This document is an excerpt from the EUR-Lex website
Document 62021CC0768
Opinion of Advocate General Pikamäe delivered on 11 April 2024.###
Concluziile avocatului general P. Pikamäe prezentate la 11 aprilie 2024.
Concluziile avocatului general P. Pikamäe prezentate la 11 aprilie 2024.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:291
CONCLUZIILE AVOCATULUI GENERAL
DOMNUL PRIIT PIKAMÄE
prezentate la 11 aprilie 2024 ( 1 )
Cauza C‑768/21
TR
împotriva
Land Hessen
[cerere de decizie preliminară formulată de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania)]
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 57 alineatul (1) literele (a) și (f) – Sarcinile autorității de supraveghere – Articolul 58 alineatul (2) – Competențele autorității de supraveghere – Articolul 77 alineatul (1) – Dreptul de a depune o plângere – Încălcarea securității datelor cu caracter personal – Obligația autorității de supraveghere de a adopta măsuri”
I. Introducere
1. |
Prezenta cerere de decizie preliminară formulată de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania) în temeiul articolului 267 TFUE are ca obiect interpretarea articolului 57 alineatul (1) literele (a) și (f), a articolului 58 alineatul (2), precum și a articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ( 2 ) (denumit în continuare „RGPD”). |
2. |
Această cerere a fost formulată în cadrul unui litigiu între TR, pe de o parte, și Land Hessen (landul Hessen, Germania), reprezentat de Hessischer Beauftragte für Datenschutz und Informationsfreiheit (Comisarul landului Hessen pentru Protecția Datelor și Libertatea de Informare, denumit în continuare „HBDI”), pe de altă parte, în legătură cu refuzul acestuia din urmă de a acționa împotriva Casei de Economii ca urmare a unei încălcări a securității datelor cu caracter personal. Instanța de trimitere ridică problema dacă autoritatea de supraveghere, atunci când constată o prelucrare a datelor care încalcă drepturile persoanei vizate, este în toate cazurile obligată să acționeze în cadrul competențelor pe care i le conferă articolul 58 alineatul (2) din RGPD sau dacă aceasta poate într‑un caz particular să renunțe – în pofida unei încălcări – la a acționa. |
3. |
Prezenta cauză ridică mai multe probleme de drept inedite care invită la o reflecție profundă. Curtea va trebui să se pronunțe în esență cu privire la rolul pe care îl au principiile legalității și oportunității în practica administrativă a autorităților de supraveghere și în special în îndeplinirea sarcinii lor de a monitoriza punerea în aplicare a RGPD, precum și de a asigura respectarea acestuia. Orientările interpretative care vor rezulta din jurisprudența Curții vor influența această practică administrativă, contribuind astfel la o aplicare coerentă a acestui regulament în cadrul Uniunii. |
II. Cadrul juridic
4. |
Considerentele (129), (141), (148) și (150) ale RGPD au următorul cuprins:
[…]
[…]
[…]
|
5. |
Articolul 33 alineatul (1) din acest regulament prevede: „În cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente în temeiul articolului 55, fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este puțin probabil să genereze un risc pentru drepturile și libertățile persoanelor fizice. […]” |
6. |
Articolul 34 alineatul (1) din regulamentul menționat prevede: „În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.” |
7. |
Articolul 57 alineatul (1) din același regulament prevede: „Fără a aduce atingere altor sarcini stabilite în temeiul prezentului regulament, fiecare autoritate de supraveghere, pe teritoriul său:
[…]
[…]” |
8. |
Potrivit articolului 58 din RGPD: „(1) Fiecare autoritate de supraveghere are toate următoarele competențe de investigare:
[…] (2) Fiecare autoritate de supraveghere are toate următoarele competențe corective:
[…]
[…]” |
9. |
Articolul 77 din acest regulament prevede: „(1) Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament. (2) Autoritatea de supraveghere la care s‑a depus plângerea informează reclamantul cu privire la evoluția și rezultatul plângerii, inclusiv posibilitatea de a exercita o cale de atac judiciară în temeiul articolului 78.” |
10. |
Articolul 78 din regulamentul menționat prevede la alineatele (1) și (2): „(1) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează. (2) Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care autoritatea de supraveghere care este competentă în temeiul articolelor 55 și 56 nu tratează o plângere sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77.” |
11. |
Articolul 83 din RGPD prevede la alineatele (1) și (2): „(1) Fiecare autoritate de supraveghere asigură faptul că impunerea unor amenzi administrative în conformitate cu prezentul articol pentru încălcările prezentului regulament menționate la alineatele (4), (5) și (6) este, în fiecare caz, eficace, proporțională și disuasivă. (2) În funcție de circumstanțele fiecărui caz în parte, amenzile administrative sunt impuse în completarea sau în locul măsurilor menționate la articolul 58 alineatul (2) literele (a)-(h) și (j). Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
|
III. Situația de fapt aflată la originea litigiului, procedura principală și întrebarea preliminară
12. |
Casa de Economii este un organism local de drept public care efectuează printre altele operațiuni bancare și de creditare. La 15 noiembrie 2019, aceasta a notificat HBDI o încălcare a securității datelor cu caracter personal, în conformitate cu articolul 33 din RGPD, întrucât una dintre angajatele sale a accesat în mai multe rânduri, fără autorizație, date cu caracter personal ale lui TR, unul dintre clienții săi. Totuși, apreciind că nu era vorba despre o încălcare a securității datelor cu caracter personal susceptibilă să genereze un risc ridicat pentru TR, Casa de Economii a omis să trimită o notificare și lui TR, în temeiul articolului 34 din acest regulament. |
13. |
După ce a luat cunoștință de acest incident, TR s‑a adresat HBDI printr‑o scrisoare din 27 iulie 2020 în care indica o încălcare a articolului 34 din RGPD și critica durata scurtă, de trei luni, de stocare a jurnalelor de acces ale Casei de Economii, precum și faptul că fiecare angajat al său dispunea de drepturi de acces extinse. |
14. |
În cadrul procedurii desfășurate la HBDI, Casa de Economii a arătat că responsabilul său cu protecția datelor a considerat că nu exista niciun risc pentru TR întrucât împotriva angajatei în cauză fuseseră luate măsuri disciplinare, iar aceasta a confirmat în scris că nu a copiat, nu a stocat și nu a transmis terților datele despre care a luat cunoștință și s‑a angajat să nu facă acest lucru nici în viitor. În plus, perioada de stocare a datelor de acces urma să fie verificată. |
15. |
Printr‑o decizie din 3 septembrie 2020, HBDI l‑a informat pe TR că, în speță, Casa de Economii nu a încălcat articolul 34 din RGPD. Potrivit acestei autorități, decizia care trebuia adoptată în temeiul dispoziției menționate ar fi bazată pe previziuni. Din perspectiva regimului de supraveghere a protecției datelor, trebuia să se examineze dacă această decizie era vădit eronată. Or, Casa de Economii a arătat că, deși ar fi avut loc un acces, nu ar fi existat niciun indiciu că angajata care a accesat datele le‑ar fi transmis către terți sau le‑ar fi folosit în detrimentul lui TR. Astfel, era puțin probabil să existe un risc ridicat. În plus, Casei de Economii i s‑a solicitat ca pe viitor să stocheze jurnalele de acces pentru o perioadă mai îndelungată. Nu era necesară – potrivit HBDI – efectuarea unui control de principiu al fiecărui acces, putând fi acordate în principiu drepturi de acces extinse dacă se garanta că fiecare utilizator era instruit cu privire la condițiile de acces și la datele care pot fi accesate. |
16. |
TR a introdus o acțiune împotriva deciziei din 3 septembrie 2020 la Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden), instanța de trimitere, solicitându‑i să oblige HBDI să acționeze împotriva Casei de Economii. |
17. |
