CONCLUZIILE AVOCATULUI GENERAL
DÁMASO RUIZ‑JARABO COLOMER
prezentate la 22 decembrie 20081(1)
Cauza C‑553/07
College van burgemeester en wethouders van Rotterdam
împotriva
M. E. E. Rijkeboer
[cerere de pronunțare a unei hotărâri preliminare formulată de Raad van State (Țările de Jos)]
„Protecția datelor – Drepturi fundamentale – Directiva 95/46/CE – Drept de acces la datele cu caracter personal – Ștergere – Comunicare către terți – Termen de exercitare a dreptului de acces – Principiul proporționalității”
I – Introducere
1. Raad van State (Consiliul de Stat din Țările de Jos) a adresat Curții o întrebare preliminară referitoare la interpretarea articolelor 6 și 12 din Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(2). Trimiterea se efectuează într‑un context delicat: ștergerea unor informații personale aflate în posesia unei autorități locale, care au fost transmise unor terți, și dreptul corespunzător de acces la datele referitoare la prelucrarea acestor informații personale.
2. În principiu, distrugerea datelor reprezintă o acțiune protecționistă. Totuși, aceasta poate conduce la consecințe diferite, întrucât, odată cu sistemele de evidență, dispare și orice urmă a modului în care acestea au fost folosite. Astfel, un particular care aparent este protejat, poate fi totuși prejudiciat întrucât nu va cunoaște niciodată cum au fost folosite datele sale personale de către posesorul acestora(3).
3. Pe baza acestei dezbateri, Curtea trebuie să examineze dacă termenul de ștergere a datelor acționează ca limită temporală a dreptului de acces la informațiile referitoare la prelucrarea acestora. În caz afirmativ, trebuie să se determine dacă o perioadă de un an este suficientă și proporțională pentru garantarea drepturilor prevăzute de Directiva 95/46.
II – Situația de fapt
4. În decizia de trimitere se arată că domnul Rijkeboer a solicitat de la College van burgemeester en wethouders van Rotterdam (Primăria Rotterdam, denumită în continuare „Colegiul”) o listă, pe baza arhivelor deținute de administrația locală, a comunicărilor de informații care îl priveau efectuate în ultimii doi ani către terțe persoane. Prin deciziile din 27 și 29 noiembrie 2005, Colegiul a respins în parte cererea domnului Rijkeboer, furnizându‑i numai datele referitoare la anul anterior. Nefiind de acord cu aceste decizii ale administrației locale, domnul Rijkeboer a introdus o contestație, care a fost de asemenea respinsă la 13 februarie 2006.
5. După epuizarea căilor de atac administrative, Rechtbank Rotterdam (Tribunalul din Rotterdam) a admis acțiunea formulată de domnul Rijkeboer. Prin hotărârea din 17 noiembrie 2006, Rechtbank Rotterdam a anulat decizia administrativă prin care unele cereri ale solicitantului fuseseră respinse și a obligat Colegiul să adopte o nouă decizie.
6. La 28 decembrie 2006, Colegiul a declarat apel la Secția de contencios administrativ a Raad van State, organ care, prin hotărârea din 5 decembrie 2007, a suspendat judecarea cauzei principale și a adresat Curții o întrebare preliminară.
III – Cadrul normativ
A – Cadrul juridic comunitar
7. Articolul 6 alineatele (1) și (2) UE proclamă că Uniunea respectă drepturile fundamentale în următorii termeni:
„Articolul 6
(1) Uniunea se întemeiază pe principiile libertății, democrației, respectării drepturilor omului și a libertăților fundamentale, precum și ale statului de drept, principii care sunt comune statelor membre.
(2) Uniunea respectă drepturile fundamentale, astfel cum sunt acestea garantate de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950, precum și astfel cum rezultă acestea din tradițiile constituționale comune ale statelor membre, ca principii generale ale dreptului comunitar.”
8. Dreptul fundamental la respectarea vieții private, ca principiu general de drept comunitar, și‑a găsit expresia normativă în Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Acest act normativ, ale cărui principii au fost codificate în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, definește noțiunea „date” și prevede ștergerea acestora după o anumită perioadă de prelucrare. Articolul 2 litera (a) și articolul 6 din directiva menționată prevăd:
„Articolul 2
[…]
(a) «date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;
[…]
Articolul 6
(1) Statele membre stabilesc că datele cu caracter personal trebuie să fie:
[…]
(e) păstrate într‑o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice.
[...]”.
9. Pentru asigurarea transparenței prelucrării datelor, articolele 10 și 11 din Directiva 95/46 prevăd obligații de informare a persoanei vizate, care diferă în funcție de împrejurarea dacă datele au fost sau nu au fost colectate de la acea persoană. Operatorul care are responsabilitatea administrării sistemelor de evidență are, printre altele, următoarele obligații:
„Articolul 10
Informațiile în cazurile de colectare a datelor de la persoana vizată
Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului;
(b) scopul prelucrării căreia îi sunt destinate datele;
(c) orice alte informații suplimentare, cum ar fi:
– destinatarii sau categoriile de destinatari ai datelor;
– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
Articolul 11
Informații în cazul în care datele nu au fost obținute de la persoana vizată
(1) Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date:
(a) identitatea operatorului și, dacă este cazul, a reprezentantului său;
(b) scopurile prelucrării;
(c) orice alte informații suplimentare, cum ar fi:
– categoriile de date în cauză;
– destinatarii sau categoriile de destinatari ai datelor;
– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal;
în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.
[…]”
10. Persoanele vizate de aceste date pot veghea la utilizarea corespunzătoare a acestora prin exercitarea așa‑numitului „drept de acces”, ale cărei caracteristici principale sunt definite la articolul 12 din Directiva 95/46. Pentru soluționarea prezentei cauze, prezintă relevanță prima dintre ipotezele prevăzute de acest articol:
„Articolul 12
Dreptul de acces
Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:
(a) fără constrângere, la intervale rezonabile și fără întârzieri sau cheltuieli excesive:
– confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;
– comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor;
– informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1).
