Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 62023CC0200

    Concluziile avocatei generale L. Medina prezentate la 30 mai 2024.


    ECLI identifier: ECLI:EU:C:2024:445

    Ediție provizorie

    CONCLUZIILE AVOCATEI GENERALE

    DOAMNA LAILA MEDINA

    prezentate la 30 mai 2024(1)

    Cauza C200/23

    Agentsia po vpisvaniyata

    împotriva

    OL,

    cu participarea

    Varhovna administrativna prokuratura

    [cerere de decizie preliminară formulată de Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria)]

    „Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Publicarea în registrul comerțului a unui contract de societate care cuprinde date cu caracter personal – Directiva (UE) 2017/1132 – Operator – Dreptul la ștergerea datelor cu caracter personal”






    I.      Introducere

    1.        Prin intermediul cererii de decizie preliminară, Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria) adresează Curții o serie de întrebări privind în esență legătura dintre dispozițiile în materie de publicitate a actelor societăților, care fac obiectul unei coordonări la nivelul Uniunii(2), și Regulamentul (UE) 2016/679(3).

    2.        Această cerere a fost formulată în cadrul unui litigiu între Agentsia po vpisvaniyata (Agenția pentru Înregistrări, Bulgaria, denumită în continuare „agenția”), pe de o parte, și OL, pe de altă parte, în legătură cu refuzul acestei agenții de a radia anumite date cu caracter personal referitoare la OL care figurează într‑un act pus la dispoziția publicului în registrul comerțului.

    II.    Cadrul juridic

    A.      Dreptul Uniunii

    3.        În vederea formulării prezentelor concluzii, sunt avute în vedere în special articolele 14 și 16 din Directiva 2017/1132, care a înlocuit Directiva 2009/101, precum și articolele 4-6 și 17 din RGPD. Pentru o mai bună lizibilitate, se va face trimitere la textul dispozițiilor relevante ale acestor articole în cadrul prezentei analize.

    B.      Dreptul bulgar

    4.        Articolul 2 din Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Legea privind registrul comerțului și registrul persoanelor juridice fără scop lucrativ(4)), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind registrele”), prevede:

    „(1)      Registrul comerțului și registrul persoanelor juridice fără scop lucrativ [denumite în continuare «registrele»] constituie o bază de date electronică comună care conține circumstanțele înregistrate în temeiul unei legi, precum și actele puse la dispoziția publicului în temeiul unei legi, care privesc comercianții și sucursalele comercianților străini, persoanele juridice fără scop lucrativ și sucursalele persoanelor juridice străine fără scop lucrativ.

    (2)      Circumstanțele și actele menționate la alineatul (1) sunt puse la dispoziția publicului fără informații care constituie date cu caracter personal în sensul articolului 4 punctul 1 din [RGPD], cu excepția informațiilor care trebuie puse la dispoziția publicului în temeiul legii.”

    5.        Potrivit articolului 6 alineatul (1) din Legea privind registrele, toți comercianții și toate persoanele juridice fără scop lucrativ au obligația de a solicita înscrierea lor în registre, declarând circumstanțele a căror înregistrare este necesară și depunând actele care trebuie puse la dispoziția publicului.

    6.        Articolul 11 din această lege are următorul cuprins:

    „(1)      [Registrele] sunt publice. Oricine are dreptul de a avea acces în mod liber și gratuit la baza de date pe care o constituie registrele.

    (2)      [Agenția] asigură accesul înregistrat la dosarul comerciantului sau al persoanei juridice fără scop lucrativ.”

    7.        Articolul 13 alineatele (1), (2), (6) și (9) din legea menționată prevede:

    „(1)      Înregistrarea, radierea și punerea la dispoziția publicului se efectuează pe baza unei cereri tip.

    (2)      Cererea cuprinde:

    1.      datele de contact ale solicitantului;

    […]

    3.      circumstanța supusă înregistrării, înregistrarea a cărei radiere se solicită sau actul care trebuie pus la dispoziția publicului;

    […]

    (6)      [C]ererea este însoțită de documente sau, după caz, de actul care trebuie pus la dispoziția publicului, în conformitate cu cerințele legii. Documentele sunt depuse sub forma unui original, a unei copii certificate pentru conformitate cu originalul de către solicitant sau a unei copii legalizate de notar. Solicitantul depune la registrul comerțului și copii certificate pentru conformitate cu originalul ale actelor care trebuie puse la dispoziția publicului, în care să fie ocultate datele cu caracter personal, cu excepția celor impuse de lege.

    […]

    (9)      În cazul în care cererea sau documentele anexate la aceasta menționează date cu caracter personal care nu sunt impuse de lege, se consideră că persoanele care le‑au furnizat și‑au dat consimțământul pentru prelucrarea lor de către [agenție] și pentru punerea lor la dispoziția publicului.”

    8.        Articolul 101 punctul 3 din Targovski zakon (Codul comercial(5)), în versiunea aplicabilă în litigiul principal (denumit în continuare „Codul comercial”), prevede că contractul de societate trebuie să cuprindă „numele, denumirea socială și codul unic de identificare al asociaților”.

    9.        Potrivit articolului 119 alineatul (1) din Codul comercial, înregistrarea unei societăți în registrul comerțului necesită printre altele depunerea contractului de societate care este pus la dispoziția publicului. În conformitate cu alineatul (4) al acestui articol, „pentru a modifica sau a completa contractul de societate în registrul comerțului, se depune o copie a contractului menționat, cu toate modificările și completările, certificată pentru conformitate cu originalul de organul care reprezintă societatea, în vederea punerii la dispoziția publicului”.

    III. Litigiul principal și întrebările preliminare

    10.      OL este o asociată a unei „OOD”, societate cu răspundere limitată de drept bulgar, care a fost înregistrată la 14 ianuarie 2021 în registrul comerțului. Cererea de înregistrare a fost însoțită de contractul de societate din data de 30 decembrie 2020, semnat de asociați (denumit în continuare „contractul de societate din 2020”). Acest contract, care cuprinde numele și prenumele lui OL, numărul său de identificare, numărul cărții sale de identitate, data și locul eliberării acesteia și adresa sa permanentă, a fost înregistrat și pus la dispoziția publicului astfel cum a fost depus. La 8 iulie 2021, OL a solicitat agenției să radieze datele cu caracter personal care o privesc cuprinse în contractul de societate din 2020, precizând că, în cazul în care prelucrarea datelor sale se baza pe consimțământul său, îl retrăgea. În lipsa unui răspuns din partea agenției, OL a sesizat Administrativen sad Dobrich (Tribunalul Administrativ din Dobrich, Bulgaria), care a anulat refuzul implicit al agenției de a da curs cererii formulate de OL și i‑a retrimis cauza pentru ca ea să adopte o nouă decizie. În cadrul executării acestei hotărâri și a unei hotărâri similare cu privire la celălalt asociat care a efectuat același demers, agenția a precizat prin scrisoarea din 26 ianuarie 2022 că, pentru a se putea admite cererea de radiere, trebuia să i se transmită o copie certificată pentru conformitate cu originalul a contractului de societate din 2020 în care să fie ocultate datele cu caracter personal ale asociaților, cu excepția celor impuse de lege (denumită în continuare „scrisoarea din 26 ianuarie 2022”). La 31 ianuarie 2022, OL a sesizat din nou Administrativen sad Dobrich (Tribunalul Administrativ din Dobrich) pentru a obține anularea scrisorii din 26 ianuarie 2022 și obligarea agenției la plata unei despăgubiri pentru prejudiciul moral pe care i l‑ar fi cauzat prin scrisoarea menționată care aduce atingere drepturilor conferite de RGPD. La 1 februarie 2022, înainte de a i se notifica această acțiune, agenția a radiat din oficiu numărul de identificare, datele referitoare la cartea de identitate și adresa lui OL, dar nu și numele, prenumele și semnătura sa. Prin hotărârea din 5 mai 2022, Administrativen sad Dobrich (Tribunalul Administrativ din Dobrich) a anulat scrisoarea din 26 ianuarie 2022 și a obligat agenția să îi plătească lui OL, în temeiul articolului 82 din RGPD, despăgubiri în cuantum de 500 de leve bulgărești (BGN) (aproximativ 255 de euro), pe lângă dobânzile legale, pentru prejudiciul moral pe care i l‑a produs. Potrivit acestei hotărâri, prejudiciul respectiv consta în emoții și experiențe negative rezultate din scrisoarea menționată, care a dus la o încălcare a dreptului la ștergerea datelor consacrat la articolul 17 alineatul (1) din RGPD, precum și la o prelucrare ilegală a datelor sale conținute în contractul pus la dispoziția publicului. Agenția a formulat recurs împotriva acestei hotărâri la instanța de trimitere. Ea arată printre altele că este operator, dar și destinatar al datelor transmise în cadrul procedurii de înregistrare și că, deși a formulat o solicitare în acest sens anterior înregistrării societății a cărei asociată era OL, nu a primit nicio copie a contractului acestei societăți în care datele care nu trebuiau puse la dispoziția publicului să fie ocultate. Or, înregistrarea unei societăți comerciale nu ar putea fi refuzată numai pentru acest motiv. Ea face trimitere la un aviz din 2021 al autorității naționale de supraveghere, Komisia za zashtita na lichnite danni (Comisia pentru Protecția Datelor cu Caracter Personal, Bulgaria), emis în temeiul articolului 58 alineatul (3) litera (b) din RGPD (denumit în continuare „avizul din 2021”)(6), în care se afirmă că ea nu este autorizată să modifice conținutul actelor pe care le primește în vederea înregistrării lor în registru. La rândul său, OL susține că, în calitate de operator, agenția nu poate impune altor persoane propriile obligații de radiere. Aceasta invocă o jurisprudență națională potrivit căreia avizul din 2021 nu este conform cu dispozițiile RGPD.

    11.      În aceste condiții, Varhoven administrativen sad (Curtea Administrativă Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

    „1)      Articolul 4 alineatul (2) din Directiva [2009/101] poate fi interpretat în sensul că obligă statul membru să permită publicitatea unui contract de societate pentru care articolul 119 din [Codul comercial] impune înscrierea, în cazul în care acesta conține și alte date cu caracter personal, pe lângă numele asociaților care, potrivit articolului 2 alineatul (2) din [Legea privind registrele], sunt supuse publicității obligatorii? Pentru a răspunde la această întrebare este important să se țină seama de faptul că [agenția] este o instituție din sectorul public căreia, potrivit unei jurisprudențe constante a Curții, i se pot opune dispozițiile directivei care produc efecte directe (Hotărârea din 7 septembrie 2006, Vassallo, C‑180/04, EU:C:2006:518, punctul 26 și jurisprudența citată).

