD codifică un motiv de legalitate a prelucrării datelor cu caracter personal, acesta nu vizează niciunul din cazurile prevăzute la alineatele (2) și (3), potrivit cărora statele membre dispun de o competență de reglementare. Rezultă că, întrucât articolul 6 din RGPD enumeră în mod exhaustiv aceste cazuri, o dispoziție națională precum cea menționată la articolul 31 din BDSG nu poate fi adoptată numai în temeiul articolului 6 alineatul (1) litera (b) din RGPD.

73.

Motivul menționat la articolul 6 alineatul (1) litera (c) din RGPD privește prelucrarea în temeiul unei „obligații legale” care îi revine operatorului. Aceasta implică cerințe impuse chiar de stat. În schimb, această dispoziție nu include obligațiile care decurg din contracte de drept civil, de exemplu un contract între o instituție financiară și o societate de informații economice. Cu toate acestea, instituțiile financiare, care trebuie să se asigure de bonitatea clienților lor în temeiul obligațiilor care le sunt impuse de dreptul național, se pot baza pe acest temei juridic pentru formularea cererilor de informații corespunzătoare, astfel încât să se asigure că astfel de cereri sunt, din punctul de vedere al unei societăți de informații economice, pe deplin legale. În schimb, „stabilirea” unei valori a bonității de către societatea de informații economice nu poate fi considerată drept o măsură luată în îndeplinirea unei „obligații legale” impuse acesteia, dat fiind că o astfel de obligație nu pare să existe în dreptul național. În consecință, este necesar să se considere că litera (c) nu poate fi invocată în mod valabil ca temei juridic pentru a face din activitatea de evaluarea a bonității o operațiune de prelucrare legală.

74.

Se pune în continuare problema dacă articolul 6 alineatul (1) litera (e) din RGPD ar putea fi invocat ca temei juridic pentru adoptarea articolului 31 din BDSG. Acesta ar fi cazul dacă prelucrarea ar fi „necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul”. Pe de o parte, s‑ar putea susține, astfel cum reiese din obiectivul legislativ al articolului 31 BDSG, ce se reflectă în titlul acestei dispoziții naționale („Protecția tranzacțiilor economice în cazul evaluării bonității și al furnizării informațiilor privind bonitatea”), și din lucrările pregătitoare ( 33 ) că societățile de informații economice contribuie la buna funcționare a economiei unei țări ( 34 ).

75.

Într‑adevăr, în măsura în care aceste societăți pun la dispoziție informații privind bonitatea anumitor persoane, acestea contribuie la protecția consumatorilor prin evitarea riscului de supraîndatorare ( 35 ), dar și a societăților care le vând bunuri sau le acordă credite consumatorilor. Aceste societăți asigură stabilitatea sistemului financiar prin împiedicarea acordării de împrumuturi într‑un mod iresponsabil unor împrumutați cu risc ridicat de nerambursare ( 36 ). Fără un sistem fiabil de evaluare a creditelor, o mare parte a populației nu ar fi practic lipsită de posibilitatea de a obține împrumuturi din cauza unor riscuri incalculabile, tranzacțiile economice în era informațională ar fi considerabil mai dificile, iar tentativele de fraudă ar trece neobservate. Privite din această perspectivă, este posibil să fim de acord cu motivele care, aparent, au determinat legiuitorul german să adopte articolul 31 din BDSG.

76.

În plus, chiar dacă este cunoscut faptul că persoanele juridice de drept privat pot acționa în interes public, este evident, în opinia noastră, că nu orice „interes legitim” poate justifica o aplicare a articolului 6 alineatul (1) litera (e) din RGPD. Relația cu „exercitarea autorității publice” și considerentele (45), (55) și (56) ale RGPD indică mai degrabă faptul că această dispoziție vizează, în primul rând, autoritățile publice în sens strict, precum și persoanele juridice care dețin o parte din autoritatea publică și, în al doilea rând, persoanele juridice de drept privat care efectuează o prelucrare în interesul unui serviciu public, de exemplu în domeniul „sănătății publice”, al „protecției sociale” și al „gestionării serviciilor de asistență medicală”, menționate în mod expres în considerentul (45). Cu alte cuvinte, această dispoziție privește sarcinile clasice de stat.

77.

În mod similar, se poate observa că considerentele (55) și (56) ale RGPD fac referire la „asociațiile religioase recunoscute oficial”, precum și la „partidele politice”, adică la organizații care, conform criteriilor legiuitorului Uniunii, desfășoară activități de interes public și prelucrează date cu caracter personal în acest scop. Având în vedere această constatare, este îndoielnic faptul că această dispoziție ar putea include și activitățile societăților de informații economice, inclusiv evaluarea bonității. O astfel de interpretare ar extinde considerabil domeniul de aplicare al acestei dispoziții și ar face deosebit de dificilă identificarea limitelor acestei clauze de deschidere ( 37 ).

