CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2018:1039

CONCLUZIILE AVOCATULUI GENERAL

MICHAL BOBEK

prezentate la 19 decembrie 2018(1)

Cauza C‑40/17

Fashion ID GmbH & Co. KG

împotriva

Verbraucherzentrale NRW e.V.

interveniente:

Facebook Ireland Limited,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen

[cerere de decizie preliminară formulată de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania)]

„Trimitere preliminară – Directiva 95/46/CE – Protecția datelor personale ale utilizatorilor de pagini de internet – Calitatea procesuală activă a unei asociații de protecție a consumatorilor – Răspunderea unui operator al unei pagini de internet – Transferul de date personale către o terță parte – Plugin integrat – Butonul Facebook «Îmi place» – Interese legitime – Consimțământul persoanei vizate – Obligația de informare”

I. Introducere

1. Fashion ID GmbH & Co. KG este un comerciant care vinde online articole de modă. Acesta a integrat un plugin în pagina sa de internet: butonul Facebook „Îmi place”. În consecință, atunci când un utilizator ajunge pe pagina de internet a Fashion ID, informațiile cu privire la adresa IP și la șirul de caractere al navigatorului acestuia sunt transferate către Facebook. Acest transfer are loc automat atunci când s‑a încărcat pagina de internet a Fashion ID, indiferent dacă utilizatorul a accesat butonul Facebook „Îmi place” și indiferent dacă utilizatorul dispune sau nu de un cont de Facebook.

2. Verbraucherzentrale NRW e.V., o asociație germană de protecție a consumatorilor, a introdus o acțiune în încetare împotriva Fashion ID pentru motivul că utilizarea acestui plugin determină o încălcare a legislației privind protecția datelor.

3. Fiind sesizată cu această cauză, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania), solicită interpretarea mai multor dispoziții din Directiva 95/46/CE (denumită în continuare „Directiva 95/46”)(2). Cu titlu de chestiune preliminară, instanța de trimitere solicită să se stabilească dacă respectiva directivă permite legislației naționale să confere calitate procesuală activă unei asociații de protecție a consumatorilor precum cea din speță. Pe fondul cauzei, întrebarea principală adresată este dacă Fashion ID trebuie să fie calificată drept „operator” având în vedere că are loc o prelucrare a datelor și, în cazul unui răspuns afirmativ, cum trebuie să fie îndeplinite în mod exact în acest caz obligațiile individuale impuse prin Directiva 95/46. Cui îi aparțin interesele legitime care trebuie luate în considerare în cadrul evaluării comparative a intereselor conform articolului 7 litera (f) din Directiva 95/46? Fashion ID are obligația să informeze persoanele vizate cu privire la procesarea datelor? Și tot Fashion ID este entitatea care trebuie să obțină consimțământul în cunoștință de cauză al persoanelor vizate în acest sens?

II. Cadrul juridic

A. Dreptul Uniunii

Directiva 95/46

4. Obiectivul Directivei 95/46 este stabilit în cuprinsul primului articol. Potrivit dispozițiilor alineatului (1) al acestuia: „Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.” Conform alineatului 2 al aceleiași dispoziții, „statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1)”.

5. Articolul 2 cuprinde următoarele definiții:

„(a) «date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

(b) «prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]

(d) «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin acte cu putere de lege sau norme administrative interne sau comunitare, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi stabilite prin dreptul intern sau comunitar;

[…]

(h) «consimțământul persoanei vizate» înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.”

6. Articolul 7 prevede criteriile care trebuie întrunite pentru legitimitatea prelucrării datelor: „Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a) persoana vizată și‑a dat consimțământul neechivoc sau

[…]

(f) prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).”

7. Articolul 10 stabilește informațiile minime care trebuie să fie furnizate persoanei vizate:

„Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a) identitatea operatorului și, dacă este cazul, a reprezentantului;

(b) scopul prelucrării căreia îi sunt destinate datele;

– destinatarii sau categoriile de destinatari ai datelor;

– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.”

8. Capitolul III din Directiva 95/46 privește acțiunile în justiție, răspunderea și sancțiunile. Articolele 22-24 din cuprinsul acestui capitol prevăd următoarele:

„Articolul 22

Acțiuni

Fără să aducă atingere oricărei căi administrative de atac care poate fi prevăzută, inter alia, în fața autorității de supraveghere menționată la articolul 28, anterior sesizării autorității judecătorești, statele membre prevăd dreptul oricărei persoane la o cale atac în justiție în caz de încălcare a drepturilor garantate prin dreptul intern aplicabil prelucrării în cauză.

Articolul 23

Răspundere

(1) Statele membre prevăd ca orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile de drept intern adoptate în temeiul prezentei directive are dreptul să obțină reparații de la operator pentru prejudiciul suferit.

(2) Operatorul poate fi exonerat de răspundere, total sau parțial, dacă dovedește că nu îi este imputabilă fapta care a provocat prejudiciul.

Articolul 24

Sancțiuni

Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive și, în special, stabilesc sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul prezentei directive.”

B. Dreptul german

Gesetz gegen den unlauteren Wettbewerb

9. Articolul 3 alineatul (1) din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale, denumită în continuare „UWG”) prevede că se interzic practicile comerciale nelegale.

10. Articolul 8 alineatul (1) și alineatul (3) punctul 3 din UWG prevede că o practică comercială nelegală poate duce la o somație de încetare imediată sau la o somație de încetare pentru viitor, care este pusă în aplicare de „entitățile calificate” enumerate în Unterlassungsklagengesetz (Legea privind acțiunile în încetare) sau în lista Comisiei Europene, conform articolului 4 alineatul (3) din Directiva 2009/22/CE privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor(3).

Unterlassungsklagengesetz

11. Articolul 2 alineatul (1) și alineatul (2) punctul 11 din Unterlassungsklagegesetz (Legea privind acțiunile în încetare) prevede următoarele:

(1) Orice încălcare a dispozițiilor care vizează protecția consumatorilor (legile privind protecția consumatorilor), în alt mod decât cu ocazia aplicării sau a recomandării condițiilor generale de vânzare, poate determina o somație de încetare imediată și o somație de încetare pentru viitor în interesul protecției consumatorilor.

(2) În sensul prezentei dispoziții, «legile privind protecția consumatorilor» înseamnă:

[…]

11. dispozițiile privind legalitatea

(a) colectării de către un profesionist a datelor cu caracter personal ale unui consumator sau

(b) prelucrării sau a utilizării de către un profesionist a datelor cu caracter personal, care au fost colectate cu privire la un consumator,

dacă datele sunt colectate, prelucrate sau utilizate în scopuri publicitare, pentru studii de piață și sondaje de opinie, pentru operarea unui serviciu de informații, în vederea creării profilelor de personalitate și de utilizare, a comerțului cu adrese, a comerțului cu alte date sau în alte scopuri comerciale similare.”

Telemediengesetz

12. Articolul 2 alineatul 1 din Telemediengesetzes (Legea privind comunicațiile electronice) (denumită în continuare „TMG”) prevede următoarele:

„În înțelesul prezentei legi:

1. furnizor de servicii este orice persoană fizică sau juridică, care pune la dispoziție în vederea utilizării comunicații electronice proprii sau ale altora ori care intermediază accesul spre utilizare; […]”

13. Articolul 12 alineatul (1) din TMG prevede că: „Furnizorul de servicii poate colecta și utiliza datele cu caracter personal pentru furnizarea serviciilor de comunicații electronice numai dacă acest lucru este permis în temeiul prezentei legi sau al altor dispoziții care fac referire în mod expres la serviciile respective sau dacă utilizatorul și‑a dat consimțământul în acest sens”.

14. Articolul 13 alineatul (1) din TMG prevede următoarele:

„La începutul operațiunii de utilizare, furnizorul de servicii trebuie să informeze utilizatorul într‑o formă ușor de înțeles despre felul, volumul și scopul colectării și utilizării datelor cu caracter personal, precum și cu privire la prelucrarea datelor sale în statele aflate în afara domeniului de aplicare [al Directivei 95/46], în măsura în care nu a avut loc deja o asemenea informare. În cazul unei operațiuni automatizate care permite identificarea ulterioară a utilizatorului și care pregătește o colectare sau o utilizare a datelor cu caracter personal, utilizatorul trebuie informat la începutul acestei operațiuni. Conținutul informării trebuie să fie permanent accesibil pentru utilizator.”

15. Potrivit articolului 15 alineatul (1) din TMG:

„Furnizorul de servicii poate colecta și utiliza datele cu caracter personal ale unui utilizator numai în măsura în care este necesar pentru a permite și a factura utilizarea serviciilor de comunicații electronice (datele de utilizare). Datele de utilizare sunt în special:

1. elementele de identificare a utilizatorului,

2. informațiile privind începutul și sfârșitul fiecărei utilizări, precum și întinderea acesteia și

3. informațiile privind mijloacele de comunicații electronice folosite de utilizator.”

III. Situația de fapt, procedura și întrebările preliminare

16. Fashion ID (denumită în continuare „pârâta”) este un comerciant online de articole de modă. Aceasta vinde articole de modă pe pagina sa de internet. Pârâta a integrat în pagina sa de internet pluginul „Îmi place”, pus la dispoziție de Facebook Ireland Limited (denumită în continuare „Facebook Ireland”)(4). În consecință, pe pagina de internet a pârâtei apare așa‑numitul buton Facebook „Îmi place”.

17. În decizia de trimitere se arată în continuare cum funcționează partea (nevăzută) a pluginului: atunci când un vizitator ajunge pe pagina de internet a pârâtei pe care este plasat butonul Facebook „Îmi place”, browserul acestuia trimite în mod automat către Facebook Ireland informațiile referitoare la adresa sa IP și la șirul de caractere al navigatorului acestuia. Transmiterea acestor informații are loc fără să fie necesar ca butonul „Îmi place” să fie efectiv utilizat. Din decizia de trimitere pare să rezulte și că, atunci când este accesată pagina de internet a pârâtei, Facebook Ireland plasează diverse tipuri de cookie‑uri (cookie‑uri de tip session, datr și fr) pe dispozitivul utilizatorului.

18. Verbraucherzentrale NRW (denumită în continuare „reclamanta”), o asociație de protecție a consumatorilor, a chemat în judecată pârâta în fața Landgericht (Tribunalul Regional, Germania). Reclamanta a solicitat obligarea pârâtei să înceteze integrarea pluginului social „Îmi place” al Facebook, motivând că pârâta ar fi procedat astfel:

„– fără să informeze utilizatorii paginii de internet în mod expres și evident, înainte ca furnizorul pluginului să aibă acces la adresa IP și la șirul de caractere al navigatorului utilizatorului, cu privire la colectarea și la utilizarea datelor astfel transmise și/sau

– fără consimțământul utilizatorilor paginii de internet cu privire la accesarea adresei IP și a șirul de caractere al navigatorului de către furnizorul pluginului, exprimat înainte de accesare, și/sau

– fără să informeze utilizatorii care și‑au exprimat consimțământul în sensul celui de al doilea capăt de cerere cu privire la posibilitatea permanentă a revocării acestuia cu efect pentru viitor și/sau

– [fără] să informeze că «Dacă sunteți utilizator al unei rețele de socializare și nu doriți ca rețeaua de socializare să colecteze prin intermediul paginii noastre de internet date despre dumneavoastră pe care să le asocieze cu datele dumneavoastră de utilizator stocate în rețeaua de socializare, trebuie să vă deconectați de la rețeaua de socializare înainte de a vizita pagina noastră de internet».”

19. Reclamanta a afirmat că Facebook Inc. sau Facebook Ireland stochează adresa IP și șirul de caractere al navigatorului, asociindu‑le unui anumit utilizator (membru sau nemembru). Argumentul pârâtei în răspuns este necunoașterea în această privință. Facebook Ireland afirmă că adresa IP este transformată într‑o adresă IP generică, fiind stocată doar sub această formă, și că nu are loc o asociere între adresa IP și șirul de caractere al navigatorului, pe de o parte, și conturile utilizatorilor, pe de altă parte.