În susținerea acțiunii formulate, TR arată că HBDI nu a tratat plângerea sa în conformitate cu cerințele RGPD. El afirmă că are dreptul ca această plângere să fie tratată și ca el să fie informat cu privire la modul în care i s‑a dat curs. HBDI ar fi fost obligat să stabilească împrejurările de fapt pentru evaluarea riscului de către Casa de Economii fără a se limita la măsurile solicitate în mod expres și ar fi trebuit să impună amenzi Casei de Economii. Potrivit lui TR, în cazul constatării unei încălcări, principiul oportunității nu ar fi aplicabil, astfel încât HBDI nu ar fi dispus de putere de decizie, ci cel mult de puterea de alegere a măsurilor pe care intenționa să le adopte. |
18. |
Instanța de trimitere precizează că, în speță, HBDI, în calitate de autoritate de supraveghere, a ajuns la concluzia că, deși a avut loc o încălcare a dispozițiilor privind protecția datelor, nu s‑ar impune totuși adoptarea unor măsuri în temeiul articolului 58 alineatul (2) din RGPD. Or, această abordare ar fi legală numai dacă o autoritate de supraveghere nu ar fi obligată să adopte măsuri nici în cazul constatării unei încălcări a securității datelor. Dacă s‑ar urma teza lui TR potrivit căreia autoritatea de supraveghere nu are nicio putere de apreciere, aceasta ar avea drept consecință faptul că, în cazul constatării unei încălcări, ar exista întotdeauna un drept de a acționa și de a avea competențe corective și că autoritatea de supraveghere ar trebui să adopte în toate cazurile o măsură. În cazul respingerii, instanța va trebui să oblige autoritatea de supraveghere să adopte o măsură sau o serie de măsuri. |
19. |
Instanța de trimitere arată că această argumentație, care este de asemenea susținută într‑o parte a doctrinei, se întemeiază pe faptul că competențele corective prevăzute la articolul 58 alineatul (2) din RGPD servesc la restabilirea unor situații legitime atunci când drepturile cetățenilor sunt încălcate ca urmare a unei prelucrări a datelor. Astfel, această dispoziție ar trebui interpretată ca o normă de obligare care ar justifica un drept al cetățeanului la acțiune din partea autorităților atunci când o întreprindere sau o autoritate a prelucrat în mod nelegal date cu caracter personal ale cetățeanului sau a adus atingere unor drepturi în alt mod. În cazul constatării unei încălcări a securității datelor, autoritatea de supraveghere ar fi obligată să exercite competențe corective, singura putere discreționară de care ar dispune fiind numai aceea de a alege măsurile pe care le adoptă dintre cele prevăzute. |
20. |
Instanța de trimitere are însă îndoieli cu privire la această interpretare și consideră că este prea largă. Dimpotrivă, ea tinde să acorde autorității de supraveghere o marjă de manevră care să îi permită deopotrivă să se abțină de la impunerea oricărei sancțiuni în cazul încălcărilor constatate. Astfel, articolul 57 alineatul (1) litera (f) din RGPD s‑ar limita să prevadă că autoritatea de supraveghere sesizată cu plângeri investighează într‑o măsură adecvată obiectul plângerii și îl informează pe autorul acesteia cu privire la evoluția și rezultatul investigației, într‑un termen rezonabil. De aici rezultă că ar exista o obligație a autorității de supraveghere de a efectua o examinare atentă pe fond și de a examina fiecare caz particular, dar nu și că trebuie să acționeze întotdeauna și fără excepție atunci când se constată o încălcare. |
21. |
În aceste condiții, Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară: „Articolul 57 alineatul (1) literele (a) și (f) și articolul 58 alineatul (2) literele (a)-(j) coroborate cu articolul 77 alineatul (1) din [RGPD] trebuie interpretate în sensul că, în cazul în care autoritatea de supraveghere constată că există o prelucrare a datelor care aduce atingere drepturilor persoanei vizate, autoritatea de supraveghere este obligată întotdeauna să adopte măsuri în temeiul articolului 58 alineatul (2) din acest regulament?” |
IV. Procedura în fața Curții
22. |
Decizia de trimitere din 10 decembrie 2021 a fost primită la grefa Curții la 14 decembrie 2021. |
23. |
Părțile din litigiul principal, guvernele austriac, portughez, român și norvegian, precum și Comisia Europeană au depus observații scrise în termenul prevăzut la articolul 23 din Statutul Curții de Justiție a Uniunii Europene. |
24. |
În cadrul reuniunii generale din 16 ianuarie 2024, Curtea a decis să nu organizeze o ședință de audiere a pledoariilor. |
V. Analiză juridică
A. Considerații introductive
25. |
De la intrarea în vigoare a RGPD, numeroase organisme au trebuit să implementeze o serie de măsuri pentru a fi în conformitate cu noua reglementare privind prelucrarea datelor cu caracter personal. În cazul în care organismele nu respectă aceste măsuri, ele se expun unor sancțiuni mai mult sau mai puțin severe, în funcție de gravitatea încălcării. Amenzile administrative se află în centrul regimului de punere în aplicare introdus de RGPD. Acestea constituie un element eficient din panoplia de care dispun autoritățile de supraveghere pentru a asigura respectarea reglementării, în paralel cu alte măsuri corective prevăzute la articolul 58 alineatul (2) din RGPD. Dat fiind că acest regulament permite autorităților de supraveghere să impună amenzi uneori foarte ridicate, este oportun să se precizeze, în interesul securității juridice, circumstanțele care justifică recurgerea la această măsură corectivă. Prin urmare, prezentele concluzii trebuie înțelese ca o contribuție la acest obiectiv. |
26. |
Concluziile pe care le prezentăm în cauza de față reîncep, ca să spunem așa, de unde se opresc Concluziile noastre în cauzele conexate C‑26/22 și C‑64/22 (SCHUFA Holding) (denumite în continuare „cauzele SCHUFA”) ( 3 ). În timp ce în acele cauze am explicat care sunt obligațiile care revin autorității de supraveghere în cadrul examinării unei plângeri formulate în temeiul articolului 77 din RGPD, în prezenta cauză vom aborda obligațiile sale în cadrul depistării unei încălcări a securității datelor cu caracter personal, precum și competența sa de a adopta măsuri corective, în special impunerea unor amenzi administrative. Ulterior, vom examina problema dacă RGPD prevede obligația autorității de supraveghere de a impune o astfel de amendă în toate cazurile sau cel puțin atunci când autorul plângerii solicită acest lucru în mod expres. Pe baza unei sinteze a analizei noastre, vom răspunde la întrebarea adresată de instanța de trimitere privind posibilitatea autorității de supraveghere de a renunța la adoptarea unor măsuri corective. |
B. Cu privire la admisibilitatea trimiterii preliminare
27. |
Înainte de a examina toate aceste aspecte, trebuie să se analizeze argumentul lui TR întemeiat pe inadmisibilitatea cererii de decizie preliminară. Mai concret, TR susține că un răspuns la întrebarea adresată nu este necesar pentru soluționarea litigiului principal. Acțiunea sa ar urmări numai ca instanța de trimitere să oblige HBDI să se pronunțe cu privire la motivele invocate în plângerea cu care este sesizat, iar nu ca HBDI să fie obligat să exercite competențele conferite de articolul 58 alineatul (2) din RGPD. |
28. |
În această privință, trebuie amintit că, în cadrul cooperării dintre Curte și instanțele naționale instituită prin articolul 267 TFUE, numai instanța națională, care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru decizia ce urmează a fi pronunțată, are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este în principiu obligată să se pronunțe ( 4 ). |
29. |
Prin urmare, întrebările referitoare la interpretarea dreptului Uniunii adresate de instanța națională în cadrul normativ și factual pe care îl definește sub răspunderea sa și a cărui exactitate Curtea nu are competența să o verifice beneficiază de o prezumție de pertinență. Refuzul Curții de a se pronunța cu privire la o cerere adresată de o instanță națională este posibil numai dacă este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul acțiunii principale, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate ( 5 ). |
30. |
În speță, instanța de trimitere, expunând în mod clar motivele pentru care ridică problema interpretării dispozițiilor de drept al Uniunii menționate în întrebarea sa preliminară, a precizat totodată că răspunsul la aceasta era determinant pentru soluționarea litigiului principal, în măsura în care TR solicitase HBDI să acționeze împotriva Casei de Economii. Astfel cum reiese din expunerea de motive cuprinsă în cererea de decizie preliminară, TR a invocat un „drept” de a solicita o asemenea acțiune. Mai precis, potrivit opiniei lui TR, „HBDI ar fi trebuit să impună amenzi Casei de Economii”. În acest context, instanța de trimitere se referă la calculele efectuate de TR pentru a determina cuantumul amenzilor care trebuie impuse. |