    2)      În cazul unui răspuns afirmativ la întrebarea anterioară, se poate prezuma că, în situația care a declanșat litigiul din procedura principală, prelucrarea datelor cu caracter personal de către [agenție] este necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, în sensul articolului 6 alineatul (1) litera (e) din [RGPD]?

    3)      În cazul unui răspuns afirmativ la întrebările anterioare, se poate prezuma că o dispoziție națională precum articolul 13 alineatul (9) din [Legea privind registrele], care prevede că, în cazul în care într‑o cerere sau în documentele anexate la această cerere sunt menționate date cu caracter personal care nu sunt cerute de lege, se consideră că persoanele care le‑au furnizat și‑au dat consimțământul pentru prelucrarea lor de către [agenție] și pentru punerea lor la dispoziția publicului, este permisă, în pofida considerentelor (32), (40), (42), (43) și (50) ale [RGPD], deoarece dispoziția clarifică posibilitatea unei «publicități voluntare» în sensul articolului 4 alineatul (2) din Directiva [2009/101], inclusiv a datelor cu caracter personal?

    4)      În vederea îndeplinirii obligației prevăzute la articolul 3 alineatul (7) din Directiva [2009/101], potrivit căreia statele membre trebuie să ia măsurile necesare pentru a evita apariția unor neconcordanțe între cele publicate în aplicarea alineatului (5) și conținutul dosarului sau al registrului și pentru a ține seama de interesele terților de a cunoaște actele esențiale ale societății comerciale și alte informații privind societatea, menționate în considerentul (3) al aceleiași directive, este permisă adoptarea unor dispoziții naționale care reglementează o procedură (cereri tipizate, înaintarea copiilor documentelor în care au fost ocultate datele cu caracter personal) pentru exercitarea de către persoanele fizice, în conformitate cu articolul 17 din [RGPD], a dreptului de a cere operatorului să șteargă fără întârzieri nejustificate datele cu caracter personal care le privesc, în cazul în care datele cu caracter personal a căror ștergere se solicită fac parte din documentele publicate oficial (puse la dispoziția publicului) și transmise operatorului în conformitate cu o altă procedură similară de către un terț care a stabilit și scopul prelucrării pe care a inițiat‑o?

    5)      În situația care a declanșat litigiul principal, [agenția] acționează numai în calitate de operator al datelor cu caracter personal sau este și destinatara acestora, în cazul în care scopul prelucrării lor ca parte a documentelor prezentate în vederea punerii la dispoziția publicului a fost determinat de un alt operator?

    6)      Semnătura olografă a unei persoane fizice reprezintă o informație privind o persoană fizică identificată și, implicit, este inclusă în noțiunea «date cu caracter personal» în sensul articolului 4 [punctul] 1 din [RGPD]?

    7)      Noțiunea de «prejudiciu moral» de la articolul 82 alineatul (1) din [RGPD] trebuie interpretată în sensul că pentru a se prezuma existența unui prejudiciu moral este necesar să existe consecințe defavorabile perceptibile și o atingere obiectiv determinabilă a intereselor personale sau este suficientă în acest scop o simplă pierdere pe termen scurt a capacității persoanei vizate de a dispune în mod suveran de datele sale, din cauza publicării datelor cu caracter personal în registrul comerțului, fără ca aceasta să fi condus la consecințe sesizabile sau defavorabile pentru persoana vizată?

    8)      Avizul [din 2021] al autorității naționale de supraveghere – [Comisia pentru Protecția Datelor cu Caracter Personal] – emis în conformitate cu articolul 58 alineatul (3) litera (b) din [RGPD], potrivit căruia [agenția] nu are nicio posibilitate legală și nici competența de a restricționa, din oficiu sau la cererea persoanei vizate, prelucrarea datelor deja publicate, poate fi admis ca probă în sensul articolului 82 alineatul (3) din [RGPD] a faptului că [agenția] nu este răspunzătoare în niciun fel pentru evenimentul care se presupune că a cauzat prejudicii persoanei fizice?”

    IV.    Procedura în fața Curții

    12.      Părțile din litigiul principal, guvernele bulgar, german, irlandez, italian, polonez și finlandez, precum și Comisia au prezentat observații scrise, în temeiul articolului 23 din Statutul Curții de Justiție a Uniunii Europene, fie cu privire la toate întrebările preliminare, fie cu privire la o parte dintre acestea. De asemenea, pledoariile părților din litigiul principal, ale guvernelor bulgar și irlandez, precum și ale Comisiei au fost ascultate în ședința din 7 martie 2024.

    A.      Analiză

    13.      La cererea Curții, prezentele concluzii se vor concentra asupra celei de a patra și a celei de a cincea întrebări preliminare, pe care propunem să le examinăm împreună. Înainte de începerea analizei, considerăm că sunt necesare câteva observații introductive care privesc trimiterea preliminară în ansamblul său.

    1.      Observații introductive

    14.      Trebuie să se arate mai întâi – astfel cum au procedat părțile din litigiul principal, Comisia și majoritatea statelor membre care au prezentat observații în fața Curții – că motivele deciziei de trimitere, precum și modul de redactare a întrebărilor preliminare – inclusiv printre altele a patra întrebare – fac trimitere la dispozițiile Directivei 2009/101. Aceasta a fost însă abrogată și înlocuită, începând de la data de 20 iulie 2017, de Directiva 2017/1132, care este aplicabilă ratione temporis situației de fapt din procedura principală. Prin urmare, în continuarea analizei noastre ne vom referi numai la această din urmă directivă.

    15.      În continuare, trebuie amintit că Directiva 2017/1132 și în special articolele 16 și 161 din aceasta, în măsura în care prezintă importanță în vederea examinării prezentei trimiteri preliminare, au fost modificate prin Directiva (UE) 2019/1151(7), intrată în vigoare la 31 iulie 2019. Or, deși este adevărat, astfel cum subliniază Comisia, că înregistrarea în registrul comerțului a contractului de societate din 2020 care conține datele cu caracter personal ale lui OL a avut loc înainte de 1 august 2021, data expirării termenului de transpunere a Directivei 2019/1151(8), o parte dintre fapte s‑au desfășurat după această dată, inclusiv trimiterea de către agenție a scrisorii din 26 ianuarie 2022, ștergerea din oficiu de către aceasta a unora dintre datele respective, precum și noua lor punere la dispoziția publicului în registru, pe care le menționează intimata din litigiul principal în observațiile scrise. Prin urmare, nu este exclus ca versiunea Directivei 2017/1132, astfel cum a fost modificată prin Directiva 2019/1151, să fie aplicabilă ratione temporis în litigiul principal, aspect a cărui verificare este de competența instanței de trimitere. Acesta este motivul pentru care ne vom referi, în continuarea analizei noastre, la versiunea menționată.

    16.      Precizăm însă de la bun început că modificările introduse prin Directiva 2019/1151 nu au, ca atare, decât o incidență limitată asupra problemei privind modul în care autoritatea unui stat membru responsabilă de ținerea registrului societăților trebuie să asigure protecția datelor personale în cadrul exercitării funcțiilor sale. În schimb, trebuie să se sublinieze, pe un plan mai general, că această directivă urmărește să îmbunătățească și să consolideze utilizarea instrumentelor și a proceselor digitale în cadrul colectării și gestionării fluxului de informații referitoare la societăți, ceea ce presupune un acces mai mare la datele cu caracter personal pe care le conțin și crește riscul de atingeri aduse dreptului la protecția unor astfel de date, precum și caracterul prejudiciabil al acestor atingeri(9). Or, un astfel de proces de digitalizare(10), împreună cu o intensificare a accesibilității transfrontaliere a informațiilor menționate, vizată de asemenea de legiuitorul Uniunii(11), necesită o atenție deosebită în cadrul evaluării comparative a obiectivelor de securitate juridică și de protecție a drepturilor terților care, așa cum se va vedea, stau la baza normelor în materie de publicitate referitoare la societăți, pe de o parte, și drepturile fundamentale la respectarea vieții private și la protecția datelor personale, pe de altă parte(12).

    17.      Tot cu titlu introductiv, arătăm că litigiul principal privește ștergerea din registrul comerțului al unui stat membru a unor date personale a căror punere la dispoziția publicului nu este impusă nici de Directiva 2017/1132, nici de dreptul statului membru în cauză, precum și răspunderea autorității naționale însărcinate cu ținerea acestui registru pentru prejudiciul moral cauzat prin refuzul de a da curs imediat și necondiționat cererii de ștergere a unor astfel de date. În schimb, litigiul principal nu privește în mod direct problema privind obligațiile ce revin unei astfel de autorități în temeiul protecției datelor cu caracter personal în cadrul înregistrării în registrul comerțului a actelor constitutive ale unei societăți care conțin date a căror publicare nu este obligatorie. Această problemă rămâne totuși în mod implicit, așa cum reiese din faptul că multe dintre statele membre interveniente i‑au consacrat o mare parte din observațiile lor, propunând o reformulare radicală a primelor patru întrebări preliminare sau a unora dintre acestea. În continuarea analizei noastre, vom aborda anumite aspecte ale acestei probleme, rămânând însă în limitele trasate de obiectul procedurii principale și de întrebările preliminare asupra cărora se concentrează prezentele concluzii.

    2.      Cu privire la a patra și la a cincea întrebare preliminară

    18.      Prin intermediul celei de a patra întrebări preliminare, a cărei admisibilitate este contestată de guvernul bulgar, instanța de trimitere urmărește să afle în esență dacă Directiva 2017/1132 trebuie interpretată în sensul că permite să se aplice condiții procedurale specifice în cazul dreptului unei persoane fizice, în speță al asociaților unei societăți cu răspundere limitată vizate de această directivă(13), de a obține ștergerea din registrul comerțului a datelor cu caracter personal care le privesc care, deși nu se numără printre informațiile supuse publicității obligatorii în temeiul dreptului național, figurează în actul constitutiv al acestei societăți care a fost pus la dispoziția publicului cu ocazia înregistrării ei în registrul menționat. Prin intermediul celei de a cincea întrebări preliminare, instanța de trimitere solicită în schimb Curții să precizeze dacă, în ceea ce privește astfel de date, autoritatea însărcinată cu ținerea registrului comerțului acționează în calitate de „operator” în temeiul articolului 4 punctul 7 din RGPD sau dacă este și „destinatar” al datelor pe care le prelucrează, în sensul articolului 4 punctul 9 din acest regulament, scopul prelucrării lor fiind stabilit în amonte de un terț.