20. Landgericht (Tribunalul Regional) a dispus obligarea pârâtei conform primelor trei capete de cerere. Pârâta a atacat cu apel această hotărâre. Reclamanta a depus un apel incident cu privire la cel de al patrulea capăt de cerere.

21. În acest context factual și normativ, Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf) a hotărât să adreseze Curții următoarele întrebări preliminare:

„1) Dispozițiile articolelor 22, 23 și 24 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date se opun unei reglementări naționale care, pe lângă dreptul de intervenție al autorităților de protecție a datelor și căile de atac ale persoanei afectate, recunoaște dreptul la acțiune al asociațiilor fără scop lucrativ de protecție a intereselor consumatorilor în cazul în care constată o încălcare a dreptului la protecția datelor?

În cazul unui răspuns negativ la prima întrebare:

2) Într‑un caz precum cel din speță, în care o persoană inserează un cod de programare în pagina sa de internet care determină browserul utilizatorului să solicite conținuturi de la un terț și să transmită în acest scop date cu caracter personal către acest terț, respectiva persoană este «operator» în sensul articolului 2 litera (d) din [Directiva 95/46], în cazul în care această persoană nu poate influența ea însăși respectiva operațiune de prelucrare a datelor?

3) În cazul unui răspuns negativ la cea de a doua întrebare: articolul 2 litera (d) din [Directiva 95/46] trebuie interpretat în sensul că reglementează exhaustiv răspunderea în așa fel încât se opune introducerii unei acțiuni civile împotriva unui terț, care, cu toate că nu este «operator», este la originea operațiunii de prelucrare a datelor fără să o influențeze?

4) Cui îi aparțin «interesele legitime» care trebuie luate în considerare într‑o situație precum cea din speță în cadrul unei examinări comparative a intereselor conform articolului 7 litera (f) din [Directiva 95/46]? Trebuie luat în considerare interesul privind inserarea conținuturilor unor terți sau interesul terțului?

5) Față de cine trebuie exprimat consimțământul necesar potrivit articolului 7 litera (a) și articolului 2 litera (h) din [Directiva 95/46] într‑o situație precum cea din speță?

6) Obligația de informare prevăzută la articolul 10 din [Directiva 95/46], într‑o situație precum cea din speță, revine și operatorului paginii de internet, care a inserat conținutul unui terț, determinând astfel prelucrarea datelor cu caracter personal de către un terț?”

22. Reclamanta, pârâta, Facebook Ireland, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen (Comisarul de Stat pentru Protecția Datelor și Libertatea de Informație al Renaniei de Nord ‑Westfalia, Germania) (denumit în continuare „LDI NW”), guvernele Belgiei, Germaniei, Italiei, Austriei și Poloniei, precum și Comisia au depus observații scrise. Reclamanta, pârâta, Facebook Ireland, LDI NW, Belgia, Germania, Austria și Comisia au prezentat observații orale în ședința din 6 septembrie 2018.

IV. Analiză

23. În prezentele concluzii, propunem Curții să răspundă că Directiva 95/46 nu se opune unei reglementări naționale care conferă calitate procesuală activă unei asociații însărcinate cu protecția consumatorilor precum reclamanta, pentru a iniția o acțiune împotriva presupusului autor al unei încălcări a legislației privind protecția datelor (A). Considerăm de asemenea că pârâta este un operator asociat, împreună cu Facebook Ireland, răspunderea sa fiind totuși limitată la o etapă specifică a prelucrării datelor (B). În al treilea rând, suntem de părere că examinarea comparativă a intereselor conform articolului 7 litera (f) din Directiva 95/46 impune luarea în considerare nu numai a intereselor legitime ale pârâtei, ci și ale Facebook Ireland (precum și, bineînțeles, luarea în considerare a drepturilor persoanelor vizate) (C). În al patrulea rând, consimțământul în cunoștință de cauză al persoanei vizate într‑o etapă specifică de prelucrare a datelor trebuie să fie obținut de pârâtă. Pârâta are de asemenea obligația de a informa persoanele vizate (D).

A. Reglementări naționale care conferă calitate procesuală activă asociațiilor însărcinate cu protecția intereselor consumatorilor

24. Prin intermediul primei întrebări adresate, instanța de trimitere solicită în esență să se stabilească dacă Directiva 95/46 se opune unei reglementări naționale care permite asociațiilor pentru protecția intereselor consumatorilor să inițieze acțiuni în instanță împotriva unei persoane despre care se afirmă că încalcă legislația în materie de protecție a datelor. În această privință, instanța de trimitere face referire în mod specific la articolele 22-24 din Directiva 95/46. Aceasta arată că reglementarea națională în cauză ar putea fi considerată o „măsură adecvată” în sensul articolului 24. În plus, instanța subliniază că Regulamentul (UE) 2016/679 (denumit în continuare „Regulamentul general privind protecția datelor”)(5), care a înlocuit Directiva 95/46, conferă în prezent în mod explicit asociațiilor un astfel de drept, la articolul 80 alineatul (2)(6).

25. Pârâta și Facebook Ireland susțin că Directiva 95/46 nu permite conferirea calității procesuale active unor astfel de asociații, deoarece o astfel de calitate nu este prevăzută în mod expres, Directiva 95/46 urmărind, potrivit acestora, o armonizare deplină. Potrivit pârâtei, conferirea unei astfel de calități procesuale ar amenința independența autorităților de supraveghere din cauza presiunii opiniei publice la care ar fi expuse acestea din urmă.

26. Reclamanta, LDI NW și toate guvernele care au adoptat o poziție în prezenta cauză împărtășesc opinia potrivit căreia Directiva 95/46 nu se opune legislației în discuție.

27. Suntem de acord cu această din urmă opinie(7).

28. Considerăm că este important să amintim, de la bun început, norma constituțională (implicită) inclusă în al treilea paragraf al articolului 288 TFUE, în conformitate cu care „directiva este obligatorie pentru fiecare stat membru destinatar cu privire la rezultatul care trebuie atins, lăsând autorităților naționale competența în ceea ce privește forma și mijloacele”, care garantează în cea mai mare măsură atingerea rezultatului urmărit de directivă(8).

29. Rezultă că, pentru a pune în aplicare obligațiile care le revin în temeiul unei directive, statele membre sunt libere să adopte măsurile pe care le consideră adecvate, cu condiția ca aceste măsuri să nu fie excluse în mod expres de directiva însăși sau să nu contravină obiectivelor directivei.

30. Textul Directivei 95/46 nu exclude în mod expres posibilitatea ca dreptul național să confere calitate procesuală asociațiilor însărcinate cu protecția drepturilor consumatorilor.

31. Dacă analizăm obiectivele urmărite de Directiva 95/46, acestea includ „asigurarea protejării eficiente și complete a drepturilor și a libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal”(9). Mai mult, potrivit considerentului (10) al acestei directive, „apropierea legislațiilor naționale aplicabile în acest domeniu nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să aibă drept obiectiv asigurarea unui nivel înalt de protecție în Comunitate”(10).

32. Se poate deduce din decizia de trimitere că Germania a conferit asociațiilor (cum este cazul reclamantei) calitatea procesuală pentru a putea contesta ceea ce respectivele asociații consideră a fi o practică comercială nelegală sau o practică prin care se încalcă legislația în materia protecției consumatorilor, inclusiv legislația privind protecția datelor.

33. În acest context, nu înțelegem cum conferirea acestei calități procesuale active s‑ar putea opune obiectivelor Directivei 95/46 sau ar putea afecta eforturile în vederea atingerii acestor obiective. În orice caz, conferirea calității procesuale active acestui tip de asociație pare mai degrabă să consolideze astfel de demersuri de atingere a acestor obiective și punerea în aplicare a directivei, prin contribuția efectivă la consolidarea drepturilor persoanelor vizate prin intermediul acțiunilor colective în despăgubire(11).

34. Prin urmare, considerăm că statele membre nu sunt împiedicate să prevadă o normă privind calitatea procesuală a unor asociații precum cea care permite reclamantei să introducă acțiunea în discuție în speță, dacă statele membre doresc acest lucru.

35. Având în vedere acest răspuns, considerăm că dezbaterile care au avut loc în cursul prezentei proceduri și care au vizat problema dacă reglementarea națională în cauză ar trebui să intre sub incidența articolului 24 din Directiva 95/46 drept o formă de „măsură adecvată” sau dacă aceasta poate intra sub incidența articolului 22 constituie o falsă problemă. Dacă statele membre trebuie să pună în aplicare o directivă prin orice mijloc pe care îl consideră potrivit, iar acel mod de punere în aplicare nu este exclus nici de textul, nici de obiectivul și scopul directivei, articolul specific din directivă sub incidența căruia poate fi încadrată o anumită măsură națională are o importanță secundară(12). Cu toate acestea, în măsura în care prezintă importanță acest lucru, „măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive” prevăzute la articolul 24 ar putea, cu siguranță, să fie interpretate ca incluzând dispoziții naționale precum cele în discuție în prezenta cauză.

36. Nu considerăm că această concluzie generală este subminată în vreun fel de următoarele considerații, care au fost examinate în cursul prezentei proceduri.

37. În primul rând, este adevărat că Directiva 95/46 nu figurează pe lista prevăzută în anexa I la Directiva 2009/22. Această directivă stabilește norme privind acțiunile în încetare care pot fi intentate de așa‑numitele „entități calificate” pentru a spori gradul de protecție a intereselor colective ale consumatorilor(13). Lista din anexa I conține mai multe directive, iar Directiva 95/46 nu se numără printre acestea.

38. Cu toate acestea, după cum susține guvernul german, lista din anexa I la Directiva 2009/22 nu poate fi considerată ca fiind exhaustivă în sensul că s‑ar opune unor reglementări naționale care prevăd acțiuni în încetare privind respectarea normelor conținute în alte directive decât cele enumerate în anexa I la Directiva 2009/22. A fortiori, ar fi destul de surprinzător dacă o astfel de listă ilustrativă inclusă într‑un act de drept derivat ar fi brusc interpretată ca lipsind statele membre de libertatea a‑și alege modalitatea de punere în aplicare a directivei, prevăzută prin tratat.

39. În al doilea rând, ne îndreptăm atenția spre argumentul prezentat de pârâtă și de Facebook Ireland cu privire la armonizarea deplină realizată prin Directiva 95/46, care ar putea, în opinia lor, să excludă orice acțiuni neprevăzute în mod explicit.

40. Este adevărat, Curtea a afirmat în mod constant că armonizarea care decurge din Directiva 95/46 nu se limitează la o armonizare minimă, ci are ca rezultat o armonizare care este, „în principiu, completă”(14). În același timp, s‑a recunoscut și faptul că aceeași directivă „permite o marjă de manevră statelor membre în anumite domenii”, cu condiția respectării Directivei 95/46(15).

41. După cum am sugerat în altă parte(16), nu se poate stabili în general, prin raportare la un întreg domeniu juridic sau la un obiect al unei directive, dacă există o „armonizare completă” la nivelul dreptului Uniunii (în sensul preempțiunii legislative, care să împiedice vreo acțiune legislativă din partea statelor membre). În schimb, această analiză trebuie efectuată în raport cu fiecare dispoziție specifică (o anumită normă sau un aspect specific) din directiva în cauză.

42. Dacă analizăm dispozițiile „procedurale” specifice din Directiva 95/46, în discuție în această cauză, și anume articolele 22-24, acestea sunt formulate în termeni foarte generali(17). Având în vedere nivelul de generalitate și de abstracție al acestor dispoziții, ar fi într‑adevăr frapant să se sugereze că ele generează efectul de preempțiune legislativă, excluzând orice măsuri care pot fi luate de către statele membre, dar care nu sunt în mod specific menționate la aceste articole(18).

