–

pentru Meta Platforms Ireland Ltd, de M. Braun, H.‑G. Kamann și V. Wettner, Rechtsanwälte;

–

pentru Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, de P. Wassermann, Rechtsanwalt;

–

pentru guvernul german, de J. Möller și P.‑L. Krüger, în calitate de agenți;

–

pentru guvernul portughez, de P. Barros da Costa, J. Ramos și C. Vieira Guerra, în calitate de agenți;

–

pentru Comisia Europeană, de A. Bouchagiar, F. Erlbacher și H. Kranenborg, în calitate de agenți,

1

Cererea de decizie preliminară privește interpretarea articolului 80 alineatul (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”) coroborat cu articolul 12 alineatul (1) prima teză și cu articolul 13 alineatul (1) literele (c) și (e) din acest regulament.

2

Această cerere a fost formulată în cadrul unui litigiu între Meta Platforms Ireland Ltd, fostă Facebook Ireland Ltd, care are sediul social în Irlanda, pe de o parte, și Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Uniunea Federală a Organizațiilor și a Asociațiilor de Consumatori, Germania) (denumită în continuare „Uniunea Federală”), pe de altă parte, în legătură cu încălcarea de către Meta Platforms Ireland a legislației germane privind protecția datelor cu caracter personal, care constituie în același timp o practică comercială neloială, o încălcare a unei legi în materie de protecție a consumatorilor și o încălcare a interdicției privind utilizarea unor condiții generale nule.

3

Considerentele (10), (13), (39), (58), (60) și (142) ale RGPD au următorul cuprins:

[…]

[…]

[…]

[…]

[…]

4

Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede la alineatul (1):

„Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.”

5

Potrivit articolului 4 punctele 1, 2, 9 și 11 din regulamentul menționat:

„În sensul prezentului regulament:

[…]

[…]

6

Articolul 5 din același regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede:

„(1)   Datele cu caracter personal sunt:

[…]

(2)   Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”

7

Articolul 6 alineatul (1) litera (a) din RGPD, intitulat „Legalitatea prelucrării”, prevede:

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

8

Capitolul III din RGPD, care cuprinde articolele 12-23, este intitulat „Drepturile persoanei vizate”.

9

Articolul 12 din acest regulament, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatul (1):

„Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.”

10

Articolul 13 din regulamentul menționat, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (1) literele (c)-(e):

„În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

[…]

[…]

11

Capitolul VIII din regulamentul menționat, care cuprinde articolele 77-84, este intitulat „Căi de atac, răspundere și sancțiuni”.

12

Articolul 77 din RGPD, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”

13

Articolul 78 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”

14

Articolul 79 din regulamentul menționat, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator”, prevede la alineatul (1):

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

15

Articolul 80 din același regulament, intitulat „Reprezentarea persoanelor vizate”, are următorul cuprins:

„(1)   Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.

(2)   Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoane vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”

16

Articolul 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):

„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”

17

Articolul 84 din RGPD, intitulat „Sancțiuni”, prevede la alineatul (1):

„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”

18

Potrivit articolului 2 din Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Legea privind acțiunile în încetarea unor încălcări ale dreptului consumatorilor și a altor încălcări) din 26 noiembrie 2001 (BGBl. 2001 I, p. 3138), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind acțiunile în încetare”):

„(1)   Oricine încalcă normele privind protecția consumatorilor (legile privind protecția consumatorilor), în alt mod decât prin aplicarea sau recomandarea unor condiții generale, poate face obiectul unei somații de încetare pentru viitor și de încetare imediată în interesul protecției consumatorilor. […]

(2)   În sensul prezentei dispoziții, legile privind protecția consumatorilor înseamnă în special:

[…]

11. normele care definesc legalitatea

19

Bundesgerichtshof (Curtea Federală de Justiție, Germania) arată că, în temeiul articolului 3 alineatul (1) prima teză punctul 1 din Legea privind acțiunile în încetare, organismele care au calitate procesuală activă, în sensul articolului 4 din această lege, pot solicita, pe de o parte, în conformitate cu articolul 1 din legea menționată, încetarea utilizării unor condiții generale nule în conformitate cu articolul 307 din Bürgerliches Gesetzbuch (Codul civil) și, pe de altă parte, încetarea încălcării legilor în materie de protecție a consumatorilor, în sensul articolului 2 alineatul (2) din aceeași lege.