78.

Pe lângă considerațiile prezentate, trebuie remarcat în acest context că, deși articolul 31 din BDSG vizează protejarea tranzacțiilor economice, această dispoziție nu menționează nicio sarcină concretă a societăților menționate ( 38 ). După cum am arătat deja în prezentele concluzii bazându‑ne pe precizările privind cadrul juridic național furnizate de instanța de trimitere, această dispoziție privește „utilizarea” valorii bonității de către agenți economici, iar nu„stabilirea” acesteia de către societăți de informații economice ( 39 ). Or, legalitatea acestei activități se află în centrul litigiului principal. Pentru motivele menționate anterior, considerăm că articolul 6 alineatul (1) litera (e) din RGPD nu este adecvat pentru a servi drept temei juridic.

79.

Este necesar să se examineze în continuare dacă această activitate intră în domeniul de aplicare al articolului 6 alineatul (1) litera (f) din RGPD. Potrivit jurisprudenței Curții ( 40 ), dispoziția în cauză prevede trei condiții cumulative pentru ca o prelucrare de date cu caracter personal să fie legală, și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor să nu prevaleze.

80.

În ceea ce privește, în primul rând, urmărirea unui „interes legitim”, dorim să reamintim că RGPD și jurisprudența recunosc o gamă largă de interese considerate legitime ( 41 ), precizând în același timp că, în conformitate cu articolul 13 alineatul (1) litera (d) din RGPD, operatorului de date îi revine sarcina de a indica interesele legitime urmărite în contextul articolului 6 alineatul (1) litera (f) din RGPD. După cum am arătat deja în prezentele concluzii, obiectivul legislativ al articolului 31 BDSG constă în asigurarea legalității activităților desfășurate de societățile de informații economice, având în vedere că acestea din urmă, în opinia legiuitorului german, contribuie la buna funcționare a economiei unei țări ( 42 ). În măsura în care aceste activități garantează protecția diferiților actori economici împotriva riscurilor specifice insolvabilității, cu consecințe grave pentru stabilitatea sistemului financiar, se poate reține în această etapă a analizei că dispoziția națională menționată anterior urmărește un obiectiv economic care poate constitui un „interes legitim” în sensul articolului 6 alineatul (1) litera (f) din RGPD.

81.

În ceea ce privește apoi condiția întemeiată pe necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit, potrivit jurisprudenței Curții, derogările de la principiul protecției datelor cu caracter personal și restrângerile aduse acestui principiu trebuie instituite în limitele strictului necesar ( 43 ). Prin urmare, trebuie să existe o legătură strânsă între prelucrare și interesul urmărit în lipsa unor alternative care să respecte într‑o mai mare măsură protecția datelor cu caracter personal, nefiind suficient ca prelucrarea să fie doar utilă pentru operator. În această privință, trebuie remarcat că, deși instanța de trimitere exprimă anumite îndoieli cu privire la legalitatea activității de evaluare a bonității în lumina dispozițiilor RGPD, nu furnizează niciun element care să sugereze eventuala existență a unor măsuri alternative care să respecte mai bine protecția datelor cu caracter personal. Neexistând informații în sens contrar, înclinăm să recunoaștem o anumită marjă de manevră în alegerea măsurilor adecvate pentru atingerea scopului urmărit.

82.

În sfârșit, în ceea ce privește evaluarea comparativă, pe de o parte, a intereselor operatorului de date și, pe de altă parte, a intereselor sau a libertăților și drepturilor fundamentale ale persoanei vizate, trebuie constatat că evaluarea comparativă a diferitelor interese aflate în joc în prezenta cauză a fost realizată pe cale legislativă. Prin adoptarea articolului 31 din BDSG, legiuitorul german a acordat prioritate intereselor economice în raport cu dreptul la protecția datelor cu caracter personal. Or, o astfel de abordare ar fi posibilă numai dacă articolul 6 alineatul (1) litera (f) din RGPD ar conține o clauză care să permită statelor membre să mențină sau să introducă dispoziții mai specifice de adaptare a normelor regulamentului menționat în ceea ce privește prelucrarea. Totuși, acesta nu este cazul, după cum vom explica în continuare.

83.