43. În al treilea rând, un alt argument invocat de pârâtă s‑a referit la o amenințare la adresa independenței autorităților de supraveghere(19). În esență, aceasta a sugerat că, în cazul în care ar fi recunoscută calitatea procesuală activă a asociațiilor de consumatori, aceste asociații ar putea introduce acțiuni în paralel și/sau în locul autorității de supraveghere, ceea ar conduce la presiuni exercitate de publicul larg și la o atitudine părtinitoare a autorității de supraveghere și, în cele din urmă, ar contraveni cerinței privind independența deplină a autorităților de supraveghere, prevăzută la articolul 28 alineatul (1) din directivă.

44. Acest argument nu are substanță. Cu condiția ca o astfel de autoritate de supraveghere să fie cu adevărat independentă de la bun început(20), nu înțelegem, la fel ca și guvernul german, modul în care o acțiune precum acțiunea principală ar putea reprezenta o amenințare la adresa independenței acesteia. O asociație nu poate pune în aplicare legislația în sensul de a conferi propriei opinii un caracter obligatoriu pentru autoritățile de supraveghere. Aceasta este competența exclusivă a instanțelor. O asociație de consumatori poate numai să introducă o acțiune, la fel ca orice consumator individual. Astfel, susținerea că orice acțiune (privată) introdusă de o persoană fizică sau de o asociație de consumatori ar însemna exercitarea unor presiuni asupra organismelor însărcinate cu aplicarea (în sfera publică) și, prin urmare, nu poate fi acceptată să coexiste în paralel cu sistemul public de punere în aplicare a legislației este atât de bizară încât nu considerăm necesară examinarea în continuare a acestui argument(21).

45. În al patrulea și în ultimul rând, ne îndreptăm atenția spre argumentul potrivit căruia articolul 80 alineatul (2) din Regulamentul general privind protecția datelor trebuie să fie înțeles ca modificând (și inversând) situația anterioară, prin aceea că permite ceva (calitatea procesuală activă a asociațiilor) ce nu era permis înainte.

46. Acest argument nu este convingător.

47. Este important să reamintim că, în conformitate cu Regulamentul general privind protecția datelor care înlocuiește Directiva 95/46, natura instrumentului juridic în care sunt cuprinse normele s‑a schimbat, din cea de directivă în cea de regulament. Această modificare înseamnă de asemenea că, spre deosebire de o directivă, în cazul căreia statele membre sunt libere să aleagă modalitățile de punere în aplicare a acestui instrument normativ, normele naționale de punere în aplicare a unui regulament pot, în principiu, să fie adoptate doar atunci când acest lucru este autorizat în mod expres.

48. Privit din această perspectivă, este discutabil argumentul potrivit căruia reglementarea explicită a calității procesuale a asociațiilor, inclusă în prezent în Regulamentul general privind protecția datelor, înseamnă că această calitate procesuală era exclusă conform Directivei 95/46. Dacă o astfel de juxtapunere ar putea genera un argument(22), atunci acesta ar fi mai degrabă contrariul: în cazul în care stabilirea unor norme care să permită o astfel de calitate procesuală nu era interzisă de directivă (pe baza argumentelor pe care le‑am prezentat mai sus), schimbarea formei juridice din directivă în regulament ar justifica includerea unei astfel de dispoziții pentru a clarifica faptul că într‑adevăr o astfel de posibilitate rămâne valabilă.

49. Prin urmare, având în vedere cele de mai sus, prima noastră concluzie intermediară este că Directiva 95/46 nu se opune unei reglementări naționale care conferă asociațiilor fără scop lucrativ calitate procesuală activă pentru introducerea unei acțiuni în instanță împotriva presupusului autor al unei încălcări legislației privind protecția datelor, pentru a proteja interesele consumatorilor.

B. Este Fashion ID un operator de date?

50. Prin intermediul celei de a doua întrebări, instanța de trimitere solicită să se stabilească dacă pârâta, deoarece a integrat un plugin pe pagina sa de internet, care determină browserul utilizatorului să solicite conținuturi de la un terț și care transmite date cu caracter personal către acest terț, trebuie considerat „operator”, în sensul articolului 2 litera (d) din Directiva 95/46, chiar dacă pârâta nu poate influența ea însăși operațiunea de prelucrare a datelor.

51. În ceea ce privește lipsa capacității de a influența operațiunea de prelucrare a datelor, menționată de instanța de trimitere în întrebarea sa preliminară, înțelegem că, în contextul prezentei cauze, aceasta nu se referă la cauzarea procesului de transmitere a datelor (iar, la nivel factual, pârâta are în mod clar o influență, deoarece a integrat pluginul respectiv). Mai degrabă, aceasta pare să se refere la posibila prelucrare ulterioară a datelor de către Facebook Ireland.

52. Astfel cum arată instanța de trimitere, răspunsul la cea de a doua întrebare are implicații care depășesc prezenta cauză și rețeaua socială exploatată de Facebook Ireland. Există numeroase website‑uri care încorporează conținutul terților de diverse tipuri. În cazul în care o persoană precum pârâta ar fi calificată drept „operator”, (co)responsabil pentru orice prelucrare (ulterioară) care are loc în relație cu datele colectate, întrucât operatorul paginii de internet respective a integrat conținutul terților, permițând transferul unor astfel de date, o astfel de declarație ar avea implicații de amploare asupra modului în care este abordat conținutul terților.

53. În structura prezentei cauze, cea de a doua întrebare este de asemenea întrebarea esențială care merge în miezul problemei: în cazurile în care este integrat conținut al terților pe un website, cui îi revine responsabilitatea și pentru ce anume, mai exact? (Im)precizia răspunsului la această întrebare are impact și asupra răspunsurilor la următoarele întrebări privind interesele legitime, consimțământul și obligația de informare.

54. În această secțiune, vom face mai întâi câteva observații introductive privind noțiunea de date cu caracter personal relevante în cauza de față (1). Vom prezenta apoi jurisprudența recentă a Curții, sugerând modul în care s‑ar putea răspunde la a doua întrebare, în cazul în care jurisprudența anterioară a Curții trebuie aplicată ca atare (2). În continuare, vom explica motivul pentru care ar trebui să fie adresate mai multe întrebări și, în contextul prezentei cauze, ar trebui să se efectueze o analiză mai aprofundată (3). Vom încheia prin a sublinia, în sensul definiției noțiunii de control (comun), importanța unității de „scopuri și mijloace” care trebuie să existe între operatorii (asociați) în ceea ce privește respectiva etapă a prelucrării datelor cu caracter personal (operațiunea de prelucrare a datelor) în cauză (4).

1. Datele cu caracter personal din speță

55. Ar trebui reamintit faptul că noțiunea „date cu caracter personal” este definită la articolul 2 litera (a) din Directiva 95/46 ca fiind „orice informație referitoare la o persoană fizică identificată sau identificabilă («persoana vizată»)”. Considerentul (26) al aceleiași directive precizează în această privință că, „pentru a determina dacă o persoană este identificabilă, este oportun să se ia în considerare toate mijloacele care pot fi utilizate în mod rezonabil fie de operator, fie de orice altă persoană pentru a identifica persoana vizată”.

56. Curtea a clarificat deja că o adresă IP poate, în anumite circumstanțe, să constituie date cu caracter personal(23). De asemenea, Curtea a precizat că, pentru a exista o „persoană identificabilă”, în sensul articolului 2 litera (a) din Directiva 95/46, „nu este necesar ca această informație să permită, singură, identificarea persoanei vizate” și că, prin urmare, poate fi necesar să se recurgă la date suplimentare. De asemenea, Curtea a arătat că „nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane” în măsura în care posibilitatea de a combina datele respective „constituie un mijloc care poate fi utilizat în mod rezonabil pentru a identifica persoana vizată”(24).

57. Instanța de trimitere nu analizează dacă adresa IP, în mod individual sau în combinație cu șirul de caractere al navigatorului care este de asemenea transmis, constituie date cu caracter personal în sensul respectivelor criterii. Facebook Ireland pare să conteste această calificare(25).

58. Este evident că o astfel de apreciere este de competența instanței naționale. În general, în ceea ce privește orice plugin care poate fi integrat sau în ceea ce privește conținutul oricărui alt terț, pentru ca informațiile să fie considerate personale este indispensabil ca datele respective să permită identificarea persoanei vizate (fie direct, fie indirect). În scopul prezentei cauze, vom porni de la premisa că, astfel cum pare să rezulte din întrebările adresate de instanța de trimitere, în împrejurările din litigiul principal, adresa IP și șirul de caractere al navigatorului constituie într‑adevăr date cu caracter personal și îndeplinesc criteriile prevăzute la articolul 2 litera (a) din Directiva 95/46, așa cum au fost acestea clarificate de Curte.

2. Wirtschaftsakademie Schleswig‑Holstein locuta, causa finita?

59. În ceea ce privește răspunsul la a doua întrebare preliminară, pârâta și Facebook Ireland susțin că pârâta nu poate fi considerată ca fiind operator, deoarece nu are nicio influență asupra datelor cu caracter personal care vor fi prelucrate. Astfel, doar Facebook Ireland poate fi calificat ca atare. Ca argument subsidiar, Facebook Ireland invocă faptul că acționează împreună cu pârâta, în calitate de operator asociat, răspunderea unei persoane precum pârâta fiind totuși limitată la zona sa efectivă de influență.

60. Reclamanta, LDI NW și toate guvernele care au intervenit în prezenta cauză, precum și Comisia împărtășesc în esență poziția potrivit căreia noțiunea „operator” are un înțeles larg și o include pe pârâtă. Cu toate acestea, opiniile lor cu privire la întinderea exactă a răspunderii pârâtei variază considerabil în respectivele argumente. Diferențele se referă la problema dacă pârâta și Facebook Ireland ar trebui (sau nu) să răspundă în solidar, dacă răspunderea lor solidară ar trebui sau nu să se limiteze la etapa de prelucrare a datelor cu caracter personal în care aceasta este efectiv implicată și dacă trebuie făcută o distincție, în acest context, între vizitatorii paginii de internet a pârâtei care dețin cont de Facebook și cei care nu dețin un astfel de cont.

61. Ca punct de pornire, este evident că, potrivit articolului 2 litera (d) din Directiva 95/46, noțiunea de „operator” se referă la o persoană care, „singură sau împreună cu alții, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal”(26). Noțiunea de operator poate astfel să se refere la mai mulți actori care participă la prelucrarea datelor cu caracter personal(27) și trebuie să fie interpretată în sens larg(28).

62. Chestiunea controlului comun a fost abordată recent de Curte în Hotărârea Wirtschaftsakademie Schleswig‑Holstein(29). În ceea ce privește rolul administratorului unei pagini pentru fani Facebook, Curtea a concluzionat că administratorul în cauză a acționat ca operator, împreună cu Facebook Ireland, în sensul articolului 2 litera (d) din Directiva 95/46. Acest lucru este motivat de faptul că administratorul a contribuit la stabilirea, împreună cu Facebook Ireland, a scopurilor și a mijloacelor de prelucrare a datelor cu caracter personal ale vizitatorilor paginii pentru fani(30).

63. Mai exact, Curtea a arătat că, prin crearea paginii pentru fani în speță, administratorul a dat Facebook Ireland „posibilitatea de a plasa cookies pe calculatorul sau pe orice alt aparat al persoanei care a vizitat pagina sa pentru fani” și, prin urmare, de a prelucra date cu caracter personal(31). Curtea a evidențiat că „crearea unei pagini pentru fani pe Facebook implică din partea administratorului său o acțiune de stabilire a unor parametri, în funcție, printre altele, de audiența sa țintă, precum și de obiective de gestionare sau de promovare a activităților sale, care influențează prelucrarea datelor cu caracter personal în vederea realizării statisticilor stabilite pe baza vizitelor paginii pentru fani”(32). Prelucrarea în cauză a permis Facebook Ireland „să își amelioreze sistemul de publicitate”, oferind în același timp administratorului mijloace de a gestiona mai bine, prin intermediul statisticilor anonimizate, promovarea propriilor activități(33).