20

Articolul 3 alineatul (1) din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale) din 3 iulie 2004 (BGBl. 2004 I, p. 1414), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind combaterea concurenței neloiale”), prevede:

„Practicile comerciale neloiale sunt nelegale.”

21

Articolul 3a din Legea privind combaterea concurenței neloiale are următorul cuprins:

„Încălcarea unei dispoziții legale menite în special să reglementeze comportamentul pe piață în interesul operatorilor economici constituie un act de concurență neloială în măsura în care această încălcare este de natură să afecteze în mod considerabil interesele consumatorilor, ale altor operatori de pe piață sau ale concurenților.”

22

Articolul 8 din această lege prevede:

„(1)   Orice practică comercială nelegală conform articolului 3 sau articolului 7 poate sta la baza unei somații de încetare și, în cazul unui risc de recidivă, a unei ordonanțe de încetare sau de interzicere. […]

[…]

(3)   Somațiile menționate la alineatul (1) pot fi solicitate:

[…]

23

Bundesgerichtshof (Curtea Federală de Justiție) arată că articolul 13 alineatul (1) din Telemediengesetz (Legea privind comunicațiile electronice) din 26 februarie 2007 (BGBl. 2007 I, p. 179) a fost aplicabil până la intrarea în vigoare a RGPD. Ulterior, această dispoziție a fost înlocuită de articolele 12-14 din acest regulament.

24

Potrivit articolului 13 alineatul (1) prima teză din Legea privind comunicațiile electronice:

„Furnizorul de servicii trebuie să informeze utilizatorul de la începutul operațiunii de utilizare, într‑o formă ușor de înțeles în general, despre modul, volumul și scopul colectării și al utilizării datelor cu caracter personal, precum și cu privire la prelucrarea datelor sale în statele care nu intră în domeniul de aplicare al Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31), în măsura în care o asemenea informare nu a avut deja loc.”

25

Meta Platforms Ireland, care administrează oferta de servicii a rețelei sociale online Facebook în Uniune, este operatorul de date cu caracter personal ale utilizatorilor acestei rețele sociale în Uniune. Facebook Germany GmbH, cu sediul în Germania, promovează la adresa de internet www.facebook.de vânzarea de spații publicitare. Platforma de internet Facebook conține, în special la adresa de internet www.facebook.de, un spațiu numit „App‑Zentrum” (centrul de aplicații), în care Meta Platforms Ireland pune la dispoziția utilizatorilor aplicații cu jocuri gratuite furnizate de terți. Cu ocazia consultării acestui spațiu, utilizatorul era informat că, prin utilizarea unora dintre aplicații, permitea colectarea de diverse date cu caracter personal de aceste aplicații și că autoriza publicarea de acestea în numele său a anumitor date, precum scorul său, precum și, pentru unul dintre jocurile în cauză, statutul și fotografiile sale. Utilizatorul era de asemenea informat că, prin utilizarea aplicațiilor în cauză, accepta condițiile generale ale acestor aplicații și politica lor în materie de protecție a datelor.

26

Uniunea Federală, organism având calitate procesuală activă în temeiul articolului 4 din Legea privind acțiunile în încetare, a apreciat că informațiile furnizate de aplicațiile de jocuri în cauză în centrul de aplicații erau neloiale, în special întrucât nu respectau condițiile legale de obținere a unui consimțământ valabil al utilizatorului conform dispozițiilor ce reglementează protecția datelor cu caracter personal. În plus, a considerat că informațiile conform cărora respectivele aplicații primeau autorizarea să publice în numele utilizatorilor unele dintre datele lor cu caracter personal constituiau o condiție generală care îi defavoriza în mod nejustificat pe utilizatori.

27

În acest context, Uniunea Federală a introdus la Landgericht Berlin (Tribunalul Regional din Berlin, Germania) o acțiune în încetare întemeiată pe articolul 3a din Legea privind combaterea concurenței neloiale, pe articolul 2 alineatul (2) prima teză punctul 11 din Legea privind acțiunile în încetare, precum și pe Codul civil, în special pentru a se interzice Meta Platforms Ireland să ofere în centrul de aplicații astfel de aplicații cu jocuri precum cele în cauză. Această acțiune a fost introdusă independent de încălcarea concretă a dreptului la protecția datelor unei persoane vizate și în lipsa unui mandat din partea unei astfel de persoane.