31. |
Toate aceste informații furnizate chiar de instanța de trimitere contrazic în mod clar afirmațiile lui TR cu privire la pretinsa inadmisibilitate a cererii de decizie preliminară. Ținând seama de aceste împrejurări, nu există, în opinia noastră, nicio îndoială că un răspuns la întrebarea adresată de instanța de trimitere este necesar pentru soluționarea litigiului. Astfel, este esențial să se stabilească întinderea competențelor autorității de supraveghere, precum și a obligațiilor sale față de autorul unei plângeri. În consecință, trebuie să se concluzioneze că cererea de decizie preliminară este admisibilă. |
C. Examinarea întrebării preliminare
32. |
În ceea ce privește fondul, întrebarea preliminară urmărește să se stabilească în esență care sunt obligațiile autorității de supraveghere atunci când a fost depistată o încălcare a securității datelor cu caracter personal. O astfel de ipoteză presupune în general că încălcarea în cauză a fost stabilită în cadrul unei investigații deschise în urma unei plângeri. |
33. |
Declarațiile instanței de trimitere evidențiază câteva imprecizii în ceea ce privește obligațiile pe care RGPD le impune autorității de supraveghere în cadrul examinării unei plângeri, ceea ce se explică, în opinia noastră, prin faptul că cererea de decizie preliminară a fost adresată înainte de pronunțarea hotărârii în cauzele SCHUFA ( 6 ), în care Curtea a stabilit o serie de principii importante care guvernează procedura privind plângerea. Prin urmare, se poate presupune în mod rezonabil că instanța nu a avut posibilitatea de a lua cunoștință de această jurisprudență. |
34. |
Pentru a prezenta cât mai complet posibil cadrul juridic referitor la regimul de supraveghere instituit prin RGPD și pentru a da un răspuns util instanței de trimitere, considerăm că este indispensabil să amintim, într‑o primă etapă, care sunt principiile aplicabile procedurii privind plângerea ( 7 ) și să explicăm, într‑o a doua etapă, modul în care ar trebui să procedeze o autoritate de supraveghere atunci când a identificat o încălcare a securității datelor cu caracter personal ( 8 ). |
1. Cu privire la obligațiile autorității de supraveghere în cadrul examinării unei plângeri
35. |
Astfel cum a arătat Curtea în Hotărârea SCHUFA, în conformitate cu articolul 8 alineatul (3) din cartă, precum și cu articolul 51 alineatul (1) și cu articolul 57 alineatul (1) litera (a) din RGPD, autoritățile naționale de supraveghere sunt responsabile să supravegheze respectarea normelor Uniunii referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ( 9 ). |
36. |
În special, în temeiul articolului 57 alineatul (1) litera (f) din RGPD, fiecare autoritate de supraveghere este obligată, pe teritoriul său, să trateze plângerile pe care orice persoană, conform articolului 77 alineatul (1) din acest regulament, are dreptul de a le depune în cazul în care consideră că o prelucrare a datelor cu caracter personal care o vizează încalcă regulamentul menționat și să investigheze într‑o măsură adecvată obiectul acestora ( 10 ). |
37. |
Autoritatea de supraveghere trebuie să soluționeze o astfel de plângere cu toată diligența necesară. Curtea a arătat de asemenea că, în vederea soluționării plângerilor depuse, articolul 58 alineatul (1) din RGPD învestește fiecare autoritate de supraveghere cu competențe importante de investigare ( 11 ). |
38. |
În acest context, trebuie să se observe că Curtea s‑a raliat la interpretarea pe care am susținut‑o în Concluziile prezentate în cauzele SCHUFA, potrivit căreia procedura privind plângerea, care nu se aseamănă cu cea privind o petiție, este concepută ca un mecanism capabil să protejeze în mod eficient drepturile și interesele persoanelor vizate ( 12 ). |
39. |
Pe de altă parte, trebuie să se menționeze că Curtea a împărtășit de asemenea interpretarea noastră cu privire la articolul 78 alineatul (1) din RGPD, considerând că o decizie adoptată de o autoritate de supraveghere cu privire la o plângere este supusă unui control jurisdicțional complet ( 13 ). |
2. Cu privire la obligațiile autorității de supraveghere în cadrul identificării unei încălcări a securității datelor cu caracter personal
40. |
Atunci când autoritatea de supraveghere constată o încălcare a securității datelor cu caracter personal în cadrul examinării unei plângeri, se ridică problema modului în care trebuie să procedeze. Astfel cum vom explica în continuare, o asemenea constatare stabilește, mai întâi, o obligație a autorității de supraveghere de a acționa în interesul principiului legalității. În general, trebuie să se identifice cele mai adecvate măsuri corective pentru a aborda încălcarea ( 14 ). Considerăm că această interpretare este rezonabilă, ținând seama de faptul că articolul 57 alineatul (1) litera (a) din RGPD încredințează autorității sarcina de „a monitoriza” și de „a asigura aplicarea regulamentului”. Ar fi incompatibil cu acest mandat ca autoritatea de supraveghere să aibă posibilitatea de a ignora pur și simplu încălcarea dovedită ( 15 ). |
41. |
În plus, competențele de investigare de care dispune autoritatea de supraveghere în temeiul articolului 58 alineatul (1) din RGPD ar avea o valoare redusă în cazul în care autoritatea de supraveghere ar fi obligată să se limiteze la efectuarea unei investigații, în pofida constatării unei încălcări a drepturilor privind datele cu caracter personal. Astfel, punerea în aplicare a dreptului Uniunii în materie de protecție a datelor cu caracter personal constituie o componentă esențială a noțiunii de „control” prevăzute la articolul 16 alineatul (2) TFUE și la articolul 8 alineatul (3) din cartă ( 16 ). În acest context, nu trebuie să se uite faptul că autoritatea de supraveghere acționează și în interesul persoanei sau al entității ale cărei drepturi au fost încălcate. În această privință, trebuie să se arate că articolul 57 alineatul (1) litera (f) și articolul 77 alineatul (2) din RGPD impun anumite obligații față de autorul plângerii, și anume de „a‑l informa cu privire la evoluția și rezultatul investigației”. |
42. |
Această din urmă teză presupune că autoritatea de supraveghere trebuie de asemenea să justifice măsurile luate în ceea ce privește încălcarea securității datelor cu caracter personal pe care a identificat‑o. Este evident că procedura privind plângerea nu ar avea nicio utilitate dacă autoritatea de supraveghere ar putea rămâne pasivă față de o situație juridică contrară dreptului Uniunii. Acesta este motivul pentru care, pentru a oferi autorității de supraveghere un mijloc eficient de a face față acestui tip de încălcări, articolul 58 alineatul (2) din RGPD prevede o listă de măsuri corective, eșalonate în funcție de intensitatea acțiunii. Obligația de a acționa în toate cazurile, indiferent de gravitatea încălcării, înseamnă că autoritatea de supraveghere trebuie să recurgă la această listă de măsuri corective pentru a restabili o situație conformă cu dreptul Uniunii ( 17 ). |
3. Cu privire la competența de care dispune autoritatea de supraveghere de a adopta măsuri corective
43. |
Acestea fiind spuse, trebuie să se precizeze că problema dacă autoritatea trebuie să acționeze în cazul unei încălcări a securității datelor cu caracter personal trebuie diferențiată clar de problema modului în care aceasta trebuie să acționeze concret. În ceea ce privește această din urmă problemă, mai multe indicii permit să se deducă faptul că autoritatea de supraveghere dispune de o marjă de manevră, care trebuie însă exercitată în conformitate cu obiectivele RGPD și în limitele stabilite de acesta. Deși am prezentat deja câteva argumente în susținerea unei asemenea interpretări în cauzele SCHUFA ( 18 ), este totuși necesar să abordăm această problemă în mod aprofundat în prezentele concluzii. |
44. |
De la bun început trebuie să se observe că, în conformitate cu articolul 58 alineatul (2) din RGPD, autoritatea de supraveghere „are [toate] competențele” corective enumerate la această dispoziție, ceea ce înseamnă existența unei facultăți, astfel cum arată în mod întemeiat instanța de trimitere. De altfel, această conotație se regăsește în toate versiunile lingvistice pe care le‑am examinat în cadrul analizei noastre ( 19 ). |