64. Curtea a concluzionat că, prin „acțiunea sa de stabilire a unor parametri”, administratorul în cauză a participat la stabilirea scopurilor și a mijloacelor de prelucrare a datelor cu caracter personal ale vizitatorilor paginii sale pentru fani. Prin urmare, acesta a trebuit să fie considerat operator responsabil de prelucrarea respectivă împreună cu Facebook Ireland (cu o responsabilitate „chiar mai mare” în ceea ce privește datele cu caracter personal ale celor care nu sunt utilizatori ai Facebook Ireland)(34).

65. În Hotărârea Jehovan todistajat, Curtea a subliniat o altă clarificare importantă cu privire la noțiunea de operator asociat: pentru a exista control comun și responsabilitate comună, nu este obligatoriu ca fiecare dintre operatori să aibă acces la (toate) datele cu caracter personal în cauză. Astfel, o comunitate religioasă ar putea fi de asemenea considerată operator asociat, în cazurile în care comunitatea în sine nu a avut în mod aparent acces la respectivele date colectate. În acest caz, membrii individuali ai Comunității Martorilor lui Iehova erau cei care se aflau în posesia fizică a datelor cu caracter personal. A fost suficient ca activitatea de susținere a predicii, în cursul căreia au fost colectate datele cu caracter personal, să fie organizată, coordonată și încurajată de comunitatea respectivă(35).

66. Dacă am analiza problematica la un nivel mai înalt de abstractizare și dacă ne‑am axa numai pe noțiunea de control comun, trebuie să fim de acord că, având în vedere aceste hotărâri pronunțate recent, se impune să se concluzioneze că pârâta acționează în calitate de operator și este răspunzătoare în solidar cu Facebook Ireland pentru prelucrarea datelor(36).

67. În primul rând, se pare că pârâta a făcut posibil ca Facebook Ireland să obțină datele cu caracter personal ale utilizatorilor paginii sale de internet, prin utilizarea pluginului în discuție.

68. În al doilea rând, este adevărat că, spre deosebire de administratorul vizat în Hotărârea Wirtschaftsakademie Schleswig‑Holstein, pârâta nu pare să stabilească parametrii care privesc informațiile despre utilizatorii paginii sale de internet, informații care ar reveni la aceasta anonimizate sau sub altă formă. „Beneficiul” scontat pare să fie publicitatea gratuită făcută produselor sale care se presupune că are loc atunci când utilizatorul paginii sale de internet decide să facă click pe butonul Facebook „Îmi place”, pentru a împărtăși, prin contul său de Facebook, părerile sale cu privire la, de exemplu, o rochie neagră de seară. Astfel, sub rezerva verificării situației de fapt de către instanța de trimitere, utilizarea pluginului permite pârâtei să optimizeze publicitatea produselor sale prin posibilitatea de a le face vizibile pe Facebook.

69. Ca alternativă, văzută într‑o lumină diferită, se poate considera că pârâta (co‑)determină parametrii datelor colectate prin simplul fapt de a fi integrat pluginul respectiv în pagina sa de internet. Pluginul în sine este instrumentul care oferă parametrii datelor cu caracter personal care trebuie colectate. Astfel, prin integrarea acestui instrument în mod voluntar pe pagina sa de internet, pârâta a stabilit parametrii respectivi cu privire la toți vizitatorii website‑ului său.

70. În al treilea rând și, în orice caz, în lumina Hotărârii Jehovan todistajat, un operator asociat poate fi în continuare clasificat ca atare, chiar dacă nu are acces la „roadele muncii comune”. Astfel, nu pare a fi decisiv faptul că pârâta nu are acces la datele transmise către Facebook sau că, aparent, nu primește statistici personalizate sau agregate în schimb.

3. Problemele: cine, în acest caz, nu este operator asociat?

71. Protecția efectivă va fi sporită dacă toți răspund de asigurarea acesteia?

72. Aceasta este în esență dilema morală și practică mai profundă creată de prezenta cauză și exprimată în termeni juridici prin domeniul de aplicare al definiției de operator (asociat). În dorința ușor de înțeles de a asigura protecția efectivă a datelor cu caracter personal, jurisprudența recentă a Curții a recurs la o interpretare largă atunci când i s‑a cerut să definească, într‑un fel sau altul, conceptul de operator (asociat). Cu toate acestea, până în prezent, Curtea nu s‑a confruntat cu implicațiile practice ale unei astfel de definiții atât de cuprinzătoare în ceea ce privește etapele ulterioare ale sarcinilor precise și ale răspunderii specifice care revin părților care sunt calificate drept operatori asociați. Deoarece prezenta cauză oferă tocmai o astfel de ocazie, sugerăm că trebuie profitat de ea pentru a spori precizia în definițiile care ar trebui să existe pentru noțiunea de operator (asociat).

a) Cu privire la obligație și la răspundere

73. Dacă analizăm critic testul aplicabil pentru a identifica un „operator asociat”, se pare că criteriul determinant după Hotărârile Wirtschaftsakademie Schleswig‑Holstein și Jehovan todistajat este ca persoana în cauză „să fi făcut posibilă” colectarea și transferul datelor cu caracter personal, eventual coroborate cu o anumită contribuție pe care o are un astfel de operator asociat în legătură cu parametrii (sau cel puțin în cazurile în care există o aprobare tacită a acestor parametri)(37). Dacă aceasta este într‑adevăr situația, atunci, în pofida intenției clar declarate de a o exclude în Hotărârea Wirtschaftsakademie Schleswig‑Holstein(38), este dificil de imaginat cum utilizatorii obișnuiți ai unei aplicații online, indiferent dacă este vorba despre o rețea socială sau despre orice altă platformă colaborativă, dar și despre alte programe(39), nu ar deveni de asemenea operatori asociați. În mod obișnuit, utilizatorul își creează propriul cont, oferind administratorului parametri cu privire la modul în care va fi structurat contul său, la tipul de informații pe care dorește să le primească, la subiectul acestora și la expeditorul acestora. De asemenea, își va invita prietenii, colegii și alte persoane să facă schimb de informații sub forma datelor cu caracter personal (adesea destul de sensibile), prin intermediul aplicației, oferind astfel date referitoare la aceste persoane și, în plus, invitând respectivele persoane să se implice, la rândul lor, contribuind astfel în mod evident la obținerea și la prelucrarea datelor cu caracter personal ale respectivelor persoane.

74. În plus, ce se întâmplă cu celelalte părți în cadrul unui „lanț de date cu caracter personal”? Atunci când lucrurile sunt duse la extrem, dacă singurul criteriu pertinent pentru controlul comun este faptul de a fi făcut posibilă prelucrarea datelor, contribuind astfel efectiv la acea prelucrare în orice etapă, furnizorul de servicii de internet, care face posibilă prelucrarea datelor, deoarece asigură accesul la internet, sau chiar furnizorul de energie electrică nu ar putea fi atunci și ei operatori asociați potențial răspunzători în solidar pentru prelucrarea datelor cu caracter personal?

75. Răspunsul intuitiv este, desigur, „nu”. Problema este că, deocamdată, delimitarea răspunderii nu decurge din definiția mai largă a noțiunii de operator. Pericolul pe care îl reprezintă faptul că această definiție este prea generală este acela că stabilește că o serie de persoane sunt co‑răspunzătoare de prelucrarea datelor cu caracter personal.

76. Cu toate acestea, spre deosebire de cazurile menționate în secțiunea anterioară, întrebările adresate de instanța de trimitere în prezenta cauză nu se opresc la definirea „operatorului”. Acestea preiau și continuă explorarea unor chestiuni conexe în ceea ce privește alocarea obligațiilor efective impuse prin Directiva 95/46. Aceste aspecte, în sine, demonstrează problemele unei definiții prea cuprinzătoare a noțiunii de operator, în special atunci când aceasta este combinată cu lipsa unei norme precise care să reglementeze cu exactitate atribuțiile și responsabilitățile specifice ale operatorilor, potrivit Directivei 95/46. Argumentele părților interesate ca răspuns la întrebările 5 și 6, care se referă la alocarea exactă a responsabilităților potrivit directivei, ilustrează bine această situație.

77. Prin intermediul întrebării 5 se solicită în esență să se stabilească cine trebuie să obțină consimțământul persoanei vizate și în ce scop. Răspunsurile sugerate la această întrebare variază în mod considerabil.

78. Reclamanta și LDI NW consideră că obligația de a obține consimțământul în cunoștință de cauză al persoanei vizate aparține pârâtei, care a decis să integreze pluginul în cauză. În opinia reclamantei, acest aspect este cu atât mai important în cazul utilizatorilor care nu dețin un cont de Facebook și care nu au acceptat termenii și condițiile generale ale Facebook. Pârâta este de părere că acest consimțământ trebuie să fie exprimat față de un terț care furnizează conținut integrat, și anume Facebook Ireland. Facebook Ireland consideră că respectivul consimțământ nu trebuie acordat unui destinatar anume, întrucât Directiva 95/46 prevede doar că consimțământul trebuie să reprezinte o manifestare de voință liberă, specifică și informată.

79. Austria, Germania și Polonia invocă faptul că consimțământul trebuie să fie exprimat înainte de prelucrarea datelor, iar, în opinia Austriei, acesta trebuie să se refere atât la colectarea, cât și la posibila transmitere a datelor. Polonia subliniază că acest consimțământ trebuie dat pârâtei. Germania consideră că este necesar să fie dat pârâtei sau terțului care furnizează conținut integrat (Facebook Ireland), deoarece ambii sunt co‑responsabili pentru prelucrare. Pârâta trebuie numai să primească consimțământul pentru transmiterea datelor către un terț, deoarece pentru toate celelalte activități de prelucrare și de utilizare a datelor colectate, acesta nu mai acționează în calitate de operator. Totuși, acest lucru nu exclude posibilitatea ca operatorul paginii de internet să primească consimțământul privind prelucrarea de către terț, care poate fi reglementată de un contract între cei doi. Italia susține că consimțământul trebuie să fie exprimat față de toți cei care participă la prelucrarea datelor cu caracter personal, mai concret pârâta și Facebook Ireland. Belgia și Comisia subliniază că Directiva 95/46 nu precizează cui trebuie dat consimțământul.

80. Există de asemenea o mare diversitate de opinii cu privire la cine are obligația de informare potrivit articolului 10 din Directiva 95/46 și despre ce mai exact, aspecte abordate de cea de a șasea întrebare adresată de instanța de trimitere.

81. Conform reclamantei, operatorul paginii de internet este cel care are obligația de a comunica informațiile necesare persoanei vizate. Pârâta a susținut argumentul contrar, subliniind faptul că Facebook Ireland este cea care trebuie să furnizeze informații, întrucât pârâta nu are cunoștințele necesare. În mod similar, Facebook Ireland subliniază că are obligația de informare, întrucât această obligație se adresează numai operatorului (sau reprezentantului acestuia). Aceasta ia act de faptul că răspunsul la întrebarea a șasea este strâns legat de răspunsul la întrebarea dacă operatorul paginii de internet este un operator. Articolul 10 demonstrează că nu este adecvat ca operatorul paginii de internet să fie calificat drept operator de date cu caracter personal, deoarece acesta nu este în măsură să furnizeze astfel de informații. LDI NW consideră că informațiile trebuie să fie furnizate de operatorul paginii de internet, însă confirmă dificultatea de a stabili ce informații ar trebui să fie oferite, întrucât pârâta nu are nicio influență asupra prelucrării datelor de către Facebook Ireland. Modul în care se întrepătrund obiectivele operațiunii de prelucrare a datelor sugerează că operatorul paginii de internet ar trebui să fie co‑responsabil pentru prelucrarea pe care a făcut‑o posibilă.