28

Landgericht Berlin (Tribunalul Regional din Berlin) a admis solicitările Uniunii Federale. Apelul declarat de Meta Platforms Ireland la Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania) a fost respins. Meta Platforms Ireland a formulat atunci recurs la instanța de trimitere împotriva deciziei de respingere pronunțate de instanța de apel.

29

Instanța de trimitere a considerat că acțiunea formulată de Uniunea Federală este fondată, întrucât Meta Platforms Ireland a încălcat articolul 3a din Legea privind combaterea concurenței neloiale și articolul 2 alineatul (2) prima teză punctul 11 din Legea privind acțiunile în încetare și a utilizat o condiție generală nulă în sensul articolului 1 din Legea privind acțiunile în încetare.

30

Totuși, această instanță a avut îndoieli în legătură cu admisibilitatea acțiunii Uniunii Federale. Astfel, aceasta a considerat că nu este exclus ca Uniunea Federală, care avea într‑adevăr calitate procesuală activă la data introducerii acțiunii – în temeiul articolului 8 alineatul (3) din Legea privind combaterea concurenței neloiale și al articolului 3 alineatul (1) prima teză punctul 1 din Legea privind acțiunile în încetare –, să fi pierdut această calitate în cursul procedurii în urma intrării în vigoare a RGPD și în special a articolului 80 alineatele (1) și (2), precum și a articolului 84 alineatul (1) din acesta. În acest caz, instanța de trimitere ar trebui să admită recursul formulat de Meta Platforms Ireland și să respingă acțiunea Uniunii Federale, dat fiind că, potrivit dispozițiilor procedurale relevante din dreptul german, calitatea procesuală activă trebuie să persiste până în ultimă instanță.

31

Astfel, prin decizia din 28 mai 2020, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții o întrebare preliminară referitoare la interpretarea articolului 80 alineatele (1) și (2) și a articolului 84 alineatul (1) din RGPD.

32

Prin Hotărârea din 28 aprilie 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), Curtea a răspuns la această întrebare că articolul 80 alineatul (2) din RGPD trebuie interpretat în sensul că nu se opune unei reglementări naționale care permite unei asociații pentru apărarea intereselor consumatorilor să acționeze în justiție, în lipsa unui mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând încălcarea interdicției practicilor comerciale neloiale, a unei legi privind protecția consumatorilor sau a interdicției utilizării unor condiții generale nule, în măsura în care prelucrarea datelor în cauză poate afecta drepturile conferite unor persoane fizice identificate sau identificabile de acest regulament.

33

Având în vedere această hotărâre, instanța de trimitere consideră că calitatea procesuală activă a unei entități în sensul articolului 80 alineatul (2) din RGPD nu este supusă condiției ca o astfel de entitate să realizeze identificarea individuală prealabilă a persoanei vizate de o prelucrare de date prezumată care încalcă dispozițiile RGPD. Noțiunea de „persoană vizată” în sensul articolului 4 punctul 1 din RGPD nu include numai o „persoană fizică identificată”, ci și o „persoană fizică identificabilă”, așadar o persoană fizică „care poate fi identificată”, direct sau indirect, prin referire la un element de identificare, cum ar fi printre altele un nume, un număr de identificare, date de localizare sau un element de identificare online. În aceste condiții, desemnarea unei categorii sau a unui grup de persoane afectate de o asemenea prelucrare ar putea fi suficientă pentru a introduce o astfel de acțiune în reprezentare. În speță, Uniunea Federală ar fi identificat un astfel de grup sau o astfel de categorie.

34

Cu toate acestea, potrivit instanței de trimitere, în hotărârea Curții citată anterior nu s‑a examinat condiția enunțată la articolul 80 alineatul (2) din RGPD, potrivit căreia o asociație pentru apărarea intereselor consumatorilor trebuie să considere că drepturile unei persoane vizate conferite de regulamentul menționat au fost încălcate „ca urmare a prelucrării” pentru a exercita căile de atac prevăzute de acest regulament.

35

Pe de o parte, această instanță consideră că nu reiese cu claritate din hotărârea amintită dacă încălcarea obligației care decurge din articolul 12 alineatul (1) prima teză și din articolul 13 alineatul (1) literele (c) și (e) din RGPD de a comunica persoanei vizate, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopurile în care sunt prelucrate datele cu caracter personal, precum și la destinatarii acestor date constituie o încălcare „ca urmare a prelucrării” și dacă noțiunea de „prelucrare” în sensul articolului 4 punctul 2 din acest regulament include situații care precedă colectarea unor astfel de date.