    19.      Așa cum am menționat anterior, este necesar, în opinia noastră, ca aceste două întrebări să fie examinate împreună. În acest scop, vom aborda diferitele probleme pe care le ridică în următoarea ordine. După o scurtă prezentare a conținutului obligațiilor în materie de publicitate a societăților menționate în anexa II la Directiva 2017/1132, vom examina, în primul rând, cine este operatorul datelor cu caracter personal conținute în acte supuse publicității obligatorii în contextul înregistrării unei societăți în registrul comerțului al unui stat membru atunci când, precum în speță, divulgarea datelor în cauză nu este impusă nici de dreptul armonizat al Uniunii, nici de dreptul statului membru în cauză. În al doilea rând, vom aborda problema temeiului juridic al prelucrării unor astfel de date în speță. În al treilea rând, vom analiza dacă, odată ce datele menționate au fost divulgate ca urmare a punerii la dispoziția publicului a actului în care acestea erau conținute, persoanele interesate dispun de un drept la ștergerea datelor în conformitate cu articolul 17 din RGPD. În sfârșit, în al patrulea rând, vom aborda problema dacă un astfel de drept poate fi supus unor modalități procedurale precum cele menționate de instanța de trimitere.

    20.      Înainte de a efectua această analiză, trebuie să se răspundă la contestațiile formulate de guvernul bulgar în ceea ce privește admisibilitatea celei de a patra întrebări preliminare. Acest guvern apreciază că a patra întrebare preliminară privește în esență compatibilitatea cu articolul 16 alineatul (7) din Directiva 2017/1132 – în versiunea anterioară modificărilor aduse prin Directiva 2019/1151 – a unei legislații naționale care nu ar fi fost încă adoptată. Prin urmare, întrebarea ar fi de natură ipotetică. În această privință, arătăm că instanța de trimitere este chemată să se pronunțe în ultimă instanță cu privire la legalitatea refuzului agenției de a șterge anumite date cu caracter personal ale intimatei cuprinse într‑un act pus la dispoziția publicului în urma înregistrării societății în registrul comerțului, precum și cu privire la consecințele refuzului respectiv. În acest scop, instanța de trimitere este chemată în special să aprecieze, în raport cu dispozițiile Directivei 2017/1132 și ale RGPD, dacă un astfel de refuz poate fi justificat printre altele de faptul că nu a fost depusă la dosar copia conformă a acestui act din care să fie eliminate datele personale în discuție. Prin urmare, decizia preliminară solicitată este necesară pentru a permite instanței de trimitere să pronunțe o hotărâre în litigiul cu care este sesizată. În plus, în pofida modului ambiguu de redactare a celei de a patra întrebări preliminare, din decizia de trimitere reiese în mod clar că prin intermediul acestei întrebări instanța de trimitere nu urmărește să obțină o opinie cu privire la compatibilitatea cu dreptul Uniunii a unei legislații naționale neadoptate încă, ci să solicite Curții elementele de interpretare a acestui drept care îi sunt necesare pentru soluționarea litigiului cu care este sesizată. Prin urmare, în opinia noastră, a patra întrebare preliminară este admisibilă.

    3.      Scurtă prezentare a conținutului obligațiilor în materie de publicitate a actelor și a informațiilor privind societățile, menționate în anexa II la Directiva 2017/1132

    21.      Articolul 14 din Directiva 2017/1132 prevede că, în ceea ce privește formele de societăți comerciale care figurează în anexa II la această directivă, statele membre publică în mod obligatoriu „cel puțin” actele și informațiile enumerate la acest articol. Printre actele supuse publicității obligatorii, articolul 14 din directiva respectivă menționează, la literele (a)-(c), „actul constitutiv, precum și statutul [societății comerciale], dacă face obiectul unui act separat”, precum și modificările acestora. În conformitate cu articolul 4 litera (i) din aceeași directivă, informațiile obligatorii care trebuie menționate în statut, în actul constitutiv sau într‑un document separat publicat includ identitatea persoanelor fizice sau juridice sau a societăților comerciale care au semnat sau în numele cărora s‑a semnat statutul sau actul constitutiv. Printre informațiile a căror publicitate trebuie asigurată, acest articol 14 menționează la litera (d) „numirea, încetarea funcției, precum și identitatea persoanelor care, în calitate de organ constituit în temeiul legii sau ca membri ai unui astfel de organ[,] au competența de a angaja societatea comercială față de terți și de a o reprezenta în justiție” și/sau „participă la administrarea, supravegherea sau controlul societății comerciale”. În conformitate cu articolul 16 alineatul (2) din Directiva 2017/1132, astfel cum a fost modificată prin Directiva 2019/1151, toate documentele și informațiile care trebuie publicate în temeiul articolului 14 se păstrează în dosarul menționat la alineatul (1) al acestui articol, deschis într‑un registru central, un registru comercial sau un registru al societăților comerciale, ori se înregistrează direct în registru(14). Potrivit articolului 16 alineatele (3) și (4) din directiva menționată, astfel cum a fost modificată prin Directiva 2019/1151, statele membre se asigură că publicarea documentelor și a informațiilor menționate la articolul 14 din aceasta se realizează prin punerea lor la dispoziția publicului în registru. În plus, statele membre pot impune ca unele sau toate documentele și informațiile respective să fie publicate într‑un buletin național desemnat în acest scop sau prin mijloace la fel de eficiente. Statele membre iau toate măsurile necesare pentru a evita orice neconcordanțe între informațiile publicate în registru și cele existente în dosar, precum și între ceea ce este publicat în registru și ceea ce este publicat în buletin.

    22.      Se pot face următoarele observații cu privire la prevederile sus‑menționate ale Directivei 2017/1132.

    23.      În primul rând, Directiva 2017/1132 prevede publicitatea obligatorie și accesibilitatea, prin intermediul registrului, a întregului act constitutiv al societății și a modificărilor acestuia(15).

    24.      În al doilea rând, în ceea ce privește societățile menționate în anexa II la aceasta, directiva amintită prevede publicitatea și accesibilitatea prin intermediul registrului doar a informațiilor privind anumite categorii de persoane, și anume printre altele cele care au competența de a angaja societatea comercială sau care participă la administrarea, supravegherea sau controlul acesteia. În conformitate cu articolul 4 litera (i) din directiva menționată, trebuie publicată de asemenea identitatea persoanelor fizice care au semnat actul constitutiv al societății comerciale.

    25.      În al treilea rând, aceste informații care privesc persoane fizice identificate sau identificabile constituie „date cu caracter personal” potrivit articolului 4 punctul 1 din RGPD(16).

    26.      În al patrulea rând, dispozițiile sus‑menționate ale Directivei 2017/1132 nu conțin decât cerințe minime în materie de publicitate a actelor și a informațiilor referitoare la societăți. Prin urmare, revine statelor membre sarcina de a stabili printre altele ce categorii de informații privind identitatea persoanelor menționate la articolul 4 litera (i) și la articolul 14 litera (d) din această directivă sunt publicate obligatoriu. Pe de altă parte, statele membre sunt libere să impună o astfel de publicitate pentru alte acte sau informații privind eventual alte categorii de persoane. Este de la sine înțeles că, pentru aceasta, ele sunt obligate să respecte toate dispozițiile dreptului Uniunii și în special principiile prevăzute la articolul 8 și la articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) și dispozițiile RGPD.

    4.      Cu privire la operator

    27.      Articolul 4 punctul 7 din RGPD definește în mod larg noțiunea de „operator” ca vizând persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, „stabilește scopurile și mijloacele de prelucrare” a datelor cu caracter personal. Obiectivul acestei definiții largi constă, în conformitate cu obiectivul regulamentului menționat, în a asigura o protecție eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, precum și în special un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc(17). Noțiunea de „prelucrare” face de asemenea obiectul unei definiții largi(18). Potrivit articolului 4 punctul 2 din RGPD, „prelucrare” „înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

    28.      Din Hotărârea Manni reiese că, întrucât transcrie și păstrează în registrul comerțului informațiile privind identitatea persoanelor menționate la articolul 14 litera (d) din Directiva 2017/1132 și le comunică, autoritatea responsabilă cu ținerea acestui registru efectuează o „prelucrare a datelor cu caracter personal” pentru care este „responsabilă” în sensul definițiilor furnizate la articolul 4 punctele 2 și 7 din RGPD. Situația este în mod evident aceeași atunci când transcrierea în acest registru, păstrarea și comunicarea au ca obiect alte date personale decât cele menționate în mod expres de această directivă, atunci când publicitatea datelor respective este prevăzută de dreptul unui stat membru.

    29.      Problema care se ridică însă în prezenta cauză este dacă o astfel de autoritate, în speță agenția, este responsabilă de punerea la dispoziția publicului a unor date personale a căror publicitate nu este impusă nici de Directiva 2017/1132, nici de dreptul statului membru în cauză, în speță dreptul bulgar, dar care sunt cuprinse într‑un act a cărui transcriere și divulgare sunt obligatorii.

    30.      În opinia noastră, răspunsul la această întrebare trebuie să fie afirmativ.

    31.      Astfel, punerea la dispoziția publicului în registrul comerțului a datelor cu caracter personal ale lui OL a intervenit în cadrul exercitării atribuțiilor conferite agenției în calitate de autoritate însărcinată cu ținerea acestui registru. Așa cum s‑a menționat anterior, legislația bulgară prevede că cererea de înregistrare a unei societăți în registrul menționat este însoțită de originalul sau de o copie certificată pentru conformitate cu originalul a actelor care trebuie publicate, printre care figurează contractul de societate, pe care agenția este obligată să le pună la dispoziția publicului. Scopurile și mijloacele de prelucrare a datelor cu caracter personal efectuată de agenție în îndeplinirea sarcinilor sale sunt de asemenea stabilite de dreptul bulgar, precum și de dreptul Uniunii, care, după cum s‑a văzut, a realizat o apropiere a legislațiilor statelor membre în materie de publicitate a societăților. Prin urmare, în calitate de autoritate responsabilă cu prelucrarea datelor cu caracter personal care figurează în actele transcrise în registrul comerțului în conformitate cu scopurile și mijloacele stabilite de legislația bulgară și de cea a Uniunii, agenția trebuie să fie considerată drept „operator” în sensul articolului 4 punctul 7 din RGPD. Arătăm că, recent, în Hotărârea din 11 ianuarie 2024, État belge (Date prelucrate de un jurnal oficial)(19), Curtea a ajuns la o concluzie similară în ceea ce privește organismul național însărcinat prin lege cu ținerea jurnalului oficial al unui stat membru.