[…]”
11. În situațiile enumerate la articolul 13 din Directiva 95/46, statele membre pot restrânge obligația de ștergere a datelor, precum și dreptul de acces:
„Articolul 13
(1) Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:
(a) securitatea statului;
(b) apărarea;
(c) siguranța publică;
(d) prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate;
(e) un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal;
(f) o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e);
(g) protecția persoanei vizate sau a drepturilor și libertăților altora.
[…]”
B – Cadrul juridic național
12. Directiva 95/46 a fost transpusă în ordinea juridică olandeză prin intermediul unui act normativ general, Legea privind protecția datelor cu caracter personal (Wet bescherming persoonsgegevens). În prezenta procedură preliminară, această lege prezintă un caracter subsidiar, întrucât autoritățile locale sunt supuse unui regim juridic special care este reglementat prin Legea privind datele personale deținute de administrațiile comunale (Wet gemeentelijke basisadministratie persoonsgegevens). Articolul 103 alineatul 1 din această lege prevede condițiile în care un particular poate avea acces la informațiile privind prelucrarea datelor care îl privesc:
„Articolul 103
1. College van burgemeester en wethouders comunică în scris persoanei interesate într‑un termen de patru săptămâni, la cererea acesteia, datele care o privesc și care provin de la administrația comunală care au fost comunicate unui solicitant sau unui terț în cursul anului anterior cererii.
[…]”
IV – Întrebarea preliminară
13. La 12 decembrie 2007, grefa Curții a primit cererea de pronunțare a unei hotărâri preliminare introdusă de Raad van State, care formulează următoarea întrebare:
„Este compatibilă cu articolul 12 teza introductivă și litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, interpretat în coroborare cu articolul 6 alineatul (1) litera (e) din această directivă și cu principiul proporționalității, limitarea, prevăzută prin lege, a comunicării datelor la anul care precedă cererea în cauză?”
14. Au depus observații în termenul prevăzut la articolul 23 din Statutul Curții Colegiul, guvernele olandez, al Regatului Unit, elen, ceh și spaniol, precum și Comisia Comunităților Europene.
15. În ședința organizată la 20 noiembrie 2008 au compărut pentru a prezenta observații orale reprezentanții Colegiului și ai domnului Rijkeboer, precum și agenții guvernelor olandez, ceh, spaniol și al Regatului Unit, precum și al Comisiei.
V – Delimitarea întrebării care face obiectul dezbaterii
16. Prezenta cauză ridică mai multe probleme care prezintă o certă complexitate conceptuală. În esență, se urmărește să se stabilească dacă poate exista un termen specific pentru ștergerea informațiilor referitoare la prelucrarea datelor cu caracter personal. Odată șterse aceste date, în conformitate cu Directiva 95/46, ușa dreptului de acces se închide, întrucât nu se poate solicita o informație care nu mai există. În consecință, dezbaterea se orientează în jurul unei restricții a unui drept care este de asemenea expres prevăzut în Directiva 95/46. Această tensiune care există între ștergerea datelor și dreptul de acces la acestea dezvăluie un conflict intern în cadrul actului normativ menționat, asupra căruia Curtea trebuie să se pronunțe.
17. Prin urmare, trebuie să se examineze dacă datele referitoare la prelucrare beneficiază sau pot beneficia de un regim identic cu acela al datelor cu caracter personal. De asemenea, trebuie să se stabilească dacă termenul de ștergere trebuie să acționeze, în orice situație, ca limită a dreptului de acces. Aceste probleme trebuie să fie soluționate într‑un cadru de fapt și normativ relativ confuz, întrucât Raad van State nu a indicat dacă termenul prevăzut pentru ștergerea datelor referitoare la prelucrare este identic cu cel prevăzut pentru ștergerea datelor cu caracter personal sau mai mic decât acesta. Prin urmare, trebuie examinate ambele ipoteze, pentru a se putea furniza un răspuns util instanței de trimitere.
VI – Dezbatere prealabilă: evaluarea comparativă a intereselor în lumina drepturilor fundamentale ale Uniunii
A – Dreptul fundamental la protecția vieții private și dezvoltarea acestuia la nivel comunitar
18. În conformitate cu prevederile cartei sale constituționale(4), Uniunea Europeană se întemeiază pe drepturile fundamentale, a căror respectare este asigurată de Curte(5). După mai multe decenii de evoluție jurisprudențială, care a început cu Hotărârile Stauder(6) și Internationale Handelsgeselschaft(7), statele membre au recunoscut pe deplin caracterul structural al acestor drepturi, adoptând articolul F din Actul Unic European, care a devenit ulterior articolul 6 UE. Acest articol prevede că Uniunea respectă drepturile fundamentale, astfel cum sunt acestea garantate de Convenția europeană pentru apărarea drepturilor omului (denumită în continuare „CEDO”)(8), precum și astfel cum rezultă acestea din tradițiile constituționale comune ale statelor membre.
19. Dreptul la protecția vieții private face parte din aceste tradiții. Începând cu Hotărârea Stauder(9), jurisprudența a recunoscut că protecția vieții private face parte din principiile generale ale dreptului comunitar. Inițial, aceasta s‑a realizat în contextul examinării de către Curte a obligațiilor de comunicare a unor date, precum numele(10) sau informații medicale(11), în legătură cu punerea în aplicare a acestui drept atât la nivel național(12), cât și la nivel comunitar(13). La puțin timp după aceea, în cursul anilor '90, Curtea a stabilit incidența acestui drept în domeniul vieții private(14) și de familie(15).
20. Anul 1995 a constituit un moment de răscruce, odată cu adoptarea Directivei 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Jurisprudența Curții în materie, care până atunci era contradictorie și folosea o abordare de la caz la caz, a dobândit astfel o bază mai solidă pentru a-și putea fundamenta hotărârile, întrucât directiva delimitează în mod detaliat obiectul(16), subiectele(17) și eventualele căi de atac de care dispune o persoană atunci când circulă informații care o privesc(18). Considerentul (10) al Directivei 95/46 materializează vocația acesteia de instrument de protecție a drepturilor fundamentale, astfel cum sunt recunoscute de CEDO și de principiile generale ale dreptului comunitar(19). Prin Hotărârea Österreichischer Rundfunk și alții s‑a confirmat că, deși Directiva 95/46 are ca obiectiv asigurarea liberei circulații a datelor, aceasta prezintă și un important aspect de protecție a drepturilor fundamentale(20).