36

Pe de altă parte, această instanță apreciază că nu s‑a stabilit în mod clar dacă, într‑un caz precum cel în discuție în litigiul principal, încălcarea obligației de informare a avut loc „ca urmare” a unei prelucrări de date cu caracter personal în sensul articolului 80 alineatul (2) din RGPD. În această privință, instanța subliniază că, deși o astfel de formulare ar putea lăsa să se înțeleagă că entitatea care introduce o acțiune în reprezentare trebuie, pentru ca această acțiune să fie admisibilă, să invoce încălcarea drepturilor unei persoane vizate ce rezultă dintr‑o operațiune de prelucrare a datelor cu caracter personal în sensul articolului 4 punctul 2 din acest regulament și care este deci ulterioară unei astfel de operațiuni, obiectivul regulamentului menționat de a asigura în special un nivel ridicat de protecție a datelor cu caracter personal ar putea pleda în favoarea extinderii calității procesuale active a acestei entități în cazul unei încălcări a obligației de informare, în condițiile în care această obligație trebuie îndeplinită înaintea oricărei operațiuni de prelucrare a datelor cu caracter personal.

37

În aceste condiții, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Se invocă o încălcare [a drepturilor unei persoane vizate] «ca urmare a prelucrării», în sensul articolului 80 alineatul (2) din RGPD, atunci când o asociație pentru protecția intereselor consumatorilor își întemeiază acțiunea pe faptul că drepturile unei persoane vizate au fost încălcate, întrucât nu au fost respectate obligațiile de informare referitoare la scopul prelucrării datelor și la destinatarul datelor cu caracter personal, prevăzute la articolul 12 alineatul (1) prima teză din RGPD coroborat cu articolul 13 alineatul (1) literele (c) și (e) din RGPD?”

38

Prin intermediul întrebării formulate, instanța de trimitere solicită în esență să se stabilească dacă articolul 80 alineatul (2) din RGPD trebuie interpretat în sensul că condiția potrivit căreia o entitate abilitată, pentru a putea introduce o acțiune în reprezentare în temeiul acestei dispoziții, trebuie să susțină că ea consideră că drepturile de care o persoană vizată de o prelucrare a datelor cu caracter personal beneficiază în temeiul acestui regulament au fost încălcate „ca urmare a prelucrării” în sensul dispoziției menționate este îndeplinită atunci când o asemenea acțiune se întemeiază pe încălcarea obligației, care îi revine operatorului în temeiul articolului 12 alineatul (1) prima teză și al articolului 13 alineatul (1) literele (c) și (e) din același regulament, de a comunica persoanei vizate, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopul acestei prelucrări de date și la destinatarii unor astfel de date, cel târziu la momentul colectării acestora.

39

Pentru a răspunde la această întrebare, trebuie amintit, cu titlu introductiv, că RGPD reglementează printre altele căile de atac care permit protejarea drepturilor persoanei vizate atunci când datele cu caracter personal care o privesc au făcut obiectul unei prelucrări care ar încălca dispozițiile acestui regulament. Protecția acestor drepturi poate fi astfel solicitată fie direct de persoana vizată, care are dreptul de a depune ea însăși o plângere la o autoritate de supraveghere a unui stat membru, în conformitate cu articolul 77 din RGPD, sau o cale de atac la instanțele naționale, în temeiul articolelor 78 și 79 din acest regulament, fie de o entitate abilitată, cu sau fără mandat în acest sens, în virtutea articolului 80 din regulamentul menționat.

40

În particular, articolul 80 alineatul (2) din RGPD deschide statelor membre posibilitatea de a prevedea un mecanism de acțiune în reprezentare împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, în lipsa unui mandat din partea persoanei vizate, enunțând totodată un anumit număr de cerințe la nivelul domeniului de aplicare personal și material care trebuie respectate în acest scop (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctul 63).

41

În ceea ce privește, în primul rând, domeniul de aplicare personal al unui astfel de mecanism, calitatea procesuală activă este recunoscută unui organism, unei organizații sau unei asociații care îndeplinește criteriile enumerate la articolul 80 alineatul (1) din RGPD. În particular, astfel cum a constatat deja Curtea, o asociație pentru apărarea intereselor consumatorilor, precum Uniunea Federală, poate intra sub incidența acestei noțiuni întrucât urmărește un obiectiv de interes public care constă în a asigura drepturile și libertățile persoanelor vizate în calitatea lor de consumatori, din moment ce realizarea unui asemenea obiectiv poate fi conexă protecției datelor cu caracter personal ale acestora din urmă (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctele 64 și 65).