82. Belgia, Italia și Polonia afirmă că obligația de informare se aplică de asemenea operatorului paginii de internet precum cel în cauză, deoarece acesta poate fi considerat drept operator. Belgia adaugă că operatorul paginii de internet poate avea de asemenea obligația de a verifica scopul prelucrării ulterioare a datelor și de a lua măsurile corespunzătoare pentru a garanta protecția persoanelor fizice. Guvernul german susține că obligația de informare se aplică operatorului paginii de internet în măsura în care acesta este răspunzător de prelucrarea datelor, și anume de transmiterea datelor către furnizorul extern de conținut integrat, dar nu pentru toate etapele de prelucrare ulterioară a datelor, care se află în responsabilitatea acelui furnizor extern. În opinia Austriei și a Comisiei, atât operatorul paginii de internet, cât și furnizorul extern se supun obligației de a furniza informații în temeiul articolului 10 din Directiva 95/46.

83. Dincolo de chestiunile ridicate de întrebările 5 și 6, putem adăuga că, probabil, vor apărea dificultăți conceptuale similare atunci când vor fi analizate și alte obligații definite de Directiva 95/46, precum dreptul de acces în conformitate cu articolul 12 din directivă. Într‑adevăr, Curtea a arătat, în Hotărârea Wirtschaftsakademie Schleswig‑Holstein, că „Directiva 95/46 nu impune, atunci când există o responsabilitate comună a mai multor operatori pentru aceeași prelucrare, ca fiecare să aibă acces la datele cu caracter personal vizate”(40). Cu toate acestea, un operator care nu are acces la datele pentru care este totuși calificat drept operator (asociat) nu poate, în mod logic, să ofere un astfel de acces vreunei persoane vizate (nemaivorbind despre alte operațiuni, precum modificarea sau ștergerea).

84. Prin urmare, în acest stadiu, lipsa de claritate conceptuală în amonte (cine este operatorul și cu privire la ce anume date) care poate duce în anumite cazuri la lipsa de claritate din aval (cine este obligat și ce obligații are) face realmente imposibilă respectarea legislației în vigoare de către un potențial operator asociat.

85. Desigur, se poate sugera încheierea de contracte pentru alocarea exactă a răspunderii între operatori (asociați și potențial foarte numeroși). Aceste contracte nu numai că ar conține clauze privind repartizarea responsabilităților, ci ar și identifica partea care trebuie să respecte fiecare dintre obligațiile prevăzute de directivă, inclusiv cele care pot fi exercitate efectiv numai de una dintre părți.

86. Considerăm că o asemenea teză este extrem de problematică. În primul rând, este complet nerealistă, ținând seama de rețeaua densă de contracte oficiale, standardizate, care ar trebui semnate de orice parte, inclusiv, cel mai probabil, de o serie de utilizatori obișnuiți(41). În al doilea rând, aplicarea legislației în vigoare și alocarea răspunderii prevăzute în această legislație ar fi condiționate de contracte private, la care terții care urmăresc să își exercite drepturile ar putea să nu aibă acces.

87. În al treilea rând, probabil prevalând în parte în fața unora dintre aceste aspecte, Regulamentul general privind protecția datelor pare a fi instituit un nou regim de răspundere solidară la articolul 26. În mod cert, Regulamentul general privind protecția datelor nu era aplicabil ratione temporis în cauzele discutate în cadrul prezentei secțiuni sau în cazul de față. Cu toate acestea, cu excepția cazului în care există o derogare specifică sau sistematică în noua legislație cu privire la definițiile relevante, ceea ce nu pare să fie cazul, întrucât articolul 4 din Regulamentul general privind protecția datelor păstrează în mare parte aceleași concepte‑cheie ca articolul 2 din Directiva 95/46 (adăugând în același timp o serie de concepte noi), ar fi destul de surprinzător dacă interpretarea unor astfel de noțiuni de bază, inclusiv noțiunile de operator, prelucrare sau date cu caracter personal, ar fi în mod semnificativ diferită (fără un motiv bine întemeiat) de jurisprudența existentă.

88. Dacă lucrurile ar sta astfel, atunci ceea ce pare să fie un regim de răspundere în solidar pentru operatorii asociați, introdus la articolul 26 alineatul (3) din Regulamentul general privind protecția datelor, s‑ar putea dovedi o provocare majoră. Pe de o parte, articolul 26 alineatul (1) din Regulamentul general privind protecția datelor prevede posibilitatea ca operatorii asociați să „stabilească responsabilitățile fiecăruia în ceea ce privește îndeplinirea obligațiilor”. Pe de altă parte, totuși, articolul 26 alineatul (3) din Regulamentul general privind protecția datelor prevede în mod clar că „persoana vizată își poate exercita drepturile” „cu privire la și în raport cu fiecare dintre operatori”, indiferent de orice asemenea acord. Astfel, oricare dintre operatorii asociați poate fi considerat responsabil pentru prelucrarea datelor în cauză.

b) Imaginea de ansamblu

89. Cu mult timp în urmă (fanii SF ar dori poate să adauge „într‑o galaxie foarte, foarte îndepărtată”), era la modă să faci parte dintr‑o rețea de socializare. Apoi, încetul cu încetul, a început să fie la modă contrariul. În prezent, pare a fi o crimă să faci parte dintr‑o astfel de rețea de socializare (pentru care trebuie identificate noi forme de răspundere pentru fapta altuia).

90. Nu se poate nega faptul că evoluția procesului decizional judiciar are loc într‑un context social care evoluează. Cu siguranță, acest proces trebuie să reacționeze la respectivul context, însă nu să ajungă să fie controlat de acesta. O rețea de socializare, ca orice altă aplicație sau ca orice alt program, este un instrument. La fel ca un cuțit sau ca un autovehicul, ea poate fi utilizată în mai multe moduri. De asemenea, nu există nicio îndoială că, în cazul în care este folosită în scopuri greșite, această utilizare trebuie să facă obiectul unei urmăriri în justiție. Dar poate că nu este cea mai bună idee să pedepsim pe oricine a utilizat vreodată un cuțit. În mod normal, se trimit în judecată numai persoanele care controlau cuțitul atunci când s‑a cauzat o vătămare.

91. Astfel, ar trebui să existe, dacă nu întotdeauna o corespondență perfectă, cel puțin o corespondență rezonabilă între putere, control și răspundere. Desigur, legislația modernă include diferite forme de răspundere obiectivă, care este activată doar dacă se produc anumite rezultate. Însă acestea tind să fie excepții justificate. În cazul în care, fără nicio explicație motivată, răspunderea este atribuită unei persoane care nu avea niciun control asupra rezultatelor, această repartizare a răspunderii va fi, de regulă, considerată nerezonabilă sau injustă(42).

92. În plus, pentru a răspunde la întrebarea adresată la începutul acestei secțiuni (punctul 71), o persoană sceptică din părțile mai estice ale Uniunii Europene ar putea sugera, având în vedere experiența sa istorică, că eficacitatea protecției acordate unui lucru are tendința de a se reduce drastic dacă toată lumea devine responsabilă pentru acel lucru. Atunci când toată lumea este răspunzătoare, în fapt, nimeni nu mai este răspunzător. Sau, mai degrabă, partea care ar fi trebuit să fie considerată răspunzătoare pentru un anumit mod de a acționa, cea care exercită efectiv controlul, se va ascunde probabil în spatele tuturor celor care sunt nominal „co‑responsabili”, iar protecția efectivă va fi semnificativ redusă.

93. În cele din urmă, nicio lege bună (sau nicio interpretare bună a legii) nu ar trebui să ajungă la situația în care obligațiile prevăzute de aceasta nu pot, în realitate, să fie îndeplinite de cei vizați de actul normativ. Astfel, cu excepția cazului în care definiția clară a controlului (comun) ar trebui să se transforme într‑o comandă de deconectare garantată pe plan judiciar care să se aplice tuturor actorilor implicați și de abținere de la utilizarea oricăror rețele sociale, pluginuri și, potențial, a oricărui fel de conținut al unor terți, atunci realitatea trebuie să joace rolul său în definirea obligațiilor și a responsabilităților, incluzând încă o dată aspectele legate de cunoaștere și de putere reală de negociere și de capacitatea de a influența oricare dintre activitățile imputate(43).

4. Înapoi la izvoarele (legislative): unitatea de scopuri și de mijloace în ceea ce privește o anumită operațiune de prelucrare a datelor

94. Deși destul de fermă în abordarea sa cu privire la definiția controlului comun în Hotărârea Wirtschaftsakademie Schleswig‑Holstein, Curtea a făcut referire și la necesitatea de a limita răspunderea unui operator (asociat). Mai precis, Curtea a amintit „că existența unei responsabilități comune nu înseamnă în mod necesar o răspundere echivalentă a diferitor operatori vizați de o prelucrare a datelor cu caracter personal. […] acești operatori pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade, astfel încât nivelul de răspundere al fiecăruia dintre ei trebuie să fie evaluat ținând seama de toate împrejurările pertinente ale speței”(44).

95. Deși în cauza Wirtschaftsakademie Schleswig‑Holstein nu a fost necesară abordarea acestei probleme specifice, ea este necesară în speța de față, în care instanța de trimitere invită în mod direct Curtea să confirme eventualele obligații ale pârâtei, care decurg din calitatea sa de operator.

96. Având în vedere sistemul de răspundere solidară nou introdus în articolul 26 din Regulamentul general privind protecția datelor, ar putea fi dificil să se conceapă modul în care responsabilitatea în solidar ar putea presupune o răspundere inegală, în ceea ce privește obținerea aceluiași rezultat din punctul de vedere al tratării potențial (i)licite a datelor cu caracter personal. Acest aspect se ridică în special în lumina articolului 26 alineatul (1) din Regulamentul general privind protecția datelor, care pare să vireze în direcția răspunderii în solidar(45).

97. Considerăm totuși că cea mai importantă afirmație a Curții este cea de a doua, și anume că „operatorii pot fi implicați în diferite stadii ale acestei prelucrări și în diferite grade”. O astfel de sugestie este susținută de definițiile cuprinse în Directiva 95/46, în special în ceea ce privește definiția (i) noțiunii de prelucrare prevăzută la articolul 2 litera (b) și (ii) a noțiunii de operator prevăzută la articolul 2 litera (d).

98. În primul rând, noțiunea de prelucrare a datelor cu caracter personal cuprinde „orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.

99. Chiar dacă noțiunea de prelucrare este, în mod similar cu noțiunea de operator, destul de largă(46), aceasta subliniază și vizează în mod clar un stadiu al prelucrării: se referă la o operațiune sau la un set de operațiuni, cu o listă ilustrativă a acestora. Atunci, în mod logic, problema controlului ar trebui să fie evaluată mai degrabă cu privire la operațiunea specifică în chestiune, iar nu cu privire la o grămadă nedefinită de totul și nimic denumită prelucrare(47).

100. În al doilea rând, noțiunea de control comun nu este definită în mod specific de Directiva 95/46. Dar, în mod logic, noțiunea respectivă se bazează pe noțiunea de operator prevăzută la articolul 2 litera (d): situația de control în comun apare atunci când două sau mai multe persoane stabilesc mijloacele și scopurile prelucrării datelor cu caracter personal împreună(48). Cu alte cuvinte, pentru ca două (sau mai multe) persoane să fie calificate drept operatori asociați, trebuie să existe identitate de scopuri și de mijloace ale prelucrării datelor cu caracter personal.

101. Tocmai combinația dintre cele două definiții ar trebui, în opinia noastră, să stabilească obligațiile și răspunderea potențială a operatorilor asociați. Operatorul (asociat) este responsabil de acea operațiune sau de acel set de operațiuni ale căror scopuri și mijloace le partajează sau le stabilește în comun, cu privire la o anumită operațiune de prelucrare a datelor. În schimb, această persoană nu poate fi considerată răspunzătoare nici pentru stadiile anterioare, nici pentru cele ulterioare ale lanțului integral de prelucrare, pentru care aceasta nu era în măsură să stabilească nici scopurile, nici mijloacele.

102. În speță, stadiul relevant (operațiunile) de prelucrare corespunde colectării și transmiterii datelor cu caracter personal care au loc prin intermediul butonului Facebook „Îmi place”.