    32.      Această concluzie nu este repusă în discuție de împrejurarea că în speță datele cuprinse în contractul de societate din 2020 nu se numără printre cele care trebuie puse la dispoziția publicului în temeiul dreptului bulgar. Pe de o parte, faptul că o astfel de împrejurare nu are nicio incidență asupra identificării operatorului a fost recunoscut în mod implicit de Curte în Hotărârea État belge. Astfel, în cauza în care s‑a pronunțat această hotărâre, ca și în cea aflată la originea prezentei trimiteri preliminare, litigiul privea date a căror punere la dispoziția publicului nu era impusă de legea statului membru în cauză. Pe de altă parte, articolul 13 alineatul (9) din Legea privind registrele prevede în mod explicit că, în cazul în care solicitantul nu depune o copie conformă cu originalul a actului care trebuie publicat din care să fie eliminate datele cu caracter personal care nu sunt necesare, agenția le prelucrează și le pune la dispoziția publicului în temeiul unui consimțământ implicit prezumat. Prin urmare, chiar și în asemenea împrejurări, legislația bulgară desemnează explicit agenția drept operator.

    33.      În aceste împrejurări, nu putem subscrie la teza formulată de agenție în observațiile scrise potrivit căreia, în cazul în care solicitantul nu ocultează informațiile care nu sunt impuse de lege cuprinse în actele pe care le transmite în vederea înregistrării în registru, devine el însuși responsabil de prelucrarea care constă în publicarea lor online în registrul respectiv. Astfel – independent de aspectul dacă un consimțământ pentru publicarea acestor informații poate fi dat în mod valabil recurgând la prezumția prevăzută la articolul 13 alineatul (9) din Legea privind registrele – existența unui asemenea consimțământ nu poate avea incidență asupra determinării operatorului, ci numai asupra legalității prelucrării.

    34.      Totodată, este lipsită de relevanță împrejurarea, evidențiată de asemenea de agenție, că documentele depuse odată cu cererea de înregistrare în registrul comerțului nu sunt date structurate sau care pot fi citite automat, spre deosebire de câmpurile digitale din acest registru care sunt completate de agentul ce efectuează înregistrarea și care corespund definiției legale a „registrului” în dreptul bulgar. Astfel, agenția este autoritatea însărcinată de legea bulgară cu ținerea registrului comerțului și, în consecință, este responsabilă de orice prelucrare a datelor cu caracter personal publicate în acesta, independent de împrejurarea că aceste date sunt cuprinse într‑un document care însoțește cererea sau sunt codificate de un funcționar al agenției. Prin urmare, chiar și atunci când nu efectuează ea însăși o transformare digitală a documentelor pe care le primește, ea este totuși responsabilă de divulgarea prin intermediul registrului a acestor documente și a datelor pe care le conțin. În general, în cadrul sarcinii sale care servește unui interes public, aceasta colectează, înregistrează, păstrează, organizează și ordonează toate datele, actele și documentele pe care le primește într‑o bază de date structurată care este recunoscută drept sursă fiabilă și autentică de informații.

    35.      În sfârșit, calificarea agenției drept „operator” în sensul articolului 4 punctul 7 din RGPD nu este pusă sub semnul îndoielii de faptul că ea nu controlează, înainte de publicarea lor online, datele cu caracter personal conținute în imaginile electronice sau în originalele pe suport de hârtie ale documentelor transmise în vederea înregistrării și nici de faptul că ea nu poate modifica sau rectifica datele respective. În această privință, amintim că Curtea a avut deja ocazia să respingă o argumentație cu un conținut similar în Hotărârea État belge, în ceea ce privește publicarea în jurnalul oficial al unui stat membru a unor acte și documente întocmite de terți, depuse ulterior la o autoritate judiciară și transmise organismului responsabil de acest jurnal în vederea divulgării lor. La punctul 38 din această hotărâre, Curtea a observat, pe de o parte, că publicarea acestor acte și documente fără a le putea controla sau modifica conținutul este intrinsec legată de rolul unui jurnal oficial, care se limitează la informarea publicului cu privire la existența lor în conformitate cu dreptul intern aplicabil, astfel încât să fie opozabile terților. Pe de altă parte, ea a precizat că ar fi contrar obiectivului articolului 4 punctul 7 din RGPD, care constă în asigurarea unei protecții eficiente și complete a persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, să se excludă din noțiunea de „operator” jurnalul oficial al unui stat membru pentru motivul că acesta din urmă nu exercită un control asupra unor astfel de date. Considerații similare se aplică mutatis mutandis publicării actelor și documentelor efectuate în registrele societăților din statele membre. Astfel, precum în cazul Moniteur belge în hotărârea sus‑menționată, deși este adevărat că agenția trebuie să publice actul respectiv ca atare, ea este singura care își asumă această sarcină și îl difuzează(20).

    36.      Se ridică în acest stadiu problema dacă agenția trebuie considerată singurul operator al datelor în litigiu și, prin urmare, singura responsabilă de respectarea principiilor prevăzute la articolul 5 alineatul (1) din RGPD sau dacă împarte această responsabilitate cu solicitantul, care acționează în numele societății, din cauza faptului că acesta nu a transmis agenției o copie a contractului de societate din 2020 din care să fie eliminate datele respective.

    37.      În această privință, amintim de la bun început că articolul 26 alineatul (1) din RGPD prevede că două sau mai multe persoane își pot asuma responsabilitatea comună pentru prelucrare și că responsabilitățile fiecăreia pot fi determinate printr‑un acord între ele sau pot fi stabilite de dreptul Uniunii sau de dreptul intern care se aplică acestora(21). În această privință, Curtea a precizat că calificarea drept „operatori asociați” decurge din faptul că mai multe entități au participat la stabilirea scopurilor și a mijloacelor prelucrării(22). În schimb, în lipsa unei asemenea participări, este exclusă o responsabilitate comună pentru prelucrare, iar diferiții actori trebuie să fie considerați operatori independenți și succesivi. Astfel cum a indicat AEPD, schimbul acelorași date sau al aceluiași set de date între două entități fără scopuri stabilite în comun sau mijloace de prelucrare stabilite în comun trebuie considerat o transmitere de date între operatori diferiți(23).

    38.      Prin urmare, simplul fapt că agenția este în același timp „operator” în temeiul articolului 4 punctul 7 din RGDP și „destinatar” în sensul punctului 9 al acestui articol, pentru motivul că îi sunt divulgate datele cu caracter personal cuprinse în actele și în documentele care însoțesc cererea de înregistrare în registrul comerțului, nu permite să se excludă că aceasta își asumă singură responsabilitatea pentru punerea la dispoziția publicului a datelor respective. Astfel, o asemenea punere la dispoziția publicului, dar și transformarea digitală, atunci când are loc, a datelor care figurează în actele care îi sunt transmise, precum și păstrarea lor constituie o prelucrare distinctă și ulterioară în raport cu transmiterea datelor de către solicitant în scopul înregistrării societății. Or, agenția efectuează singură toate aceste prelucrări, în cadrul sarcinii care servește unui interes public cu care este însărcinată și în conformitate cu scopurile și cu modalitățile care sunt stabilite de legislația bulgară(24).

    39.      Desigur, pe de o parte, Curtea a precizat, în Hotărârea État belge(25), că este suficient ca o persoană să influențeze, în scopuri proprii acesteia, prelucrarea datelor cu caracter personal și să participe, ca urmare a acestui fapt, la stabilirea scopurilor și a mijloacelor prelucrării respective pentru a putea fi considerată operator asociat(26). Însă, în speță, din dosarul de care dispune Curtea reiese că scopurile și mijloacele prelucrării datelor care figurează în documentele care trebuie puse la dispoziția publicului prin intermediul registrului comerțului sunt stabilite numai prin lege. Persoanele care, în numele societății, încarcă documentele și informațiile a căror publicitate este impusă de lege în baza de date a acestui registru(27) nu exercită nicio influență asupra acestei stabiliri și, prin urmare, nu pot fi considerate – nici societatea însăși – responsabile pentru prelucrările ulterioare ale datelor pe care le comunică agenției, inclusiv pentru divulgarea acestor date prin intermediul bazei de date electronice a registrului. În plus, atunci când transmit agenției actele care trebuie publicate și prelucrează datele pe care le conțin, persoanele respective urmăresc scopuri proprii acestora, și anume îndeplinirea formalităților necesare pentru înregistrarea societății, care diferă de scopurile publice atribuite registrului și urmărite de agenție atunci când asigură punerea la dispoziția publicului a unor astfel de acte(28).

    40.      Pe de altă parte, în Hotărârea État belge, Curtea a recunoscut că, în cadrul unui șir de prelucrări efectuate de diferite persoane sau entități cu privire la aceleași date cu caracter personal, dreptul intern poate stabili scopurile și mijloacele ansamblului prelucrărilor efectuate în mod succesiv de aceste persoane sau entități diferite astfel încât acestea să fie considerate operatori asociați(29). Astfel, în temeiul dispozițiilor coroborate ale articolului 26 alineatul (1) și ale articolului 4 punctul 7 din RGPD, responsabilitatea comună a mai multor actori dintr‑un șir de prelucrări cu privire la aceleași date cu caracter personal poate fi stabilită de dreptul intern cu condiția ca diferitele operațiuni de prelucrare să fie unite prin scopuri și mijloace stabilite în temeiul acestui drept și ca dreptul respectiv să definească, în mod direct sau indirect, obligațiile fiecăruia dintre operatorii asociați(30). Or, în opinia noastră, acest lucru nu este valabil în ceea ce privește articolul 13 alineatele (6) și (9) din Legea privind registrele, care se limitează să definească în ce condiții, potrivit legislației bulgare, persoana vizată a dat un consimțământ valabil pentru publicarea în registrul comerțului a datelor personale care nu trebuie publicate. Astfel, această dispoziție nu are ca obiect stabilirea unei responsabilități comune a solicitantului pentru prelucrarea ulterioară a datelor respective, ci mai degrabă precizarea temeiului legalității prelucrării efectuate de agenție. Pe de altă parte, așa cum am subliniat deja, scopurile private urmărite de societate diferă de scopurile publice urmărite de agenție, astfel încât condițiile impuse prin Hotărârea État belge pentru ca responsabilitatea lor comună, în calitate de actori ai unui „șir de prelucrări cu privire la aceleași date cu caracter personal”, să poată fi considerată ca fiind stabilită de dreptul bulgar nu sunt, în opinia noastră, îndeplinite.

    41.      Pe baza tuturor considerațiilor care precedă, apreciem că articolul 4 punctul 7 și articolul 26 alineatul (1) din RGPD trebuie interpretate în sensul că autoritatea însărcinată cu ținerea registrului comerțului dintr‑un stat membru care, în temeiul legislației acestui stat, trebuie să asigure publicitatea actelor care îi sunt transmise în cadrul unei cereri de înregistrare a unei societăți în registrul menționat este singura responsabilă de punerea la dispoziția publicului a datelor cu caracter personal conținute în aceste acte, chiar și atunci când este vorba despre date a căror publicare nu este necesară și care, în conformitate cu legislația respectivă, ar fi trebuit să fie eliminate din acestea anterior transmiterii lor către autoritatea menționată.