21. În rezumat, Directiva 95/46 dezvoltă dreptul fundamental la protecția vieții private, în dimensiunea acestuia referitoare la prelucrarea automată a datelor cu caracter personal(21).
22. Ca dovadă a acestei voințe de codificare, este suficient să se facă trimitere la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene(22), dedicat „protecției datelor cu caracter personal” și care consacră un drept la protecția vieții private, precum și un drept de prelucrare corectă a datelor, recunoscând de asemenea dreptul de acces la date și dreptul de a obține rectificarea lor. În pofida precauției cu care poate fi invocată carta(23), este dificil ca dispozițiile acesteia să fie ignorate și să se nege faptul că aceste elemente de drept fac parte din tradițiile constituționale comune ale statelor membre(24). Această apreciere este susținută și de faptul că au trecut mai mult de zece ani de la adoptarea Directivei 95/46, perioadă în care s‑a realizat o armonizare eficace în acest domeniu(25).
23. Articolul 8 din cartă scoate în evidență două aspecte relevante pentru acțiunea principală. Aceste două aspecte se regăsesc în articolele 6 și 12 din Directiva 95/46. Este vorba, pe de o parte, despre obligația de ștergere a datelor după o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor urmărite prin colectarea lor [articolul 6 alineatul (1) litera (e)] și, pe de altă parte, despre dreptul de acces fără constrângere la informații cu privire la destinatarii cărora le‑au fost comunicate datele [articolul 12 litera (a)]. Întrucât carta reia aceste aspecte și le integrează în „esența” dreptului fundamental la protecția vieții private, întrebarea preliminară adresată de Raad van State impune o evaluare comparativă a intereselor pentru a se ajunge la un răspuns rațional care să așeze aceste dispoziții în cadrul constituțional adecvat(26).
24. În prealabil, în cadrul descrierii cheilor de interpretare a Directivei 95/46, trebuie ca aceasta să fie studiată din punct de vedere teleologic în vederea identificării interesului dominant.
B – Dreptul fundamental la protecția vieții private și tensiunile interne ale acestuia
25. Prezenta cauză nu se referă la două drepturi fundamentale, ci la două aspecte ale aceluiași drept. Spre deosebire de ceea ce s‑a întâmplat în cazurile în care, de exemplu, dreptul la demnitate și libertatea de informare sau dreptul la protecția vieții private și dreptul de proprietate intrau în conflict, speța de față se referă la două obligații ale autorităților publice: aceea de a prevedea termene pentru ștergerea sistemelor de evidență care conțin date cu caracter personal și aceea de a garanta accesul persoanelor vizate la asemenea date. Această particularitate diferențiază situația domnului Rijkeboer de alte situații în privința cărora Curtea s‑a pronunțat deja, precum cauzele Lindqvist(27) sau Promusicae(28), în care protecția vieții private intra în conflict cu dreptul la libertatea credinței religioase și, respectiv, cu dreptul de proprietate(29). În schimb, speța de față privește un singur drept care prezintă un conflict intern, împărțit între două aspecte care îl transformă într‑un fel de Dr. Jeckyl și Mr. Hyde, întrucât, astfel cum vom arăta mai jos, generozitatea și cruzimea rece și calculată conviețuiesc în interiorul acestuia.
26. Păstrarea datelor de către operatorii responsabili cu prelucrarea acestora este o sarcină limitată în timp, întrucât Directiva 95/46 prevede că aceasta nu poate depăși perioada necesară în vederea atingerii scopurilor urmărite sau pentru care vor fi prelucrate ulterior. Această cerință este prevăzută în termeni stricți la articolul 6, care lasă în sarcina statelor membre obligația de a determina termenele pertinente în funcție de sectoarele vizate și de scopurile care se găsesc la baza creării și ștergerii ulterioare a sistemelor de evidență. În pofida flexibilității pe care această dispoziție o conferă fiecărei ordini juridice naționale, articolul 13 din Directiva 95/46 prevede excepții de la acest principiu, autorizând o păstrare mai îndelungată decât cea normală atunci când interese generale precum securitatea statului, combaterea criminalității sau cercetarea științifică impun aceasta.
27. Considerentele Directivei 95/46, care nu menționează această împrejurare, nu acordă o importanță specială limitelor păstrării datelor. Astfel, numai articolele 6 și 12 se referă la această obligație și, având în vedere libertatea de apreciere generoasă pe care Directiva 95/46 o lasă statelor membre, considerăm că legiuitorul comunitar nu s‑a concentrat asupra acestei probleme, astfel cum rezultă din comparația dintre normele care reglementează această materie și normele referitoare la dreptul de acces(30).
28. Posibilitatea persoanei vizate de a manipula datele care o privesc și de a solicita rectificarea, ștergerea sau blocarea acestora constituie unul dintre aspectele esențiale ale Directivei 95/46. Considerentele (38) și (40) ale directivei menționate ilustrează această idee, nu numai deoarece confirmă importanța dreptului de acces, ci și datorită legăturii implicite între informațiile de care dispune persoana vizată și prelucrarea datelor care o privesc. Astfel, pentru ca drepturile prevăzute la articolul 12 să fie viabile, trebuie să se țină seama de o serie de principii fundamentale, întrucât, în caz contrar, garanțiile prevăzute de această dispoziție ar fi lipsite de conținut. Această teză reiese cu claritate din considerentul (41), atunci când se arată că „orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care fac obiectul prelucrării, pentru a se asigura în special de exactitatea datelor și de legalitatea prelucrării acestora”(31). În această privință, așa‑numitele „principii referitoare la calitatea datelor”, enunțate în secțiunea 1 din capitolul II din Directiva 95/46, își dobândesc întregul înțeles. Printre aceste principii figurează și obligația de păstrare a datelor pentru o perioadă „nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate”. Obligația de ștergere a sistemelor de evidență are legătură cu aceea de prelucrare a datelor „în mod corect și legal” și cu aceea de a garanta calitatea acesteia pentru a fi adecvată, pertinentă, neexcesivă și exactă(32).