42

În ceea ce privește, în al doilea rând, domeniul de aplicare material al mecanismului menționat, exercitarea acțiunii în reprezentare prevăzute la articolul 80 alineatul (2) din RGPB de către o entitate care îndeplinește condițiile menționate la alineatul (1) al acestui articol presupune că această entitate, independent de orice mandat care i‑a fost încredințat, „consideră că drepturile unei persoane vizate în temeiul [acestui] regulament au fost încălcate ca urmare a prelucrării” datelor sale cu caracter personal (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctul 67).

43

În această privință, Curtea a clarificat că exercitarea unei acțiuni în reprezentare nu este condiționată nici măcar de existența unei „încălcări concrete” a drepturilor conferite unei persoane de normele în materie de protecție a datelor cu caracter personal, astfel încât, pentru a i se recunoaște calitatea procesuală activă unei asemenea entități, este suficient să se invoce că prelucrarea de date în cauză poate afecta drepturile conferite de regulamentul menționat persoanelor fizice identificate sau identificabile, fără a fi necesar să se demonstreze prejudiciul real suferit de persoana vizată, într‑o situație determinată, prin atingerea adusă drepturilor sale (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctele 70 și 72).

44

Cu toate acestea, astfel cum a statuat Curtea deja, introducerea unei acțiuni în reprezentare presupune ca entitatea vizată „să considere” că drepturile conferite de RGPD unei persoane vizate au fost încălcate ca urmare a prelucrării datelor acesteia cu caracter personal și să invoce, în consecință, „existența unei prelucrări de date” pe care entitatea respectivă o apreciază drept contrară unor dispoziții din acest regulament (a se vedea în acest sens Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctul 71), o asemenea prelucrare neputând avea un caracter pur ipotetic, astfel cum a arătat avocatul general la punctul 48 din concluzii.

45

În mod concret, astfel cum reiese din modul de redactare a articolului 80 alineatul (2) din RGPD, introducerea unei acțiuni în reprezentare în temeiul acestei dispoziții presupune ca încălcarea drepturilor de care persoana vizată beneficiază în temeiul acestui regulament să intervină cu ocazia unei prelucrări a datelor cu caracter personal.

46

Această interpretare este confirmată de compararea diferitelor versiuni lingvistice ale articolului 80 alineatul (2) din RGPD, precum și de considerentul (142) al acestuia, care prevede că entitățile care îndeplinesc condițiile menționate la articolul 80 alineatul (1) din acest regulament trebuie să aibă motive să considere că s‑a adus atingere drepturilor conferite de regulamentul menționat unei persoane vizate „ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă [același] regulament”.

47

Odată clarificate aceste aspecte, pentru a răspunde la întrebarea preliminară, mai trebuie să se verifice dacă încălcarea obligației ce revine operatorului, în temeiul articolului 12 alineatul (1) prima teză și al articolului 13 alineatul (1) literele (c) și (e) din RGPD, de a comunica persoanei vizate, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopul unei prelucrări a datelor cu caracter personal și la destinatarii unor astfel de date, cel târziu la momentul colectării acestor date, constituie o încălcare a drepturilor acestei persoane „ca urmare a prelucrării” în sensul articolului 80 alineatul (2) din RGPD.

48

Cu titlu introductiv, trebuie amintit că obiectivul urmărit de RGPD, astfel cum reiese din articolul 1 și din considerentul (10) al acestuia, constă printre altele în asigurarea unui nivel ridicat de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice, în special a dreptului lor la viață privată în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea în acest sens Hotărârea din 7 martie 2024, IAB Europe,C‑604/22, EU:C:2024:214, punctul 53).

49

În acest scop, capitolele II și, respectiv, III din acest regulament enunță principiile ce reglementează prelucrările datelor cu caracter personal, precum și drepturile persoanei în cauză pe care trebuie să le respecte orice prelucrare de date cu caracter personal. În particular, sub rezerva derogărilor prevăzute la articolul 23 din regulamentul menționat, orice prelucrare a datelor cu caracter personal trebuie, pe de o parte, să fie conformă cu principiile menționate la articolul 5 din același regulament referitoare la prelucrarea unor astfel de date și să îndeplinească condițiile de legalitate enumerate la articolul 6 din acesta și, pe de altă parte, să respecte drepturile persoanei vizate prevăzute la articolele 12-22 din RGPD [a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 208, precum și Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale),C‑175/20, EU:C:2022:124, punctele 50 și 61, precum și jurisprudența citată].