    5.      Cu privire la temeiul legalității prelucrării

    42.      Orice prelucrare a datelor cu caracter personal trebuie să fie conformă cu principiile referitoare la prelucrarea datelor prevăzute la articolul 5 alineatul (1) din RGPD și să îndeplinească condițiile enumerate la articolul 6 din acest regulament(31), care prevede o listă exhaustivă și limitativă de cazuri în care o astfel de prelucrare poate fi considerată legală(32). Potrivit articolului 6 alineatul (1) primul paragraf litera (a) din RGPD, prelucrarea datelor cu caracter personal este legală dacă și în măsura în care persoana vizată și‑a dat consimțământul pentru unul sau mai multe scopuri specifice. În lipsa unui astfel de consimțământ sau atunci când acest consimțământ nu a fost dat în mod liber, specific, informat și lipsit de ambiguitate, printr‑o declarație sau printr‑o acțiune fără echivoc, în sensul articolului 4 punctul 11 din RGPD, o astfel de prelucrare este totuși justificată atunci când îndeplinește una dintre cerințele de necesitate menționate la articolul 6 alineatul (1) primul paragraf literele (b)-(f) din acest regulament, care trebuie să facă obiectul unei interpretări restrictive(33).

    43.      În speță, prezumția de consimțământ instituită la articolul 13 alineatul (9) din Legea privind registrele nu îndeplinește în mod evident condițiile impuse de articolul 6 alineatul (1) primul paragraf litera (a) din RGPD coroborat cu articolul 4 punctul 11 din acest regulament(34). Prin urmare, trebuie să se verifice dacă o prelucrare de date precum cea în discuție în procedura principală corespunde uneia dintre celelalte justificări prevăzute la articolul 6 alineatul (1) primul paragraf din regulamentul menționat.

    44.      Din Hotărârea Manni reiese că prelucrarea datelor cu caracter personal efectuată de autoritatea însărcinată cu ținerea registrului în vederea punerii în aplicare a actelor Uniunii care coordonează dispozițiile naționale în materie de publicitate a actelor societăților corespunde printre altele motivelor de legalitate prevăzute la articolul 6 alineatul (1) primul paragraf literele (c) și (e) din RGPD, referitoare, primul, la îndeplinirea unei obligații legale care îi revine operatorului și, al doilea, la îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul. Prin urmare, vom efectua analiza noastră în raport cu aceste două motive.

    45.      În ceea ce privește, în primul rând, motivul prevăzut la articolul 6 alineatul (1) primul paragraf litera (c) din RGPD, trebuie, mai întâi, să se examineze dacă punerea la dispoziția publicului în registrul comerțului a datelor personale în discuție în procedura principală, care nu se numără printre informațiile care trebuie publicate în temeiul Directivei 2017/1132 sau al dreptului bulgar, se justifica prin cerința de a asigura publicitatea actelor menționate la articolul 14 din această directivă și era, prin urmare, necesară în vederea îndeplinirii unei obligații legale care decurge din dreptul Uniunii.

    46.      În conformitate cu articolul 16 alineatul (3) din directiva respectivă, statele membre se asigură că aceste acte sunt puse la dispoziția publicului în registrul menționat la primul paragraf al alineatului (1) al acestui articol. Guvernele german, irlandez și polonez consideră în esență că, în temeiul acestui articol coroborat cu articolul 14 sus‑menționat, autoritățile însărcinate cu ținerea registrului trebuie să publice actele respective așa cum le primesc. Prin urmare, ele ar fi obligate să prelucreze toate datele cu caracter personal pe care le conțin acestea, inclusiv pe cele care nu sunt necesare în temeiul dreptului Uniunii sau al dreptului național aplicabil.

    47.      Nu împărtășim această interpretare. Astfel, Directiva 2017/1132 prevede că anumite acte esențiale ale societăților trebuie publicate în mod obligatoriu și că publicitatea se efectuează prin intermediul registrului, însă nu impune prelucrarea sistematică a oricărei date cu caracter personal conținute în actele menționate, chiar cu încălcarea dispozițiilor RGPD. Dimpotrivă, așa cum am amintit mai sus, articolul 161 din această directivă, astfel cum a fost modificată prin Directiva 2019/1151, prevede că orice prelucrare de date cu caracter personal în contextul acestei directive se efectuează în conformitate cu regulamentul menționat. Prin urmare, revine statelor membre sarcina de a găsi justul echilibru între obiectivele de securitate juridică și de protecție a intereselor terților care, după cum se va vedea mai jos, stau la baza normelor în materie de publicitate a actelor societăților și dreptul fundamental la respectarea datelor cu caracter personal.

    48.      În continuare, trebuie să se verifice dacă publicarea în registrul comerțului a datelor în discuție în procedura principală era necesară în vederea îndeplinirii unei obligații legale prevăzute de dreptul bulgar. În această privință, amintim că articolul 2 alineatul (2) din Legea privind registrele prevede că actele care trebuie să figureze în registrul comerțului „sunt puse la dispoziția publicului fără informații care constituie date cu caracter personal în sensul articolului 4 punctul 1 din [RGPD], cu excepția informațiilor care trebuie puse la dispoziția publicului în temeiul legii”. Legalitatea prelucrării datelor în discuție în procedura principală nu pare, așadar, să se poată întemeia pe o „obligație legală” în sensul articolului 6 alineatul (1) primul paragraf litera (c) din RGPD, care ar reveni agenției în temeiul dreptului bulgar, aspect care pare de altfel confirmat de prezumția de consimțământ introdusă de articolul 13 alineatul (9) din Legea privind registrele. Revine însă instanței de trimitere, singura competentă să interpreteze dreptul național, sarcina de a se pronunța cu privire la acest aspect. Ne limităm să precizăm în acest caz că simplul fapt, invocat de agenție, că, în lipsa depunerii unei copii în care să fi fost ocultate datele personale care nu sunt impuse de lege, este nevoită să publice actul astfel cum i‑a fost transmis nu este suficient, în opinia noastră, pentru a caracteriza o „obligație legală” în sensul articolului 6 alineatul (1) primul paragraf litera (c) din RGPD, dat fiind că o astfel de publicare este exclusă a priori de lege și este efectuată de agenție numai pe baza unui consimțământ prezumat(35). În această privință, trebuie să se sublinieze că revine operatorului sarcina de a se asigura că prelucrarea datelor pe care o efectuează este „legală” în ceea ce privește condițiile prevăzute la articolul 6 alineatul (1) primul paragraf literele (a)-(f) din acest regulament(36).

    49.      În ceea ce privește, în al doilea rând, motivul prevăzut la articolul 6 alineatul (1) primul paragraf litera (e) din RGPD la care se referă atât instanța de trimitere, cât și majoritatea statelor membre care au prezentat observații în prezenta procedură, amintim că Curtea a avut deja ocazia să statueze că activitatea unei autorități publice care constă în a păstra date pe care societățile sunt ținute să le comunice în temeiul unor obligații legale, într‑o bază de date, în a permite persoanelor interesate să consulte aceste date și în a le furniza copii ale acestora ține de exercitarea unor prerogative de putere publică(37) și constituie o sarcină care servește unui interes public în sensul acestei dispoziții(38). După cum a afirmat avocatul general Bot în Concluziile sale prezentate în cauza în care s‑a pronunțat Hotărârea Manni, înregistrarea și publicarea în registrul comerțului a informațiilor esențiale referitoare la societăți au drept scop să creeze o sursă de informații fiabile și să asigure astfel securitatea necesară pentru protecția intereselor terților, în special cele ale creditorilor, corectitudinea tranzacțiilor comerciale și, prin urmare, buna funcționare a pieței(39). Pe de altă parte, după cum a subliniat Curtea, stocarea în aceste registre a tuturor datelor relevante și posibilitatea ca acestea să fie accesate de terți contribuie la favorizarea schimburilor comerciale între state membre și din perspectiva dezvoltării pieței interne(40).

    50.      În speță, se ridică problema dacă aceste obiective și motivul de legalitate prevăzut la articolul 6 alineatul (1) primul paragraf litera (e) din RGPD pot fi invocate în ceea ce privește punerea la dispoziția publicului de către agenție a datelor cu caracter personal în discuție în procedura principală, care nu se numără printre cele supuse publicității obligatorii în temeiul dreptului Uniunii sau al dreptului bulgar.

    51.      În această privință, amintim că articolul 6 alineatul (3) din RGPD coroborat cu considerentul (45) al acestuia precizează, în ceea ce privește printre altele ipoteza de legalitate prevăzută la litera (e) a primului paragraf al alineatului (1) al acestui articol, că prelucrarea trebuie să se bazeze pe dreptul Uniunii sau pe dreptul statului membru care se aplică operatorului și că acest temei juridic trebuie să răspundă unui obiectiv de interes public și să fie proporțional cu obiectivul legitim urmărit(41). Or, niciuna dintre aceste cerințe – despre care Curtea a precizat că sunt o expresie a celor care rezultă din articolul 52 alineatul (1) din cartă(42) – nu pare îndeplinită în prezenta cauză, care privește o prelucrare de date cu caracter personal care, deși este realizată cu ocazia exercitării unei sarcini ce servește unui interes public în sensul articolului 6 alineatul (1) primul paragraf litera (e) din RGPD, nu este considerată a priori necesară pentru îndeplinirea acesteia în temeiul legislației naționale aplicabile și nici pentru urmărirea scopurilor atribuite registrului comerțului și care este autorizată doar pe baza unui consimțământ prezumat al persoanei vizate.

    52.      În general, trebuie să se sublinieze că publicarea datelor cu caracter personal care nu sunt impuse de dreptul Uniunii sau de dreptul statului membru în cauză nu servește niciunuia dintre obiectivele menționate la punctul 49 din prezentele concluzii(43), singurele care justifică ingerința în drepturile persoanelor vizate la respectarea vieții private și la protecția datelor cu caracter personal garantate prin articolele 7 și 8 din cartă(44). Pe de altă parte, astfel cum a subliniat Curtea în Hotărârea Manni, o asemenea ingerință nu este considerată disproporționată tocmai pentru că în principiu publicitatea nu este prevăzută decât pentru un număr limitat de date cu caracter personal – și anume cele care privesc identitatea și funcțiile persoanelor care au competența de a angaja societatea și, prin urmare, sunt necesare pentru protejarea intereselor terților(45).