C – Caracterul accesoriu al articolului 6 față de articolul 12 din Directiva 95/46
29. Suntem conștienți de dificultatea pe care o presupune identificarea unui raport de prioritate între articolele 6 și 12 din Directiva 95/46. Există motive puternice pentru a considera că ștergerea datelor este cheia sistemului instituit prin Directiva 95/46, care conferă un drept de acces ce permite persoanelor vizate să controleze respectarea obligațiilor de ștergere. În aceeași ordine de idei, dreptul la protecție este materializat la articolul 12, întrucât accesul constituie veritabila dimensiune subiectivă a directivei care, în general, permite particularilor să reacționeze pentru apărarea intereselor lor.
30. În acest context, nu putem să rezistăm tentației de a aminti vechea dilemă referitoare la ou și la găină. Care a apărut prima dată? Putem să trăim cu această întrebare pentru totdeauna și să admitem că nu va primi niciodată vreun răspuns, întrucât cele două noțiuni constituie realități eterne, astfel cum scria Aristotel(33)?
31. Spre deosebire de filosof, instanțele judecătorești nu beneficiază de libertatea de gândire a acestuia și trebuie să se străduiască să dea un răspuns, chiar dacă nu este întotdeauna vorba despre răspunsul cel mai just. Prin urmare, astfel cum există cercetători care au adoptat o poziție în legătură cu eterna controversă a oului și a găinii(34), ne propunem să prezentăm o soluție pentru conflictul dintre articolele 6 și 12 din Directiva 95/46.
32. Din considerațiile prezentate la punctele 29-35 din aceste concluzii, deducem că, în Directiva 95/46, ștergerea datelor este subordonată dreptului de acces. Dispozițiile directivei conferă un drept care ia naștere odată cu realizarea sistemului de evidență și dispare odată cu ștergerea acestuia. În consecință, ștergerea datelor nu constituie decât un moment în cursul existenței dreptului de acces. Articolul 12 condiționează și justifică această caracteristică.
33. Dacă aprofundăm această reflecție, ajungem la concluzia că dreptul de acces urmărește ca persoana vizată să ia cunoștință de informații care o privesc. În plus, aprofundăm și mai mult această reflecție dacă ne întrebăm cu privire la finalitatea investigărilor acestei persoane. În numeroase cazuri, titularul dreptului dorește să verifice legalitatea prelucrării datelor care îl privesc. Directiva 95/46 impune operatorilor responsabili de prelucrarea datelor anumite principii de exercitare a activităților lor, însă în același timp își concentrează eforturile pe mecanismele de protecție, printre care figurează dreptul de acces, ca mijloace care permit persoanei vizate să vegheze la respectarea legii și să determine respectarea ei.
34. Astfel, articolul 12, ca axă centrală a sistemului de garanții instituit prin Directiva 95/46, ar fi lipsit de logică în cazul în care posesorii unor date referitoare la terți nu ar fi supuși niciunei reguli. Astfel cum Comisia a arătat în mod întemeiat în ședință, dreptul de acces a fost instituit tocmai datorită faptului că există principii referitoare la prelucrarea datelor (articolul 6)(35), acest drept fiind un pilon fundamental al acestei directive, astfel cum rezultă de la articolul 12 din aceasta, care folosește expresia „fără constrângere”(36). Având în vedere caracterul protector al Directivei 95/46, care se concentrează pe apărarea persoanelor vizate, devine evident că obligația referitoare la păstrarea datelor este auxiliară în raport cu dreptul de acces. Puternica înclinație subiectivă a directivei și obiectivul acesteia de protecție a drepturilor fundamentale (în speță, dreptul la protecția vieții private), întăresc această idee și plasează interesele care stau la baza articolului 6 la un nivel normativ inferior.
35. Acest argument este confirmat de structura articolului 8 din Carta drepturilor fundamentale a Uniunii Europene, a cărei valoare interpretativă este neîndoielnică(37) și în care dreptul de acces este abordat la alineatul (1). Apoi, alineatul (2) al acestui articol enumeră principiile referitoare la prelucrarea datelor, însă în temeiul unei ordini ierarhice în care dreptul persoanei vizate este prioritar în raport cu responsabilitățile utilizatorului datelor.
36. Având drept premisă această perspectivă și atrăgând Curții atenția asupra dimensiunii subiective a Directivei 95/46, în cadrul căreia articolul 12 prezintă o autoritate specială în raport cu articolul 6, vom examina în continuare întrebarea formulată de Raad van State.
VII – Datele cu caracter personal și datele referitoare la prelucrare
37. În conformitate cu cele arătate la punctele 16 și 17 din prezentele concluzii, trebuie să fie examinate separat două ipoteze, a căror aplicare depinde de împrejurările din fiecare caz în parte, analizând legalitatea termenului, pe de o parte, atunci când este mai scurt decât cel prevăzut pentru datele principale și, pe de altă parte, atunci când termenul prevăzut pentru accesul la datele referitoare la prelucrare este identic cu cel referitor la datele principale. În prima ipoteză, trebuie să se stabilească dacă directiva admite această separație între tipurile de acces, întemeiată pe natura datelor solicitate. În a doua ipoteză, se ridică problema posibilității accesului la date după ștergerea acestora.
38. În vederea soluționării riguroase a întrebării formulate de Raad van State, este absolut necesar să se stabilească în prealabil dacă termenele de ștergere trebuie să se aplice în mod colectiv în privința tuturor datelor, inclusiv în privința celor referitoare la prelucrare, sau dacă se poate efectua o diferențiere în funcție de tipurile de informații personale. Este o divergență esențială care derivă din obiectivele urmărite de fiecare categorie de informație.
39. Guvernul elen, precum și guvernul ceh au subliniat în ședință că fiecare categorie de date urmărește obiective diferite. În continuare, este necesar să se explice avantajele și inconvenientele acestui raționament, precum și consecințele sale asupra cauzei de față.
40. Ștergerea datelor cu caracter personal urmărește protejarea persoanei vizate întrucât, prin ștergerea informațiilor, dispare orice risc de prelucrare ilegală. Împrejurarea că prin articolul 6 din Directiva 95/46 nu se stabilește un termen are o anumită logică, întrucât fiecare sistem de evidență servește propriilor obiective, iar, potrivit principiului subsidiarității, legiuitorul național se găsește în cea mai bună poziție pentru a decide timpul de care dispun operatorii înainte de ștergerea datelor. Cu toate acestea, ștergerea datelor referitoare la prelucrare răspunde unor obiective diferite, întrucât nu protejează persoana vizată, aceasta pierzând urma informațiilor fără a putea exercita dreptul de acces, deoarece datele pertinente nu se mai află în posesia operatorului. Această ștergere a datelor este în beneficiul terților care au primit datele, ale căror identitate și intenții sunt de asemenea șterse.
41. Această abordare pune accentul pe dificultățile conceptuale latente în prezenta cauză. Este evident că se poate realiza o diferențiere între ștergerea datelor și ștergerea datelor referitoare la prelucrare(38). Drepturile afectate sunt diferite, la fel cum sunt diferite funcțiile autonome, în conformitate cu Directiva 95/46. Însă un asemenea raționament, dacă este împins la extrem, presupune consecințe nedorite. În primul rând, inegalitatea dintre cele două categorii de date este lipsită de temei textual în Directiva 95/46, întrucât articolul 6 se referă la ștergerea datelor in totum, pe când articolul 12 enumeră diferitele categorii de informații pentru a‑i da dreptului de acces un conținut, iar nu dintr‑un obiectiv de diferențiere(39). În al doilea rând, în cadrul unei interpretări largi, dreptul de acces este conceput pentru a fi exercitat „fără constrângere”. Astfel cum vom arăta mai jos, este posibil să se delimiteze gradul de protecție a acestui drept în funcție de împrejurări, însă modul de redactare a articolului 12 exclude existența unor drepturi de acces de prima mână sau de a doua mână. În al treilea rând, astfel cum au subliniat Comisia, Regatul Spaniei și Regatul Unit în ședință, cele două categorii de date fac parte dintr‑o unitate tehnologică, sunt în mod obișnuit prelucrate în aceleași sisteme de evidență, iar gestionarea lor comună nu implică o sarcină foarte importantă pentru operatori.
42. Prin urmare, respingem teoria potrivit căreia datele referitoare la prelucrare ar avea o existență și un regim juridic proprii. Informațiile referitoare la prelucrare au legătură cu datele cu caracter personal care fac obiectul prelucrării, întrucât explică modul și condițiile manipulării lor, ceea ce ne determină să apărăm ideea potrivit căreia aceste date constituie o parte esențială a definiției comunitare a noțiunii „date”, în sensul articolului 2 litera (a) din Directiva 95/46. Pentru a da un răspuns util instanței de trimitere, trebuie ca această afirmație să fie nuanțată în lumina celor două ipoteze pe care le‑am evocat la punctele 16 și 17 din prezentele concluzii.
VIII – Prima ipoteză: termen mai scurt de ștergere a datelor privind prelucrarea
43. Întrebarea adresată de Raad van State pare să se refere la această ipoteză: legislația olandeză prevede un termen de păstrare mai lung pentru datele cu caracter personal, însă stabilește un termen mai scurt, de un an, pentru ștergerea datelor referitoare la prelucrare. Cu toate acestea, prin decizia de trimitere nu se dau detalii cu privire la datele în discuție în acțiunea principală și, în consecință, ne asumăm riscul de a avansa acest prim răspuns luând în considerare ipoteza menționată.
44. Pentru motivele expuse la punctele 37 și 42 din prezentele concluzii, considerăm că Directiva 95/46 nu a consacrat o distincție între datele cu caracter personal și datele referitoare la prelucrare. Conștienți de problemele de stocare pe care le‑ar implica acceptarea acestei abordări, considerăm că termenul de ștergere prevăzut la articolul 6 din Directiva 95/46 este același pentru ambele categorii de date. Deși obiectivul ștergerii este diferit în funcție de categoria de date, ne este dificil să concepem regimuri diferite, întemeiate pe o separare atât de artificială, cu atât mai mult, cu cât în discuție este un drept fundamental.
45. Astfel cum am arătat la punctele 29-35 din prezentele concluzii, textul directivei acordă prioritate dreptului de acces, căruia îi sunt subordonate obligațiile de ștergere. Pentru îndeplinirea acestui obiectiv, atât datele cu caracter personal, cât și datele referitoare la prelucrare sunt mai bine protejate dacă sunt păstrate pentru o perioadă identică.
46. Durata de păstrare apare ca fiind lungă în anumite cazuri, însă este justificată de interesul general, care poate de asemenea să fie invocat pentru prelungirea duratei de viață a datelor referitoare la prelucrare. Atunci când păstrarea devine excesiv de lungă ca urmare a utilizării unor sisteme de evidență în scopuri istorice, statistice sau științifice, Directiva 95/46 impune statelor membre obligația de a adopta măsuri specifice care adaptează folosirea acestor sisteme de evidență la împrejurările care justifică păstrarea prelungită a acestora(40). Prin urmare, este necesar să se stabilească alte măsuri care să garanteze că persoanele vizate sunt protejate, dar care să fie adaptate utilizărilor în scopuri istorice sau culturale prevăzute la articolul 6 litera (e) din Directiva 95/46.
47. În plus, astfel cum semnalează Colegiul în observațiile scrise, pe care le‑a confirmat în ședință, există alte restricții ale acestei obligații de păstrare a datelor referitoare la prelucrare pentru o durată identică cu cea aplicabilă datelor cu caracter personal. Exemplul prezentat de Colegiu îl considerăm decisiv, întrucât se referă la protecția informațiilor cu privire la terți care, la rândul lor, beneficiază de protecția oferită de Directiva 95/46, ceea ce nu presupune că persoana vizată inițial de informațiile transferate trebuie privată în totalitate de drepturile sale. Această restricție implică, exclusiv în ceea ce privește datele cu caracter personal ale terților, că persoana vizată inițial este supusă acelorași limitări ca orice alt destinatar, în sensul Directivei 95/46.
48. Prin urmare, dacă datele cu caracter personal și datele referitoare la prelucrare sunt supuse unui termen de ștergere comun, nu este necesar să se aprecieze proporționalitatea termenului de un an prevăzut de legislația olandeză. Dacă durata de păstrare a datelor cu caracter personal este mai lungă decât aceea a datelor referitoare la prelucrare, răspunsul la întrebarea preliminară s‑ar termina în acest stadiu.
49. În cazul în care contextul normativ al cauzei ar fi diferit, soluția dată trimiterii preliminare ar fi de asemenea diferită, în măsura în care ar exista o coincidență între termene, iar persoana vizată ar solicita accesul la o informație ștearsă anterior cererii sale de acces.
IX – A doua ipoteză: un termen comun de ștergere pentru ambele categorii de date
A – Modul de redactare a articolului 12 din Directiva 95/46
50. Regatul Spaniei, Republica Cehă și Regatul Țărilor de Jos susțin că articolul 12 ar stabili o legătură între accesul la date și ștergerea lor prevăzută la articolul 6, având în vedere modul de redactare a articolului 12 litera (a) a doua liniuță. Prin această dispoziție, statele membre ar fi obligate să garanteze dreptul de a obține de la operator „comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor”. Din modul de redactare a acestei dispoziții ar rezulta că Directiva 95/46 limitează dreptul de acces la datele prelucrate, excluzându‑l, prin urmare, în cazul în care cererea de acces se formulează după terminarea prelucrării, cu alte cuvinte după ștergerea acestor date. Această interpretare ar fi susținută de compararea diferitelor versiuni lingvistice, care variază în ceea ce privește intensitatea cu care se referă la caracterul temporar sau fix al dreptului de acces.
51. Acest argument nu este convingător întrucât, chiar dacă versiunea engleză se referă la date „undergoing processing”(41), versiunea spaniolă („datos objeto de los tratamientos”) conține o nuanță mai ambiguă. Recunoaștem că o interpretare strictă a acestei dispoziții ar fi mai coerentă cu obligația de ștergere consacrată la articolul 6. Cu toate acestea, nu credem că o confruntare a versiunilor lingvistice conduce la o concluzie determinantă, cu atât mai mult cu cât există motive, pe care le vom expune în continuare, pentru a face abstracție de interpretarea gramaticală a articolului 12(42).
52. Nu achiesăm nici la poziția exprimată de Regatul Spaniei, potrivit căreia ar trebui să existe încă o excepție de la articolul 12, în plus față de cele prevăzute la articolul 13 din Directiva 95/46(43). După ce a admis că accesul la datele în curs de prelucrare ar fi restrâns, guvernul spaniol consideră că o restricție cu caracter tacit, al cărei conținut rezultă din obligația menționată anterior și prevăzută la articolul 6 din Directiva 95/46, s‑ar adăuga la cele prevăzute la articolul 13 din aceasta. O asemenea explicație nu ne convinge și fundamentează în mod semnificativ teza pe care pretinde să o combată: dacă articolul 13 cuprinde excepțiile de la un drept de acces larg, acestea trebuie să facă obiectul unei interpretări stricte. Întrucât o excepție „generoasă” de la aceste restricții nu este acceptabilă, ar fi cu atât mai intolerabil să se creeze alte categorii ex novo.
53. În rezumat, modul de redactare a dispozițiilor Directivei 95/46 ne determină să respingem o apreciere simplistă a dreptului de acces. Aceste motive nu conduc la o concepție unitară a termenului, întrucât, în temeiul ierarhiei interne a Directivei 95/46, dreptul de acces primează față de obligația de ștergere. Ștergerea unui sistem de evidență constituie, așadar, o limită a accesului care nu este legală decât cu condiția respectării anumitor garanții. Cu alte cuvinte, este posibil să se condiționeze exercitarea dreptului de acces (de exemplu, prin stabilirea unui termen) în măsura în care persoana vizată este protejată prin alte mijloace. Dacă nu s‑ar întâmpla astfel, ar exista termene de ștergere a datelor care s‑ar dovedi nelegale, întrucât ar paraliza dreptul de acces, ceea ce nu înseamnă totuși că este necesar să se efectueze o diferențiere între informații, iar operatorii să fie obligați să păstreze pentru totdeauna datele referitoare la prelucrare. Dimpotrivă, aceasta presupune că termenul de ștergere a datelor trebuie să fie prelungit în așa fel încât accesul să fie garantat.
54. În consecință, considerăm că și termenul de ștergere constituie o restricție a dreptului prevăzut la articolul 12 din Directiva 95/46. Totuși, acest termen încalcă directiva atunci când împiedică în mod excesiv atingerea obiectivelor pe care aceasta le urmărește.
B – O excepție de la regulă: informarea persoanei vizate
55. Pentru motivele arătate mai sus, considerăm că termenul de ștergere a datelor constituie o restricție a exercitării dreptului de acces, deși există împrejurări în care se creează o discrepanță între termenele referitoare la ștergere și la acces. Prin folosirea termenului „discrepanță”, ne referim la posibilitatea ca durata să fie proporțională pentru ștergere și disproporțională pentru acces sau viceversa. Suntem conștienți cu privire la complicațiile practice care rezultă din această abordare, însă o asemenea consecință se poate produce într‑un context foarte particular, atunci când persoana vizată nu a fost informată în mod suficient cu privire la drepturile sale.
56. O asemenea consecință se produce dacă, astfel cum au susținut Republica Elenă și Comisia, se identifică un deficit de informare care produce un prejudiciu persoanei vizate. Pentru a explica acest aspect, trebuie amintit că articolele 10 și 11 din Directiva 95/46 prevăd obligația de a‑i notifica persoanei vizate și de a‑i solicita acesteia o serie de informații și/sau autorizații, printre care figurează informațiile referitoare la comunicarea de date către terți. Această obligație este formulată în termeni vagi, care lasă o mare libertate de apreciere fiecărui stat membru. Modul în care fiecare ordine juridică națională configurează aceste obligații condiționează răspunsul într‑o cauză precum cea de față. Nimic nu se opune ca o persoană care nu a fost informată, anterior comunicării, cu privire la identitatea destinatarului datelor sau la termenele de exercitare a dreptului de acces să beneficieze de un grad ridicat de protecție(44). Acest corolar respectă caracterul prioritar pe care directiva îl atribuie dreptului subiectiv al persoanei vizate, a cărui limitare trebuie să se efectueze în așa fel încât, odată realizată ștergerea datelor, exercitarea sa să fie garantată.
57. În anumite cazuri, dacă se aplică această teorie, procesul se soluționează printr‑o hotărâre imposibil de executat. În cazul în care Colegiul a distrus din oficiu toate datele referitoare la domnul Rijkeboer anterioare anului precedent, contestația acestuia ar putea să nu aibă niciun rezultat. Este evident că administrația locală din Rotterdam nu este în măsură să dea ceva ce nu mai posedă. Este posibil ca acest inconvenient să afecteze și alte ordini juridice naționale, deși numai pentru o perioadă limitată, care corespunde duratei necesare adaptării legislației neconforme la dreptul comunitar. Însă, în acest interval, persoana afectată continuă să aibă la dispoziție o altă cale de atac, aceea referitoare la răspunderea patrimonială a statului pentru nerespectarea obligațiilor comunitare. În cazul inexistenței unei executări care să satisfacă pe deplin particularul, aceste norme permit cel puțin o despăgubire pecuniară, a cărei recunoaștere cade în sarcina instanțelor naționale(45).
58. În definitiv, pentru a folosi o expresie americană, prezenta cauză trebuie soluționată păstrând un „hard look” asupra proporționalității(46), în situația în care Raad van State constată existența unui deficit de informare în cauza principală. În această ipoteză, este indispensabil ca termenul de ștergere a datelor să nu opereze în mod automat ca barieră în calea dreptului de acces. Controlul proporționalității trebuie să fie efectuat la gradul de protecție maximă al acestuia, ceea ce ar face dificilă acceptarea unui termen atât de scurt ca acela de un an.
59. În aceste împrejurări, ne alăturăm acelora care concep ștergerea datelor și accesul la acestea ca elemente ale uneia și aceleiași realități, care sunt, așadar, unite la nivelul configurației termenelor lor. Ștergerea datelor prevăzută la articolul 6 din Directiva 95/46 privește toate informațiile, inclusiv pe acelea referitoare la comunicarea către terți. În consecință, limita temporală pentru ștergere funcționează, în mod indirect, și ca termen pentru determinarea duratei dreptului de acces. Faptul de a proceda la o diferențiere între categoriile de date din perspectiva accesului ar presupune să se creeze o diferență care nu există în Directiva 95/46 și care, în plus, nu prezintă o eficacitate practică evidentă(47).
60. Sunt posibile excepții de la această teză, în situația în care există un deficit de transparență cu ocazia informării persoanei afectate cu privire la drepturile pe care le are. În această situație, termenul de ștergere a datelor trebuie să fie prelungit în vederea protejării dreptului de acces.
C – Termenul de un an și principiul proporționalității
61. Legislația olandeză prevede un regim specific pentru prelucrarea datelor cu caracter personal realizată de administrațiile locale, din care iese în evidență, în ceea ce privește problema care ne preocupă în acest caz, termenul general de un an pentru ștergerea datelor. Am expus deja motivele pentru care această perioadă trebuie să fie examinată atât în conformitate cu articolul 6, cât și cu articolul 12 din Directiva 95/46. În această etapă, trebuie să se analizeze dacă acest termen este compatibil cu principiul proporționalității, a cărui aplicabilitate constituie o condiție ce rezultă din articolele menționate, întrucât ambele conferă sens unui drept fundamental.
62. Guvernele Regatului Unit, spaniol și ceh au consacrat tot efortul lor pentru justificarea dificultăților pe care le prezintă garantarea dreptului de acces în cazul în care datele au fost șterse. Tocmai de aceea, ele nu au acordat o atenție specială termenului în discuție. În schimb, în observațiile lor, guvernul elen și Colegiul se referă la implicațiile pe care le are termenul prevăzut de legislația olandeză, din perspectiva Directivei 95/46 și a principiului proporționalității. În opinia Republicii Elene și a Comisiei, această durată se dovedește a fi excesiv de scurtă și, în consecință, incompatibilă cu ordinea juridică comunitară. Colegiul militează în favoarea legalității termenului invocând particularitățile sistemului olandez, care ar compensa caracterul scurt al termenului cu alte prevederi care urmăresc protejarea persoanei vizate.
63. Înainte de examinarea caracterului proporțional al termenului național, trebuie amintite anumite principii, întrucât Curtea, cu alte ocazii, a examinat termene asemănătoare. Jurisprudența ne dezvăluie o abordare variabilă, care depinde de contextul fiecărei cauze, întrucât Curtea exercită un control mai mult sau mai puțin intens în funcție de împrejurările proprii fiecărei cauze(48). În cazul unei eventuale atingeri aduse drepturilor fundamentale, examinarea termenului pentru exercitarea acestor drepturi trebuie să fie efectuată în mod scrupulos(49). Totuși, acest control depinde de mai mulți factori.
64. Astfel cum am precizat la punctele 55-60 din prezentele concluzii, trebuie să se examineze nivelul de informare de care beneficiază persoana vizată pe timpul prelucrării datelor. În această privință, pot fi menționate următoarele criterii.
65. Potrivit articolelor 10 și 11 din directivă, persoana vizată are dreptul de a‑i fi comunicate o serie de informații, printre care identitatea „destinatari[lor] sau categoriile de destinatari ai datelor […] în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor […]”. Cele două articole fac o distincție între informațiile colectate de la persoana vizată însăși și acelea care au altă origine, chiar dacă, în ambele ipoteze, trebuie să fie furnizate informații cu privire la comunicarea datelor către terți.
66. Legiuitorul național dispune de o libertate de apreciere largă în ceea ce privește punerea în practică a obligațiilor prevăzute la articolele 10 și 11 din Directiva 95/46, însă aceste dispoziții au ca scop informarea persoanei interesate cu privire la faptul că datele care îl privesc au fost comunicate, pentru a‑i da posibilitatea, în cazul în care dorește, să aibă acces la prelucrarea datelor și să controleze conformitatea acesteia cu principiile de la articolul 6 din directiva menționată. Cu toate acestea, informațiile variază în funcție de context, instanța de trimitere având sarcina de a verifica dacă ordinea juridică olandeză, precum și practica corespunzătoare a administrației locale respectă dispozițiile articolelor 10 și 11 din directivă. Trebuie să se examineze dacă domnul Rijkeboer a fost înștiințat cu privire la comunicarea datelor și dacă a fost informat asupra perioadei de un an de care dispunea pentru valorificarea dreptului său de acces. Statele membre nu sunt obligate să notifice termenul, întrucât articolele 10 și 11 nu prevăd această obligație(50). Totuși, în contextul aprecierii duratei sale, este foarte important să se verifice dacă persoana vizată a fost informată cu privire la acest termen. În cazul în care nu a fost informată, este dificil să se admită că o perioadă atât de scurtă de un an este, în lipsa unor explicații suplimentare din partea operatorului, conformă cu principiul proporționalității și, prin urmare, cu Directiva 95/46.