103. În primul rând, în ceea ce privește mijloacele acelor operațiuni de prelucrare a datelor, astfel cum sugerează reclamanta, LDI NW și guvernul german, pare a fi un fapt stabilit că pârâta decide cu privire la utilizarea acelui plugin, care servește drept vehicul pentru colectarea și pentru transmiterea datelor cu caracter personal. Colectarea și transmiterea sunt declanșate în momentul vizitării paginii de internet a pârâtei. Respectivul plugin a fost furnizat pârâtei de către Facebook Ireland. Astfel, atât Facebook Ireland, cât și pârâta par să fi cauzat în mod voluntar etapa de colectare și de transmitere a prelucrării datelor. Desigur, la nivelul situației de fapt, este de competența instanței naționale să verifice acest aspect.

104. În al doilea rând, abordând scopul prelucrării datelor, decizia de trimitere nu precizează motivele pentru care pârâta a decis să integreze butonul Facebook „Îmi place” în pagina sa de internet. Cu toate acestea, și sub rezerva verificării de către instanța de trimitere, respectiva decizie pare să fie inspirată de dorința de a spori vizibilitatea produselor pârâtei prin intermediul rețelei sociale. În același timp, se pare că datele transferate către Facebook Ireland sunt utilizate în scopurile comerciale proprii ale acestei entități.

105. În ciuda faptului că utilizarea comercială specifică a datelor nu poate fi aceeași, în general, atât pârâta, cât și Facebook Ireland par să urmărească scopuri comerciale într‑un mod în care par să se completeze reciproc. În acest mod, chiar dacă nu sunt identice, există o unitate a obiectivelor: există un scop comercial și publicitar.

106. Cu privire la situația de fapt în speță, rezultă, așadar, că pârâta și Facebook Ireland decid în comun asupra mijloacelor și a scopurilor prelucrării datelor în etapa de colectare și de transmitere a datelor cu caracter personal, aflată în discuție. În acest cadru, pârâta acționează în calitate de operator și răspunde, tot în acest cadru, în solidar cu Facebook Ireland.

107. În același timp, considerăm că răspunderea pârâtei ar trebui să se limiteze la stadiul prelucrării datelor în care este implicată și că aceasta nu se poate extinde și asupra eventualelor stadii ulterioare de prelucrare a datelor, dacă o astfel de prelucrare nu se află sub controlul pârâtei și, din câte se pare, are loc și fără știrea acesteia.

108. Având în vedere cele de mai sus, a doua noastră concluzie intermediară este, așadar, că o persoană precum pârâta, care a integrat un plugin al unui terț în pagina sa de internet, care determină colectarea și transmiterea de date cu caracter personal ale utilizatorului (terțul fiind cel care a pus la dispoziție acel plugin), este considerată a fi un operator în sensul articolului 2 litera (d) din Directiva 95/46. Cu toate acestea, răspunderea (în solidar a) operatorului respectiv este limitată la acele operațiuni pentru care participă efectiv la decizia privind mijloacele și scopurile prelucrării datelor cu caracter personal.

109. Ar trebui adăugat că această concluzie răspunde și la cea de a treia întrebare preliminară adresată. Prin intermediul acestei întrebări preliminare, instanța de trimitere solicită să se precizeze în esență dacă Directiva 95/46 exclude aplicarea noțiunii de Störer (perturbator) din dreptul național în cazul pârâtei, dacă se constată că pârâta nu poate fi considerată a fi un operator. Potrivit deciziei de trimitere, conceptul de Störer impune persoanei care nu încalcă un drept, dar care a creat sau a sporit riscul de producere a unei astfel de încălcări de către un terț, să facă tot ceea ce este rezonabil și stă în puterea sa pentru a preveni încălcarea respectivă. În cazul în care pârâta nu poate fi considerată a fi un operator, instanța de trimitere sugerează că au fost întrunite condițiile prealabile pentru aplicarea conceptului de Störer, ca urmare a faptului că, prin integrarea unui plugin pentru butonul Facebook „Îmi place”, pârâta a creat, cel puțin, un risc de încălcare din partea Facebook.

110. Având în vedere răspunsul dat la a doua întrebare a instanței de trimitere, nu este necesar să se răspundă la a treia întrebare. Odată ce se stabilește că o anumită persoană trebuie calificată ca operator în sensul Directivei 95/46, obligațiile care îi revin în calitate de operator trebuie să evaluate ținând seama de obligațiile definite de directiva menționată. Concluzia contrară ar conduce la o răspundere diferențiată a operatorilor pentru o anumită încălcare la nivelul diferitor state membre. În acest sens, și prin raportare la definiția operatorului, Directiva 95/46 realizează într‑adevăr armonizarea deplină în ceea ce privește destinatarii vizați de obligațiile definite(49).

C. Interese legitime care trebuie luate în considerare în temeiul articolului 7 litera (f) din Directiva 95/46

111. Cea de a patra întrebare adresată în prezenta cauză privește legitimitatea prelucrării datelor cu caracter personal în lipsa consimțământului persoanei vizate, în sensul articolului 7 litera (a) din Directiva 95/46.

112. În această privință, instanța de trimitere face referire la articolul 7 litera (f) din Directiva 95/46, în temeiul căruia datele cu caracter personal pot fi prelucrate în cazul în care acest lucru este „necesar pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate […]”. Mai precis, instanța de trimitere solicită să se stabilească ale cui interese legitime ar trebui să fie luate în considerare în contextul prezentei cauze: cele ale pârâtei care a integrat conținutul terțului sau cele ale respectivului terț (și anume Facebook Ireland)(50).

113. Cu titlu introductiv, trebuie să observăm că, potrivit Comisiei, a patra întrebare nu este relevantă, întrucât în speță, în orice caz, trebuie dat consimțământul utilizatorului, în temeiul legislației de punere în aplicare a Directivei 2002/58/CE privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (denumită în continuare „Directiva asupra confidențialității și comunicațiilor electronice”)(51).

114. Suntem de acord cu Comisia că Directiva asupra confidențialității și comunicațiilor electronice [care, în articolul 1 alineatul (2), clarifică și completează Directiva 95/46 în sectorul comunicațiilor electronice](52) pare să se aplice în speță, în măsura în care are loc această plasare de cookies pe dispozitivele utilizatorilor(53). De asemenea, articolul 2 litera (f) din Directiva asupra confidențialității și comunicațiilor electronice și considerentul (17) al acesteia definesc consimțământul prin referire la noțiunea de consimțământ din Directiva 95/46.

115. În cadrul ședinței, a avut loc o dezbatere amplă cu privire la problema dacă plasarea de cookies a avut sau nu loc în litigiul principal. Este de competența instanței de trimitere să procedeze la clarificarea faptelor. Cu toate acestea, în orice caz, astfel cum se descrie în decizia de trimitere, instanța de trimitere consideră că datele transmise constituie date cu caracter personal(54). Chestiunea cookie‑urilor nu pare, prin urmare, să ofere răspunsul la toate problemele care apar în speță în legătură cu prelucrarea datelor(55).

116. În consecință, considerăm că întrebarea 4 necesită o analiză mai aprofundată.

117. Reclamanta susține că interesul legitim care trebuie evaluat este cel al pârâtei. Reclamanta adaugă că nici pârâta, nici Facebook Ireland nu pot invoca un interes legitim în prezenta cauză.

118. Pârâta și Facebook Ireland susțin în esență faptul că interesele legitime care trebuie luate în considerare sunt cele ale persoanei care integrează conținutul terțului, precum și cele ale terțului, ținând cont în același timp de interesele vizitatorilor paginii de internet ale căror drepturi fundamentale pot fi afectate.

119. LDI NW, Polonia, Germania și Italia consideră că interesele legitime ale pârâtei și ale Facebook Ireland ar trebui să fie luate în considerare deoarece amândouă au făcut posibilă prelucrarea în cauză. Austria adoptă un punct de vedere similar. În mod similar, făcând trimitere la Hotărârea Curții în cauza Google Spain, Belgia subliniază că interesele legitime care trebuie luate în considerare sunt cele ale operatorului, precum și cele ale terților cărora le‑au fost comunicate datele cu caracter personal.

120. Trebuie amintit de la bun început că toate prelucrările de date cu caracter personal trebuie, în principiu, să respecte, printre alte condiții, unul dintre criteriile care legitimează prelucrarea datelor, care sunt enumerate la articolul 7 din Directiva 95/46(56).

121. În special în ceea ce privește articolul 7 litera (f), Curtea a amintit că această dispoziție „prevede trei condiții cumulative pentru ca o prelucrare a unor date cu caracter personal să fie licită, și anume, în primul rând, urmărirea unui interes legitim de către operator sau de către terțul sau terții terți cărora le sunt comunicate datele, în al doilea rând, necesitatea prelucrării datelor cu caracter personal pentru realizarea interesului legitim urmărit și, în al treilea rând, condiția ca acest interes să nu prejudicieze drepturile și libertățile fundamentale ale persoanei vizate de protecția datelor”(57).

122. Directiva 95/46 nu definește și nu enumeră „interesele legitime”. Această noțiune pare să fie mai curând flexibilă și deschisă interpretării(58). Nu există niciun tip de interes care este exclus per se, cu condiția ca, bineînțeles, să fie licit. Astfel cum s‑a discutat în esență în ședință și după cum s‑a menționat mai sus(59), se pare că elementul principal în prezenta cauză este reprezentat de colectarea și de transmiterea de date cu caracter personal în scopul optimizării publicității, deși adevăratele scopuri precise atât ale pârâtei, cât și ale Facebook Ireland ar putea să nu fie chiar identice.

123. Ținând cont de aceste considerații, am fi de acord că marketingul sau publicitatea pot, în sine, să constituie un astfel de interes legitim(60). Este, în realitate, dificil să se meargă dincolo de această afirmație în contextul prezentei cauze, întrucât nu există nicio informație specifică cu privire la modurile exacte în care sunt utilizate datele transmise și obținute, dincolo de aceste afirmații generale.

124. Acestea fiind spuse, instanța de trimitere nu discută și nu solicită orientări referitoare la evaluarea intereselor legitime specifice formulate în litigiul principal. În cuprinsul întrebării 4, instanța de trimitere solicită să se stabilească doar ale cui interese legitime ar trebui luate în considerare astfel încât să poată fi efectuată evaluarea comparativă prevăzută de articolul 7 litera (f) din Directiva 95/46.

125. Având în vedere răspunsul pe care îl sugerăm la întrebarea 2 de mai sus, considerăm că trebuie să fie luate în considerare atât interesele legitime ale pârâtei, cât și cele ale Facebook Ireland, deoarece ambele entități acționează în calitate de operatori asociați pentru respectiva operațiune de prelucrare a datelor cu caracter personal.

126. Întrucât statutul lor de operatori asociați implică faptul că aceștia împărtășesc și scopurile prelucrării datelor cu caracter personal, trebuie stabilită existența unui interes legitim pentru ambele entități, cel puțin la nivel general, după cum s‑a explicat mai sus. Acest interes trebuie apoi comparat cu drepturile persoanelor vizate, astfel cum se prevede în ultima parte a articolul 7 litera (f) din Directiva 95/46(61), această comparație depinzând „în principiu de circumstanțele specifice ale fiecărui caz în parte”(62). Amintim că prelucrarea datelor în astfel de circumstanțe trebuie de asemenea să respecte condiția privind necesitatea ei(63).

127. Având în vedere cele de mai sus, a treia concluzie intermediară este că, în scopul evaluării posibilității de a prelucra datele cu caracter personal în condițiile prevăzute la articolul 7 litera (f) din Directiva 95/46, interesele legitime ale ambilor operatori asociați în discuție trebuie să fie luate în considerare și puse în balanță cu drepturile persoanelor vizate.

D. Obligațiile pârâtei privind consimțământul care trebuie exprimat de persoana vizată și informațiile care urmează să fie oferite persoanei vizate

128. Prin intermediul întrebării 5, instanța de trimitere dorește să afle cui trebuie exprimat consimțământul prevăzut la articolul 7 litera (a) și la articolul 2 litera (h) din Directiva 95/46, în împrejurările din speță.