    53.      Guvernul bulgar și agenția susțin în esență că prelucrarea în discuție în procedura principală se întemeiază, în dreptul bulgar, pe cerința de a asigura publicitatea actelor esențiale ale societăților, de a păstra integritatea și fiabilitatea acestora și de a nu împiedica exercitarea de către agenție a sarcinii sale care servește unui interes public. Presupunând că instanța de trimitere ajunge la aceeași concluzie, acesteia i‑ar reveni totuși sarcina de a se asigura de respectarea principiului proporționalității. În temeiul acestui principiu, restrângerile dreptului fundamental la respectarea datelor cu caracter personal trebuie să fie efectuate în limitele strictului necesar(46), ceea ce nu este cazul atunci când obiectivul de interes general urmărit poate fi atins în mod rezonabil, la fel de eficace, prin alte mijloace care afectează mai puțin acest drept(47). Trebuie amintit de asemenea că articolul 5 alineatul (1) litera (c) din RGPD prevede că datele cu caracter personal trebuie să fie adecvate, relevante și să nu fie excesive în raport cu scopurile în care sunt prelucrate și impune respectarea de către statele membre a principiului „reducerii la minimum a datelor”, care dă expresie principiului proporționalității(48).

    54.      Or, considerăm că obiectivul de a asigura publicitatea actelor esențiale ale societăților poate fi atins în mod rezonabil prin instituirea unor proceduri care să permită ocultarea, anterior publicării lor, a datelor personale a căror punere la dispoziția publicului nu este necesară. Procedurile menționate pot include printre altele obligația agenției de a suspenda înregistrarea societății pentru a permite modificarea actelor care conțin astfel de date sau pentru a le șterge, dacă este cazul, din oficiu.

    55.      Apreciem că nu pot fi admise argumentele invocate de multe state membre care au prezentat observații în prezenta procedură, potrivit cărora instituirea unor asemenea proceduri ar risca să întârzie examinarea cererilor de înregistrare în registrul societăților, în detrimentul mai ales al intereselor asociaților, sau să impună autorităților naționale sarcini excesiv de împovărătoare. Astfel, pe de o parte, aceste proceduri sunt necesare pentru a concilia interesele urmărite prin publicitatea actelor societăților cu dreptul fundamental la respectarea datelor cu caracter personal, în special atunci când, după cum am subliniat la punctul 16 din prezentele concluzii, datele personale în discuție sunt destinate a fi puse fără restricții la dispoziția publicului într‑un mediu digitalizat. Pe de altă parte, ele s‑ar putea servi de instrumente de căutare și de identificare a datelor care permit facilitarea sarcinii acestor autorități și ar putea fi concepute astfel încât să impună într‑o primă etapă solicitanților sarcina de a oculta datele personale care nu trebuie divulgate, așa cum prevede de altfel dreptul bulgar.

    56.      În ceea ce privește cerința de a păstra integritatea și fiabilitatea actelor societăților supuse publicității obligatorii transmise în vederea înregistrării în registrul societăților – menționată de asemenea de guvernul bulgar și de agenție, precum și de majoritatea statelor membre care au prezentat observații în prezenta procedură –, care ar impune publicarea actelor menționate astfel cum au fost transmise autorităților însărcinate cu ținerea registrului, aceasta nu poate, în opinia noastră, să prevaleze în mod sistematic asupra dreptului fundamental la protecția datelor cu caracter personal, în caz contrar existând riscul ca această protecție să devină pur iluzorie.

    57.      Astfel, tindem să considerăm că această cerință poate justifica cel mult păstrarea datelor cu caracter personal care nu sunt supuse publicității obligatorii cuprinse în asemenea acte, dar nu și publicarea lor, fără nicio limitare sau restricție, în baza de date a registrului deschis publicului. Mai precis, apreciem că punerea la dispoziția publicului a copiei acestor acte, din care sunt eliminate datele personale care nu sunt necesare, și păstrarea originalului în dosar ar permite asigurarea unui just echilibru între această cerință și protecția datelor persoanelor vizate. Eventualul acces la originalul actului și la toate datele pe care le conține acesta ar fi permis astfel numai de la caz la caz, în prezența unui interes legitim care să îl justifice – inclusiv cel al verificării caracterului autentic al actului – și cu respectarea dispozițiilor RGPD.

    58.      În această privință, contrar celor susținute în special de guvernul irlandez, considerăm că articolul 16a din Directiva 2017/1132, astfel cum a fost modificată prin Directiva 2019/1151, în măsura în care prevede că „[s]tatele membre se asigură că se pot obține […] copii ale tuturor sau ale oricărei părți a documentelor […] menționate la articolul 14”, nu implică faptul că statele membre sunt obligate să permită accesul nerestricționat la toate aceste acte. În schimb, după cum am observat deja, articolul 161 din Directiva 2017/1132, astfel cum a fost modificată prin Directiva 2019/1151, obligă statele membre să instituie proceduri pentru a garanta că, în exercitarea sarcinii care servește unui interes public care le este încredințată, autoritățile însărcinate cu ținerea registrului societăților respectă toate dispozițiile RGPD.

    59.      Pe baza tuturor considerațiilor care precedă, apreciem că prelucrarea datelor în discuție în procedura principală nu poate fi considerată ca fiind întemeiată pe consimțământul intimatei din litigiul principal, în sensul articolului 6 alineatul (1) primul paragraf litera (a) din RGPD coroborat cu articolul 4 punctul 11 din acest regulament. Sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, această prelucrare nu pare să îndeplinească nici condițiile de legalitate prevăzute la articolul 6 alineatul (1) primul paragraf litera (c) din RGPD, nici pe cele prevăzute la litera (e) a acestui articol coroborat cu articolul 6 alineatul (3) din regulamentul menționat. Din motive de exhaustivitate, vom adăuga că prelucrarea respectivă nu poate intra nici în domeniul de aplicare al articolului 6 alineatul (1) primul paragraf litera (f) din RGPD, referitor la prelucrările datelor cu caracter personal necesare în scopul intereselor legitime urmărite de operator. Astfel, după cum a precizat Curtea, din modul de formulare a articolului 6 alineatul (1) al doilea paragraf din RGPD reiese cu claritate că o prelucrare a datelor cu caracter personal efectuată de o autoritate publică în îndeplinirea atribuțiilor sale nu poate intra în domeniul de aplicare al articolului 6 alineatul (1) primul paragraf litera (f) din RGPD, astfel încât aplicarea acestei dispoziții și cea a articolului 6 alineatul (1) primul paragraf litera (e) din regulamentul menționat se exclud reciproc(49). Or, în speță, prelucrarea datelor cu caracter personal în discuție în procedura principală este realizată de agenție cu ocazia exercitării sarcinii care servește unui interes public care îi este încredințată, ceea ce exclude de la bun început aplicarea articolului 6 alineatul (1) primul paragraf litera (f) din RGPD, independent de aspectul dacă îndeplinește condițiile prevăzute la articolul 6 alineatul (3) din RGPD.

    60.      Prin urmare, nu este exclus ca instanța de trimitere să fie determinată să concluzioneze că prelucrarea datelor în discuție în procedura principală, întrucât nu îndeplinește niciuna dintre justificările prevăzute la articolul 6 alineatul (1) din RGPD, era ilegală.

    6.      Dreptul la ștergerea datelor

    61.      Articolul 17 din RGPD instituie un drept al persoanei vizate la ștergerea datelor cu caracter personal care o privesc în cazul în care este aplicabil unul dintre motivele enumerate la alineatul (1) al acestui articol și impune în mod corelativ operatorului obligația de a efectua o astfel de ștergere fără întârzieri nejustificate.

    62.      Articolul 17 alineatul (3) din RGPD precizează însă că alineatul (1) al acestui articol nu se aplică în măsura în care prelucrarea în cauză este necesară pentru unul dintre motivele enumerate la această primă dispoziție. Printre aceste motive figurează, la articolul 17 alineatul (3) litera (b) din regulamentul menționat, respectarea unei obligații legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului sau îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorități oficiale cu care este învestit operatorul.

    63.      În măsura în care aceste excepții de la dreptul la ștergerea datelor reflectă motivele de justificare a prelucrării prevăzute la articolul 6 alineatul (1) primul paragraf literele (c) și (e) din RGPD, facem trimitere, în ceea ce privește posibilitatea invocării lor în împrejurări precum cele din procedura principală, la analiza efectuată la punctele 45-58 din prezentele concluzii(50).

    64.      Astfel, în ipoteza în care instanța de trimitere ar aprecia că punerea la dispoziția publicului în registrul comerțului a datelor cu caracter personal în discuție în procedura principală nu intră, în dreptul bulgar, în domeniul de aplicare al articolului 6 alineatul (1) primul paragraf litera (c) sau (e) din RGPD coroborat cu articolul 6 alineatul (3) din acest regulament și, prin urmare, al articolului 17 alineatul (3) litera (b) din RGPD, intimata din litigiul principal ar dispune de un drept la ștergerea datelor care constă în încetarea unei asemenea puneri la dispoziția publicului, iar agenția, în calitate de operator, ar fi obligată să îl respecte. Între‑adevăr, articolul 17 alineatul (1) litera (d) din RGPD prevede un drept absolut al persoanei vizate de a obține ștergerea datelor sale cu caracter personal în cazul în care acestea au fost prelucrate ilegal(51).

    65.      În ipoteza în care instanța de trimitere ar concluziona în schimb că prelucrarea datelor în discuție în procedura principală era conformă cu articolul 6 alineatul (1) primul paragraf litera (c) sau (e) din RGPD, articolul 17 alineatul (3) litera (b) din acest regulament ar fi a priori aplicabil. Sunt însă necesare două precizări.

    66.      Pe de o parte, în cazul în care instanța de trimitere ar ajunge la concluzia că punerea la dispoziția publicului a datelor personale în discuție în procedura principală era necesară pentru îndeplinirea sarcinii care servește unui interes public încredințate agenției pentru a nu întârzia înregistrarea societății în registrul comerțului, acest unic motiv nu poate, în opinia noastră, să fie invocat pentru a justifica menținerea acestor date în registru odată ce societatea a fost înregistrată și, prin urmare, pentru a exclude, în temeiul articolului 17 alineatul (3) litera (b) din RGPD, dreptul intimatei din litigiul principal la ștergerea datelor. Astfel, acest drept ar fi asigurat prin articolul 17 alineatul (1) litera (c) din regulamentul respectiv, care se aplică în cazul în care persoana vizată se opune, în temeiul articolului 21 alineatul (1) din regulamentul menționat, din motive legate de situația particulară în care se află, prelucrării datelor sale cu caracter personal printre altele în temeiul articolului 6 alineatul (1) primul paragraf litera (e) din același regulament și nu există „motive legitime care să prevaleze în ceea ce privește prelucrarea” pe care operatorul trebuie să le demonstreze(52). Or, pentru aceleași motive expuse deja la punctul 56 din prezentele concluzii, apreciem că cerința de a păstra integritatea și fiabilitatea actelor pe care se întemeiază înregistrarea societății în registru nu poate constitui un asemenea motiv legitim imperios. Astfel, după cum am arătat, această cerință poate fi îndeplinită prin recurgerea la alte mijloace care afectează mai puțin dreptul fundamental la respectarea datelor cu caracter personal.