67. De asemenea, natura informațiilor comunicate prezintă o importanță deosebită întrucât, astfel cum se recunoaște prin directivă, datele care trebuie să fie comunicate pot să includă identitatea destinatarilor, cât și „categoriile de destinatari”. Această a doua opțiune presupune că listele furnizate nu indică întotdeauna cine a avut acces la sistemele de evidență, iar persoana vizată se regăsește, așadar, într‑o situație defavorabilă în cadrul exercitării dreptului de acces. Instanța națională este cea care are sarcina de a determina în ce măsură și în ce termeni operatorii l‑au informat pe domnul Rijkeboer cu privire la destinatarii datelor comunicate. În cadrul acestei examinări, controlul referitor la termen trebuie să fie aprofundat atunci când identitatea terților nu a fost furnizată, întrucât persoana vizată poate avea temerea că prelucrarea nu a fost realizată potrivit principiilor articolului 6 din directivă.
68. În sfârșit, ar trebui stabilite câteva reguli în ceea ce privește sarcina probei. Domnul Rijkeboer, în calitate de titular al unui drept fundamental, a trebuit să recurgă la acțiunea în justiție pentru a afla modul de prelucrare a datelor sale personale(51). Conformitatea cu Directiva 95/46 depinde de o serie de factori care variază în funcție de împrejurări și care decurg din legea națională însăși și din practica administrației locale. Invocând dreptul său fundamental, domnul Rijkeboer este obligat să utilizeze acțiunea în justiție, însă nu ar trebui să fie obligat să dovedească neregulile ordinii juridice a propriei țări în acest domeniu, întrucât modul de redactare a Directivei 95/46 incită la a considera, astfel cum am arătat la punctele 29-35 din prezentele concluzii, că dreptul de acces prezintă un caracter prioritar, iar orice excepție trebuie să fie examinată cu foarte multă prudență. Astfel, având în vedere dimensiunea subiectivă a normelor comunitare referitoare la protecția datelor, operatorul acestor date are sarcina de a dovedi că practica administrativă și cadrul juridic al prelucrării datelor oferă garanții care justifică un termen atât de scurt precum acela de un an pentru exercitarea dreptului prevăzut la articolul 12 din Directiva 95/46.
69. În observațiile prezentate în cadrul prezentei proceduri preliminare, Colegiul a furnizat câteva indicii în această privință. Legislația națională instituie un sistem adecvat de control („checks and balances”, potrivit terminologiei utilizate de Colegiu) care armonizează dreptul de acces prevăzând anumite garanții, precum limitarea destinatarilor, urmărirea în cazuri specifice a unor obiective particulare, autorizarea prealabilă a persoanei vizate sau un mecanism de control pus în aplicare de o autoritate independentă. În plus, în conformitate cu susținerile Colegiului, persoana vizată este informată cu privire la termenul de un an, atât personal, cât și în mod colectiv (pe internet și prin intermediul unor avize destinate locuitorilor)(52).
70. Suntem conștienți de repercusiunile pe care prezenta cauză poate să le aibă pentru operatorii sistemelor de evidență care intră în domeniul de aplicare al Directivei 95/46. Cu toate acestea, caracterul prioritar al protecției persoanei ne determină să conciliem apărarea drepturilor acesteia cu gestionarea eficace a sistemelor de evidență. În consecință, articolele 6 și 12 din Directiva 95/46 ar trebui să fie interpretate în sensul că sunt incompatibile cu termenul de un an prevăzut pentru exercitarea dreptului de acces la datele referitoare la prelucrare dacă:
– persoana vizată nu a fost informată cu privire la comunicarea datelor care o privesc;
– sau, deși a fost informată în acest sens, nu a fost informată cu privire la durata termenului;
– sau, deși a fost informată în acest sens, nu i‑au fost furnizate suficiente detalii cu privire la identitatea destinatarilor.
71. Întrucât în discuție este un drept fundamental, Colegiul trebuie să dovedească faptul că normele naționale și practica administrativă garantează un nivel adecvat de informare a persoanei vizate, care îi permite să își exercite dreptul de acces fără constrângere.
72. Raad van State are sarcina ca, în lumina criteriilor prezentate și a elementelor de drept și de fapt expuse atât în cadrul prezentei proceduri preliminare, cât și în cadrul acțiunii principale, să aplice articolele 6 și 12 din Directiva 95/46 în conformitate cu cele indicate de noi la punctele 70 și 71 din prezentele concluzii.
X – Concluzie
73. Având în vedere considerațiile care precedă, propunem Curții să răspundă la întrebarea preliminară adresată de Raad van State după cum urmează:
„Informațiile referitoare la prelucrarea datelor, inclusiv cele care se referă la comunicarea acestora către terți, sunt date cu caracter personal, în sensul articolului 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. În vederea garantării efectului util al Directivei 95/46, termenul de ștergere aplicabil datelor referitoare la prelucrare este identic cu cel prevăzut pentru datele cu caracter personal, fără a se aduce atingere drepturilor și obligațiilor pe care directiva respectivă le conferă terților cărora le‑au fost comunicate datele.
Articolele 6 și 12 din Directiva 95/46 sunt incompatibile cu termenul de un an prevăzut pentru exercitarea dreptului de acces la datele referitoare la prelucrare dacă:
– persoana vizată nu a fost informată cu privire la comunicarea datelor care o privesc;
– sau, deși a fost informată în acest sens, nu a fost informată cu privire la durata termenului;
– sau, deși a fost informată în acest sens, nu i‑au fost furnizate suficiente detalii cu privire la identitatea destinatarilor.
Operatorul are obligația să dovedească faptul că normele naționale și practica administrativă garantează un nivel adecvat de informare a persoanei interesate, care îi permite să își exercite dreptul de acces fără constrângere.”