50

În această privință, trebuie subliniat că, potrivit articolului 5 alineatul (1) litera (a) din RGPD, datele cu caracter personal trebuie să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată. În plus, în conformitate cu articolul 5 alineatul (1) litera (b), aceste date trebuie colectate în scopuri determinate, explicite și legitime și nu trebuie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri.

51

În ceea ce privește interpretarea articolului 5 alineatul (1) litera (b) din RGPD, Curtea a statuat că această dispoziție impune printre altele ca scopurile prelucrării să fie enunțate în mod clar și identificate cel târziu la momentul colectării datelor cu caracter personal [Hotărârea din 24 februarie 2022, Valsts ieņēmumu dienests (Prelucrarea datelor cu caracter personal în scopuri fiscale),C‑175/20, EU:C:2022:124, punctele 64 și 65].

52

În plus, în conformitate cu articolul 5 alineatul (2) din RGPD, operatorului îi revine sarcina de a dovedi că aceste date sunt colectate în special în scopuri determinate, explicite și legitime și că sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată.

53

Rezultă, așadar, din articolul 5 din RGPD că o prelucrare a datelor cu caracter personal trebuie printre altele să îndeplinească cerințe concrete în materie de transparență față de persoana vizată de o astfel de prelucrare. În acest scop, în capitolul III, RGPD, pe de o parte, prevede obligații precise pentru operator și, pe de altă parte, recunoaște o serie întreagă de drepturi pentru persoana vizată de o prelucrare a datelor cu caracter personal, printre care figurează în special dreptul de a obține de la operator informații cu privire la scopurile acestei prelucrări și la destinatarii concreți cărora le‑au fost sau urmează să le fie comunicate datele cu caracter personal care o privesc (Hotărârea din 22 iunie 2023, Pankki S,C‑579/21, EU:C:2023:501, punctul 48).

54

În special, articolul 13 alineatul (1) literele (c) și (e) din RGPD prevede obligația operatorului, atunci când datele cu caracter personal sunt colectate de la persoana vizată, de a o informa pe aceasta cu privire la scopurile în care sunt prelucrate aceste date și temeiul juridic al prelucrării și, respectiv, cu privire la destinatarii sau categoriile de destinatari ai datelor respective.

55

În plus, articolul 12 alineatul (1) din acest regulament impune operatorului să ia măsuri adecvate pentru a se asigura printre altele că informațiile menționate la punctul anterior furnizate persoanei vizate sunt concise, transparente, inteligibile, ușor accesibile și formulate într‑un limbaj clar și simplu.

56

Astfel cum a statuat Curtea, articolul 12 alineatul (1) din RGPD, care este expresia principiului transparenței, are ca obiectiv să garanteze că persoana vizată este în măsură să înțeleagă pe deplin informațiile care îi sunt transmise (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 38).

57

Importanța respectării unei astfel de obligații de informare este confirmată și de considerentul (60) al RGPD, care enunță că principiile prelucrării echitabile și transparente impun ca persoana vizată să fie informată cu privire la existența și la scopurile unei operațiuni de prelucrare, fiind evidențiat faptul că operatorul ar trebui să furnizeze orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 36).

58

Reiese din cele ce precedă, în primul rând, că obligația de informare ce revine operatorului față de persoanele vizate de o prelucrare a datelor cu caracter personal constituie corolarul dreptului la informare recunoscut acestor persoane la articolele 12 și 13 din RGPD și care se numără astfel printre drepturile pe care acțiunea în reprezentare, prevăzută la articolul 80 alineatul (2) din acest regulament, urmărește să le protejeze. În plus, după cum reiese din cuprinsul punctelor 56 și 57 din prezenta hotărâre, respectarea acestei obligații garantează, într‑un mod mai general, respectarea principiilor transparenței și echității prelucrării menționate la articolul 5 alineatul (1) din regulamentul amintit.

59

În al doilea rând, astfel cum a arătat domnul avocat general la punctul 47 din concluzii, pretinsa încălcare a dreptului persoanelor vizate de a fi suficient informate cu privire la toate circumstanțele în care este efectuată o prelucrare a datelor cu caracter personal, în special cu privire la scopul acesteia și la destinatarul acestor date, este susceptibilă să împiedice exprimarea unui consimțământ „informat” în sensul articolului 4 punctul 11 din RGPD, ceea ce poate face ca această prelucrare să fie ilegală, în sensul articolului 5 alineatul (1) din acest regulament.