    67.      Pe de altă parte, din Hotărârea Manni reiese că o limitare a accesului doar la terții care justifică un interes special poate fi justificată, de la caz la caz, pentru motive preponderente și legitime referitoare la situația specială a persoanelor vizate, chiar și în ceea ce privește datele cu caracter personal pe care Directiva 2017/1132 le supune publicității obligatorii și, prin urmare, chiar și în cazul în care punerea la dispoziția publicului decurge dintr‑o obligație legală în sensul articolului 6 alineatul (1) primul paragraf litera (c) din RGPD. Or, o astfel de limitare ar trebui să fie recunoscută a fortiori în ceea ce privește datele personale care nu sunt supuse publicității nici în temeiul dreptului Uniunii, nici în temeiul dreptului național. Pe de altă parte, într‑o asemenea situație, condiția la care Curtea a supus, în Hotărârea Manni, limitarea accesului la informațiile privind identitatea lichidatorului societății, și anume să se fi scurs un termen suficient de lung după dizolvarea societății, nu ar fi aplicabilă în speță, iar limitarea accesului la astfel de date ar trebui deci pusă în aplicare fără întârzieri nejustificate.

    7.      Cu privire la condiționarea exercitării dreptului la ștergerea datelor de modalități procedurale specifice

    68.      Din decizia de trimitere reiese că agenția a condiționat cererea formulată de OL, având ca obiect ștergerea datelor cu caracter personal care o privesc a căror publicare nu este impusă de dreptul bulgar, de respectarea unor modalități procedurale specifice care impun depunerea unei copii a actului care conține datele menționate în care ele să fi fost ocultate. Nefiind depusă o astfel de copie, cererea a fost respinsă sau amânată sine die. Potrivit explicațiilor furnizate de agenție, respectarea acestor modalități procedurale ar fi necesară întrucât ea nu are competența de a modifica actul în cauză, această modificare fiind de competența exclusivă a organelor societății.

    69.      Amintim că, potrivit articolului 23 alineatul (1) din RGPD, dreptul Uniunii sau dreptul național „poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 […], atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura” atingerea unuia dintre obiectivele enumerate la acest articol. În măsura în care conduc la o restrângere a exercitării dreptului la ștergerea datelor și a dreptului la opoziție prevăzut la articolul 21 din RGPD sau chiar la excluderea lor, în cazul în care persoana vizată nu reușește să obțină de la societate modificările necesare ale actului în cauză, modalitățile procedurale aplicate de agenție pot intra sub incidența articolului 23 alineatul (1) din RGPD(53). Prin urmare, trebuie să se verifice dacă sunt îndeplinite în speță condițiile prevăzute de această dispoziție, chiar dacă instanța de trimitere nu a solicitat în mod expres Curții să se pronunțe cu privire la acest aspect.

    70.      În această privință, observăm mai întâi că aceste modalități procedurale par să țină de o simplă practică internă a agenției(54). Prin urmare, sub rezerva verificărilor care trebuie efectuate de instanța de trimitere, ele nu par a fi, din acest motiv, conforme cu articolul 23 alineatul (1) din RGPD, care prevede că restricțiile privind drepturile enumerate în această dispoziție trebuie să facă obiectul unei „măsuri legislative”.

    71.      Aceste modalități procedurale ridică în continuare probleme cu privire la respectarea principiului proporționalității.

    72.      Astfel, deși considerăm că cerința de a garanta fiabilitatea și autenticitatea actelor înregistrate în registrul comerțului și, în sens mai larg, transparența și securitatea juridică în exercitarea sarcinii care îi este încredințată este susceptibilă să răspundă unui „obiectiv important de interes public general al Uniunii sau al unui stat membru”, în sensul articolului 23 alineatul (1) litera (e) din RGPD, ea nu justifică, în opinia noastră, restricția privind dreptul la ștergerea datelor sau dreptul la opoziție ori chiar excluderea acestora în împrejurări precum cele din procedura principală, întrucât pot fi utilizate alte mijloace care afectează mai puțin dreptul fundamental la respectarea datelor cu caracter personal.

    73.      În acest context, deși apreciază că este justificat să se aștepte ca societatea să modifice actul prin eliminarea datelor a căror ștergere este solicitată, Comisia propune ca agenția să efectueze ea însăși ocultarea acestor date după un interval rezonabil de timp, dacă se dovedește că persoana vizată nu reușește să obțină din partea societății o astfel de modificare.

    74.      Nu suntem convinși că o asemenea soluție ar asigura un just echilibru între diferitele drepturi și interese aflate în joc, în măsura în care conduce la menținerea, pentru o perioadă nedefinită, la dispoziția publicului, într‑un mediu digitalizat, a unor date care nu aveau vocația de a fi divulgate. În opinia noastră, un astfel de echilibru ar putea în schimb să fie garantat recunoscând agenției competența de a efectua ea însăși, în cel mai scurt timp după primirea cererii de ștergere a datelor, ocultarea datelor în discuție în copia actului pus la dispoziția publicului, păstrând totodată în dosar originalul acestui act și solicitând societății să transmită o modificare a acestuia din care datele respective să fie eliminate, modificare ce ar fi de asemenea publicată în registru.

    75.      Desigur, articolul 16 alineatul (4) primul și al doilea paragraf din Directiva 2017/1132 prevede că statele membre iau măsurile necesare pentru a evita orice neconcordanțe între informațiile publicate în registru și cele existente în dosar și între ceea ce este publicat în registru și ceea ce este publicat în buletinul național. Cu toate acestea, cerința de a menține coerența între diferitele părți ale registrului și cu buletinul național, precum și obiectivul de securitate juridică la baza căruia stă o asemenea cerință nu pot justifica, în opinia noastră, menținerea la dispoziția publicului, fără restricții și fără limite temporale, în acte publicate în registru, a unor date personale a căror divulgare nu este obligatorie, atunci când persoana vizată solicită ștergerea acestora. Astfel, în primul rând, modificările acestor acte care se dovedesc necesare pentru ocultarea acestor date ar putea fi identificate și urmărite și ar interveni în mod transparent. În al doilea rând, aceste modificări ar privi elemente ale unor asemenea acte a căror publicitate nu este necesară pentru îndeplinirea unei sarcini care servește unui interes public încredințate registrului. În al treilea rând, integritatea și autenticitatea actelor menționate ar putea fi menținute prin păstrarea în dosar a originalului acestora, la care terții care justifică un interes legitim ar avea un acces reglementat.

    76.      Pe baza tuturor considerațiilor care precedă, apreciem că modalitățile procedurale precum cele aplicate în speță de agenție nu sunt conforme cu articolul 23 alineatul (1) din RGPD.

    V.      Concluzie

    77.      În lumina tuturor considerațiilor care precedă, propunem Curții să răspundă la a patra și la a cincea întrebare preliminară adresate de Varhoven administrativen sad (Curtea Administrativă Supremă, Bulgaria) după cum urmează:

    1)      Articolul 4 punctul 7 și articolul 26 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

    trebuie interpretate în sensul că

    autoritatea însărcinată cu ținerea registrului comerțului dintr‑un stat membru care, în temeiul legislației acestui stat, trebuie să asigure publicitatea actelor care îi sunt transmise împreună cu o cerere de înregistrare a unei societăți în registrul menționat este singura responsabilă de punerea la dispoziția publicului a datelor cu caracter personal conținute în aceste acte, chiar și atunci când este vorba despre date a căror publicare nu este necesară și care, în conformitate cu legislația respectivă, ar fi trebuit să fie eliminate din acestea anterior transmiterii lor către autoritatea menționată.

    2)      Regulamentul 2016/679, în special articolul 17 și articolul 23 alineatul (1) din acesta,

    trebuie interpretat în sensul că

    se opune unei legislații sau unei practici naționale care condiționează dreptul unei persoane fizice de a obține de la autoritatea însărcinată cu ținerea registrului comerțului dintr‑un stat membru ștergerea datelor cu caracter personal care o privesc, cuprinse în acte puse la dispoziția publicului în registrul menționat, de modalități procedurale care impun depunerea unei copii a actului în cauză din care datele respective să fi fost eliminate. În calitate de operator, această autoritate nu poate fi exonerată de obligația sa de a da curs unei astfel de cereri de ștergere a datelor fără întârzieri nejustificate doar pentru motivul că nu i s‑a transmis o asemenea copie.

    3)      Directiva (UE) 2017/1132 a Parlamentului European și a Consiliului din 14 iunie 2017 privind anumite aspecte ale dreptului societăților comerciale, astfel cum a fost modificată prin Directiva (UE) 2019/1151 a Parlamentului European și a Consiliului din 20 iunie 2019, în special articolul 16 alineatele (2)-(4) din aceasta, prin raportare la considerentul (8) al directivei menționate,

    nu poate fi interpretată în sensul că

    permite adoptarea unor astfel de modalități procedurale. Această directivă nu se opune ca autoritatea însărcinată cu ținerea registrului comerțului dintr‑un stat membru să dea curs unei cereri de ștergere a datelor cu caracter personal care nu sunt impuse de legislația acestui stat membru, cuprinse într‑un act pus la dispoziția publicului în acest registru, eliminând ea însăși datele respective din acest act și păstrând o copie a versiunii necenzurate a acestuia în dosarul prevăzut la articolul 16 alineatul (1) din directiva menționată.

    1      Limba originală: franceza.

    2      Mai precis, cererea de decizie preliminară privește dispozițiile Directivei 2009/101/CE a Parlamentului European și a Consiliului din 16 septembrie 2009 de coordonare, în vederea echivalării, a garanțiilor impuse societăților în statele membre, în înțelesul articolului 48 al doilea paragraf din tratat, pentru protejarea intereselor asociaților sau terților (JO 2009, L 258, p. 11). Însă, astfel cum se va vedea în continuare, Directiva (UE) 2017/1132 a Parlamentului European și a Consiliului din 14 iunie 2017 privind anumite aspecte ale dreptului societăților comerciale (JO 2017, L 169, p. 46) este aplicabilă ratione temporis situației de fapt din procedura principală.