45. |
Articolul 58 alineatul (2) din RGPD trebuie interpretat în lumina considerentului (129) al acestui regulament, din care reiese că „fiecare măsură [trebuie] să fie adecvată, necesară și proporțională în scopul de a asigura conformitatea cu dispozițiile prezentului regulament, luând în considerare circumstanțele fiecărui caz în parte” (sublinierea noastră). Cu alte cuvinte, „competența” conferită autorității de supraveghere de a recurge la lista măsurilor corective prevăzută la această dispoziție este subordonată unei serii de condiții, printre altele ca măsura adoptată de această autoritate să fie „adecvată”. Interpretăm această noțiune juridică nedeterminată, care conferă autorității o marjă de manevră, în sensul că măsura aleasă trebuie să poată, ca urmare a proprietăților sale și a modului său de acțiune, să restabilească o situație conformă cu dreptul Uniunii ( 20 ). |
46. |
Această interpretare este în conformitate cu jurisprudența Curții, care a statuat că, atunci când o autoritate de supraveghere constată că o prelucrare a datelor cu caracter personal a constituit o încălcare a RGPD, „ea este obligată să reacționeze în mod corespunzător pentru a remedia insuficiența constatată” ( 21 ). Așa cum subliniază Comisia, obligația care revine autorității de supraveghere privește, așadar, înainte de toate, rezultatul care trebuie atins, și anume remedierea încălcării constatate, prin adoptarea măsurii „adecvate” în acest scop. În plus, trebuie să se arate faptul că decizia privind măsura care trebuie luată depinde de circumstanțele concrete ale fiecărui caz, astfel cum reiese în mod clar din considerentul (129) al RGPD citat anterior. În consecință, deciziile luate de autoritatea de supraveghere în cadrul practicii sale administrative pot varia semnificativ de la un caz la altul în funcție de situație. |
47. |
În măsura în care articolul 58 alineatul (2) din RGPD se limitează să prevadă că fiecare autoritate de supraveghere „are [toate] competențele” corective enumerate la această dispoziție, autoritatea de supraveghere beneficiază de o marjă de manevră întrucât este în principiu liberă să aleagă dintre aceste măsuri corective pentru a remedia încălcarea constatată. Astfel cum a subliniat Curtea în hotărârea pronunțată în cauza C‑311/18 (Facebook Ireland și Schrems), „alegerea mijlocului adecvat și necesar aparține autorității de supraveghere”, care trebuie să facă alegerea menționată luând în considerare toate circumstanțele cazului concret ( 22 ). |
48. |
Recunoașterea unei puteri discreționare implică, în opinia noastră, și competența de a nu lua niciuna dintre măsurile corective prevăzute la articolul 58 alineatul (2) din RGPD atunci când o asemenea abordare este justificată de circumstanțele specifice ale cazului particular. Astfel, dat fiind că recurgerea la lista de măsuri corective este de asemenea subordonată condiției ca măsura în cauză să fie „necesară” în scopul de a asigura conformitatea cu dispozițiile acestui regulament, nu se poate exclude ca o acțiune concretă din partea autorității de supraveghere să nu îndeplinească această condiție, de exemplu dacă problema a fost rezolvată sau depășită între timp și încălcarea a încetat să existe. Este evident că o acțiune a autorității de supraveghere ar fi lipsită de sens în astfel de circumstanțe. |
49. |
De asemenea, așa cum arată în mod întemeiat guvernul portughez, recurgerea la măsuri corective poate să nu mai fie justificată dacă nivelul caracterului reprobabil al comportamentului operatorului sau al persoanei împuternicite de operator este vădit scăzut sau dacă circumstanțele cauzei sunt atenuante în sine, în special pentru că există o anumită partajare a răspunderii cu autorul plângerii. Or, acest lucru presupune ca autoritatea de supraveghere să aibă posibilitatea de a stabili un prag sub care o acțiune nu este considerată „necesară” în sensul RGPD. |
50. |
În acest context, ne permitem să atragem atenția asupra considerentului (141) al RGPD, care menționează în mod explicit posibilitatea ca autoritatea de supraveghere să decidă să nu acționeze în cazurile în care consideră că o acțiune nu este „necesară” pentru a asigura protecția drepturilor persoanei vizate („în cazul în care […] nu acționează atunci când o astfel de acțiune este necesară”) (sublinierea noastră). Acest considerent precizează că decizia autorității de supraveghere poate face obiectul unui control jurisdicțional și în cazul în care autorul plângerii nu ar împărtăși aprecierea autorității de supraveghere în ceea ce privește „necesitatea” de a acționa, pe lângă celelalte situații enumerate în cuprinsul său, și anume atunci când drepturile sale în temeiul acestui regulament sunt încălcate sau atunci când autoritatea de supraveghere nu reacționează la o plângere, refuză sau respinge parțial sau total o plângere. |
51. |
Puterea discreționară recunoscută autorității de supraveghere în temeiul articolului 58 alineatul (2) din RGPD implică de asemenea posibilitatea de a remedia încălcările minore prin alte măsuri luate chiar de operator. Astfel cum arată circumstanțele prezentei cauze, măsurile corective care trebuie luate de întreprinderile responsabile în mod „autonom” pot consta în adoptarea unor măsuri disciplinare împotriva salariaților care au săvârșit încălcări. În circumstanțele în care răspunderea pentru încălcare a fost recunoscută și s‑a asigurat că nu va avea loc o nouă încălcare a securității datelor, impunerea unor măsuri corective suplimentare de către autoritatea de supraveghere poate părea inutilă. |
52. |
În anumite circumstanțe se poate dovedi chiar contraproductiv să se utilizeze competența de a adopta măsuri corective împotriva unui operator atunci când acest lucru nu este nici adecvat, nici necesar. Dacă autoritatea de supraveghere ar fi obligată să utilizeze competențele de a adopta măsuri corective prevăzute la articolul 58 alineatul (2) din RGPD în fiecare caz de încălcare, ar rezulta din aceasta o diminuare a resurselor disponibile pentru monitorizarea altor cauze și sarcini care merită mai multă atenție din punctul de vedere al protecției datelor. Pentru acest motiv, considerăm că recurgerea la măsuri „autonome” adoptate chiar de operator ar permite autorității de supraveghere să se concentreze asupra unor cazuri grave care merită prioritate, asigurând în același timp o combatere continuă, dar în mod descentralizat a încălcărilor securității datelor cu caracter personal, și anume prin intermediul unei delegări parțiale a sarcinilor sale. |
53. |
Dacă autoritatea de supraveghere alege să se abțină de la aplicarea măsurilor corective prevăzute la articolul 58 alineatul (2) din RGPD, favorizând în același timp recurgerea la măsuri „autonome” luate de operator, considerăm totuși indispensabil ca unele cerințe juridice să fie respectate. În primul rând, autoritatea de supraveghere ar trebui să își dea consimțământul expres pentru o astfel de măsură pentru a evita orice eludare a regimului de supraveghere instituit prin RGPD. În al doilea rând, acest consimțământ ar trebui să fie precedat de o examinare riguroasă a situației în raport cu condițiile menționate în considerentul (129) al RGPD pentru a nu exonera autoritatea de supraveghere de responsabilitatea sa de a asigura respectarea acestui regulament. În al treilea rând, acordul cu entitatea care trebuie să execute măsura „autonomă” ar trebui să prevadă dreptul autorității de supraveghere de a acționa în cazul în care instrucțiunile sale nu sunt respectate. În cazul în care Curtea ar urma această interpretare și ar considera că astfel de măsuri „autonome” sunt, în principiu, conforme cu RGPD, apreciem că Curtea ar trebui de asemenea să insiste asupra necesității de a respecta cerințele menționate mai sus în interesul coerenței sistemului de supraveghere. |
54. |
Întrucât articolul 58 alineatul (2) din RGPD recunoaște o putere discreționară autorității de supraveghere în ceea ce privește alegerea măsurii corective „adecvate” în cazul particular, este logic să se excludă orice drept al autorului plângerii de a solicita adoptarea unei anumite măsuri. Astfel, deși autorul plângerii dispune de anumite drepturi față de autoritatea de supraveghere în cadrul acestei proceduri, în special de dreptul de a fi informat cu privire la evoluția și rezultatul investigației, într‑un termen rezonabil, nu este mai puțin adevărat că acestea nu includ dreptul de a impune adoptarea unei măsuri specifice. |