129. Prin intermediul întrebării 6, instanța de trimitere solicită să se stabilească dacă obligația de informare în temeiul articolului 10 din Directiva 95/46 se aplică în situația de față operatorului unei pagini de internet (cum este cazul pârâtei) care a integrat conținutul unui terț și, prin urmare, a cauzat prelucrarea datelor cu caracter personal de către acest terț.

130. După cum s‑a văzut mai sus(64), există o multitudine de răspunsuri propuse pentru aceste întrebări. Cu toate acestea, odată stabilită natura exactă a obligației prevăzute la întrebarea 2, atât în ceea ce privește titularul (cine), cât și natura obligației (pentru ce), iar acest aspect este astfel clarificat în amonte, răspunsurile la întrebările 5 și 6, care privesc anumite obligații din aval, devin mai clare.

131. În primul rând, considerăm că atât consimțământul, cât și informațiile furnizate trebuie să acopere toate aspectele legate de operațiunea de prelucrare a datelor pentru care operatorii asociați răspund în solidar, și anume colectarea și transmiterea. Dimpotrivă, consimțământul și obligațiile de informare respective nu se extind la stadiile ulterioare ale prelucrării datelor, în care pârâta nu este implicată și pentru care, în mod logic, nici nu stabilește scopuri sau mijloace.

132. În al doilea rând, în aceste condiții, se poate sugera că oricăruia dintre operatorii asociați îi poate fi acordat consimțământul. Cu toate acestea, având în vedere situația specifică în cauză, consimțământul respectiv trebuie să fie exprimat pârâtei, deoarece, de fapt, operațiunea de prelucrare este declanșată atunci când este vizitată pagina de internet a acesteia. Evident, nu s‑ar respecta cerința protecției eficiente a drepturilor persoanelor vizate în cazul în care consimțământul ar trebui să fie exprimat numai operatorului asociat care este implicat mai târziu (dacă este cazul), după ce colectarea și transmiterea au avut deja loc.

133. Răspunsul este similar în ceea ce privește obligația de informare care îi revine pârâtei în temeiul articolului 10 din Directiva 95/46. Această dispoziție definește o listă minimă de informații care trebuie comunicate persoanei vizate de către operator (sau de reprezentantul său). Aceasta cuprinde următoarele elemente: identitatea operatorului (sau a reprezentantului său), scopul prelucrării datelor, precum și orice informații suplimentare, în cazul în care acest lucru este „necesar, având în vedere circumstanțele specifice în care sunt colectate datele, pentru a garanta o prelucrare corectă în ceea ce privește persoana vizată”. Articolul 10 oferă exemple de astfel de informații suplimentare care includ, aspect care ar putea fi relevant în speță, informații cu privire la destinatarul datelor sau cu privire la existența dreptului de acces și de rectificare a datelor cu caracter personal referitoare la persoana vizată.

134. Având în vedere această listă, în mod clar, pârâta nu pare a fi în măsură să furnizeze informații cu privire la identitatea operatorilor asociați, cu privire la scopul respectivei etape de prelucrare (operațiunea/operațiunile asupra cărora asigură controlul în comun) și de asemenea cu privire la faptul că aceste date vor fi transferate.

135. În schimb, în ceea ce privește dreptul de acces și dreptul la rectificare, înțelegem că pârâta însăși nu deține un astfel de acces la datele transferate către Facebook Ireland, deoarece nu este implicată în niciun mod în stocarea acestor date. Astfel, s‑ar putea sugera, de exemplu, că acest aspect ar trebui să facă obiectul unui contract cu Facebook Ireland.

136. Însă astfel de propuneri, dincolo de argumentele prezentate mai sus(65), ar urmări, din nou, să extindă obligațiile și răspunderea unui operator asociat (unor operatori asociați) la operațiuni pentru care aceștia nu sunt responsabili. În cazul în care controlul în comun înseamnă răspunderea pentru acele operațiuni pentru care există unitate de scopuri și mijloace între operatori, atunci, în mod logic, celelalte obligații care decurg în temeiul directivei, cum ar fi cele privind consimțământul, informarea, accesul sau rectificarea ar trebui să se regăsească și ele în sfera de aplicare a obligației inițiale(66).

137. Comisia a remarcat de asemenea în cadrul ședinței că vizitatorii care au deja un cont de Facebook pot să fi consimțit deja la efectuarea unui astfel de transfer. Această situație ar putea conduce la o răspundere diferențiată a pârâtei, Comisia părând să sugereze că obligația pârâtei de a informa și de a cere consimțământul ar urma să se aplice numai vizitatorilor care nu sunt utilizatori ai Facebook și care vizitează pagina de internet a pârâtei.

138. Nu suntem de acord. Considerăm dificil de acceptat ideea că ar trebui să existe un tratament diferențiat (mai puțin protector) în ceea ce privește „utilizatorii Facebook” în împrejurările din prezenta cauză, deoarece aceștia au admis deja posibilitatea ca datele lor cu caracter personal să fie prelucrate (în orice fel) de Facebook. Într‑adevăr, un astfel de argument implică faptul că, la crearea unui cont de Facebook, se acceptă în avans orice prelucrare a datelor cu privire la orice activități online ale acestor „utilizatori ai Facebook” de către orice terț care are orice tip de legătură cu Facebook. Acest lucru este valabil chiar și în cazul în care nu există niciun semn vizibil al unei astfel de prelucrări a datelor (după cum pare să fie cazul atunci când cineva pur și simplu vizitează pagina de internet a pârâtei). Cu alte cuvinte, acceptarea sugestiei Comisiei ar însemna în fapt că, prin crearea unui cont de Facebook, utilizatorul a renunțat efectiv la orice protecție a datelor online cu caracter personal față de Facebook.

139. Prin urmare, considerăm că răspunderea pârâtei și, așadar, obligațiile privind obținerea consimțământului și informarea ar trebui să fie aceleași în privința persoanelor vizate, indiferent dacă acestea dețin sau nu un cont de Facebook.

140. În plus, reiese clar și că consimțământul trebuie să fie obținut, iar informațiile trebuie să fie oferite înainte ca datele să fie colectate și transferate(67).

141. Prin urmare, având în vedere cele de mai sus, o ultimă concluzie intermediară ca răspuns la întrebările 5 și 6 este că, într‑o situație precum cea în speță, consimțământul persoanei vizate, obținut în temeiul articolului 7 litera (a) din Directiva 95/46 trebuie să fie acordat unui operator al unei pagini de internet precum pârâta, care a integrat conținutul unui terț. Articolul 10 din Directiva 95/46 trebuie interpretat în sensul că obligația de informare în temeiul acestei dispoziții se aplică de asemenea acelui operator al paginii de internet. Consimțământul persoanei vizate în temeiul articolului 7 litera (a) din Directiva 95/46 trebuie să fie obținut, iar informațiile, în sensul articolului 10 din aceeași directivă, trebuie să fie oferite înainte ca datele să fie colectate și transferate. Cu toate acestea, întinderea acestor obligații trebuie să corespundă cu nivelul răspunderii în solidar pentru colectarea și transmiterea datelor cu caracter personal.

V. Concluzie

142. Având în vedere cele de mai sus, propunem Curții să răspundă la întrebările adresate de Oberlandesgericht Düsseldorf (Tribunalul Regional Superior din Düsseldorf, Germania) după cum urmează:

„Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date nu se opune unei reglementări naționale care conferă asociațiilor fără scop lucrativ calitate procesuală activă pentru introducerea unei acțiuni în instanță împotriva presupusului autor al unei încălcări a legislației privind protecția datelor, pentru a proteja interesele consumatorilor.

O persoană care a integrat un plugin al unui terț în pagina sa de internet, care determină colectarea și transmiterea de date cu caracter personal ale utilizatorului (terțul fiind cel care a pus la dispoziție acel plugin), este considerată a fi un operator în sensul articolului 2 litera (d) din Directiva 95/46. Cu toate acestea, răspunderea (în solidar) a operatorului este limitată la acele operațiuni pentru care participă efectiv la decizia privind mijloacele și scopurile prelucrării datelor cu caracter personal.

În scopul evaluării posibilității de a prelucra datele cu caracter personal în condițiile prevăzute la articolul 7 litera (f) din Directiva 95/46, interesele legitime ale ambilor operatori asociați în discuție trebuie să fie luate în considerare și puse în balanță cu drepturile persoanelor vizate.

Consimțământul persoanei vizate obținut în temeiul articolului 7 litera (a) din Directiva 95/46 trebuie să fie acordat unui operator al unei pagini de internet care a integrat conținutul unui terț. Articolul 10 din Directiva 95/46 trebuie interpretat în sensul că obligația de informare în temeiul acestei dispoziții se aplică de asemenea acelui operator al paginii de internet. Consimțământul persoanei vizate în temeiul articolului 7 litera (a) din Directiva 95/46 trebuie să fie obținut, iar informațiile, în sensul articolului 10 din aceeași directivă, trebuie să fie oferite înainte ca datele să fie colectate și transferate. Cu toate acestea, întinderea acestor obligații trebuie să corespundă cu nivelul răspunderii în solidar pentru colectarea și transmiterea datelor cu caracter personal.”

1 Limba originală: engleza.

2 Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

3 Directiva Parlamentului European și a Consiliului din 23 aprilie 2009 (JO 2009, L 110, p. 30).

4 Observăm că decizia de trimitere arată că pluginul a fost pus la dispoziția pârâtei de către Facebook Ireland sau de către societatea‑mamă a acesteia din urmă, Facebook Inc., înregistrată în Statele Unite ale Americii. Cu toate acestea, se pare că, atât în fața instanței de trimitere, precum și în cadrul procedurii în fața Curții, Facebook Ireland își asumă posibila răspundere în temeiul Directivei 95/46 în contextul acestei proceduri. Astfel, nu vedem niciun motiv pentru a discuta eventuala aplicabilitate a Directivei 95/46 cu privire la societatea‑mamă a Facebook Ireland.

5 Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

6 „Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”

7 În același timp, din motive de exhaustivitate, adăugăm că, deși Hotărârea din 28 iulie 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612), privea o chestiune de interpretare a Directivei 95/46 care a apărut în contextul unor proceduri naționale inițiate de o asociație, Curtea nu a luat în considerare problema calității procesuale a asociației, în acea cauză, pur și simplu pentru că respectiva chestiune nu a fost pusă în discuție.

8 Astfel cum se reiterează de exemplu în Hotărârea din 23 mai 1985, Comisia/Germania (29/84, EU:C:1985:229, punctul 22), în Hotărârea din 14 februarie 2012, Flachglas Torgau (C‑204/09, EU:C:2012:71, punctul 60), și în Hotărârea din 19 aprilie 2018, CMR (C‑645/16, EU:C:2018:262, punctul 19).

9 Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 53).

10 A se vedea și Hotărârea din 16 decembrie 2008, Huber (C‑524/06, EU:C:2008:724, punctul 50).

11 Această abordare, spre deosebire de Hotărârea din 25 ianuarie 2018, Schrems (C‑498/16, EU:C:2018:37), nu implică nicio cesiune a drepturilor către o anumită persoană și, aparent, are temei juridic clar în dreptul intern pentru ceea ce pare a fi un tip de reprezentare a intereselor colective ale consumatorilor.

12 Sau, altfel spus, statele membre vor trebui de asemenea să prevadă o serie de alte aspecte, mai ales în ceea ce privește structura instituțională sau procedurile, care nu sunt în mod explicit menționate în directivă [cum ar fi, de exemplu, punerea în executare a unui drept, nu doar aspectele legate de calitatea procesuală, dar și, de exemplu, termenele de prescripție pentru introducerea unei acțiuni în instanță, cheltuielile de judecată (dacă este cazul), competența instanțelor etc.]. În acest caz, s‑ar putea de asemenea susține că, din moment ce nici articolul 22, nici articolul 24 din Directiva 95/46 nu menționează niciuna dintre aceste chestiuni, statul membru este de asemenea împiedicat să prevadă astfel de dispoziții în legislația națională?