    3      Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

    4      DV nr. 34 din 25 aprilie 2006.

    5      DV nr. 48 din 18 iunie 1991.

    6      Este vorba despre Avizul nr. 01-116(20)/1.2.2021.

    7      Directiva Parlamentului European și a Consiliului din 20 iunie 2019 de modificare a Directivei 2017/1132 (JO 2019, L 186, p. 80).

    8      A se vedea articolul 2 alineatul (1) din Directiva 2019/1151. Pentru modificările aduse prin articolul 1 punctul 6 din această directivă, în ceea ce privește articolul 16 alineatul (6) din Directiva 2017/1132, data limită pentru transpunere era 1 august 2023.

    9      A se vedea în acest sens Concluziile noastre prezentate în cauza État belge (Date prelucrate de un jurnal oficial) (C‑231/22, EU:C:2023:468, punctul 80).

    10      Arătăm că, la 29 martie 2023, Comisia a adoptat o Propunere de directivă a Parlamentului European și a Consiliului de modificare a Directivelor 2009/102/CE și (UE) 2017/1132 în ceea ce privește extinderea și îmbunătățirea suplimentară a utilizării instrumentelor și proceselor digitale în domeniul dreptului societăților comerciale (COM/2023/177 final).

    11      A se vedea sistemul de interconectare a registrelor profesionale, instituit de la 8 iunie 2017 prin Directiva 2012/17/UE a Parlamentului European și a Consiliului din 13 iunie 2012 de modificare a Directivei 89/666/CEE a Consiliului și a Directivelor 2005/56/CE și 2009/101/CE ale Parlamentului European și ale Consiliului în ceea ce privește interconectarea registrelor centrale, ale comerțului și ale societăților (JO 2012, L 156, p. 1) și reglementat în prezent de Directiva 2017/1132. Acest sistem pune registrele profesionale naționale în legătură cu o platformă centrală europeană și oferă un punct unic de acces prin intermediul portalului european e‑justiție, cu ajutorul căruia cetățenii, întreprinderile și administrațiile publice pot căuta informații privind întreprinderile și sucursalele lor deschise în alte state membre.

    12      În avizul său privind propunerea de modificare a Directivei 2017/1132, Autoritatea Europeană pentru Protecția Datelor (AEPD) a atras atenția asupra necesității unei „sensibiliz[ări] cu privire la riscurile care decurg din accesibilitatea datelor cu caracter personal care vor fi disponibile pe scară largă pe internet în format digital în mai multe limbi, prin intermediul unei platforme europene/unui punct de acces ușor accesibile” (Avizul din 26 iulie 2018, accesibil la adresa https://edps.europa.eu/data‑protection/our‑work/publications/opinions/digital‑tools‑and‑processed‑company‑law_fr).

    13      OOD este menționată în anexa II la Directiva 2017/1132, precum și în anexa IIA la această directivă, astfel cum a fost modificată prin Directiva 2019/1151.

    14      În acest caz, obiectul transcrierilor în registru este înregistrat în dosar; a se vedea articolul 16 alineatul (2) din Directiva 2017/1132.

    15      A se vedea articolul 16 alineatul (3) din Directiva 2017/1132, care prevede posibilitatea publicării parțiale a actelor menționate la articolul 14 din aceasta doar în jurnalul oficial al statului membru în cauză.

    16      A se vedea, în ceea ce privește Prima directivă 68/151/CEE a Consiliului din 9 martie 1968 de coordonare, în vederea echivalării, a garanțiilor impuse societăților în statele membre, în înțelesul articolului 58 al doilea paragraf din tratat, pentru protejarea intereselor asociaților sau terților (JO 1968, L 65, p. 8, Ediție specială, 17/vol. 1, p. 3), Hotărârea din 9 martie 2017, Manni (C‑398/15, denumită în continuare „Hotărârea Manni”, EU:C:2017:197, punctul 34).

    17      Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punctele 28 și 29).

    18      A se vedea în acest sens Hotărârea din 5 octombrie 2023, Ministerstvo zdravotnictví (Aplicație mobilă COVID-19) (C‑659/22, EU:C:2023:745, punctul 28).

    19      C‑231/22, denumită în continuare „Hotărârea État belge”, EU:C:2024:7, punctul 35. A se vedea de asemenea Concluziile noastre prezentate în cauza în care s‑a pronunțat această hotărâre (C‑231/22, EU:C:2023:468, punctele 34-75).

    20      A se vedea în acest sens Hotârea État belge, punctul 38.

    21      A se vedea în acest sens Hotărârea État belge, punctele 46 și 47.

    22      A se vedea în acest sens Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, punctele 44 și 45).

    23      A se vedea în acest sens „Orientările 07/2020 privind conceptele de operator și persoană împuternicită de operator în cadrul RGPD” ale AEPD, versiunea 2.0 adoptată la 7 iulie 2021, disponibile în limba franceză la adresa de internet https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), punctele 70 și 72. A se vedea de asemenea Concluziile noastre prezentate în cauza État belge (Date prelucrate de un jurnal oficial) (C‑231/22, EU:C:2023:468, punctul 48 și nota de subsol 55).

    24      A se vedea în acest sens Hotărârea État belge, punctul 42.

    25      A se vedea Hotărârea État belge, punctul 48.

    26      Amintim însă că, în cauza care a stat la baza pronunțării Hotărârii État belge, era vorba despre publicarea unor documente în jurnalul oficial al unui stat membru, care constituia ultima etapă a unui proces de prelucrare care implica diferite autorități publice. Prin urmare, situația de fapt aflată la originea acestei hotărâri era diferită de cea în discuție în prezenta cauză.

    27      În observațiile formulate, agenția explică faptul că, în cazul unei cereri online, solicitantul încarcă în sistemul registrului comerțului imaginile electronice ale documentelor semnate pe suport de hârtie necesare înregistrării.

    28      Aceste scopuri sunt menționate la punctul 49 din prezentele concluzii.

    29      A se vedea Hotărârea État belge, punctul 45.

    30      A se vedea Hotărârea État belge, punctele 49 și 50.

    31      A se vedea Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, punctul 76 și jurisprudența citată).

    32      A se vedea Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie) (C‑26/22 și C‑64/22, EU:C:2023:958, punctele 72 și 73 și jurisprudența citată).

    33      A se vedea Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condiții generale de utilizare a unei rețele sociale) (C‑252/21, EU:C:2023:537, punctele 91-93).

    34      Amintim că instanța de trimitere ridică problema unei astfel de compatibilități în cadrul celei de a treia întrebări preliminare.

    35      Astfel cum subliniază Grupul de lucru „Articolul 29” în Avizul 6/2014, domeniul de aplicare al articolului 6 alineatul (1) primul paragraf litera (c) din RGPD este „strict delimitat”. Pentru ca această dispoziție să poată fi aplicată, obligația legală trebuie să fie suficient de clară și conformă cu dreptul aplicabil în materie de protecție a datelor. Considerăm că nu aceasta este situația unei legi care, pe de o parte, exclude prelucrarea datelor în discuție și, pe de altă parte, o autorizează sau chiar o impune pe baza unui consimțământ prezumat.

    36      A se vedea Hotărârea din 4 mai 2023, Bundesrepublik Deutschland (Căsuță electronică judiciară) (C‑60/22, EU:C:2023:373, punctele 54 și 55).

    37      A se vedea Hotărârea din 12 iulie 2012, Compass‑Datenbank (C‑138/11, EU:C:2012:449, punctele 40 și 41), și Hotărârea Manni, punctul 43.

    38      A se vedea Hotărârea Manni, punctul 43.

    39      C‑398/15, EU:C:2016:652, punctul 54.

    40      A se vedea în acest sens Hotărârea din 12 noiembrie 1974, Haaga (32/74, EU:C:1974:116, punctul 6), și Hotărârea Manni, punctul 50.

    41      A se vedea în acest sens Hotărârea din 2 martie 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punctul 31).

    42      A se vedea în acest sens Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punctul 69).

    43      În special, domiciliul reprezentantului societății sau al asociaților nu ține de identitatea sa, iar cunoașterea acestuia nu este utilă pentru protecția terților, astfel cum subliniază avocatul general Szpunar în Concluziile prezentate în cauza All in One Star (C‑469/19, EU:C:2020:822, punctul 51).

    44      A se vedea Hotărârea Manni, punctul 57.

    45      A se vedea Hotărârea Manni, punctul 58.

    46      A se vedea Hotărârea din 1 august 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punctul 70).

    47      A se vedea în acest sens Hotărârea din 22 noiembrie 2022, Luxembourg Business Registers (C‑37/20 și C‑601/20, EU:C:2022:912, punctul 66).

    48      A se vedea prin analogie Hotărârea din 30 ianuarie 2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia (C‑118/22, EU:C:2024:97, punctul 41).

    49      A se vedea Hotărârea din 8 decembrie 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Scopurile prelucrării datelor cu caracter personal – Anchetă penală) (C‑180/21, EU:C:2022:967, punctul 85).

    50      Deși, într‑un obiter dictum cuprins la punctul 51 din Hotărârea État belge, Curtea a evocat posibilitatea ca excepțiile prevăzute la articolul 17 alineatul (3) literele (b) și (d) din RGPD să se aplice în cazul cererii de ștergere a datelor cu caracter personal publicate în jurnalul oficial al statului membru în cauză, ea nu s‑a pronunțat însă cu privire la problema respectivă care nu a fost invocată de instanța de trimitere în cauza în care s‑a pronunțat hotărârea.

    51      A se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie) (C‑26/22 și C‑64/22, EU:C:2023:958, punctul 108); a se vedea de asemenea Concluziile avocatului general Pikamäe prezentate în această cauză (C‑26/22 și C‑64/22, EU:C:2023:222, punctul 91).

    52      A se vedea în acest sens Hotărârea din 7 decembrie 2023, SCHUFA Holding (Liberare de restul de datorie) (C‑26/22 și C‑64/22, EU:C:2023:958, punctele 111 și 112).

    53      A se vedea în acest sens Hotărârea din 26 octombrie 2023, FT (Copii din registrul medical) (C‑307/22, EU:C:2023:811, punctele 53-69). A se vedea de asemenea Concluziile avocatului general Emiliou prezentate în această cauză (C‑307/22, EU:C:2023:315, punctul 37).

    54      Deși procedura menționată o reflectă pe cea prevăzută la articolul 13 alineatul (6) din Legea privind registrele, această din urmă dispoziție nu pare să reglementeze dreptul la ștergerea datelor sau dreptul la opoziție al persoanelor vizate.

    Top