CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:158

CONCLUZIILE AVOCATULUI GENERAL

DOMNUL MACIEJ SZPUNAR

prezentate la 4 martie 2020(1)

Cauza C‑61/19

Orange România SA

împotriva

Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

[cerere de decizie preliminară formulată de Tribunalul București (România)]

„Trimitere preliminară – Directiva 95/46/CE – Regulamentul (UE) 2016/679 – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date – Servicii de telecomunicații mobile – Noțiunea de consimțământ al persoanei vizate – Manifestare de voință specifică și informată – Declarație de consimțământ prin bifarea unei căsuțe – Sarcina probei”

1. Prezenta cerere de decizie preliminară formulată de Tribunalul București (România) își are originea într‑un litigiu între un prestator de servicii de telecomunicații și o autoritate națională de protecție a datelor cu privire la obligațiile primului în cadrul negocierilor contractuale cu un client referitor la copierea și la stocarea copiei unui act de identitate.

2. Trimiterea va oferi Curții ocazia de a clarifica mai mult noțiunea de „consimțământ” al persoanei vizate, caracteristică centrală a dreptului Uniunii în domeniul protecției datelor, care își are, în definitiv, originea în dreptul fundamental la protecția datelor. În această privință, Curtea ar trebui de asemenea să abordeze problema sarcinii probei împrejurării dacă persoana vizată și‑a exprimat sau nu consimțământul.

Cadrul juridic

Dreptul Uniunii

Directiva 95/46/CE

3. Potrivit articolului 2 litera (h) din Directiva 95/46/CE(2), în sensul acestei directive, „«consimțământul persoanei vizate» înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc”.

4. Capitolul II din această directivă privește condițiile generale de legalitate a prelucrării datelor cu caracter personal.

5. Articolul 6 din aceeași directivă, cu privire la „principii referitoare la calitatea datelor”(3), are următorul cuprins:

„(1) Statele membre stabilesc că datele cu caracter personal trebuie să fie:

(a) prelucrate în mod corect și legal;

(b) colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într‑un mod incompatibil cu aceste scopuri. Prelucrarea ulterioară a datelor în scopuri istorice, statistice sau științifice nu este considerată incompatibilă atât timp cât statele membre prevăd garanții corespunzătoare;

[…]

(2) Operatorul are obligația să asigure respectarea alineatului (1).”

6. Articolul 7 din Directiva 95/46 este intitulat „Criterii privind legitimitatea prelucrării datelor”(4). Potrivit acestei prevederi:

„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a) persoana vizată și‑a dat consimțământul neechivoc sau

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau în vederea luării unor măsuri, la cererea acesteia, înainte de încheierea contractului sau

[…]”

Regulamentul (UE) 2016/679

7. În conformitate cu articolul 4 punctul 11 din Regulamentul (UE) 2016/679(5), în sensul acestui regulament, „«consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”.

8. Articolul 6 alineatul (1) literele (a) și (b) din acest regulament are următorul cuprins:

„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;

[…]”

9. Articolul 7 alineatul (1) din același regulament prevede că, „[î]n cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal”.

Dreptul românesc

10. Legea nr. 677 din 21 noiembrie 2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (denumită în continuare „Legea nr. 677/2001”)(6) transpune prevederile Directivei 95/46 în dreptul național.

11. Articolul 32 din această lege are următorul cuprins:

„Prelucrarea datelor cu caracter personal de către un operator sau de o persoană împuternicită de acesta, cu încălcarea prevederilor articolelor 4-10 sau cu nesocotirea drepturilor prevăzute la articolele 12-15 sau la articolul 17, constituie contravenție, dacă nu este săvârșită în astfel de condiții încât să constituie infracțiune, și se sancționează cu amendă de la 10 000 000 lei [1 000 lei românești (RON)] la 250 000 000 lei [25 000 RON].”

Situația de fapt, procedura și întrebările preliminare

12. Orange România SA este un furnizor de servicii de telecomunicații mobile de pe piața românească și prestează servicii fie în sistem „PrePay”(7), fie prin încheierea unor contracte de furnizare a serviciilor(8).

13. La 28 martie 2018, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (România) (denumită în continuare „ANSPDCP”) a întocmit, în temeiul articolului 32 din Legea nr. 677/2001 coroborat cu articolul 8 din această lege, un proces‑verbal care conținea o sancțiune administrativă aplicată societății Orange România pentru motivul că stocarea și colectarea copiilor actelor de identitate ale clienților săi s‑ar fi efectuat în lipsa consimțământului expres al acestora.

14. În această privință, ANSPDCP a reținut că Orange România a încheiat contracte privind servicii de telecomunicații mobile cu clienți‑persoane fizice la punctul de lucru al acesteia, acelor contracte fiindu‑le atașate copii ale actelor de identitate ale respectivilor clienți. În cuprinsul contractelor menționate este consemnată, inter alia, împrejurarea că respectivii clienți au fost informați și și‑au exprimat consimțământul cu privire la stocarea (de către Orange România) a acestor copii, existența consimțământului clienților fiind consemnată prin bifarea unei căsuțe din cuprinsul înscrisurilor constatatoare ale contractelor.

15. Fragmentul relevant din contractele în cauză are următorul cuprins:

„Clientul declară că:

(i) a fost informat înainte de a încheia contractul despre planul tarifar ales, despre tarifele aplicabile, durata minimă a contractului, condițiile încetării acestuia și cele de obținere și utilizare a serviciilor, inclusiv aria de acoperire a serviciilor, în conformitate cu prevederile articolului 11 din Decizia ANCOM [Autoritatea Națională pentru Administrare și Reglementare în Comunicații] nr. 158/2015 și cu prevederile O.U.G. [nr.] 34/2014, precum și cu privire la dreptul de denunțare unilaterală ce poate fi exercitat conform articolului 1.17 din [Termenii și condițiile generale (în continuare «TCG»)];

(ii) Orange România a pus la dispoziția clientului toate informațiile necesare pentru a‑și exprima consimțământul neviciat, expres, liber și specific cu privire la încheierea și asumarea expresă a contractului, inclusiv toată documentația contractuală – TCG și Broșura de tarife și servicii;

(iii) a fost informat și și‑a exprimat consimțământul cu privire la:

prelucrarea datelor cu caracter personal în scopurile prevăzute la articolul 1.15 din TCG;

reținerea de copii de pe actele ce conțin date cu caracter personal cu funcție de identificare;

acord prelucrare date cu caracter personal (număr de contact, e‑mail) în scopul marketingului direct;

acord prelucrare date cu caracter personal (număr de contact, e‑mail) în scopul efectuării studiilor de piață;

am citit și îmi dau acordul expres pentru reținerea de copii ale actelor ce conțin date cu caracter personal privind starea de sănătate;

datele menționate la articolul 1.15 alineatul (10) din TCG să nu fie incluse în serviciile de informații privind abonații și registrele abonaților.”

16. Potrivit ANSPDCP, Orange România nu a dovedit că respectivii clienți au făcut o alegere informată în ceea ce privește colectarea și stocarea copiilor actelor de identitate ale acestora.

17. Orange România a contestat amenda aplicată la 28 martie 2018 la instanța de trimitere.

18. Potrivit constatărilor instanței de trimitere, există contracte în care alegerea liber exprimată de client cu privire la păstrarea unei copii a actelor sale de identitate este indicată prin bifarea unei căsuțe, precum și situații inverse în care clienții au refuzat să își dea un astfel de acord. Din „procedurile interne” de vânzări ale Orange România reiese că, în aceste din urmă situații, Orange România a introdus informațiile necesare privind refuzul clientului de a păstra o copie a actului de identitate prin completarea unui formular specific în acest scop și a încheiat ulterior contractul. Astfel, în pofida indicațiilor cuprinse în Termenii și condițiile generale ale Orange România, această societate nu a refuzat să încheie contracte de abonament cu clienții, chiar și atunci când aceștia refuzau să consimtă la reținerea unei copii a actului lor de identitate.

19. Instanța de trimitere consideră că, în aceste condiții, are o deosebită importanță soluția Curții cu privire la criteriile care permit să se stabilească dacă consimțământul este „specific” și „informat” și, dacă este cazul, cu privire la valoarea probatorie a semnării unor contracte precum cele în discuție în litigiul principal.

20. În aceste condiții, prin decizia din 14 noiembrie 2018, primită de Curte la 29 ianuarie 2019, Tribunalul București a adresat următoarele întrebări preliminare:

„1) În sensul articolului [2] litera (h) din [Directiva 95/46], care sunt condițiile care trebuie să fie îndeplinite pentru a se putea considera că o manifestare de voință este una specifică și informată?

2) În sensul articolului 2 litera (h) din [Directiva 95/46], care sunt condițiile care trebuie să fie îndeplinite pentru a se putea considera că o manifestare de voință este una liber exprimată?”

21. Părțile din litigiul principal, guvernele român, italian, austriac și portughez, precum și Comisia Europeană au depus observații scrise. Orange România, guvernul român și Comisia Europeană au fost reprezentate la ședința care a avut loc la 11 decembrie 2019.

Apreciere

22. În prezenta cauză, se solicită Curții să precizeze condițiile în care consimțământul pentru prelucrarea datelor cu caracter personal poate fi considerat valabil.

Considerații introductive

Cu privire la instrumentele juridice aplicabile

23. Regulamentul 2016/679, care a intrat în vigoare la 25 mai 2018(9), a abrogat Directiva 95/46 cu efect de la aceeași dată(10).

24. Decizia ANSPDCP în discuție în litigiul principal a fost adoptată la 28 martie 2018, dată anterioară celei la care a intrat în vigoare Regulamentul 2016/679. Cu toate acestea, nu numai că ANSPDCP a aplicat o amendă societății Orange România, dar i‑a și solicitat să distrugă copiile actelor de identitate în cauză. Litigiul principal privește și această din urmă solicitare. Solicitarea își produce efectele pentru viitor, acesta fiind motivul pentru care regulamentul respectiv pare să fie, în această măsură, aplicabil ratione temporis.

25. Prin urmare, este necesar ca la întrebarea adresată să se răspundă prin raportare atât la Directiva 95/46, cât și la Regulamentul 2016/679(11). În plus, acest regulament va trebui luat în considerare pentru analiza dispozițiilor Directivei 95/46(12).

Definirea conținutului întrebărilor preliminare

26. Cele două întrebări adresate de instanța de trimitere sunt formulate într‑un mod prea general și abstract și trebuie să fie oarecum adaptate astfel încât să se coreleze cu situația de fapt din litigiul principal, pentru a ghida instanța de trimitere și pentru a răspunde la întrebări în mod util. În acest scop, considerăm necesar să amintim pe scurt situația de fapt din litigiul principal, astfel cum rezultă din decizia de trimitere și din indicațiile furnizate de părțile din litigiu, în special în cadrul ședinței desfășurate în fața Curții.

27. Autoritatea națională de protecție a datelor în România, ANSPDCP, a sancționat Orange România pentru că a colectat și a stocat copii ale actelor de identitate ale clienților săi fără consimțământul lor. Respectiva autoritate a constatat că societatea menționată încheiase contracte pentru prestarea de servicii de telecomunicații mobile și că la acestea erau anexate copii ale unor acte de identitate. Se susține că aceste contracte stipulau că clienții fuseseră informați și își dăduseră consimțământul pentru colectarea și pentru stocarea copiilor, astfel cum demonstrează bifarea căsuțelor din dreptul clauzelor contractuale. Totuși, potrivit constatărilor ANSPDCP, Orange România nu a făcut dovada că, la momentul încheierii contractelor, clienții în cauză au făcut o alegere informată cu privire la colectarea și la stocarea acestor copii.

28. Atunci când o persoană care dorește să încheie un contract cu Orange România este consiliată de un reprezentant al acestei societăți cu privire la prevederile unui contract specific, acest reprezentant lucrează în mod normal pe calculator, cu un model de contract care conține o căsuță care poate fi bifată cu privire la păstrarea unui act de identitate. Clientul pare să fie informat că această căsuță nu este necesar să fie bifată. În cazul în care clientul nu este de acord cu fotocopierea și cu păstrarea actului de identitate, el trebuie să consemneze acest fapt pe contract și în formă olografă. Această din urmă cerință a unei mențiuni olografe pare să rezulte din procedura internă de vânzări a Orange România. În plus, clientul este informat numai verbal, nu și în scris, că are posibilitatea de a refuza.

29. În acest context, înțelegem că, prin cele două întrebări, care trebuie analizate împreună, instanța de trimitere solicită să se stabilească dacă o persoană vizată care intenționează să încheie un contract pentru prestarea de servicii de telecomunicații cu o întreprindere își dă consimțământul „specific și informat” și „liber exprimat”, în sensul articolului 2 litera (h) din Directiva 95/46 și al articolului 4 punctul 11 din Regulamentul 2016/679, întreprinderii respective atunci când trebuie să declare olograf pe un formular specific că refuză să consimtă la fotocopierea și la stocarea actelor sale de identitate.

30. În această privință, instanța de trimitere pare să aibă nevoie de orientări cu privire la sarcina probei și la nivelul probatoriu impus întreprinderii respective.

Consimțământul, condiție prealabilă pentru prelucrarea datelor cu caracter personal

31. Cauza în discuție privește prelucrarea datelor cu caracter personal cu ocazia încheierii unui contract de furnizare de servicii de telecomunicații.

32. Orice prelucrare de date cu caracter personal trebuie să respecte(13), în primul rând, principiile referitoare la calitatea datelor enunțate la articolul 6 din Directiva 95/46 sau la articolul 5 din Regulamentul 2016/679 și, în al doilea rând, unul dintre criteriile privind legitimitatea prelucrării datelor enumerate la articolul 7 din directiva menționată sau la articolul 6 din regulamentul menționat(14). După cum subliniază Comisia, cele șase criterii prevăzute la articolul 7 din Directiva 95/46 sunt de fapt expresia unui principiu mai larg prevăzut la articolul 6 alineatul (1) litera (a) din această directivă, care prevede că datele cu caracter personal trebuie să fie prelucrate în mod corect și legal.

33. Articolul 7 din Directiva 95/46 prevede o listă exhaustivă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată legală(15). Prelucrarea datelor cu caracter personal poate avea loc numai dacă se aplică cel puțin unul dintre cele șase criterii referitoare la legitimitatea prelucrării datelor. Existența consimțământului neechivoc al persoanei vizate este unul dintre aceste criterii.

Cu privire la noțiunea de consimțământ

34. Consimțământul persoanei vizate este, la rândul său, definit la articolul 2 litera (h) din Directiva 95/46 ca fiind orice manifestare de voință liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.

35. Acest mod de redactare corespunde(16) în mare parte cu conținutul articolului 4 punctul 11 din Regulamentul 2016/679, potrivit căruia consimțământul persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate(17).

36. Cerința consimțământului unei persoane vizate este o caracteristică esențială care stă la baza legislației Uniunii privind protecția datelor(18). Aceasta figurează în Carta drepturilor fundamentale a Uniunii Europene, în care se prevede, la articolul 8, că datele trebuie tratate în mod corect, în scopurile precizate și pe baza consimțământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege. Într‑un context mai larg, noțiunea de consimțământ permite persoanei vizate să decidă ea însăși cu privire la legitimitatea unor restricții privind dreptul său la protecția datelor cu caracter personal(19).

37. Criteriul de bază al legislației Uniunii privind protecția datelor cu caracter personal este cel al unei decizii independente a unei persoane care este capabilă să ia decizii cu privire la utilizarea și la prelucrarea datelor sale(20). Cerința consimțământului este cea care îi permite să facă această alegere și care, în același timp, îl protejează în situații care sunt prin natura lor asimetrice(21). Numai atunci când este liber, specific și informat, consimțământul îndeplinește cerințele stabilite de Directiva 95/46 și de Regulamentul 2016/679.

38. În acest stadiu, trebuie formulate trei scurte observații cu privire la aparenta diferență de redactare a acestor dispoziții.

39. În primul rând, spre deosebire de articolul 2 litera (h) din Directiva 95/46, articolul 4 punctul 11 din Regulamentul 2016/679 face referire la o manifestare de voință „lipsită de ambiguitate”. Considerăm că motivul este mai degrabă unul simplu: articolul 7 litera (a) din directivă referitor la criteriile privind legitimitatea prelucrării datelor, deja menționat mai sus, impune ca persoana vizată să își dea în mod „neechivoc” consimțământul, în timp ce dispoziția corespunzătoare din Regulamentul 2016/679, respectiv articolul 6 alineatul (1) litera (a), nu conține o astfel de mențiune. Cu alte cuvinte, acest criteriu al manifestării lipsite de ambiguitate a fost pur și simplu mutat la dispoziția mai generală a Regulamentului 2016/679.

40. În al doilea rând, articolul 4 punctul 11 din Regulamentul 2016/679 precizează că persoana vizată se manifestă „printr‑o declarație sau printr‑o acțiune fără echivoc”. Această precizare este, desigur, nouă în raport cu regulamentul menționat și nu își găsește corespondentul semantic în Directiva 95/46.

41. În al treilea rând, în ceea ce privește caracterul „informat” al consimțământului persoanei vizate, versiunea în limba franceză a Directivei 95/46 diferă de cea în limba franceză a Regulamentului 2016/679. Astfel, în timp ce articolul 2 litera (h) din directiva menționată se referă la o „manifestation de volonté […] informée”, articolul 4 punctul 11 din acest regulament se referă la o „manifestation de volonté […] eclairée”.

42. Considerăm că această schimbare a formulării creează mai degrabă confuzie decât claritate, întrucât, din câte putem observa, versiunea în limba franceză este singura sau cel puțin una dintre puținele versiuni lingvistice care face această distincție. Astfel, mai multe versiuni lingvistice, printre care figurează în mod întâmplător celelalte limbi romanice, utilizează pur și simplu aceiași termeni pentru a defini această noțiune(22), în timp ce alte versiuni lingvistice pot diferi ușor cu privire la acest aspect, fără a ajunge însă la diferența din versiunea în limba franceză(23).

43. Vom reveni mai jos asupra noțiunii de consimțământ „informat”.

Consimțământul liber

44. Cerința unei „manifestări” a persoanei vizate indică în mod clar un comportament activ, iar nu unul pasiv(24), și impune ca persoana vizată să se bucure de un grad mare de autonomie atunci când alege să își dea sau nu consimțământul(25). În ceea ce privește situația specifică a unui joc de noroc online, Curtea a stabilit că un consimțământ dat prin intermediul unei căsuțe bifate în prealabil nu presupune un comportament activ din partea utilizatorului unui site internet(26).

45. În opinia noastră, o asemenea constatare este aplicabilă în mod similar în lumea reală: consimțământul exprimat prin intermediul unei căsuțe bifate în prealabil nu presupune un comportament activ din partea persoanei care are de‑a face cu un document fizic pe care acesta îl semnează în cele din urmă. Astfel, într‑o asemenea situație, nu se știe dacă textul standard în discuție a fost citit și analizat. Situația nu este lipsită de ambiguitate. Poate că textul a fost sau nu a fost citit. Ar fi posibil ca „cititorul” să fi omis să facă acest lucru din pură neglijență, astfel încât este imposibil să se determine cu claritate dacă consimțământul a fost dat în mod liber(27).

Consimțământul informat

46. Nu trebuie să existe nicio îndoială că persoana vizată a fost suficient informată(28).

47. Persoana vizată trebuie să fie informată cu privire la toate împrejurările legate de prelucrarea datelor și la consecințele acesteia. Aceasta trebuie să cunoască în special ce date urmează să fie prelucrate, durata acestei prelucrări, în ce mod și cu ce scop precis. Ea trebuie de asemenea să cunoască cine prelucrează datele și dacă acestea sunt destinate să fie transferate către terți. Este esențial ca persoana să fie informată cu privire la consecințele refuzului acordării consimțământului: consimțământul dat pentru prelucrarea datelor este o condiție pentru încheierea contractului sau nu?(29)

Cu privire la sarcina probei

48. Astfel, mai rămâne să se stabilească cine trebuie să demonstreze că o persoană vizată se afla într‑o situație care îi permitea să își dea consimțământul pe baza criteriilor stabilite anterior.

49. Articolul 7 alineatul (1) din Regulamentul 2016/679 este clar și nu lasă loc de îndoială: în cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal(30). Această dispoziție reprezintă o expresie a principiului responsabilității operatorului prevăzut la articolul 5 alineatul (2) din Regulamentul 2016/679. Considerăm că finalitatea acestei prevederi necesită o interpretare extensivă în sensul că operatorul trebuie nu numai să dovedească faptul că persoana vizată și‑a dat consimțământul, ci și să demonstreze că sunt îndeplinite toate condițiile de efectivitate(31).

50. Unii autori se îndoiesc de faptul că articolul 7 alineatul (1) din Regulamentul 2016/679 se referă la sarcina probei și aduc ca argument istoricul legislativ al regulamentului respectiv(32). Se susține că, deși atât Comisia, cât și Parlamentul au propus o formulare care se referea în mod expres la „sarcina probei”, o astfel de formulare nu se regăsește în textul adoptat și, prin urmare, nici în legislația actuală.

51. Această afirmație necesită o analiză mai aprofundată.

52. Într‑adevăr, prima propunere a Comisiei evocă(33) „sarcina probei” ce revine operatorului. În aceeași linie, Parlamentul nu a contestat această formulare în primă lectură(34). Consiliul(35) este cel care a înlocuit termenii „sarcina probei” cu termenii „trebuie să fie în măsură să demonstreze” cu privire la operator. Ulterior, textul definitiv a fost adoptat în această formă.

53. Nu vom acorda o importanță prea mare acestei schimbări a modului de redactare.(36) Consiliul nu motivează în niciunul dintre considerentele poziției sale propunerea de modificare a textului(37). Acesta este un indiciu că respectiva instituție a urmărit să schimbe doar modul de redactare al dispoziției în cauză, fără a‑i schimba sensul. Din această perspectivă, termenii „trebuie să fie în măsură să demonstreze” descriu efectiv într‑un mod mai accesibil ceea ce trebuie să se înțeleagă prin „sarcina probei”(38).

54. Prin urmare, putem afirma cu certitudine că, în conformitate cu articolul 7 alineatul (1) din Regulamentul 2016/679, operatorului îi revine sarcina probei cu privire la consimțământul persoanei vizate pentru prelucrarea datelor cu caracter personal(39). Orice îndoială cu privire la acordarea consimțământului persoanei vizate trebuie înlăturată prin dovezi furnizate de operator(40). Obligația de a dovedi că persoana vizată a fost pusă într‑o situație care i‑a permis să își exprime consimțământul în mod liber, specific și informat revine entității care efectuează prelucrarea.

55. Situația juridică sub imperiul Directivei 95/46 nu este diferită în această privință.

56. Chiar dacă Directiva 95/46 nu conține o dispoziție distinctă comparabilă cu articolul 7 din Regulamentul 2016/679 referitoare la condițiile privind consimțământul, cele mai multe dintre condițiile prevăzute de acest articol se regăsesc și în directiva menționată. Deși regula sarcinii probei nu este prevăzută în mod expres de această directivă, ea rezultă, cel puțin indirect, din precizarea(41) că „persoana vizată și‑a dat consimțământul neechivoc”(42).

Cu privire la situația Orange România

57. Vom aplica în continuare aceste criterii în prezenta cauză.

58. Cu titlu introductiv, dorim să precizăm că problema dacă Orange România poate sau nu poate impune clienților săi să consimtă la copierea și la stocarea actelor lor de identitate nu face obiectul cadrului procesual al prezentei cauze, dat fiind că, pentru această societate, acest consimțământ nu constituie o condiție prealabilă pentru încheierea unui contract. Cu alte cuvinte, cauza în discuție nu privește interpretarea articolului 7 litera (b) din Directiva 95/46 și a articolului 6 alineatul (1) litera (b) din Regulamentul 2016/679. Acestea fiind spuse, considerăm că este legitim ca o societate să solicite clienților să furnizeze anumite date cu caracter personal și în special să își dovedească identitatea în vederea încheierii unui contract. În schimb, a impune clientului să consimtă la copierea și la stocarea actelor de identitate pare să depășească ceea ce este necesar pentru executarea contractului.

59. Pe baza informațiilor disponibile, considerăm că, în împrejurările descrise de instanța de trimitere, clienții Orange România nu își exprimă consimțământul în mod liber, specific și informat.

60. În primul rând, nu există niciun consimțământ liber exprimat. Faptul de a obliga un client să indice olograf că nu consimte la copierea și la stocarea actului său de identitate nu permite exprimarea liberă a consimțământului, în sensul că clientul este plasat într‑o situație care s‑ar abate aparent de la procedura obișnuită care precedă încheierea unui contract. În această privință, clienții nu trebuie să aibă impresia că refuzul de a consimți la copierea și la stocarea actelor lor de identitate constituie o abatere de la procedurile obișnuite. În această privință, dorim să amintim că Curtea a pus accentul pe comportamentul activ al persoanei vizate în ceea ce privește exprimarea consimțământului(43). O acțiune pozitivă a persoanei vizate este, așadar, necesară pentru exprimarea consimțământului. Totuși, în cauza în discuție, apare situația inversă: este necesară o acțiune pozitivă pentru a refuza consimțământul. Facem din nou trimitere la Hotărârea Planet49(44), din care rezultă că, dacă debifarea unei căsuțe bifate în prealabil pe un site internet este considerată prea dificilă pentru un client, a fortiori nu se poate aștepta din partea unui client să refuze în formă olografă să își dea consimțământul.

61. În al doilea rând, nu există un consimțământ informat. Clientului nu i se explică fără echivoc că refuzul de a consimți la copierea și la stocarea actului de identitate nu face imposibilă încheierea unui contract. Clientul nu alege în mod informat dacă nu cunoaște consecințele respective.

62. În al treilea rând și numai în mod ipotetic, nu rezultă nicidecum că Orange România a reușit să demonstreze că clienții au consimțit să le fie prelucrate datele cu caracter personal. În această privință, este cert că o lipsă vădită de claritate a procedurilor interne nu este de natură să furnizeze dovada faptului că clientul și‑a dat consimțământul. O asemenea lipsă de claritate și caracterul contradictoriu al instrucțiunilor date personalului însărcinat cu vânzările nu pot opera în detrimentul clientului, care în prezenta cauză este persoana vizată.

Concluzie

63. Având în vedere considerațiile care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Tribunalul București (România) după cum urmează:

„O persoană vizată care intenționează să încheie un contract pentru prestarea de servicii de telecomunicații cu o întreprindere nu își dă «consimțământul», cu alte cuvinte nu își manifestă voința «specifică și informată» și «liberă», în sensul articolului 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date și al articolului 4 punctul 11 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), întreprinderii respective atunci când trebuie să declare olograf pe un formular specific că refuză să consimtă la fotocopierea și la stocarea actelor sale de identitate.”

1 Limba originală: engleza.

2 Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 7, p. 88).

3 Articolul 6 este singurul articol din secțiunea I a capitolului II al Directivei 95/46.

4 Articolul 7 este unicul articol din secțiunea II a capitolului II al Directivei 95/46.

5 Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

6 Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001.

7 În acest caz, destinatarul serviciilor plătește în avans prețul serviciilor care trebuie prestate.

8 În acest caz, prețul serviciilor prestate de societate este plătit de beneficiarul serviciilor după ce acestea au fost prestate pe baza facturilor emise.

9 În temeiul articolului 99 alineatul (2) din Regulamentul 2016/679.

10 A se vedea articolul 94 alineatul (1) din Regulamentul 2016/679.

11 A se vedea Hotărârea din 1 octombrie 2019, Planet49 (C‑673/17, EU:C:2019:801, punctele 38-43), pentru o abordare similară într‑o situație comparabilă, și Concluziile noastre prezentate în aceeași cauză (C‑673/17, EU:C:2019:246, punctele 44-49). A se vedea de asemenea Hotărârea din 11 decembrie 2018, Weiss și alții (C‑493/17, EU:C:2018:1000, punctul 39).

12 A se vedea Hotărârea din 24 septembrie 2019, GC și alții (Dezindexarea unor date sensibile) (C‑136/17, EU:C:2019:773, punctul 33).

13 Sub rezerva, în mod evident, a excepțiilor și a restricțiilor prevăzute la articolul 13 din Directiva 95/46 și la articolul 23 din Regulamentul 2016/679.

14 A se vedea Hotărârea din 16 ianuarie 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punctul 57). A se vedea de asemenea Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 71 și jurisprudența citată) și Hotărârea din 11 decembrie 2019, Asociația de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, punctul 36).

15 A se vedea Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 și C‑469/10, EU:C:2011:777, punctul 30), Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779, punctul 57), și Hotărârea din 1 octombrie 2019, Planet49 (C‑673/17, EU:C:2019:801, punctul 53).

16 A se vedea de asemenea Bygrave, L.A., Tosoni, L., în Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, articolul 4 punctul 11, C.1., p. 181.

17 Evident, aceste criterii sunt, prin natura lor, cumulative, ceea ce însemană că pragul pentru un consimțământ valabil este ridicat, a se vedea Bygrave, L.A., Tosoni, L., în Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, articolul 4 punctul 11, C.1., p. 181.

18 A se vedea Concluziile noastre prezentate în cauza Planet49 (C‑673/17, EU:C:2019:246, punctul 57 și urm.). A se vedea de asemenea Heckmann, D. & Paschke, A., în Ehmann, E., Selmayr, M. (eds), Datenschutz‑Grundverordnung, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 7 punctul 9: „piatra de temelie a protecției datelor”.

19 A se vedea, în acest sens, Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, p. 232, care evocă dreptul la autodeterminare informațională în acest context (astfel cum a fost dezvoltat de Curtea Constituțională germană începând cu decizia sa din 15 decembrie 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65,1).

20 A se vedea, de asemenea, Klement, J. H., în S. Simitis, G. Hornung, I. Spieker gen. Döhmann (eds), Datenschutzrecht, Nomos, Baden‑Baden, 2019, articolul 7 alineatul (1), care subliniază că, în ordinea juridică întemeiată pe demnitate și prin care se urmărește promovarea demnității, a libertății și a răspunderii persoanelor, prelucrarea datelor cu caracter personal trebuie să fie legitimată printr‑o decizie liberă a persoanei vizate.

21 A se vedea, în plus, considerentul (43) al Regulamentului 2016/679, care privește situațiile în care poate exista „un dezechilibru evident între persoana vizată și operator”.

22 A se vedea, cu titlu de exemplu, versiunile în limbile spaniolă („manifestación de voluntad […] informada”), portugheză („manifestação de vontade […] informada”), română („manifestare de voință […] informată”), daneză („informeret viljetilkendegivelse”), suedeză („informerad viljeyttring”) și malteză („infurmata”).

23 A se vedea, cu titlu de exemplu, versiunile în limbile neerlandeză („op informatie berustende wilsuiting” în directivă și „geïnformeerde wilsuiting” în regulament), polonă („świadome […] wskazanie” în directivă și „świadome […] okazanie woli” în regulament) și germană („Willensbekundung, die […] in Kenntnis der Sachlage erfolgt” în directivă și „in informierter Weise […] abgegebene Willensbekundung” în regulament).

24 A se vedea Hotărârea din 1 octombrie 2019, Planet49 (C‑673/17, EU:C:2019:801, punctul 52).

25 A se vedea Bygrave, L.A., Tosoni, L., în Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, articolul 4 punctul 11, C.1., p. 182.

26 Ibidem.

27 A se vedea prin analogie Concluziile noastre prezentate în cauza Planet49 (C‑673/17, EU:C:2019:246, punctul 62). A se vedea de asemenea Hotărârea din 1 octombrie 2019, Planet49 (C‑673/17, EU:C:2019:801, punctul 55).

28 În sfârșit, consimțământul informat își are originea în principiul transparenței, astfel cum este consacrat la articolul 5 alineatul (1) litera (a) din Regulamentul 2016/679; a se vedea Bygrave, L.A., Tosoni, L., în Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Articolul 4 punctul 11, C.4., p. 184.

29 Potrivit unor autori, lista informațiilor prevăzute la articolele 10 și 11 din Directiva 95/46 nu este exhaustivă, astfel încât operatorul poate oferi persoanei vizate și alte informații relevante referitoare la condițiile utilizării datelor personale. A se vedea, de exemplu, Mednis, A., Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46, Monitor Prawniczy (dodatek) 2012, No 7, p. 27.

30 Potrivit acestei dispoziții, operatorul este responsabil de respectarea cerinței ca datele cu caracter personal să fie prelucrate în mod legal, echitabil și transparent față de persoana vizată și trebuie să fie în măsură să demonstreze acest lucru.

31 A se vedea în acest sens și Stemmer, B., în St. Brink, H. A. Wolff, Beck’scher Onlinekommentar Datenschutzrecht, ed. C. H. Beck, München, ediția a 30‑a, în versiunea de la 1 noiembrie 2019, articolul 7 din DSGVO, punctul 87, și Buchner, J., Kühling, B., în J. Buchner, B. Kühling (eds), Datenschutz‑Grundverordnung/BDSG, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 7 din DS‑GVO, punctul 22.

32 A se vedea Klement, J. H., în S. Simitis, G. Hornung, I. Spieker gen. Döhmann (eds), Datenschutzrecht, editura Nomos, Baden‑Baden, 2019, articolul 7 punctul 46.

33 În propunerea inițială a Comisiei, articolul 7 alineatul (1) prevedea următoarele: „Operatorul suportă sarcina probei în ceea ce privește acordarea de către persoana vizată a consimțământului pentru prelucrarea datelor sale cu caracter personal în scopurile specificate.” A se vedea Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor), COM(2012) 11 final, p. 45.

34 În primă lectură, Parlamentul nu a propus modificarea modului de redactare a articolului 7 alineatul (1) în ceea ce privește termenii „sarcină a probei”. Acesta s‑a limitat numai să precizeze că articolul 7 alineatul (1) privea o situație în care prelucrarea se întemeiază pe consimțământ. A se vedea Rezoluția legislativă a Parlamentului European din 12 martie 2014 referitoare la propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) [COM(2012) 11 final (JO 2017, C 378, p. 55), la p. 428].

35 „În cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal.” A se vedea Poziția (UE) nr. 6/2016 a Consiliului în primă lectură în vederea adoptării unui regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) adoptată de Consiliu la 8 aprilie 2016 (JO 2016, C 159, p. 1), la p. 36.

36 A se vedea în acest sens și Kosta, E., în Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, articolul 7, C.2., la p. 349‑350.

37 A se vedea în special considerentele (42) și (43) care motivează articolul 7.

38 O explicație teoretică interesantă a motivelor pentru care sarcina probei revine operatorului este prezentată de Buchner, B., Informationelle Selbstbestimmung im Privatrecht, Mohr Siebeck, Tübingen, 2006, p. 243-245, care realizează o analogie cu ipoteza din dreptul național a răspunderii medicilor, situație în care sarcina probei revine și entității care restrânge aplicarea dreptului în discuție.

39 Acesta este, în plus, punctul de vedere majoritar în literatura de specialitate; a se vedea Klabunde, A., în E. Ehmann, M. Selmayr (eds), Datenschutz‑Grundverordnung, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 4 punctul 52, Stemmer, B., în St. Brink, H. A. Wolff, Beck’scher Onlinekommentar Datenschutzrecht, ed. C. H. Beck, München, ediția a 30‑a, în forma valabilă la 1 noiembrie 2019, articolul 7 din DSGVO, punctul 87, și Buchner, J., Kühling, B., în J. Buchner, B. Kühling (eds), Datenschutz‑Grundverordnung/BDSG, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 7 din DS‑GVO, punctul 22; și Barta, P., Kawecki, M., în P. Litwiński (ed), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C. H. Beck, Varșovia 2018, articolul 7 din regulament, punctul 1.

40 A se vedea de asemenea în acest sens Heckmann, D., Paschke, A., în E. Ehmann, M. Selmayr (eds), Datenschutz‑Grundverordnung, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 7 din DS‑GVO, punctul 72.

41 A se vedea articolul 7 litera (a) din Directiva 95/46. Sublinierea noastră.

42 A se vedea de asemenea în acest sens, printre numeroase alte lucrări, J. Buchner, B. Kühling (eds), Datenschutz‑Grundverordnung/BDSG, Kommentar, ed. C. H. Beck, München, ediția a 2‑a, 2018, articolul 7 din DS‑GVO, punctele 5 și 22.

43 A se vedea Hotărârea din 1 octombrie 2019, Planet49 (C‑673/17, EU:C:2019:801, punctul 54).

44 A se vedea Hotărârea din 1 octombrie 2019 (C‑673/17, EU:C:2019:801).