13 Conform definiției de la articolul 3 din Directiva 2009/22.

14 A se vedea de exemplu Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctul 96), Hotărârea din 16 decembrie 2008, Huber (C‑524/06, EU:C:2008:724, punctul 51), Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 și C‑469/10, EU:C:2011:777, punctul 29), și Hotărârea din 7 noiembrie 2013, IPI (C‑473/12, EU:C:2013:715, punctul 31).

15 Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctul 97).

16 A se vedea în acest sens Concluziile noastre prezentate în cauza Dzivev (C‑310/16, EU:C:2018:623, punctele 72 și 74).

17 Reproduse la punctul 8 de mai sus.

18 A se revedea exemplele de mai sus, nota de subsol 12.

19 Care sunt, potrivit articolului 28 din Directiva 95/46, responsabile de monitorizarea aplicării dispozițiilor adoptate în temeiul acestei directive.

20 În ceea ce privește standardul prevăzut la articolul 28 alineatul (1) din Directiva 95/46, a se vedea Hotărârea din 9 martie 2010, Comisia/Germania (C‑518/07, EU:C:2010:125, punctele 18-30), și Hotărârea din 16 octombrie 2012, Comisia/Austria (C‑614/10, EU:C:2012:631, punctele 41-66).

21 Prin analogie cu un alt domeniu al dreptului, aplicarea dreptului concurenței în sfera privată, de exemplu, ar reprezenta de asemenea o amenințare la adresa independenței autorităților (naționale) în materie de concurență? A se vedea Hotărârea din 20 septembrie 2001, Courage și Crehan (C‑453/99, EU:C:2001:465, punctele 26-27 și 29), precum și Hotărârea din 13 iulie 2006, Manfredi și alții (C‑295/04-C‑298/04, EU:C:2006:461, punctele 59-60). A se vedea de asemenea considerentul (5) al Directivei 2014/104/UE a Parlamentului European și a Consiliului din 26 noiembrie 2014 privind anumite norme care guvernează acțiunile în despăgubire în temeiul dreptului național în cazul încălcărilor dispozițiilor legislației în materie de concurență a statelor membre și a Uniunii Europene (JO 2014, L 349, p. 1).

22 În general (neținând cont de problema specifică a formei juridice modificate), care este însemnătatea faptului că legiuitorul a inserat un element într‑un act legislativ ulterior, care nu fusese prezent în versiunile sale anterioare, pentru interpretarea acestui text ulterior? Se poate ca acest principiu să fi fost „prezent în mod inerent” în versiunea anterioară, iar acum să fie clarificat. Dar acest lucru poate însemna de asemenea și că, tocmai din cauza faptului că respectiva prevedere nu a existat în trecut, cea nouă reprezintă o modificare. Având în vedere frecventa și discutabila utilizare (potențial abuzivă) a argumentului „fusese dintotdeauna acolo, acum doar este explicit formulat”, ceea ce este echivalent în fapt cu extinderea valabilității noii reguli cu mult înaintea domeniului său de aplicare în timp, astfel de argumente trebuie utilizate cu precauție, în cel mai bun caz.

23 În ceea ce privește chestiunea adreselor IP dinamice, a se vedea Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779, punctul 33 și următoarele). A se vedea și Hotărârea din 24 noiembrie 2011, Scarlet Extended (C‑70/10, EU:C:2011:771, punctul 51).

24 Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779, punctele 41-45).

25 La punctul 19 de mai sus.

26 Sublinierea noastră.

27 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 29), și Hotărârea din 10 iulie 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punctul 65).

28 A se vedea Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 34), și Hotărârea din 10 iulie 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punctul 66).

29 Hotărârea din 5 iunie 2018 (C‑210/16, EU:C:2018:388).

30 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 39).

31 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 35).

32 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 36).

33 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctele 34 și 38).

34 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctele 39 și 41).

35 Hotărârea din 10 iulie 2018 (C‑25/17, EU:C:2018:551, punctele 68-72).

36 După cum a sugerat avocatul general Bot în Concluziile sale prezentate în cauza Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, punctele 66-72).

37 O analogie cu situația din domeniul protecției consumatorilor, în sensul că, în ceea ce privește negocierea, partea „neprofesionistă” ar trebui să aibă realmente un cuvânt de spus în cadrul negocierilor privind condițiile, nu pare să fie aplicabilă în acest context. Astfel, este discutabil în ce măsură se realizează cu adevărat o „definire a parametrilor” în cazul unui administrator al unei pagini pentru fani (și în ce măsură avem de a face doar cu aplicarea unor clicuri în mod mecanic și cu alegerea făcută între opțiuni predefinite, ca și în cazul oricăror altor „consumatori”).

38 Hotărârea din 5 iunie 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, punctul 35).

39 La ora actuală, o serie de programe și de aplicații, uneori cu acordul explicit, alteori cu un acord mai degrabă implicit din partea utilizatorului, transmit informații analitice, care pot include date cu caracter personal către dezvoltatorul sau vânzătorul de software.

40 Hotărârea din 5 iunie 2018 (C‑210/16, EU:C:2018:388, punctul 38).

41 Din nou, ar putea fi puse în discuție condițiile exacte și care ar putea fi puterea de negociere în acest caz (a se vedea de asemenea nota de subsol 37 de mai sus).

42 Sau, așa cum formulează în termeni mai direcți Sir Humphrey Appleby (la rândul său referindu‑se, se pare, la un citat mai vechi, fără a preciza sursa); „Responsabilitate fără putere – prerogativa eunucului de‑a lungul istoriei” (în Yes, Prime Minister, sezonul 2, episodul 7, „The National Education Service”, difuzat pentru prima oară în 21 ianuarie 1988).

43 De asemenea, în sensul evidențiat la punctul 73 de mai sus și în notele de subsol 38 și 42.

44 Hotărârea din 5 iunie 2018 (C‑210/16, EU:C:2018:388, punctul 43).

45 A se vedea punctele 87-88 de mai sus.

46 A se vedea de asemenea Avizul 4/2007 referitor la conceptul de date cu caracter personal, 01248/07/EN, WP 136, 20 iunie 2007, p. 4, al Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (un organism consultativ instituit prin articolul 29 din Directiva 95/46, în prezent înlocuit de Comitetul european pentru protecția datelor, instituit în temeiul articolului 68 din Regulamentul general privind protecția datelor).

47 De asemenea, luând în considerare și simplul fapt că prelucrarea nu va fi aproape niciodată liniară, parcurgând toate operațiile enumerate la articolul 2 litera (b), una câte una, în ordinea indicată, și de către o singură persoană. Mai degrabă, durata de viață a datelor cu caracter personal este de așteptat să fie una ciclică, funcționând în bucle, cu bifurcații, pe alocuri, cu seturi de date colectate în puncte diferite, apoi consultate de persoane diferite, ulterior contopite și consultate, iar apoi, probabil, din nou recombinate și retransmise către diverse persoane și așa mai departe.

48 Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 a sugerat că acest „control în comun apare atunci când părți diferite stabilesc fie scopul, fie elementele esențiale ale mijloacelor cu privire la operațiuni specifice de prelucrare.” A se vedea Opinia 1/2010 cu privire la conceptele „operator” și „persoana împuternicită de către operator”, adoptată la 16 februarie 2010, Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29, doc. 00264/10/EN WP 169, p. 19.

49 Spre deosebire de situația discutată cu privire la întrebarea 1 de mai sus, la punctele 39-42.

50 Lecturând versiunea în original în limba germană a celei de a patra întrebări preliminare, înțelegem că domeniul de aplicare al întrebării adresate de instanța de trimitere se limitează la identificarea intereselor care trebuie să fie luate în considerare, iar nu a celor care sunt decisive, astfel cum ar sugera traducerea în limba engleză a întrebării din limba germană (cu sensul de a li se acorda mai multă greutate) în acest exercițiu de evaluare comparativă a intereselor. Prin urmare, întrebarea pare a pune problema privind datele de intrare aferente acestui exercițiu de evaluare comparativă, iar nu cu privire la rezultatele acestuia.

51 Directiva Parlamentului European și a Consiliului din 12 iulie 2002 (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63).

52 A se vedea și Hotărârea din 5 mai 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, punctul 50). În conformitate cu considerentul (10) al Directivei asupra confidențialității și comunicațiilor electronice, „în sectorul comunicațiilor electronice, Directiva [95/46] se aplică în special acelor chestiuni care privesc protejarea drepturilor și libertăților fundamentale care nu sunt acoperite în mod anume de dispozițiile prezentei directive, inclusiv obligațiile privind operatorul și drepturile persoanelor fizice. Directiva [95/46] se aplică serviciilor de telecomunicații non‑publice.”

53 A se vedea, în acest context, articolul 5 alineatul (3) din Directiva asupra confidențialității și comunicațiilor electronice, care prevede că „ statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării […].”

54 În acest context, se face din nou o trimitere încrucișată la secțiunea B.1 (punctele 55-58 de mai sus) și la necesitatea unei verificări factuale în legătură cu ce anume se transmite cu exactitate și dacă aceste date reprezintă, de fapt, date cu caracter personal.

55 A se vedea de asemenea documentul 02/2013 al Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29, care oferă îndrumări cu privire la obținerea consimțământului pentru cookies, 1676/13/EN, WP 208, 2 octombrie 2013, p. 5-6, în care se sugerează că, „întrucât stocarea informațiilor sau obținerea informațiilor deja stocate în dispozitivele utilizatorilor prin plasarea de cookies pot presupune prelucrarea de date cu caracter personal, în acest caz, normele privind protecția datelor se aplică fără echivoc”.

56 A se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 71 și jurisprudența citată), și Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctul 25).

57 Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctul 28). A se vedea de asemenea Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 și C‑469/10, EU:C:2011:777, punctul 38).

58 A se vedea Concluziile noastre prezentate în cauza Rīgas satiksme (C‑13/16, EU:C:2017:43, punctele 64 și 65). Astfel cum am amintit în cauza respectivă, transparența [Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert (C‑92/09 și C‑93/09, EU:C:2010:662, punctul 77)], protecția proprietății, a sănătății și a vieții de familie [Hotărârea din 11 decembrie 2014, Ryneš (C‑212/13, EU:C:2014:2428, punctul 34)] au fost recunoscute ca atare de Curte. A se vedea și Hotărârea din 29 ianuarie 2008, Promusicae (C‑275/06, EU:C:2008:54, punctul 53), și Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctul 29).

59 A se vedea punctele 104 și 105 din prezentele concluzii.

60 A se vedea de asemenea Avizul nr. 06/2014 al Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 cu privire la noțiunea de interese legitime ale operatorului în temeiul articolului 7 din Directiva 95/46/CE (844/14/EN WP 217), p. 25.

61 După cum am sugerat în altă parte, „interesele legitime concurente nu trebuie doar să fie stabilite, ci trebuie să fie mai importante decât interesele sau drepturile și libertățile persoanei vizate”, care rezultă din articolele 7 și 8 din cartă. A se vedea Concluziile noastre prezentate în cauza Rīgas satiksme (C‑13/16, EU:C:2017:43, punctele 56 și 66-69 și jurisprudența citată).

62 Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctul 31 și jurisprudența citată).

63 Prin urmare, trebuie să existe o relație adecvată între scopuri (interesul legitim pretins) și mijloacele alese (datele cu caracter personal prelucrate). A se vedea în acest sens Hotărârea din 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punctul 30 și jurisprudența citată).

64 Punctele 76-82 din prezentele concluzii.

65 Punctele 84-88 de mai sus.

66 Ceea ce, bineînțeles, nu contravine obligației pe care o au alți operatori potențiali (și subsecvenți) în ceea ce privește operațiunile lor de prelucrare a datelor.

67 Punctul 132 de mai sus. A se vedea documentul 02/2013 al Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29, care oferă îndrumări cu privire la obținerea consimțământului pentru cookies, 1676/13/EN, WP 208, 2 octombrie 2013, p. 4. A se vedea de asemenea Avizul 15/2011 al Grupului de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29, cu privire la definiția consimțământului, 1197/11/EN, WP 187, 13 iulie 2011, p. 9.