60

Astfel, validitatea consimțământului dat de persoana vizată depinde printre altele de aspectul dacă această persoană a obținut în prealabil informațiile în raport cu toate circumstanțele în care are loc prelucrarea datelor în discuție, la care ea avea dreptul în virtutea articolelor 12 și 13 din RGPD și care îi permit să își dea consimțământul în deplină cunoștință de cauză.

61

În măsura în care o prelucrare a datelor cu caracter personal efectuată cu încălcarea dreptului la informare al persoanei vizate de care beneficiază în temeiul articolelor 12 și 13 din RGPD nu respectă cerințele prevăzute la articolul 5 din acest regulament, încălcarea acestui drept la informare trebuie considerată o încălcare, „ca urmare a prelucrării” în sensul articolului 80 alineatul (2) din regulamentul menționat, a drepturilor persoanei vizate.

62

Rezultă că dreptul persoanei vizate de o prelucrare a datelor cu caracter personal, care decurge din articolul 12 alineatul (1) prima teză și din articolul 13 alineatul (1) literele (c) și (e) din RGPD, de a obține din partea operatorului, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopul unei astfel de prelucrări și la destinatarii unor astfel de date constituie un drept a cărui încălcare permite să se recurgă la mecanismul de a formula o acțiune în reprezentare prevăzut la articolul 80 alineatul (2) din acest regulament.

63

Această interpretare este confirmată, pe de o parte, de obiectivul RGPD, amintit la punctul 48 din prezenta hotărâre, de a asigura protecția eficientă a drepturilor și libertăților fundamentale ale persoanelor fizice și în special un nivel ridicat de protecție a dreptului oricărei persoane la viață privată în ceea ce privește prelucrarea datelor cu caracter personal care o privesc.

64

Pe de altă parte, o asemenea interpretare este conformă și cu funcția preventivă a acțiunii în reprezentare reglementate la articolul 80 alineatul (2) din RGPD, formulată de asociații pentru apărarea intereselor consumatorilor precum Uniunea Federală în speță (Hotărârea din 28 aprilie 2022, Meta Platforms Ireland,C‑319/20, EU:C:2022:322, punctul 76).

65

Ținând seama de ceea ce precedă, este necesar să se răspundă la întrebarea preliminară că articolul 80 alineatul (2) din RGPD trebuie interpretat în sensul că condiția potrivit căreia o entitate abilitată, pentru a putea introduce o acțiune în reprezentare în temeiul acestei dispoziții, trebuie să susțină că ea consideră că drepturile unei persoane vizate de care beneficiază în virtutea acestui regulament au fost încălcate „ca urmare a prelucrării” în sensul dispoziției menționate este îndeplinită atunci când această entitate invocă faptul că încălcarea drepturilor acestei persoane se produce cu ocazia unei prelucrări a datelor cu caracter personal și este rezultatul nerespectării obligației, care îi revine operatorului în temeiul articolului 12 alineatul (1) prima teză și al articolului 13 alineatul (1) literele (c) și (e) din regulamentul menționat, de a comunica persoanei vizate de această prelucrare a datelor, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopul acestei prelucrări de date și la destinatarii unor astfel de date, cel târziu la momentul colectării acestora.

66

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Camera a patra) declară:

Articolul 80 alineatul (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că

condiția potrivit căreia o entitate abilitată, pentru a putea introduce o acțiune în reprezentare în temeiul acestei dispoziții, trebuie să susțină că ea consideră că drepturile prevăzute de acest regulament ale unei persoane vizate au fost încălcate „ca urmare a prelucrării” în sensul dispoziției menționate este îndeplinită atunci când această entitate invocă faptul că încălcarea drepturilor acestei persoane se produce cu ocazia unei prelucrări a datelor cu caracter personal și este rezultatul nerespectării obligației, care îi revine operatorului în temeiul articolului 12 alineatul (1) prima teză și al articolului 13 alineatul (1) literele (c) și (e) din regulamentul menționat, de a comunica persoanei vizate de această prelucrare a datelor, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, informațiile referitoare la scopul acestei prelucrări de date și la destinatarii unor astfel de date, cel târziu la momentul colectării acestora.