După cum reiese în mod clar din formularea articolului 6 alineatele (2) și (3) din RGPD, menținerea sau introducerea unor dispoziții mai specifice este permisă numai pentru cazurile menționate la alineatul (1) literele (c) și (e). Analiza anterioară a arătat că articolul 31 din BDSG nu vizează nicio împrejurare susceptibilă să se încadreze în cazurile menționate, ceea ce exclude, în mod logic, posibilitatea invocării articolului 6 alineatele (2) și (3) din GDPR ca temei juridic. Aplicarea în cazul menționat la alineatul (1) litera (f) ar fi nu doar contrară textului acestor dispoziții, dar ar ignora și voința legiuitorului Uniunii, astfel cum rezultă aceasta din geneza dispozițiilor menționate.

84.

În această privință, dorim să reamintim că, potrivit articolului 5 din Directiva 95/46/CE ( 44 ) – actul juridic care a precedat RGPD –, era de competența statelor membre să „precize[ze] condițiile în care operațiunile de prelucrare a datelor cu caracter personal [erau] legale”. Curtea a interpretat această dispoziție concluzionând că nimic nu împiedica statele membre ca, în exercitarea marjei lor de apreciere consacrate la articolul 5 din Directiva 95/46, să stabilească „principii directoare” pentru evaluarea comparativă necesară conform articolului 7 litera (f) din această directivă, care corespunde articolului 6 alineatul (1) litera (f) din RGPD. Cu toate acestea, trebuie remarcat că RGPD nu mai conferă o astfel de competență statelor membre. Într‑adevăr, lipsa unei dispoziții echivalente în RGPD determină imposibilitatea pentru statele membre de a mai stabili principii directoare în dreptul lor intern în scopul de a preciza „interesul legitim” în sensul articolului 6 alineatul (1) litera (f) din acest regulament ( 45 ).

85.

Referirea la dispozițiile privind „situații concrete de prelucrare” din capitolul IX, cuprinsă la alineatele (2) și (3), nu are ca efect extinderea domeniului de aplicare al articolului 6 din RGPD. Este vorba mai curând despre o trimitere la dispoziții care autorizează statele membre să adopte norme mai specifice în domenii determinate, și anume atunci când prelucrarea este necesară pentru respectarea unei „obligații legale”, în sensul alineatului (1) litera (c), sau pentru îndeplinirea unei „sarcini care servește unui interes public” ori care ține de exercitarea „autorității publice”, în cazul menționat la alineatul (1) litera (e) ( 46 ). Cu toate acestea, după cum am arătat anterior, aceste domenii nu au nicio legătură cu circumstanțele în care se aplică articolul 31 din BDSG.

86.

În acest context, trebuie reamintit de asemenea că, deși propunerea de regulament a Comisiei îi conferea acesteia competența să „adopte acte delegate în scopul detalierii condițiilor menționate la articolul 6 alineatul (1) litera (f) pentru diverse sectoare și situații de prelucrare a datelor, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal referitoare la un minor”, această propunere nu a fost reținută de legiuitorul Uniunii. Analiza evoluției textului arată că competențele de reglementare ale statelor membre au fost reduse în interesul unei armonizări mai profunde, pentru a asigura o aplicare consecventă și omogenă a normelor în materie de protecție a datelor cu caracter personal, după cum confirmă și considerentele (3), (9) și (10) ale RGPD ( 47 ). Această împrejurare trebuie luată în considerare în cadrul interpretării articolului 6 din RGPD.

87.

În sfârșit, considerăm necesar să subliniem că, chiar și în cazul în care s‑ar aplica articolul 6 alineatul (1) litera (f) din RGPD, o dispoziție națională precum articolul 31 din BDSG nu poate fi considerată conformă cu dreptul Uniunii. Dorim să reamintim că articolul 7 litera (f) din Directiva 95/46 a fost interpretat de Curte în sensul că „[u]n stat membru nu poate […] să stabilească, în ceea ce privește [anumite categorii de date cu caracter personal], în mod definitiv, rezultatul ponderării drepturilor și intereselor opuse fără a permite un rezultat diferit în funcție de împrejurările speciale ale unui caz concret” ( 48 ). Întrucât această dispoziție este redactată în termeni aproape identici cu dispoziția care a înlocuit‑o, și anume articolul 6 alineatul (1) litera (f) din RGPD, considerăm că această interpretare este în continuare valabilă ( 49 ). Or, după cum sugerează instanța de trimitere, se pare că legiuitorul național ar fi avut tocmai acest scop, dat fiind că, în măsura în care articolul 31 din BDSG autorizează utilizarea valorilor bonității în sectorul financiar, se acordă prioritate intereselor economice ale sectorului financiar în raport cu dreptul la protecția datelor cu caracter personal, fără a se ține seama însă de împrejurările speciale ale unui caz concret. O astfel de abordare ar extinde în mod inadmisibil domeniul de aplicare al articolului 6 din RGPD.