55. |
Un asemenea drept nu poate fi dedus nici din faptul că autorul plângerii beneficiază de dreptul la o cale de atac judiciară efectivă împotriva unei autorități de supraveghere, în temeiul articolului 78 din RGPD, întrucât obligația principală a autorității menționate față de acesta în cadrul procedurii privind plângerea constă în motivarea în mod suficient de precis și de detaliat a deciziei sale de a acționa sau nu în speță, ținând seama de constatările efectuate în cadrul investigației desfășurate de autoritate. |
56. |
Pe de altă parte, trebuie să se observe că, în conformitate cu articolul 78 alineatul (2) din RGPD, calea de atac judiciară poate fi formulată pentru motivul că autoritatea de supraveghere competentă nu tratează plângerea sau nu informează persoana vizată în termen de trei luni cu privire la progresele sau la soluționarea plângerii depuse în temeiul articolului 77 din acest regulament. Or, trebuie să se constate că niciunul dintre motivele menționate nu indică faptul că persoana vizată dispune de vreun drept subiectiv de a solicita adoptarea unei anumite măsuri în cadrul unei căi de atac judiciare. |
57. |
Același lucru este valabil pentru posibilitatea, menționată în considerentul (141) al RGPD, de a contesta, prin intermediul unei căi de atac judiciare, aprecierea autorității de supraveghere în ceea ce privește „necesitatea” de a acționa pentru asigurarea protecției drepturilor persoanei vizate. Chiar dacă „necesitatea” de a acționa într‑un caz particular ar fi în cele din urmă stabilită de instanța competentă, aceasta nu înseamnă neapărat că o anumită măsură ar trebui să fie adoptată de autoritatea de supraveghere. Aceasta din urmă ar fi mai degrabă obligată să își exercite puterea discreționară, dacă este cazul, ținând seama de aprecierea efectuată de instanța respectivă. |
58. |
Acestea fiind spuse, trebuie să se precizeze că este de asemenea posibil ca autoritatea de supraveghere, în calitate de organ administrativ, să fie obligată să adopte o anumită măsură ca urmare a împrejurărilor specifice ale speței, în special în cazul în care există un risc grav de încălcare a drepturilor fundamentale ale persoanei vizate. În Concluziile noastre în cauzele SCHUFA ( 23 ) am evocat tocmai acest scenariu. Prezenta cerere de decizie preliminară oferă astfel oportunitatea de a dezvolta acest subiect. |
59. |
În această privință, trebuie amintită, mai întâi, hotărârea pronunțată în cauza C‑311/18 (Facebook Ireland și Schrems), în care Curtea a lăsat să se întrevadă că o astfel de situație poate exista efectiv. Mai concret, Curtea a statuat că autoritatea de supraveghere este obligată, dacă este cazul, să ia unele dintre măsurile enumerate la articolul 58 alineatul (2) din RGPD, printre altele atunci când apreciază că protecția impusă de dreptul Uniunii nu poate fi asigurată prin alte mijloace. În consecință, în această măsură, puterea discreționară a autorității de supraveghere se limitează la unele sau chiar, dacă este cazul, la una dintre măsurile prevăzute la această dispoziție ( 24 ). |
60. |
Astfel cum indică în mod întemeiat guvernul austriac, pot exista o multitudine de situații similare care impun adoptarea unei anumite măsuri corective, precum, de exemplu, cea în care autoritatea de supraveghere constată, în cadrul unei proceduri privind plângerea, că există o obligație de ștergere și că operatorul nu a șters încă datele. În situația descrisă, autoritatea de supraveghere va fi obligată, în orice caz, în conformitate cu articolul 58 alineatul (2) litera (g) din RGPD, să dispună ștergerea. |
61. |
Exemplele menționate la punctele precedente arată că nu se poate exclude posibilitatea ca, în funcție de circumstanțele specifice ale cazului particular, restabilirea unei situații conforme cu dreptul Uniunii să fie obținută numai prin adoptarea unei anumite măsuri corective. În special, considerăm că, în circumstanțe în care ar exista altfel un risc de încălcare gravă a drepturilor persoanei vizate, puterea discreționară a autorității de supraveghere ar putea fi limitată la adoptarea numai a măsurii adecvate pentru protejarea drepturilor acestei persoane. |
62. |
Orice altă interpretare ar fi, în opinia noastră, incompatibilă cu obligația de a garanta respectarea drepturilor fundamentale prevăzute de cartă, de care sunt ținute autoritățile statelor membre în cazul în care acestea pun în aplicare dreptul Uniunii, în conformitate cu articolul 51 alineatul (1) din cartă. Această obligație revine și autorităților de supraveghere, astfel cum rezultă din articolul 58 alineatul (4) din RGPD ( 25 ). Din această perspectivă, este rezonabil să se susțină teza că dreptul Uniunii acordă persoanei vizate un drept subiectiv de a solicita ca autoritatea să adopte măsura în cauză. Cu toate acestea, dorim să subliniem că în prezenta cauză nu vedem niciun indiciu în sensul că sunt îndeplinite condițiile pentru o asemenea limitare a puterii discreționare a autorității de supraveghere. |
63. |
Pe scurt, trebuie să se rețină că o autoritate de supraveghere sesizată cu o plângere în temeiul articolului 77 din RGPD este obligată, atunci când constată o încălcare a drepturilor persoanei vizate, să reacționeze în mod adecvat pentru a remedia insuficiențele constatate și persistente și pentru a asigura protecția drepturilor persoanei vizate. Atunci când autoritatea de supraveghere acționează în această privință, ea este obligată să aleagă, dintre competențele prevăzute la articolul 58 alineatul (2) din regulamentul menționat, măsura adecvată, necesară și proporțională. Această putere discreționară în alegerea mijloacelor este limitată în consecință atunci când protecția necesară nu poate fi asigurată decât prin adoptarea unor măsuri precise. |
4. Cu privire la inexistența unei obligații a autorității de supraveghere de a impune amenzi administrative în toate cazurile
64. |
După această expunere generală cu privire la competența de care dispune autoritatea de supraveghere de a adopta măsuri corective, este necesar să se examineze problema dacă autoritatea de supraveghere este obligată să impună amenzi administrative în toate cazurile. Deși anumite aspecte ale acestei probleme pot fi clarificate pe baza observațiilor care precedă, considerăm că sunt necesare câteva explicații suplimentare. Astfel, deși legiuitorul Uniunii a inclus amenzile administrative printre „[măsurile] corective” în temeiul articolului 58 alineatul (2) din RGPD, nu este mai puțin adevărat că ele prezintă câteva caracteristici speciale în raport cu celelalte măsuri. Este motivul pentru care această parte a analizei se va concentra pe reglementările specifice prevăzute la articolul 58 alineatul (2) litera (i) și la articolul 83 din regulamentul menționat. |
65. |
După cum a amintit recent Curtea, amenda administrativă se înscrie în sistemul de sancțiuni instituit de RGPD, care creează, pentru operatori și pentru persoanele împuternicite de operatori, un stimulent pentru a se conforma acestui regulament. Prin efectul lor disuasiv, amenzile administrative contribuie la consolidarea protecției persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și constituie, prin urmare, un element‑cheie pentru garantarea respectării drepturilor acestor persoane, în conformitate cu scopul regulamentului menționat de a asigura un nivel ridicat de protecție a unor astfel de persoane în ceea ce privește prelucrarea datelor cu caracter personal ( 26 ). |
66. |
Articolul 83 din RGPD prevede un sistem pe două niveluri, care indică în mod explicit că anumite încălcări sunt mai grave decât altele. Primul nivel include încălcarea articolelor care reglementează responsabilitățile diferiților actori (operator, persoană împuternicită de operator, organisme de certificare etc.). Al doilea nivel include încălcările drepturilor individuale protejate de acest regulament, precum drepturile fundamentale, principiile de bază pentru prelucrare, drepturile de informare a persoanelor vizate, normele de transfer etc. La ambele niveluri trebuie efectuate două evaluări: în primul rând, pentru a se decide dacă trebuie impusă o amendă și, în al doilea rând, pentru a se decide cuantumul amenzii administrative. În ambele evaluări, autoritățile de supraveghere trebuie să ia în considerare toți factorii individuali enumerați la articolul 83 alineatul (2) din regulamentul menționat. Totuși, concluziile la care s‑a ajuns în prima etapă pot fi utilizate în a doua parte, referitoare la cuantumul amenzii, evitându‑se astfel necesitatea de a evalua de două ori pe baza acelorași criterii ( 27 ). |
67. |
După aceste explicații introductive, vom examina în continuare problema privind eventuala obligație de a impune amenzi administrative în toate cazurile. În această privință, trebuie să se menționeze de la bun început că articolul 58 alineatul (2) litera (i) din RGPD prevede că autoritatea de supraveghere poate impune o amendă administrativă „în funcție de circumstanțele fiecărui caz în parte”. Această dispoziție trebuie coroborată cu articolul 83 alineatul (2) din regulamentul menționat, care prevede nu numai aceeași restricție privind aplicarea unei astfel de măsuri corective, ci sugerează că autoritatea de supraveghere poate chiar să se abțină de la a face acest lucru („atunci când se ia decizia dacă să se impună o amendă administrativă”) (sublinierea noastră) dacă circumstanțele justifică o asemenea abordare. Această formulare se regăsește – în termeni mai mult sau mai puțin similari – în alte versiuni lingvistice ( 28 ). Pe scurt, însuși modul de redactare a articolului 83 alineatul (2) din RGPD indică faptul că impunerea unei amenzi administrative nu este obligatorie în toate cazurile. |
68. |
În plus, trebuie să se observe că această dispoziție impune autorității de supraveghere să acorde, în fiecare caz în parte, atenția cuvenită unei serii de elemente atunci când se ia decizia dacă să se impună o amendă administrativă. Este vorba în esență despre circumstanțe – agravante și atenuante – care influențează decizia autorității de supraveghere, cum ar fi natura, gravitatea și durata încălcării, dar și despre circumstanțele legate de comportamentul operatorului, precum faptul că încălcarea a fost comisă intenționat sau din neglijență ( 29 ). |
69. |
În acest context, considerăm că a doua și a treia teză ale considerentului (148) al RGPD sunt relevante pentru interpretarea articolului 83 alineatul (2) din acest regulament, în măsura în care ele oferă indicații cu privire la caracteristicile care trebuie luate în considerare în luarea deciziei. Acest considerent are ca efect introducerea noțiunii de „încălcare minoră”, care determină consecințe importante pentru practica administrativă a autorității de supraveghere ( 30 ). În acesta se menționează printre altele că „[î]n cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi” (sublinierea noastră). |
70. |
În opinia noastră, această indicație permite să se deducă faptul că legiuitorul Uniunii era conștient de faptul că o amendă administrativă constituie o măsură corectivă deosebit de severă la care nu trebuie să se recurgă în toate cazurile, în caz contrar existând riscul diminuării eficacității sale, ci numai atunci când circumstanțele unui caz particular o impun. Astfel, considerentul (148) al RGDP evocă principiul proporționalității pe care autoritățile de supraveghere trebuie să îl respecte atunci când aplică acest regulament în contextul specific al sancțiunilor, inclusiv al amenzilor administrative. Așa cum am arătat deja în analiza noastră, acest principiu este reflectat în considerentul (129) al regulamentului menționat, care privește adoptarea măsurilor corective în general ( 31 ). Prin urmare, sistemul de sancțiuni pe care legiuitorul a urmărit să îl prevadă este flexibil și diferențiat ( 32 ). |
71. |
Din interpretarea articolului 83 alineatul (2) menționat citit în lumina considerentului (148) al RGPD rezultă că, chiar și în fața constatării unei încălcări, evaluarea criteriilor enunțate de această dispoziție poate determina autoritatea de supraveghere să considere că, în împrejurările concrete ale cazului, încălcarea nu reprezintă, de exemplu, o amenințare semnificativă la adresa drepturilor persoanelor vizate în cauză și nu afectează esența obligației în cauză. În astfel de cazuri, amenda poate fi înlocuită – însă nu întotdeauna – cu un avertisment ( 33 ). |
72. |
Trebuie să se precizeze însă că acest considerent (148) nu conține o obligație pentru autoritatea de supraveghere de a înlocui întotdeauna o amendă cu un avertisment în cazul unei încălcări minore, ci oferă mai degrabă o posibilitate care devine disponibilă în urma unei evaluări concrete a tuturor circumstanțelor cazului. În sfârșit, din considerentul (148) menționat reiese că autoritatea de supraveghere se poate abține de la impunerea unei amenzi, chiar dacă recurgerea la o astfel de măsură corectivă este a priori necesară pe baza evaluării pe care a efectuat‑o, dacă această amendă constituie o sarcină disproporționată pentru o persoană fizică ( 34 ). |
73. |
Așadar, circumstanțele fiecărui caz în parte, care sunt prevăzute la articolul 83 alineatul (2) din RGPD, determină în ultimă instanță dacă este necesar să se impună o amendă și, în cazul unui răspuns afirmativ, cuantumul acesteia. Toate indiciile menționate susțin punctul nostru de vedere că această decizie constituie, în cele din urmă, o decizie discreționară a autorității de supraveghere ( 35 ). Aceasta este responsabilă pentru exercitarea, în mod conștiincios și în conformitate cu cerințele RGPD, a puterii discreționare care i‑a fost conferită. Limitele acestei puteri discreționare decurg din principiile generale ale dreptului Uniunii și ale dreptului statelor membre, în special din principiul egalității de tratament. Rezultă de aici necesitatea de a dezvolta o practică administrativă de impunere a amenzilor care să trateze cazuri similare în mod comparabil. |
74. |
Am dori să arătăm de asemenea că, în cazul impunerii cumulative a unor sancțiuni pecuniare cu caracter penal, există chiar riscul de a încălca principiul„ne bis in idem”, astfel cum a fost interpretat de Curte, după cum reiese din considerentul (149) al RGPD. Or, acest principiu constituie un drept fundamental, care este protejat de articolul 50 din cartă, și nu poate fi restrâns decât în condiții stricte, prevăzute la articolul 52 din cartă. Cu alte cuvinte, obstacole de natură juridică pot împiedica de asemenea impunerea unor amenzi administrative. |
5. Cu privire la inexistența unei obligații a autorității de supraveghere de a impune amenzi administrative atunci când autorul plângerii solicită acest lucru în mod expres
75. |
Ultimul aspect care trebuie examinat privește problema dacă autoritatea de supraveghere este obligată să impună amenzi administrative atunci când autorul plângerii solicită acest lucru în mod expres. Astfel cum am arătat în cadrul examinării admisibilității cererii de decizie preliminară, din dosar reiese că TR a solicitat HBDI să acționeze împotriva Casei de Economii și să îi impună amenzi administrative. Pentru a‑și susține cererea, TR a efectuat calcule pentru a stabili cuantumul amenzilor care trebuiau aplicate ( 36 ). Această cerere se întemeiază, după toate aparențele, pe punctul de vedere potrivit căruia autorul unei plângeri ar avea un drept subiectiv față de autoritatea de supraveghere de a solicita adoptarea unei măsuri specifice. Însă, astfel cum vom explica în continuare, considerăm că această poziție nu are niciun temei juridic. |
76. |
În primul rând, analiza noastră a arătat că autoritatea de supraveghere dispune de o putere discreționară pentru a alege măsura adecvată în fiecare caz în parte. Cu excepția unor circumstanțe speciale care pot conduce la o limitare a acestei puteri discreționare, precum gravitatea sau impactul persistent al unei încălcări a securității datelor cu caracter personal – care, în opinia noastră, nu sunt întrunite în speță –, autoritatea de supraveghere păstrează această putere discreționară. Având în vedere că amenzile administrative figurează printre măsurile corective pe care autoritatea de supraveghere le poate adopta în temeiul articolului 58 alineatul (2) din RGPD, este logic să se deducă faptul că această putere discreționară se extinde și în privința lor. Rezultă că nu există nicio obligație a autorității de supraveghere de a acționa în interesul autorului plângerii prin adoptarea unei anumite măsuri corective. |
77. |
În al doilea rând, chiar în ipoteza în care circumstanțele cauzei ar fi atât de diferite încât să justifice adoptarea unei măsuri corective specifice, apreciem că nu s‑ar putea susține în mod valabil că impunerea unei amenzi administrative ar fi necesară. Asemenea guvernului austriac, considerăm că trebuie să se țină seama de obiectivele vizate de diversele măsuri corective enumerate la articolul 58 alineatul (2) din RGPD și în special de amenda administrativă. Mai concret, apreciem că natura sa juridică se opune recunoașterii unui drept subiectiv al persoanei vizate în sensul menționat mai sus întrucât unul dintre obiectivele acestei măsuri este de a sancționa un comportament considerat contrar dreptului Uniunii. În opinia noastră, având în vedere finalitatea sa punitivă, cel puțin în anumite situații ( 37 ), și ținând seama de gradul ridicat de severitate pe care îl poate prezenta, amenda administrativă poate avea o natură penală ( 38 ). Or, trebuie amintit că dreptul de a pedepsi (ius puniendi) aparține exclusiv statului și organelor acestuia. |
78. |
În acest context, se observă că articolul 83 alineatul (1) din RGPD impune, printre altele, ca amenzile să fie, în fiecare caz, „eficace, proporționale și disuasive”. Aprecierea aspectului dacă amenda avută în vedere îndeplinește aceste condiții într‑un anumit caz revine autorității de supraveghere, care acționează în cadrul propriei responsabilități. Acesteia îi revine sarcina de a decide dacă recurgerea la instrumentul amenzii administrative se impune într‑un caz particular. În acest scop, legiuitorul Uniunii îi furnizează un cadru juridic detaliat. Astfel, articolul 83 din RGPD stabilește condițiile generale pentru impunerea unor asemenea amenzi, care sunt completate de Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD, elaborate de CEPD în conformitate cu articolul 70 alineatul (1) litera (k) din regulamentul menționat. În această privință, trebuie să se menționeze că niciuna dintre normele și orientările respective nu permite să se deducă faptul că autorul plângerii ale cărui drepturi au fost încălcate beneficiază de un statut juridic special care îi permite să solicite autorității de supraveghere să impună o amendă administrativă persoanei care i‑a încălcat drepturile. |
79. |
Desigur, anumite criterii prevăzute la articolul 83 alineatul (2) din RGPD – precum nivelul prejudiciului suferit – sugerează că autoritatea de supraveghere trebuie să țină seama și de situația persoanei vizate atunci când ia o decizie. Totuși, aceste criterii nu constituie în sine un indiciu suficient pentru a stabili existența unui drept subiectiv de a solicita impunerea unei amenzi. Astfel cum rezultă dintr‑o interpretare a acestei dispoziții, citită în lumina considerentului (75) al regulamentului respectiv, obiectul criteriilor menționate este de a furniza autorității de supraveghere elemente utile care să îi permită să aprecieze natura, gravitatea și durata încălcării și să aleagă măsura corectivă adecvată ( 39 ). În consecință, în funcție de fiecare caz particular, autoritatea de supraveghere poate avea în vedere diverse măsuri corective – iar nu numai o amendă administrativă –, fără însă ca persoana vizată să poată solicita adoptarea unei anumite măsuri. Revine exclusiv autorității de supraveghere sarcina de a decide dacă este necesar să adopte o măsură cu scopul de a restabili respectarea normelor sau de a sancționa un comportament ilicit. |
80. |
În al treilea rând, nu se poate trage o concluzie diferită nici din faptul că legiuitorul Uniunii a definit rolul autorității de supraveghere în sistemul de amenzi instituit prin RGPD inspirându‑se din competențele pe care le deține Comisia în materia dreptului concurenței ( 40 ). În această privință, se va aminti că această competență a instituției respective de a aplica amenzi întreprinderilor care săvârșesc încălcări, în sensul articolelor 101 și 102 TFUE, constituie unul dintre mijloacele puse la dispoziția Comisiei pentru a‑i permite să își îndeplinească misiunea de supraveghere pe care i‑o conferă dreptul Uniunii ( 41 ). Totuși, trebuie să se menționeze că Comisia dispune de o putere discreționară a cărei exercitare este limitată numai de respectarea principiilor generale ale dreptului Uniunii, inclusiv principiile proporționalității și egalității de tratament ( 42 ). Pe de altă parte, trebuie să se observe că Regulamentul (CE) nr. 1/2003 privind punerea în aplicare a normelor de concurență ( 43 )nu prevede niciun drept de a solicita adoptarea unor amenzi în temeiul articolului 23 din acesta pentru autorii plângerilor sau pentru terții ale căror interese pot fi afectate printr‑o decizie în cadrul unei proceduri administrative inițiate de Comisie ( 44 ), aceasta din urmă fiind obligată, în temeiul articolului 27 din regulamentul menționat, doar să aprobe posibilele cereri de audiere formulate de aceștia înainte de adoptarea unei sancțiuni. |
81. |
Pe baza elementelor prezentate, considerăm că nu este posibil, în stadiul actual al evoluției dreptului Uniunii, să se concluzioneze că autorul plângerii ale cărui drepturi au fost încălcate dispune de un drept subiectiv de a solicita impunerea unei amenzi administrative. Acest lucru nu aduce atingere posibilității de a propune recurgerea la o astfel de măsură corectivă, furnizând argumente și dovezi pentru a‑și susține punctul de vedere. Cu toate acestea, decizia definitivă ține de puterea discreționară a autorității de supraveghere. |
D. Sinteza examinării întrebării preliminare
82. |
Din analiza de mai sus rezultă că autoritatea de supraveghere are obligația de a acționa atunci când constată o încălcare a securității datelor cu caracter personal în cadrul examinării unei plângeri. În special, ea este obligată să identifice cele mai adecvate măsuri corective pentru a aborda încălcarea și pentru a asigura respectarea drepturilor persoanei vizate. În această privință, RGPD impune, lăsând în același timp o anumită putere discreționară autorității de supraveghere, ca aceste măsuri să fie adecvate, necesare și proporționale. În anumite condiții, autoritatea de supraveghere poate renunța la măsurile prevăzute la articolul 58 alineatul (2) din acest regulament în favoarea măsurilor „autonome” luate chiar de operator. În orice caz, persoana vizată nu are dreptul de a solicita luarea unei anumite măsuri. Aceste principii se aplică și regimului amenzilor administrative. |
VI. Concluzie
83. |
Având în vedere considerațiile care precedă, propunem Curții să răspundă la întrebarea preliminară adresată de Verwaltungsgericht Wiesbaden (Tribunalul Administrativ din Wiesbaden, Germania) după cum urmează: Dispozițiile coroborate ale articolului 57 alineatul (1) literele (a) și (f), ale articolului 58 alineatul (2) literele (a)-(j) și ale articolului 77 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că în cazul în care autoritatea de supraveghere constată o prelucrare de date care încalcă drepturile persoanei vizate, aceasta este obligată să acționeze în temeiul articolului 58 alineatul (2) din Regulamentul 2016/679 în măsura în care acest lucru este necesar pentru a asigura respectarea deplină a regulamentului menționat. În această privință, ea este obligată să selecteze, ținând seama de circumstanțele concrete ale fiecărui caz, mijlocul adecvat, necesar și proporțional, în special pentru a remedia încălcarea și pentru a asigura respectarea drepturilor persoanei vizate. |
( 1 ) Limba originală: franceza.
( 2 ) JO 2016, L 119, p. 1.
( 3 ) Concluziile prezentate în cauzele conexate SCHUFA Holding (Liberare de restul de datorie) (C‑26/22 și C‑64/22, EU:C:2023:222).
( 4 ) A se vedea Hotărârea din 10 decembrie 2020, J & S Service (C‑620/19, EU:C:2020:1011, punctul 31 și jurisprudența citată).
( 5 ) A se vedea Hotărârea din 14 iulie 2022, Sense Visuele Communicatie en Handel vof (C‑36/21, EU:C:2022:556, punctul 22 și jurisprudența citată).
( 6 ) Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie) (C‑26/22 și C‑64/22, denumită în continuare „Hotărârea SCHUFA, EU:C:2023:958).
( 7 ) A se vedea punctele 35-39 din prezentele concluzii.
( 8 ) A se vedea punctul 40 și urm. din prezentele concluzii.
( 9 ) Hotărârea SCHUFA (punctul 55).
( 10 ) Hotărârea SCHUFA (punctul 56).
( 11 ) Hotărârea SCHUFA (punctele 56 și 57).
( 12 ) Hotărârea SCHUFA (punctul 58).
( 13 ) Hotărârea SCHUFA (punctul 70).
( 14 ) A se vedea „Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul [RGPD]” ale Grupului de lucru „Articolul 29” pentru protecția datelor, adoptate la 3 octombrie 2017, p. 5 (denumite în continuare „Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD”). Acest grup de lucru a fost înlocuit ulterior de Comitetul european pentru protecția datelor (denumit în continuare „CEPD”). Cu toate acestea, orientările sale rămân valabile.
( 15 ) A se vedea în acest sens Chamberlain, J., Reichel, J., „The Relationship Between Damages and Administrative Fines in the EU General Data Protection Regulation”, în Mississippi Law Journal, 2020, vol. 89(4), p. 686, care se întemeiază pe orientările citate anterior.
( 16 ) Hijmans, H., „Article 57. Tasks”, Kuner, C., Bygrave, L. A., Docksey, C., (ed.), în The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 934.
( 17 ) A se vedea în acest sens Härting, N., Flisek, C., Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, în Computer und Recht, 5/2018, p. 299.
( 18 ) A se vedea Concluziile noastre prezentate în cauzele SCHUFA, punctul 41 și urm.
( 19 ) A se vedea versiunile în limbile spaniolă („dispondrá de […] los […] poderes correctivos”), daneză („har […] korrigerende beføjelser”), germană („verfügt über […] Abhilfebefugnisse, die es ihr gestatten”), estonă („on […] parandusvolitused”), engleză („shall have […] corrective powers”), italiană („ha […] i poteri correttivi”), neerlandeză („heeft […] bevoegdheden tot het nemen van corrigerende maatregelen”), polonă („przysługują […] uprawnienia naprawcze”), portugheză („dispõe dos […] poderes de correção”) și suedeză („ska ha […] korrigerande befogenheter”).
( 20 ) A se vedea în acest sens Härting, N., Flisek, C., Thiess, L., „DSGVO: Der Verwaltungsakt wird zum Normalfall – Das neue Beschwerderecht des Bürgers”, în Computer und Recht, 5/2018, p. 299.
( 21 ) A se vedea Hotărârea SCHUFA (punctul 57) și Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 111). Sublinierea noastră.
( 22 ) Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 112). Sublinierea noastră.
( 23 ) A se vedea punctul 42 din prezentele concluzii.
( 24 ) Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 113). Curtea a statuat că autoritatea de supraveghere este obligată, în temeiul articolului 58 alineatul (2) literele (f) și (j) din RGPD, să suspende sau să interzică un transfer de date cu caracter personal către o țară terță atunci când consideră, în lumina tuturor împrejurărilor proprii acestui transfer, că clauzele standard de protecție a datelor nu sunt sau nu pot fi respectate în țara terță menționată și că protecția datelor transferate impusă de dreptul Uniunii nu poate fi asigurată prin alte mijloace, în cazul în care operatorul însuși sau persoana împuternicită de el stabilită în Uniune nu a suspendat ori nu a încetat transferul.
( 25 ) A se vedea în acest sens Georgieva, L., Schmidl, M., „Article 58. Powers”, Kuner, C., Bygrave, L. A., Docksey, C. (ed.), The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 945.
( 26 ) A se vedea Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punctul 78).
( 27 ) A se vedea Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD, p. 9.
( 28 ) A se vedea versiunile în limbile spaniolă („Al decidir la imposición”), daneză („Når der træffes afgørelse om, hvorvidt der skal pålægges”), germană („Bei der Entscheidung über die Verhängung”), estonă („Otsustades igal konkreetsel juhul”), engleză („When deciding whether to impose”), italiană („Al momento di decidere se infliggere”), neerlandeză („Bij het besluit over de vraag of […] wordt opgelegd”), polonă („Decydując, czy nałożyć”), portugheză („Ao decidir sobre a aplicação”) și suedeză („Vid beslut om huruvida […] ska påföras”).
( 29 ) A se vedea în această privință Hotărârea din 5 decembrie 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punctul 61 și urm.).
( 30 ) Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punctul 76).
( 31 ) A se vedea punctul 45 din prezentele concluzii.
( 32 ) A se vedea Concluziile avocatului general Emiliou prezentate în cauza Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, punctul 78), în care acesta explică faptul că, atunci când a adoptat RGPD, legiuitorul Uniunii nu a avut intenția de a sancționa cu amendă administrativă fiecare încălcare a normelor privind protecția datelor.
( 33 ) A se vedea Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD, p. 9.
( 34 ) A se vedea Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD, p. 9.
( 35 ) Holländer, C., Beck’scher Online-Kommentar Datenschutzrecht (Wolff/Brink/Ungern-Sternberg), a 46‑a ediție, München 2017, articolul 83 RGPD, punctul 22; Frenzel, E., Datenschutz‑Grundverordnung Kommentar (Paal/Pauly/Frenzel), ediția a treia, München 2021, articolul 83 RGPD, punctele 8-12, în care se explică faptul că autoritatea de supraveghere dispune de o putere discreționară și, în consecință, nu este obligată să impună o amendă administrativă în toate cazurile.
( 36 ) A se vedea punctul 30 din prezentele concluzii.
( 37 ) Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD (p. 6) indică faptul că amenzile administrative sunt „măsuri corective” al căror obiectiv poate fi „fie să restabilească conformitatea cu normele, fie să sancționeze un comportament ilegal (sau ambele)”. Sublinierea noastră.
( 38 ) Amintim că trei criterii sunt relevante pentru a aprecia dacă unele sancțiuni prezintă un caracter penal: primul este calificarea juridică a faptei ilicite în dreptul intern, al doilea privește natura însăși a faptei ilicite, iar al treilea se referă la gradul de severitate a sancțiunii pe care persoana în cauză riscă să o suporte [a se vedea Hotărârea din 5 iunie 2012, Bonda (C‑489/10, EU:C:2012:319, punctul 37), și Hotărârea din 2 februarie 2021, Consob (C‑481/19, EU:C:2021:84, punctul 42)]; a se vedea de asemenea Curtea EDO, 8 iunie 1976, Engel și alții împotriva Țărilor de Jos, CE:ECHR:1976:0608JUD000510071, § 82. Nu trebuie îndeplinite toate criteriile pentru ca o amendă să poată fi considerată ca fiind penală [a se vedea în această privință Concluziile avocatului general Bot prezentate în cauza ThyssenKrupp Nirosta/Comisia (C‑352/09 P, EU:C:2010:635, punctul 50 și jurisprudența citată)].
( 39 ) A se vedea Orientările privind aplicarea și stabilirea unor amenzi administrative în sensul RGPD (p. 12), din care reiese, pe de o parte, că nivelul prejudiciului trebuie luat în considerare „în alegerea măsurii corective”, ceea ce nu exclude adoptarea altor măsuri corective decât o amendă administrativă. Pe de altă parte, se menționează că „impunerea unei amenzi nu depinde de capacitatea autorității de supraveghere de a stabili o legătură de cauzalitate între încălcare și prejudiciul material”. Rezultă că decizia de a impune o amendă administrativă depinde de fiecare caz în parte, iar nu numai de existența unui prejudiciu.
( 40 ) A se vedea în această privință Concluziile avocatului general Emiliou prezentate în cauza Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:376, punctul 84), care atrage atenția asupra similitudinilor dintre cele două sisteme. A se vedea de asemenea Hotărârea din 5 decembrie 2023, Deutsche Wohnen (C‑807/21, EU:C:2023:950, punctul 55 și urm.).
( 41 ) A se vedea în acest sens Hotărârea din 11 iunie 2009, X (C‑429/07, EU:C:2009:359, punctul 35 și jurisprudența citată).
( 42 ) Concluziile avocatei generale Kokott prezentate în cauzele conexate Alliance One International și Standard Commercial Tobacco/Comisia și Comisia/Alliance One International și alții (C‑628/10 P și C‑14/11 P, EU:C:2012:11, p. 48 și jurisprudența citată).
( 43 ) Regulamentul Consiliului din 16 decembrie 2002 privind punerea în aplicare a normelor de concurență prevăzute la articolele 81 și 82 din tratat (JO 2003, L 1, p. 1, Ediție specială, 08/vol. 1, p. 167, rectificare în Ediție specială, 08/vol. 4, p. 269).
( 44 ) A se vedea în acest sens Wils W., „Procedural rights and obligations of third parties in antitrust investigation and proceedings by the European Commission”, în Concurrences, nr. 2‑2022, p. 50.