88.

Având în vedere cele menționate anterior, considerăm că articolul 6 alineatul (1) litera (f) din RGPD nu poate fi invocat în mod valabil ca temei juridic în scopul adoptării unei dispoziții naționale precum articolul 31 din BDSG.

89.

Instanța de trimitere precizează că dispozițiile coroborate ale articolului 6 alineatul (4) și ale articolului 23 alineatul (1) din RGPD ar fi fost menționate ca temeiuri juridice în cadrul procedurii legislative care a condus la adoptarea articolului 31 din BDSG. Cu toate acestea, ideea de a se întemeia pe aceste dispoziții ar fi fost ulterior abandonată. Instanța de trimitere consideră că aceste dispoziții nu sunt aplicabile în speță.

90.

În absența unor informații mai detaliate, nu este posibil să se adopte o poziție cu privire la eventuala aplicabilitate a dispozițiilor menționate mai sus. Considerăm că acest lucru nici nu este necesar în cazul în care dispozițiile menționate nu au jucat niciun rol pe parcursul procedurii legislative, după cum afirmă instanța de trimitere ( 50 ).

91.

Am analizat la punctele precedente aspectul dacă articolele 6 și 22 din RGPD pot servi drept temei juridic pentru adoptarea unei dispoziții naționale precum articolul 31 din BDSG, pentru a justifica legalitatea stabilirii valorilor bonității în contextul activităților desfășurate de societățile de informații economice. Mai multe motive prezentate în detaliu în analiza noastră ne întăresc convingerea că această posibilitate trebuie exclusă. Pe scurt, considerăm că, în lipsa unor clauze de deschidere sau a unor derogări care să autorizeze statele membre să adopte norme mai precise sau să deroge de la normele din RGPD pentru a reglementa această activitate menționată mai sus și ținând seama de gradul de armonizare urmărit de acest regulament care, în conformitate cu articolul 288 TFUE, este obligatoriu în toate elementele sale și se aplică direct în fiecare stat membru, se impune să se considere că o astfel de dispoziție națională nu este conformă cu RGPD.

92.

Deoarece Curtea nu are competența de a interpreta dreptul național sau de a se pronunța cu privire la conformitatea lui cu dreptul Uniunii în cadrul unei proceduri preliminare în temeiul articolului 267 TFUE, argumentele abordate în prezentele concluzii trebuie interpretate ca tot atâtea orientări în interpretarea dispozițiilor relevante din BDSG, în scopul de a permite instanței de trimitere să exercite, dacă este cazul, această competență după ce a examinat ea însăși articolul 31 din BDSG în lumina dispozițiilor din acest regulament, în special în ceea ce privește posibilitatea de a interpreta legislația națională în conformitate cu cerințele dreptului Uniunii.

93.

Principiul supremației dreptului Uniunii consacră prevalența dreptului Uniunii asupra dreptului statelor membre. Acest principiu impune, prin urmare, tuturor autorităților statelor membre să asigure efectul deplin al diverselor dispoziții ale dreptului Uniunii, întrucât dreptul statelor membre nu poate aduce atingere efectului recunoscut acestor dispoziții pe teritoriul lor. În temeiul acestui principiu, în cazul în care nu poate da legislației naționale o interpretare care să fie conformă cu cerințele dreptului Uniunii, instanța națională însărcinată cu aplicarea, în cadrul competenței proprii, a dispozițiilor dreptului Uniunii are obligația de a asigura efectul deplin al acestora, lăsând la nevoie neaplicată, din oficiu, orice dispoziție contrară a legislației naționale, chiar ulterioară, fără a trebui să solicite sau să aștepte eliminarea prealabilă a acesteia pe cale legislativă sau prin orice alt procedeu constituțional ( 51 ).

94.

Ca răspuns la a doua întrebare preliminară, considerăm că articolul 6 alineatul (1) și articolul 22 din RGPD trebuie interpretate în sensul că nu se opun unei reglementări naționale privind crearea de profiluri atunci când este vorba despre o altă creare de profiluri decât cea prevăzută la articolul 22 alineatul (1) din acest regulament. În acest caz însă, reglementarea națională trebuie să respecte condițiile prevăzute la articolul 6 din regulamentul menționat. În special, aceasta trebuie să aibă la bază un temei juridic adecvat, aspect a cărui verificare este de competența instanței de trimitere.

95.

Având în vedere considerațiile menționate anterior, propunem Curții să răspundă la întrebările preliminare adresate de Verwaltungsgericht Wiesbaden (Tribunalul administrativ din Wiesbaden, Germania) după cum urmează: