Edizzjoni Provviżorja
KONKLUŻJONIJIET TAL‑AVUKAT ĠENERALI
EMILIOU
ippreżentati fl‑4 ta’ Mejju 2023 (1)
Kawża C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
vs
Valstybinė duomenų apsaugos inspekcija,
intervenjenti:
“IT sprendimai sėkmei” UAB,
Lietuvos Respublikos sveikatos apsaugos ministerija
(talba għal deċiżjoni preliminari mressqa mill-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali, Vilnjus, il-Litwanja))
“Talba għal deċiżjoni preliminari – Protezzjoni tad-data personali – Regolament (UE) 2016/679 – Artikolu 4(7) – Kunċett ta’ ‘kontrollur’ – Żvilupp ta’ applikazzjoni għall-apparati mobbli fil-kuntest tal-pandemija tal-COVID‑19 – Responsabbiltà tal-awtorità pubblika inkarigata mill-organizzazzjoni tal-proċedura ta’ sejħa għal offerti għall-akkwist tal-applikazzjoni għall-apparati mobbli – Artikolu 4(2) – Kunċett ta’ ‘ipproċessar’ – Użu ta’ data personali fil-fażi tal-ittestjar ta’ applikazzjoni għall-apparati mobbli – Artikolu 26(1) – Kontroll konġunt – Artikolu 83 – Impożizzjoni ta’ multi amministrattivi – Kundizzjonijiet – Neċessità li l-ksur ikun iddeliberat jew negliġenti – Responsabbiltà tal-kontrollur għall-ipproċessar ta’ data personali mwettaq minn proċessur”
I. Introduzzjoni
1. F’dinja fejn id-data personali saret munita ta’ skambju u tikkostitwixxi minjiera tad-deheb li għadha kif instabet għan-negozji, taħt liema kundizzjonijiet jistgħu jiġu imposti multi amministrattivi fuq kontrolluri jew fuq proċessuri għall-ksur tar-regoli dwar il-protezzjoni tad-data personali stabbiliti fir-Regolament (UE) 2016/679 (2)? B’mod iktar preċiż, għandu jkun hemm element ta’ “ħtija” qabel ma huma jkunu jistgħu jkunu suġġetti għal tali multi? Din hija l-kwistjoni ċentrali mqajma mill-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus, il-Litwanja) f’din il-kawża.
2. It-tilwima quddiem dik il-qorti, li tqum bejn in-Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (iċ-Ċentru Nazzjonali tas-Saħħa Pubblika fi ħdan il-Ministeru għas-Saħħa, il-Litwanja; iktar ’il quddiem in-“NVSC”) u l-Valstybinė duomenų apsaugos inspekcija (l-Ispettorat Nazzjonali għall-Protezzjoni tad-Data, il-Litwanja; iktar ’il quddiem l-“Ispettorat”) tikkonċerna, essenzjalment, ir-rwol tan-NVSC fl-iżvilupp u t-tqegħid għad-dispożizzjoni tal-pubbliku ta’ applikazzjoni għall-apparati mobbli li ġabret, matul ix-xhur ta’ April u Mejju 2020, id-data personali ta’ persuni li kienu f’kuntatt ma’ pazjenti infettati bil-COVID‑19.
3. F’dan il-kuntest, din il-kawża tagħti lill-Qorti tal-Ġustizzja l-opportunità li tipprovdi preċiżazzjonijiet addizzjonali dwar il-kunċetti ta’ “kontrollur”, “kontrolluri konġunti”, u “ipproċessar”, iddefiniti rispettivament fl-Artikolu 4(7), fl-Artikolu 26(1) u fl-Artikolu 4(2) tal-GDPR, u li teżamina, għall-ewwel darba, jekk huwiex possibbli, skont l-Artikolu 83 ta’ dan ir-regolament, li tiġi imposta multa amministrattiva fuq kontrollur li ma jkun wettaq ebda ksur tar-regoli inklużi fil-GDPR b’intenzjoni jew b’negliġenza. Din id-domanda teħtieġ li l-Qorti tal-Ġustizzja tippreċiża jekk din id-dispożizzjoni tippermettix li jiġu imposti multi fl-assenza ta’ kull ħtija, abbażi ta’ responsabbiltà mingħajr nuqqas.
II. Il‑kuntest ġuridiku
A. Id‑dritt tal‑Unjoni Ewropea
4. Il-premessa 148 tal-GDPR tiddikjara:
“Sabiex jissaħħaħ l-infurzar tar-regoli ta’ dan ir-Regolament, għandhom jiġu imposti pieni inklużi multi amministrattivi għal kwalunkwe ksur ta’ dan ir-Regolament [] F’każ ta’ ksur minuri jew jekk il-multa li x’aktarx li tiġi imposta tikkostitwixxi piż sproporzjonat għal persuna fiżika, tista’ tinħareġ twissija minflok multa. Madankollu, għandha tingħata l-kunsiderazzjoni dovuta għan-natura, is-serjetà u d-dewmien tal-ksur, il-karattru intenzjonali tal-ksur, l-azzjonijiet meħuda biex itaffu d-danni sofruti, il-grad ta’ responsabbiltà jew kwalunkwe ksur preċedenti rilevanti, il-mod li bih il-ksur sar magħruf mill-awtorità superviżorja, il-konformità ma’ miżuri ordnati kontra l-kontrollur jew il-proċessur, l-aderenza għal kodiċi ta’ kondotta u kwalunkwe fattur aggravanti jew mitiganti ieħor. L-impożizzjoni ta’ pieni inklużi multi amministrattivi għandha tkun soġġetta għal salvagwardji proċedurali adatti f’konformità mal-prinċipji ġenerali tal-liġi tal-Unjoni u l-Karta, inkluż protezzjoni ġudizzjarja effettiva u proċess ġust.”
5. Skont il-premessa 150 ta’ dan ir-regolament:
“Sabiex issaħħaħ u tarmonizza l-pieni amministrattivi għall-ksur ta’ dan ir-Regolament, kull awtorità superviżorja għandu jkollha s-setgħa li timponi multi amministrattivi. Dan ir-Regolament għandu jindika l-ksur u l-limitu massimu u l-kriterji biex jiġu stabbiliti l-multi amministrattivi relatati, li għandhom jiġu ddeterminati mill-awtorità superviżorja kompetenti f’kull każ individwali, b’kont meħud taċ-ċirkostanzi rilevanti kollha tas-sitwazzjoni speċifika, filwaqt li jittieħed kont dovut b’mod partikolari għan-natura, il-gravità u t-tul taż-żmien tal-ksur u tal-konsegwenzi tiegħu u l-miżuri meħudin biex tiġi żgurata konformità mal-obbligi taħt dan ir-Regolament u għall-prevenzjoni jew il-mitigazzjoni tal-konsegwenzi tal-ksur [] L-impożizzjoni ta' multa amministrattiva jew l-għoti ta’ twissija ma taffettwax l-applikazzjoni ta’ setgħat oħrajn tal-awtoritajiet superviżorji jew ta’ pieni oħrajn taħt dan ir-Regolament.”
6. L-Artikolu 4(7) tal-GDPR jiddefinixxi l-kunċett ta’ “kontrollur” bħala “persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew kwalunkwe korp ieħor li, waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali []”.
7. L-Artikolu 26 ta’ dan ir-regolament, intitolat “Kontrolluri konġunti”, jistabbilixxi, fil-parti rilevanti:
“1. Fejn żewġ kontrolluri jew aktar jiddeterminaw flimkien l-għanijiet u l-mezzi tal-ipproċessar, huma għandhom ikunu kontrolluri konġunti []
[]”
8. L-Artikolu 83 ta’ dan ir-regolament, intitolat “Kondizzjonijiet ġenerali biex jiġu imposti multi amministrattivi”, jipprovdi:
“1. Kull awtorità superviżorja għandha tiżgura li l-impożizzjoni ta’ multi amministrattivi skont dan l-Artikolu fir-rigward ta' ksur ta’ dan ir-Regolament imsemmi fil-paragrafi 4, 5 u 6 għandha tkun effettiva, proporzjonata u dissważiva f’kull każ individwali.
2. Il-multi amministrattivi għandhom, skont iċ-ċirkostanzi ta’ kull każ individwali, jiġu imposti flimkien ma’, jew minflok, miżuri msemmija fil-punti (a) sa (h) u (j) tal-Artikolu 58(2). Meta jiġi deċiż jekk għandiex tiġi imposta multa amministrattiva u jiġi deċiż l-ammont tal-multa amministrattiva, f’kull każ individwali, għandha tingħata konsiderazzjoni dovuta lil dawn li ġejjin:
(a) in-natura, il-gravità u d-dewmien tal-ksur b’kont meħud tan-natura, l-ambitu jew il-fini tal-ipproċessar ikkonċernat kif ukoll l-għadd ta’ suġġetti tad-data affettwati u l-livell ta’ dannu mġarrab minnhom;
(b) il-karattru intenzjonali jew negliġenti tal-ksur;
[]
(k) kwalunkwe fattur aggravanti jew mitiganti applikabbli għaċ-ċirkostanzi tal-każ, bħal benefiċċji finanzjarji miksuba, jew telfiet evitati, direttament jew indirettament, mill-ksur.
3. Jekk kontrollur jew proċessur, intenzjonalment jew b’negliġenza, għall-istess attivitajiet ta’ pproċessar jew għal dawk b’rabta ma’ xulxin, jikser diversi dispożizzjonijiet ta’ dan ir-Regolament, l-ammont totali tal-multa amministrattiva ma għandux jaqbeż l-ammont speċifikat għall-ksur l-aktar gravi.
[]”
B. Id‑dritt Litwan
9. L-Artikolu 72(2) tal-Viešthe jų pirkimų įstatymas (il-Liġi dwar il-Kuntratti Pubbliċi) jipprovdi:
“L-awtorità kontraenti għandha timplimenta proċedura negozjata mingħajr pubblikazzjoni ta’ avviż ta’ kuntratt fl-istadji li ġejjin:
(1) stedina bil-miktub lill-operaturi ekonomiċi magħżula sabiex jissottomettu offerti;
(2) verifika tal-eżistenza ta’ raġunijiet għall-esklużjoni tal-operaturi ekonomiċi kif previsti fid-dokumenti tal-kuntratt, u verifika tal-konformità tal-operaturi ekonomiċi mar-rekwiżiti ta’ kwalifika imposti u, fejn applikabbli, mal-istandards ta’ assigurazzjoni ta’ kwalità u/jew mal-istandards ta’ ġestjoni ambjentali meħtieġa;
(3) żvolġiment tan-negozjati mal-offerenti skont il-proċedura stabbilita fl-Artikolu 66 ta’ din il-liġi u talba sabiex huma jippreżentaw offerti finali. L-awtorità kontraenti ma għandhiex tkun obbligata titlob is-sottomissjoni ta’ offerta finali fil-każ ta’ operatur ekonomiku wieħed li jipparteċipa fil-proċedura negozjata mingħajr pubblikazzjoni ta’ avviż minn qabel;
(4) evalwazzjoni tal-offerti finali u determinazzjoni tal-kandidat magħżul”.
III. Il‑fatti, il‑proċeduri nazzjonali u d‑domandi preliminari
10. Sabiex jipprovdi rispons għas-sitwazzjoni li tirriżulta mit-tixrid tal-COVID‑19, il-Ministru għas-Saħħa tar-Repubblika tal-Litwanja (iktar ’il quddiem il-“Ministru għas-Saħħa”) ta struzzjonijiet, permezz ta’ deċiżjoni tal‑24 ta’ Marzu 2020, lid-Direttur tan-NVSC sabiex jorganizza l-iżvilupp u l-akkwist ta’ applikazzjoni għall-apparati mobbli, jiġifieri KARANTINAS. Din l-applikazzjoni għall-apparati mobbli kienet intiża sabiex tiġbor u tissorvelja d-data personali tal-persuni li kienu f’kuntatt ma’ pazjenti infettati bil-COVID‑19 (3).
11. Fis‑27 ta’ Marzu 2020, persuna li qalet li kienet aġent li jirrappreżenta n-NVSC informat lill-kumpannija “IT sprendimai sėkmei” UAB (iktar ’il quddiem “ITSS”) li hija kienet intgħażlet sabiex tkun l-iżviluppatur ta’ KARANTINAS. Ġew skambjati numru ta’ posta elettronika bejn ITSS u din il-persuna kif ukoll bejn ITSS u numru ta’ impjegati u d-Direttur tan-NVSC dwar l-iżvilupp ta’ din l-applikazzjoni għall-apparati mobbli. F’dan l-istadju ġie redatt ukoll ftehim ta’ kunfidenzjalità, li jsemmi kemm lil ITSS kif ukoll lin-NVSC bħala kontrolluri.
12. L-applikazzjoni għall-apparati mobbli li finalment kienet żviluppata tqiegħdet għad-dispożizzjoni tal-pubbliku għal finijiet ta’ tniżżil minn Google Play Store fl‑4 ta’ April 2020, u minn Apple App Store fis‑6 ta’ April 2020. Kemm ITSS kif ukoll in-NVSC reġgħu ssemmew bħala kontrolluri fil-verżjoni ta’ KARANTINAS li saret disponibbli għall-pubbliku għal finijiet ta’ tniżżil. F’dak iż-żmien, din l-applikazzjoni għall-apparati mobbli kienet għadha ma nxtratx min-NVSC.
13. Permezz ta’ deċiżjoni tal‑10 ta’ April 2020, il-Ministru għas-Saħħa inkariga lid-Direttur tan-NVSC sabiex jipproċedi għall-akkwist ta’ KARANTINAS permezz ta’ proċedura negozjata mingħajr pubblikazzjoni ta’ avviż ta’ kuntratt, skont l-Artikolu 72(2) tal-Liġi dwar il-Kuntratti Pubbliċi.
14. Din il-proċedura nbdiet iżda, peress li ma rċevietx il-finanzjament neċessarju, in-NVSC temmha. Għalhekk, ma ġie konkluż l-ebda kuntratt pubbliku għal xiri. Madankollu, KARANTINAS baqgħet disponibbli sabiex titniżżel mill-pubbliku.
15. Fil‑15 ta’ Mejju 2020, in-NVSC talab lil ITSS sabiex ma tużax dettalji tan-NVSC u sabiex ma tistabbilixxi l-ebda rabtiet man-NVSC fl-applikazzjoni għall-apparati mobbli. Fit‑18 ta’ Mejju 2020, l-Ispettorat beda investigazzjoni dwar kemm ITSS kif ukoll in-NVSC għal ksur tar-regoli previsti mill-GDPR. L-attivitajiet ta’ KARANTINAS ġew sospiżi fuq talba tal-Ispettorat fis‑26 ta’ Mejju 2020. Skont ITSS, 3 802 utent kienu pprovdew id-data personali tagħhom permezz tal-applikazzjoni bejn l‑4 ta’ April u s‑26 ta’ Mejju 2020.
16. Permezz ta’ deċiżjoni tal‑24 ta’ Frar 2021, l-Ispettorat impona multi amministrattivi fuq in-NVSC u fuq ITSS, fil-kapaċità tagħhom ta’ kontrolluri konġunti, għal ksur tal-Artikoli 5, 13, 24, 32 u 35 tal-GDPR (4).
17. Din id-deċiżjoni ġiet ikkontestata min-NVSC quddiem il-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus). Din il-qorti tistaqsi, essenzjalment, jekk il-kunċett ta’ “kontrollur”, fis-sens tal-Artikolu 4(7) tal-GDPR, għandux jiġi interpretat b’mod wiesa’ b’mod li jinkludi kull persuna fiżika jew ġuridika jew kull organu bħan-NVSC li ma huwiex l-iżviluppatur ta’ applikazzjoni għall-apparati mobbli, iżda li, bl-għan tal-akkwist ta’ tali applikazzjoni għall-apparati mobbli permezz ta’ sejħa għal offerti, iddetermina “l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali”, jew jekk dan il-kunċett għandux jiġi interpretat b’mod iktar strett, billi tittieħed inkunsiderazzjoni l-proċedura ta’ għoti ta’ kuntratt pubbliku u l-eżitu tagħha.
18. B’mod partikolari, hija tistaqsi jekk il-fatt li l-proċedura ta’ sejħa għal offerti ġiet finalment abbandunata, u KARANTINAS qatt ma ġiet akkwistata min-NVSC, huwiex rilevanti f’dan ir-rigward. Hija tistaqsi wkoll jekk il-fatt li n-NVSC ma tax il-kunsens uffiċjali jew awtorizza it-tqegħid għad-dispożizzjoni tal-pubbliku ta’ din l-applikazzjoni għall-apparati mobbli għandux effett fuq din l-evalwazzjoni.
19. Barra minn hekk, hija tistaqsi dwar ir-relazzjoni bejn in-NVSC u l-ITSS. F’dan ir-rigward, hija tistaqsi f’liema ċirkustanzi din l-entità u din il-kumpannija jkollhom jitqiesu bħala “kontrolluri konġunti”, fis-sens tal-Artikolu 4(7) u tal-Artikolu 26(1) tal-GDPR. Sussidjarjament, jekk in-NVSC u l-ITSS ma kellhomx jitqiesu bħala “kontrolluri konġunti”, iżda bħala “kontrollur” u “proċessur” (5) (rispettivament), skont il-GDPR, hija tixtieq tkun taf meta l-azzjonijiet tal-ITSS jistgħu jinvolvu r-responsabbiltà tan-NVSC. F’dan ir-rigward, hija tistaqsi jekk l-Artikolu 83 tal-GDPR għandux jiġi interpretat fis-sens li multa amministrattiva tista’ tiġi imposta fuq kontrollur bħan-NVSC li huwa stess ma wettaq ebda ksur ta’ dan ir-regolament b’intenzjoni jew b’negliġenza.
20. Fid-dawl ta’ dawn il-kunsiderazzjonijiet, il-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus) iddeċidiet li tissospendi l-proċeduri quddiemha u li tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:
“(1) Il-kunċett ta’ ‘kontrollur’ stabbilit fl-Artikolu 4(7) ta[l-GDPR] jista’ jiġi interpretat fis-sens li jfisser li persuna li għandha l-intenzjoni li takkwista għodda għall-ġbir ta’ data (applikazzjoni tal-mowbajl) permezz ta’ għoti ta’ kuntratt pubbliku għandha xorta waħda titqies bħala kontrollur minkejja l-fatt li l-kuntratt pubbliku ma ġiex konkluż u li l-prodott maħluq (applikazzjoni tal-mowbajl), li għall-akkwist tiegħu intużat proċedura għall-għoti ta’ kuntratti pubbliku, ma ġiex ittrasferit?
(2) Il-kunċett ta’ ‘kontrollur’ stabbilit fl-Artikolu 4(7) tal-GDPR jista’ jiġi interpretat fis-sens li jfisser li awtorità kontraenti li ma kisbitx id-dritt tal-proprjetà tal-prodott informatiku maħluq, u li għadha ma daħlitx fil-pussess tiegħu, iżda meta l-verżjoni finali tal-applikazzjoni maħluqa tipprovdi links jew interfaces lejn din l-entità pubblika u/jew il-polza ta’ kunfidenzjalità, li ma kinitx approvata jew irrikonoxxuta uffiċjalment mill-entità pubblika inkwistjoni, li kienet tispeċifika lil din l-entità pubblika stess bħala l-kontrollur, għandha wkoll titqies bħala kontrollur?
(3) Il-kunċett ta’ ‘kontrollur’ stabbilit fl-Artikolu 4(7) tal-GDPR jista’ jiġi interpretat fis-sens li jfisser li persuna li ma wettqet ebda operazzjonijiet ta’ pproċessar ta’ data kif iddefinit fil-punt 2 tal-Artikolu 4 tal-GDPR u/jew ma tatx permess/kunsens ċar għat-twettiq ta’ tali operazzjonijiet għandha wkoll titqies bħala kontrollur? Il-fatt li l-prodott informatiku użat għall-ipproċessar ta’ data personali nħoloq skont l-inkarigu fformulat mill-awtorità kontraenti huwa sinifikanti għall-interpretazzjoni tal-kunċett ta’ ‘kontrollur’?
(4) Jekk id-determinazzjoni ta’ operazzjonijiet ta’ pproċessar ta’ data effettivi hija rilevanti għall-interpretazzjoni tal-kunċett ta’ ‘kontrollur’, id-definizzjoni ta’ ‘pproċessar’ ta’ data personali skont il-punt 2 tal-Artikolu 4 tal-GDPR għandha tiġi interpretata fis-sens li tkopri wkoll sitwazzjonijiet fejn kopji ta’ data personali ntużaw għall-ittestjar ta’ sistemi informatiċi fil-proċess tal-akkwist tal-applikazzjoni tal-mowbajl?
(5) Kontroll flimkien ma’ oħrajn ta’ data skont l-Artikolu 4(7) u l-Artikolu 26(1) tal-GDPR jista’ jiġi interpretat esklużivament fis-sens li jinvolvi azzjonijiet ikkoordinati deliberatament fir-rigward tad-determinazzjoni tal-għan u tal-mezz tal-ipproċessar tad-data, jew jista’ dak il-kunċett jiġi interpretat ukoll fis-sens li jfisser li kontroll flimkien ma’ oħrajn ikopri wkoll sitwazzjonijiet fejn ma hemmx ‘arranġament’ ċar fir-rigward tal-għan u tal-mezz ta’ pproċessar tad-data u/jew azzjonijiet ma humiex ikkoordinati bejn l-entitajiet? Iċ-ċirkustanza fir-rigward tal-istadju fil-ħolqien tal-mezz ta’ pproċessar ta’ data personali (applikazzjoni informatika) li fiha ġiet ipproċessata data personali u l-għan tal-ħolqien tal-applikazzjoni huma legalment sinnifikanti għall-interpretazzjoni tal-kunċett ta’ kontroll ta’ data flimkien ma’ oħrajn? Jista’ arranġament bejn kontrolluri konġunti jinftiehem esklużivament bħala stabbiliment ċar u ddefinit ta’ termini li jirregolaw il-kontroll ta’ data flimkien ma’ oħrajn?
(6) Id-dispożizzjoni fl-Artikolu 83(1) tal-GDPR li tgħid li ‘multi amministrattivi […] għandha tkun effettiva, proporzjonata u dissważiva' għandha tiġi interpretata fis-sens li tkopri wkoll każijiet ta’ impożizzjoni ta’ responsabbiltà fuq il-‘kontrollur’ meta, fil-proċess tal-ħolqien ta’ prodott informatiku, l-iżviluppatur iwettaq ukoll azzjonijiet ta’ pproċessar ta’ data personali, u l-azzjonijiet illegali ta’ pproċessar ta’ data personali mwettqa mill-proċessur dejjem jagħtu awtomatikament lok għar-responsabbiltà legali min-naħa tal-kontrollur? Dik id-dispożizzjoni għandha tiġi interpretata fis-sens li tkopri wkoll każijiet ta’ responsabbiltà mingħajr ħtija min-naħa tal-kontrollur?”
21. It-talba għal deċiżjoni preliminari tat‑22 ta’ Ottubru 2021 ġiet irreġistrata fil-Qorti tal-Ġustizzja fit‑12 ta’ Novembru 2021. In-NVSC, l-Ispettorat, il-Gvern Litwan u l-Kummissjoni Ewropea ppreżentaw osservazzjonijiet bil-miktub.
22. Il-Gvern Litwan u dak Olandiż, kif ukoll il-Kummissjoni u l-Kunsill, kienu rrappreżentati waqt is-seduta li nżammet fis‑17 ta’ Jannar 2023.
IV. Analiżi
23. Matul il-pandemija tal-COVID‑19, l-applikazzjonijiet għall-apparati mobbli maħsuba sabiex “jidentifikaw u jittraċċaw” il-persuni infettati bil-virus u/jew dawk li kienu f’kuntatt ma’ persuna infettata bil-virus tqiegħdu għad-dispożizzjoni tal-pubbliku għal finijiet ta’ tniżżil f’ħafna Stati Membri. Tali applikazzjonijiet għall-apparati mobbli ġew żviluppati sabiex tiġi pprovduta rispons għall-urġenza tas-sitwazzjoni, ħafna drabi bil-parteċipazzjoni ta’ diversi entitajiet pubbliċi u privati (bħall-ministeri u entitajiet pubbliċi oħra, kif ukoll kumpanniji privati). L-utenti kienu obbligati jtellgħu d-data personali tagħhom f’dawn l-applikazzjonijiet għall-apparati mobbli, b’mod partikolari data dwar is-saħħa tagħhom (6).
24. Il-kawża prinċipali tikkonċerna, preċiżament, tali applikazzjoni għall-apparati mobbli, jiġifieri l-applikazzjoni KARANTINAS, li ġiet żviluppata mill-kumpannija ITSS (kumpannija privata) fuq l-inizjattiva tan-NVSC (awtorità pubblika), wara deċiżjoni tal-Ministru għas-Saħħa. La mill-atti tal-proċess tal-kawża, u lanqas minn dawk ipprovduti waqt is-seduta, ma jirriżulta b’mod ċar liema entitajiet pubbliċi Litwani oħra, jekk kien hemm, kienu involuti fl-iżvilupp tal-applikazzjoni (7). Hemm ukoll dubji dwar jekk in-NVSC tax il-kunsens tiegħu li KARANTINAS issir disponibbli għall-pubbliku waqt il-perjodu li matulu seħħ l-ipproċessar tad-data personali (April u Mejju 2020). Madankollu, fid-domandi magħmula lill-Qorti tal-Ġustizzja, il-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus) identifikat iċ-ċirkustanzi li ġejjin bħala rilevanti:
– In-NVSC kien ippjana li jakkwista lil KARANTINAS skont l-Artikolu 72(2) tal-Liġi dwar il-Kuntratti Pubbliċi, iżda l-proċedura qatt ma tlestiet u l-akkwist qatt ma seħħ. Is-sjieda ta’ KARANTINAS għalhekk qatt ma ġiet ittrasferita minn ITSS lin-NVSC;
– In-NVSC issemma bħala kontrollur fil-politika ta’ kunfidenzjalità ta’ KARANTINAS, li kienet disponibbli għall-pubbliku. Ir-rabtiet man-NVSC kienu jinsabu wkoll fl-aħħar verżjoni tal-applikazzjoni, li madankollu, qatt ma ġiet approvata uffiċjalment minn din l-entità;
– In-NVSC qatt ma pproċessa data personali huwa stess u lanqas formalment ma ta l-kunsens tiegħu għall-attivitajiet ta’ pproċessar imwettqa, iżda ta struzzjonijiet dwar l-iżvilupp ta’ KARANTINAS u dawn l-istruzzjonijiet ġew segwiti minn ITSS,
– L-ITSS u n-NVSC ma waslu għal ebda arranġament formali dwar l-għanijiet u l-mezzi tal-ipproċessar tad-data personali li seħħ.
25. F’dan il-kuntest, id-domandi magħmula lill-Qorti tal-Ġustizzja jirrigwardaw l-interpretazzjoni ta’ diversi dispożizzjonijiet tal-GDPR. L-ewwel tliet domandi kif ukoll il-ħames domanda, jeħtieġu interpretazzjoni tal-kunċett ta’ “kontrollur”, fis-sens tal-Artikolu 4(7) ta’ dan ir-regolament, u jeħtieġu kjarifika dwar il-kundizzjonijiet li fihom żewġ entitajiet jew iktar jistgħu jitqiesu li huma “kontrolluri konġunti”, skont din id-dispożizzjoni u l-Artikolu 26(1) ta’ dan ir-regolament. Fl-ewwel lok, ser nanalizza dawn id-domandi flimkien (A) qabel ma nindirizza r-raba’ domanda, li tirrigwarda l-kunċett ta’ “pproċessar”, fis-sens tal-Artikolu 4(2) tal-GDPR, u l-applikazzjoni tiegħu fil-kuntest tal-fażi tal-ittestjar ta’ applikazzjoni għal apparati mobbli (B) (8). Imbagħad ser nidħol fil-kwistjoni li tinsab fil-qalba ta’ din il-kawża, jiġifieri s-sitt domanda, li hija ta’ natura trażversali peress li tirrigwarda l-kundizzjonijiet li fihom jistgħu jiġu imposti multi amministrattivi fuq il-kontrolluri, skont l-Artikolu 83 tal-GDPR (C).
A. Fuq il‑kunċett ta’ “kontrollur” u s‑sitwazzjonijiet ta’ kontroll konġunt (l‑ewwel sat‑tielet domanda u l‑ħames domanda)
26. Permezz tal-ewwel tliet domandi tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk, fid-dawl taċ-ċirkustanzi ddettaljati fil-punt 24 iktar ’il fuq, entità bħan-NVSC għandhiex titqies bħala “kontrollur” fis-sens tal-Artikolu 4(7) tal-GDPR. Barra minn hekk, permezz tal-ħames domanda tagħha, il-qorti tar-rinviju tixtieq kjarifika jekk, f’tali ċirkustanzi, żewġ entitajiet bħan-NVSC u ITSS għandhomx jitqiesu bħala “kontrolluri konġunti”, konformement ma’ din id-dispożizzjoni u mal-Artikolu 26(1) ta’ dan ir-regolament, minkejja li ma waslux għal arranġament formali dwar l-għanijiet u l-mezzi tal-ipproċessar u/jew ma jidhrux li kkoordinaw l-azzjonijiet tagħhom b’mod ieħor.
1. X’inhu kontrollur? (L‑ewwel sat‑tielet domanda)
27. Infakkar li, skont l-Artikolu 4(7) tal-GDPR, “kontrollur” huwa ddefinit bħala l-persuna jew l-entità li, “waħdu jew flimkien ma’ oħrajn, jiddetermina l-għanijiet u l-mezzi tal-ipproċessar ta’ data personali”. Fi kliem ieħor, kontrollur ma għandu bżonn jipproċessa l-ebda data personali huwa stess , iżda għandu jiddetermina l-“għalfejn u l-mod” tal-attivitajiet ta’ pproċessar ikkonċernati (9). Il-Qorti tal-Ġustizzja ssuġġerixxiet li, sabiex tissodisfa dan il-kriterju, persuna jew entità għandha effettivament “tinfluwenza [] l-ipproċessar ta’ data personali” (10). Madankollu, ma huwiex meħtieġ li l-għanijiet u l-mezzi tal-ipproċessar jiġu ddeterminati f’konformità ma’ linji gwida bil-miktub jew struzzjonijiet mill-kontrollur (11). Tabilħaqq, l-Artikolu 4(7) tal-GDPR jeħtieġ analiżi fattwali pjuttost milli waħda formali.
28. F’dan il-kuntest, il-Bord Ewropew għall-Protezzjoni tad-Data (EDPB) issuġġerixxa li huwa possibbli wkoll li wieħed ikun kontrollur irrispettivament mill-attribuzzjoni legali ta’ kompetenza jew setgħa speċifika ta’ kontroll tad-data. Tabilħaqq, il-kapaċità li jiġu ddeterminati l-għanijiet u l-mezzi tal-ipproċessar tiddependi, qabelxejn, mill-influwenza eżerċitata, li tista’ tiġi dedotta minn ċirkustanzi fattwali. Entità li hija effettivament f’pożizzjoni li tiddetermina l-għanijiet u l-mezzi tal-ipproċessar għalhekk titqies bħala “kontrollur”, irrispettivament minn jekk ġietx formalment innominata bħala tali (bil-liġi jew b’kuntratt jew b’xi mod ieħor) (12).
29. Wara li saru dawn il-preċiżazzjonijiet, nirrileva li diversi miċ-ċirkustanzi deskritti mill-qorti tar-rinviju fl-ewwel tliet domandi huma ta’ natura purament formali pereżempju l-fatt li n-NVCS ma huwiex il-proprjetarju legali ta’ KARANTINAS jew li l-proċedura ta’ akkwist ta’ din l-applikazzjoni għal apparati mobbli qatt ma tlestiet, jew li n-NVSC ma awtorizzax uffiċjalment ir-rilaxx tal-applikazzjoni lill-pubbliku ġenerali u lanqas approva l-aħħar verżjoni tal-applikazzjoni. Fil-fehma tiegħi, l-ebda waħda minn dawn iċ-ċirkustanzi ma tista’, waħedha, tipprekludi konstatazzjoni li n-NVSC aġixxa bħala “kontrollur”, fis-sens tal-Artikolu 4(7) tal-GDPR, fil-kuntest tal-kawża prinċipali. Fil-fatt, dawn ma humiex biżżejjed sabiex tiġi kkonfutata konklużjoni li n-NVSC kien effettivament f’pożizzjoni li jiddetermina l-għanijiet u l-mezzi tal-ipproċessar tad-data personali li seħħ. Bl-istess mod, jidhirli li l-fatt li n-NVSC issemma bħala kontrollur fil-politika ta’ kunfidenzjalità tal-verżjoni ta’ KARANTINAS imqiegħda għad-dispożizzjoni tal-pubbliku għal finijiet ta’ tniżżil, jew li rabtiet ma’ din l-entità kienu ġew inklużi f’din il-verżjoni tal-applikazzjoni għal apparati mobbli, huwa rilevanti, iżda mhux determinanti, fir-rigward tal-influwenza effettivament eżerċitata minn din l-entità.
30. Għall-kuntrarju, il-provi li għandha l-qorti tar-rinviju li juru li n-NVSC iddeċieda liema tip ta’ data personali għandha tinġabar minn KARANTINAS u mingħand liema suġġetti tad-data u/jew aspetti essenzjali oħra tal-ipproċessar huma, fil-fehma tiegħi, suffiċjenti sabiex jiġi stabbilit li din l-entità kienet tiddetermina l-“mezz” tal-ipproċessar. Barra minn hekk, inqis li l-fatt li KARANTINAS inħolqot sabiex tilħaq l-għan iddefinit min-NVSC, jiġifieri li tipprovdi rispons għall-pandemija tal-COVID‑19, u li l-funzjonament tagħha ġie emendat regolarment minn ITSS sabiex jiġu ssodisfatti l-ħtiġijiet iddeterminati min-NVSC, konformement mal-istruzzjonijiet ipprovduti minn din l-entità, huwa biżżejjed sabiex jiġi konkluż li din l-entità ddeterminat l-“għanijiet” ta’ dan l-ipproċessar.
31. Dan premess, jidhirli li, sabiex jiġi ddeterminat jekk entità bħan-NVSC tistax titqies bħala “kontrollur” fis-sens tal-Artikolu 4(7) tal-GDPR, il-qorti tar-rinviju għandha tivverifika wkoll jekk, minkejja l-influwenza eżerċitata min-NVSC fl-istadju tal-iżvilupp ta’ KARANTINAS, id-deċiżjoni li din l-applikazzjoni mobbli titqiegħed għad-dispożizzjoni tal-pubbliku u, għaldaqstant, li jitwettaq l-ipproċessar ta’ data personali ġietx effettivament adottata bil-kunsens (espliċitu jew impliċitu) ta’ din l-entità (indipendentement mill-fatt li dan il-kunsens ma ġiex ipprovdut uffiċjalment jew formalment).
32. Tabilħaqq, kif tindika b’mod ċar id-definizzjoni tal-kunċett ta’ “kontrollur” li tinsab fl-Artikolu 4(7) tal-GDPR, l-influwenza eżerċitata minn kontrollur għandha tirrigwarda l-ipproċessar ta’ data personali nnifsu, u mhux biss xi stadju preliminari. Persuna fiżika jew ġuridika jew entità ma ssirx “kontrollur” minħabba s-sempliċi fatt li tibda l-iżvilupp ta’ applikazzjoni għal apparati mobbli jew tiddefinixxi l-parametri ta’ din l-applikazzjoni (jew għodda oħra għall-ġbir ta’ data). L-azzjonijiet tagħha għandhom ikunu marbuta b’mod effettiv mal-ipproċessar ta’ data personali u għalhekk hija għandha tkun tat il-kunsens espliċitu jew impliċitu tagħha għall-użu tal-għodda rilevanti sabiex jitwettaq tali pproċessar.
33. Il-Qorti tal-Ġustizzja insistiet fuq dan ir-rekwiżit fis-sentenza tagħha Fashion ID (13), li fiha hija indikat espressament li r-responsabbiltà tal-kontrollur hija limitata għall-attività jew għas-sett ta’ attivitajiet li jinvolvu l-ipproċessar ta’ data personali li fir-rigward tiegħu huwa effettivament iddetermina l-għanijiet u l-mezzi (14). Minn dan isegwi li d-determinazzjoni tal-għanijiet u l-mezzi għandha tkun direttament relatata mal-attività jew mas-sett ta’ attivitajiet rilevanti li jinvolvu l-ipproċessar ta’ data personali.
34. Fil-fehma tiegħi, minn dawn il-konstatazzjonijiet jirriżulta li entità, bħan-NVSC, li tibda l-iżvilupp ta’ applikazzjoni għal apparati mobbli tista’ titqies bħala “kontrollur”, fis-sens tal-Artikolu 4(7) tal-GDPR, biss fil-każ fejn jeżistu biżżejjed elementi ta’ natura fattwali, iktar milli formali, li jippermettu lill-qrati nazzjonali jikkonkludu li tali entità eżerċitat influwenza effettiva fir-rigward tal-“għanijiet u l-mezzi” ta’ dan l-ipproċessar u li hija tat il-kunsens effettiv għall-iżvelar tal-applikazzjoni għal apparati mobbli lill-pubbliku u, konsegwentement, għall-ipproċessar tad-data personali. Bla ħsara għall-verifiki li għandhom jitwettqu mill-qorti tar-rinviju, nemmen li n-NVSC jissodisfa dawn ir-rekwiżiti.
2. Meta jistgħu żewġ entitajiet jitqiesu bħala kontrolluri konġunti? (il‑ħames domanda)
35. Il-ħames domanda tirrigwarda l-kundizzjonijiet li għandhom jiġu ssodisfatti sabiex żewġ entitajiet (jew iktar) jitqiesu bħala kontrolluri konġunti. Nifhem li l-qorti tar-rinviju tistaqsi dwar l-interpretazzjoni ta’ dan il-kunċett għaliex tissuspetta li, fis-sitwazzjoni inkwistjoni fil-kawża prinċipali, in-NVSC u ITSS jistgħu jitqiesu bħala “kontrolluri konġunti” u, bħala tali, jistgħu jkunu responsabbli in solidum għad-dannu kkawżat (15), u/jew jiġu ssanzjonati konġuntament għall-ksur tar-regoli dwar il-protezzjoni tad-data mwettaq meta KARANTINAS tqiegħdet għad-dispożizzjoni tal-pubbliku għal finijiet ta’ tniżżil. Nirrileva, f’dan ir-rigward, li, kif indikajt fil-punt 16 iktar ’il fuq, din l-entità u din il-kumpannija, fir-realtà, it-tnejn li huma ġew misjuba responsabbli u mmultati skont l-Artikolu 83 tal-GDPR għall-ksur imwettaq, fil-kapaċità tagħhom ta’ kontrolluri konġunti, mill-Ispettorat.
36. Skont l-Artikolu 26(1) tal-GDPR, ikunu jeżistu “kontrolluri konġunti” meta żewġ kontrolluri jew iktar jiddeterminaw b’mod konġunt l-għanijiet u l-mezzi tal-ipproċessar. Kull kontrollur konġunt għandu, għalhekk, jissodisfa b’mod awtonomu l-kriterji elenkati fid-definizzjoni ta’ “kontrollur” prevista fl-Artikolu 4(7) ta’ dan ir-regolament (16). Barra minn hekk, il-kontrolluri konġunti għandu jkollhom ċerta relazzjoni bejniethom, peress li l-influwenza tagħhom fuq l-ipproċessar għandha tiġi eżerċitata b’mod konġunt.
37. Il-Qorti tal-Ġustizzja indikat li l-eżistenza ta’ kontroll konġunt ma timplikax neċessarjament responsabbiltà jew parteċipazzjoni ugwali tal-persuni jew entitajiet differenti involuti. Għall-kuntrarju, il-kontrolluri konġunti jistgħu jkunu involuti fi stadji differenti tal-ipproċessar, b’tali mod li l-livell ta’ responsabbiltà ta’ kull wieħed minnhom għandu jiġi evalwat fid-dawl taċ-ċirkustanzi rilevanti kollha f’kull każ (17). Barra minn hekk, ir-responsabbiltà konġunta ta’ diversi entitajiet għall-istess ipproċessar ma teħtieġx li kull wieħed minnhom ikollu aċċess għad-data personali kkonċernata (18). Madankollu, dak li huwa importanti huwa li huma jipparteċipaw flimkien fid-determinazzjoni tal-“għanijiet u l-mezzi” tal-ipproċessar.
38. F’dan ir-rigward, nirrileva li, kif jindikaw il-Linji Gwida 07/2020, tali parteċipazzjoni konġunta tista’ teżisti taħt forom differenti. Din tista’ tirriżulta minn deċiżjoni komuni meħuda minn żewġ entitajiet jew iktar jew din tista’ sempliċement tirriżulta minn deċiżjonijiet konverġenti ta’ dawn l-entitajiet. Meta dan tal-aħħar ikun il-każ, ikun importanti biss li d-deċiżjonijiet jikkumplimentaw lil xulxin u jkunu meħtieġa għat-twettiq tal-ipproċessar b’tali mod li jkollhom effett konkret fuq id-determinazzjoni tal-għanijiet u tal-mezzi tal-ipproċessar — li jfisser, essenzjalment, li l-ipproċessar ma jkunx possibbli mingħajr il-parteċipazzjoni taż-żewġ partijiet (19).
39. F’dan il-kuntest, il-qorti tar-rinviju tistaqsi jekk il-fatt li żewġ kontrolluri (f’dan il-każ, in-NVSC u ITSS) ma waslu għal ebda arranġament formali dwar l-għanijiet u l-mezzi tal-ipproċessar u/jew ma jidhirx li kkoordinaw b’mod ieħor l-azzjonijiet tagħhom jipprekludihomx milli jitqiesu bħala “kontrolluri konġunti”.
40. Nifhem li d-dubji tal-qorti tar-rinviju f’dan ir-rigward jirriżultaw mill-fatt li, skont l-Artikolu 26(1) tal-GDPR, il-kontrolluri konġunti għandhom, b’mod trasparenti, jiddeterminaw ir-responsabbiltajiet rispettivi tagħhom fir-rigward tal-osservanza tal-obbligi ta’ dan ir-regolament, permezz ta’ arranġament bejniethom. Barra minn hekk, il-premessa 79 ta’ dan ir-regolament tindika li hija meħtieġa “allokazzjoni ċara tar-responsabbiltajiet”, inkluż meta kontrollur jiddetermina l-għanijiet u l-mezzi tal-ipproċessar flimkien ma’ oħrajn. Madankollu, fil-fehma tiegħi, dawn l-obbligi u rekwiżiti japplikaw għall-kontrolluri konġunti biss ladarba dawn jistgħu jitqiesu bħala tali. Dawn ma jiffurmawx parti mill-kriterji li għandhom jiġu ssodisfatti sabiex ikunu jistgħu jiġu kklassifikati bħala tali.
41. Kif indikajt fil-punt 36 ta’ dawn il-konklużjonijiet, kontroll konġunt jiddependi biss fuq l-issodisfar ta’ żewġ kundizzjonijiet oġġettivi. L-ewwel, kull kontrollur konġunt għandu jissodisfa l-kriterji elenkati fid-definizzjoni ta’ “kontrollur” prevista fl-Artikolu 4(7) tal-GDPR. Il-proċess tal-kawża ma jinkludix biżżejjed informazzjoni li tippermetti li jiġi ddeterminat jekk, fis-sitwazzjoni fil-kawża prinċipali, ITSS għandhiex titqies bħala “kontrollur” fis-sens ta’ din id-dispożizzjoni. Madankollu, jidhirli, fid-dawl tal-konstatazzjonijiet li għamilt fit-taqsima preċedenti u bla ħsara għall-verifika li għandha ssir mill-qorti tar-rinviju, li tal-inqas in-NVSC - jekk mhux kemm din l-entità kif ukoll ITSS - jissodisfa l-kundizzjonijiet sabiex jitqies bħala “kontrollur”, fis-sens ta’ din id-dispożizzjoni. It-tieni, l-influwenza tal-kontrolluri fuq l-ipproċessar għandha tiġi eżerċitata b’mod konġunt (li jfisser li għandha tiġi eżerċitata skont il-kriterji legali u l-ġurisprudenza li fakkart fil-punti 37 u 38 iktar ’il fuq). F’dan ir-rigward, spjegajt li l-parteċipazzjoni konġunta fl-ipproċessar tista’ teżisti f’forom differenti u lanqas ma għandha tirriżulta minn deċiżjoni komuni tal-partijiet involuti. Bħala tali, l-approċċ sostantiv u funzjonali meħtieġ sabiex jiġi ddeterminat jekk persuna jew entità għandhiex titqies bħala “kontrollur”, fis-sens tal-Artikolu 4(7) tal-GDPR, japplika wkoll, fil-fehma tiegħi, għall-kontroll konġunt (20).
42. Fid-dawl ta’ dawn l-elementi, jiena tal-fehma, l-ewwel, li l-assenza ta’ xi ftehim jew ta’ xi arranġament jew anki ta’ deċiżjoni komuni bejn żewġ kontrolluri jew iktar bħan-NVSC u ITSS ma tistax, waħedha, teskludi konstatazzjoni li dawn ikunu “kontrolluri konġunti” fis-sens tal-Artikolu 4(7) tal-GDPR, moqri flimkien mal-Artikolu 26(1) tiegħu. F’dan ir-rigward, inżid li l-EDPB issuġġerixxa li, għalkemm arranġamenti kuntrattwali jistgħu jkunu utli għall-evalwazzjoni ta’ kontroll konġunt, dawn għandhom dejjem jiġu vverifikati fid-dawl taċ-ċirkustanzi fattwali tar-relazzjoni bejn il-partijiet (21).
43. It-tieni, jidhirli wkoll li s-sempliċi fatt li n-NVSC u ITSS ma jidhrux, lil hinn mill-fatt li ma laħqux ftehim, arranġament jew deċiżjoni komuni, li kkoordinaw l-azzjonijiet tagħhom jew ikkooperaw b’xi mod ieħor ma’ xulxin ma jfissirx li ma jistgħux jitqiesu bħala “kontrolluri konġunti”. Anki jekk tali koordinazzjoni jew kooperazzjoni teżisti, din hija irrilevanti għall-kwistjoni dwar jekk ir-relazzjoni bejn dawn iż-żewġ entitajiet hijiex relazzjoni ta’ kontroll konġunt jew le. Tabilħaqq, wieħed jista’ faċilment jimmaġina li kooperazzjoni jew koordinazzjoni tkun tista’ teżisti bejn żewġ entitajiet jew iktar, mingħajr bl-ebda mod ma jkunu kontrolluri konġunti. Pereżempju, żewġ kontrolluri separati jistgħu jikkoordinaw l-azzjonijiet tagħhom jew jikkooperaw ma’ xulxin bl-intenzjoni li jittrasferixxu data personali bejniethom. Madankollu, dan ma jirrendihomx “kontrolluri konġunti” fis-sens tal-Artikolu 4(7) u tal-Artikolu 26(1) tal-GDPR (22). Dak li jgħodd huwa, hekk kif spjegajt fil-punt 38 iktar ’il fuq, li l-ipproċessar ma jkunx possibbli mingħajr il-parteċipazzjoni taż-żewġ partijiet minħabba li t-tnejn għandhom effett tanġibbli fuq id-determinazzjoni tal-għanijiet u l-mezzi ta’ dan l-ipproċessar.
3. Konklużjoni dwar l‑interpretazzjoni tal‑kunċett ta’ “kontrollur” u sitwazzjonijiet ta’ kontroll konġunt
44. Fid-dawl tal-kunsiderazzjonijiet preċedenti, jidhirli li, minn naħa, bla ħsara għall-verifiki li għandhom isiru mill-qorti tar-rinviju, entità bħan-NVSC tissodisfa l-kundizzjonijiet elenkati fl-Artikolu 4(7) tal-GDPR sabiex titqies bħala “kontrollur”. Min-naħa l-oħra, il-fatt dwar jekk in-NVSC u ITSS jistgħux jitqiesu bħala “kontrolluri konġunti”, skont il-kriterji li esponejt fit-taqsima preċedenti, jew jikkwalifikaw bħala “kontrollur” u “proċessur” rispettivament, jiddependi fuq in-natura tal-relazzjoni tagħhom, fatt li għandu jiġi evalwat mill-qorti tar-rinviju.
45. F’dan ir-rigward, inżid li n-natura tar-relazzjoni bejn in-NVSC u ITSS (jiġifieri, jekk humiex “kontrolluri konġunti” jew, rispettivament, “kontrollur” u “proċessur”) hija rilevanti għas-sitt domanda. Għalhekk ser nerġa’ nirreferi għall-konstatazzjonijiet li għamilt fir-rigward tal-ħames domanda meta nindirizza l-kwistjonijiet imqajma mis-sitt domanda.
B. Fuq il‑kunċett ta’ “pproċessar” (ir‑raba’ domanda)
46. Permezz tar-raba’ domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk id-definizzjoni ta’ “pproċessar” prevista fl-Artikolu 4(2) tal-GDPR tkoprix sitwazzjoni fejn data personali tintuża fil-fażi tal-ittestjar ta’ applikazzjoni għal apparati mobbli (23). Niddeduċi mit-talba għal deċiżjoni preliminari li KARANTINAS tqiegħdet f’fażi ta’ ttestjar qabel ma tqiegħdet għad-dispożizzjoni tal-pubbliku għal finijiet ta’ tniżżil. Għalhekk, milli qiegħed nifhem, ir-raba’ domanda tirrigwarda sitwazzjoni differenti minn dik fil-qalba tad-domandi l-oħra magħmula lill-Qorti tal-Ġustizzja, li kollha huma relatati mal-ipproċessar ta’ data personali wara l-iżvolġiment tal-fażi ta’ ttestjar, meta KARANTINAS ġiet żvelata lill-pubbliku . B’mod iktar preċiż, il-qorti tar-rinviju tixtieq tkun taf jekk l-użu ta’ data personali matul din il-fażi ta’ ttestjar jistax jiġi kklassifikat bħala “pproċessar” fis-sens tal-Artikolu 4(2) tal-GDPR u, bħala tali, jista’ jwassal għal responsabbiltà eventwali tal-kontrolluri u/jew tal-proċessuri involuti.
47. L-Artikolu 4(2) tal-GDPR jiddefinixxi l-“ipproċessar” bħala “kwalunkwe attività jew sett ta’ attivitajiet li jitwettqu fuq data personali jew fuq settijiet ta’ data personali, sew jekk b’mezzi awtomatizzati u sew jekk mingħajrhom []” (24).
48. Nifhem minn din il-formulazzjoni (b’mod partikolari mill-użu tal-kelma “kwalunkwe” u ta’ termini ġeneriċi bħal “attività” jew “sett ta’ attivitajiet”) li din id-dispożizzjoni għandha tiġi interpretata f’sens wiesa’, b’mod li tkopri l-ikbar numru possibbli ta’ sitwazzjonijiet li fihom tintuża data personali. Il-lista mhux eżawrjenti ta’ tali sitwazzjonijiet, li hija prevista f’din id-dispożizzjoni, tikkonferma din l-interpretazzjoni, fid-dawl tad-diversità tal-attivitajiet li jinsabu fiha (25).
49. Barra minn hekk, filwaqt li mit-taqsima preċedenti jirriżulta li d-definizzjoni ta’ “kontrollur”, fis-sens tal-Artikolu 4(7) ta’ dan ir-regolament, hija marbuta mill-qrib mal-għanijiet tal-ipproċessar ta’ data personali (ir-raġunijiet “għalfejn” tinġabar id-data personali), dan ma huwiex il-każ tad-definizzjoni li tinsab fl-Artikolu 4(2) tal-imsemmi regolament. Bħala tali, ir-raġunijiet li għalihom titwettaq attività jew sett ta’ attivitajiet huma, bħala prinċipju, mingħajr effett fuq il-kwistjoni dwar jekk dawn għandhomx jiġu kklassifikati bħala “pproċessar”, fis-sens ta’ din id-dispożizzjoni. Minn dan isegwi, fil-fehma tiegħi, li l-kwistjoni dwar jekk data personali tinġabarx sabiex jiġu ttestjati s-sistemi tal-informatika integrati f’applikazzjoni għal apparati mobbli jew għal għan ieħor ma taffettwax il-kwistjoni dwar jekk l-attività inkwistjoni tikkwalifikax bħala “pproċessar”.
50. F’dan ir-rigward, nirrileva wkoll li l-“użu” ta’ data personali (mingħajr riferiment ieħor u, għaldaqstant, indipendentement mill-għan tal-użu) jinsab fost l-attivitajiet jew is-settijiet ta’ attivitajiet li jikkostitwixxu “pproċessar” (26). Barra minn hekk, l-Artikolu 4(2) tal-GDPR ma jinkludi l-ebda eċċezzjoni, deroga jew esklużjoni espliċita għal attivitajiet relatati mal-użu ta’ data personali għall-ittestjar ta’ sistemi tal-informatika. Minn dan isegwi li xejn ma jipprekludi li l-użu ta’ data personali sabiex jitwettaq tali ittestjar jista’ jitqies bħala “pproċessar” fis-sens ta’ din id-dispożizzjoni, anzi pjuttost il-kuntrarju.
51. Fid-dawl ta’ dawn l-elementi, inqis li d-definizzjoni ta’ “pproċessar” prevista fl-Artikolu 4(2) tal-GDPR tkopri sitwazzjoni li fiha d-data personali tintuża fil-fażi tal-ittestjar ta’ applikazzjoni għal apparati mobbli.
52. Il-konklużjoni tiegħi f’dan ir-rigward ma hijiex affettwata mis-sempliċi fatt li d-data personali pprovduta għall-finijiet tal-ittestjar tas-sistemi tal-informatika integrati f’applikazzjoni għal apparati mobbli setgħet ġiet suġġetta għal psewdonimizzazzjoni (27). L-unika ċirkustanza li fiha l-GDPR ma jkunx japplika hija jekk l-informazzjoni pprovduta fl-applikazzjoni għal apparati mobbli tkun tikkonsisti biss f’informazzjoni anonima li “mhijiex marbuta ma’ persuna fiżika identifikat jew identifikabbli jew għal [ma’] data personali” jew f’data personali li tkun “[saret] anonima b’tali mod li s-suġġett tad-data ma jkunx jew ma jkunx għadu identifikabbli”. Madankollu nirrileva li, fil-kawża prinċipali, id-data użata għall-fażi tal-ittestjar ma tidhirx, abbażi tal-informazzjoni pprovduta fil-proċess tal-kawża, li kienet tikkonsisti f’tali data anonimizzata (28).
53. Fid-dawl tal-kunsiderazzjonijiet preċedenti, inqis li d-definizzjoni ta’ “pproċessar” ipprovduta fl-Artikolu 4(2) tal-GDPR tkopri sitwazzjoni li fiha data personali tintuża fil-fażi tal-ittestjar ta’ applikazzjoni għal apparati mobbli, ħlief jekk din id-data tkun saret anonima b’tali mod li s-suġġett tad-data ma jkunx jew ma jkunx għadu identifikabbli. Il-kwistjoni dwar jekk data personali tinġabarx bl-għan ta’ ttestjar tas-sistemi tal-informatika integrati f’applikazzjoni għal apparati mobbli jew għal għan ieħor ma għandha, min-naħa tagħha, l-ebda effett fuq il-kwistjoni dwar jekk l-attività inkwistjoni tikkwalifikax bħala “pproċessar” (29).
54. Wara li saru dawn il-preċiżazzjonijiet, issa ser nittratta l-kwistjoni ċentrali ta’ din il-kawża, li tikkonċerna l-kundizzjonijiet li fihom tista’ tiġi imposta multa amministrattiva fuq kontrollur jew proċessur, skont l-Artikolu 83 tal-GDPR.
C. Fuq il‑multi amministrattivi imposti skont l‑Artikolu 83 tal‑GDPR (is‑sitt domanda)
55. Qabel l-adozzjoni tal-GDPR, is-sanzjonijiet għall-ksur tar-regoli dwar il-protezzjoni tad-data tħallew fil-biċċa l-kbira għad-diskrezzjoni tal-Istati Membri, skont l-awtonomija proċedurali u korrettiva tagħhom (30). Il-multi amministrattivi, li ġew introdotti mill-Artikolu 83 ta’ dan ir-regolament, jikkostitwixxu, konsegwentement, “żvilupp” relattivament ġdid tad-dritt tal-Unjoni fil-qasam tal-protezzjoni tad-data. Huma ġew deskritti mill-Grupp ta’ Ħidma Artikolu 29 bħala “element ċentrali fir-reġim il-ġdid ta’ infurzar” (31). Għalkemm din id-dispożizzjoni għadha ma ġietx interpretata mill-Qorti tal-Ġustizzja, din diġà ġiet applikata mill-awtoritajiet superviżorji, xi drabi sabiex jiġu imposti multi kbar fuq kontrolluri jew proċessuri (32).
56. L-Artikolu 83 tal-GDPR jipprevedi sistema ta’ sanzjoni fuq żewġ livelli, skont it-tip speċifiku ta’ dispożizzjoni miksura. Filwaqt li l-ewwel livell, iddefinit fl-Artikolu 83(4) ta’ dan ir-regolament, japplika għas-sitwazzjonijiet li fihom kontrollur jew proċessur jikser l-obbligi ġenerali li għalihom huwa suġġett, kif ukoll ċerti obbligi speċifiċi, it-tieni livell huwa rriżervat, kif jindika l-Artikolu 83(5) tal-GDPR, għal ksur iktar serju, bħal ksur, inter alia, tal-prinċipji fundamentali għall-ipproċessar, tad-drittijiet tas-suġġetti tad-data u tar-regoli dwar it-trasferiment ta’ data personali lil riċevitur f’pajjiż terz jew lil organizzazzjoni internazzjonali.
57. Għaż-żewġ livelli, l-awtoritajiet nazzjonali kompetenti, wara li jkunu stabbilixxew li ġiet miksura dispożizzjoni speċifika tal-GDPR, għandhom iwettqu żewġ evalwazzjonijiet. L-ewwel, huma għandhom jiddeterminaw jekk hemmx lok li tiġi imposta multa u, t-tieni, meta jkunu ddeterminaw dan, huma għandhom jiffissaw l-ammont ta’ din il-multa. Dawn l-evalwazzjonijiet għandhom jitwettqu f’kull każ individwali, fid-dawl tad-diversi fatturi elenkati fl-Artikolu 83(2) tal-GDPR. Fost dawn l-elementi hemm il-“karattru intenzjonali jew negliġenti tal-ksur” (Artikolu 83(2)(b) ta’ dan ir-regolament).
58. Permezz tas-sitt domanda tagħha, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk multa amministrattiva tistax tiġi imposta fuq kontrollur meta dan ma jkunx aġixxa b’intenzjoni jew b’negliġenza meta kiser ir-regoli dwar il-protezzjoni tad-data u meta l-ipproċessar illegali ta’ data personali ma jkunx twettaq mill-kontrollur innifsu, iżda minn proċessur. Sabiex nerġa’ lura għall-konstatazzjonijiet li għamilt iktar ’il fuq fir-rigward tal-ħames domanda, jidhirli li s-sitt domanda saret fil-każ li, fil-kawża prinċipali, in-NVSC u ITSS ma jkunux jistgħu jitqiesu bħala “kontrolluri konġunti”, fis-sens tal-Artikolu 4(7) tal-GDPR, moqri flimkien mal-Artikolu 26(1) ta’ dan ir-regolament, u jkollhom jitqiesu rispettivament bħala “kontrollur” u “proċessur”. F’dan il-kuntest partikolari, il-qorti tar-rinviju tixtieq tiċċara l-kundizzjonijiet li fihom in-NVSC jista’ jiġi mmultat, skont l-Artikolu 83 tal-GDPR.
59. Dan premess, nirrileva li s-sitt domanda ssemmi biss l-Artikolu 83(1) tal-GDPR bħala d-dispożizzjoni rilevanti. Madankollu, fil-fehma tiegħi, il-kwistjonijiet imqajma minn din id-domanda jeħtieġu li jiġi kkunsidrat l-Artikolu 83 ta’ dan ir-regolament fl-intier tiegħu u, b’mod partikolari, kif spjegajt fil-punt 57 iktar ’il fuq, li jittieħed inkunsiderazzjoni l-Artikolu 83(2)(b) tiegħu, peress li din id-dispożizzjoni tirreferi għall-“karattru intenzjonali jew negliġenti tal-ksur”. Għalhekk ser inqis is-sitt domanda bħala li qiegħda tistaqsi dwar l-interpretazzjoni tal-Artikolu 83 tal-GDPR fl-intier tiegħu u mhux biss tal-Artikolu 83(1) tiegħu.
60. Fil-fehma tiegħi, din id-domanda tinkludi żewġ partijiet. L-ewwel, din teħtieġ li l-Qorti tal-Ġustizzja tiddetermina jekk l-Artikolu 83 tal-GDPR jippermettix li jiġu imposti multi amministrattivi, b’mod ġenerali, fuq il-kontrolluri jew il-proċessuri fl-assenza ta’ kwalunkwe nuqqas ta’ mens rea (element mentali – ħtija). Essenzjalment, il-qorti tar-rinviju tixtieq tkun taf jekk in-NVSC jistax jiġi mmultat għas-sempliċi raġuni li kiser l-obbligi imposti fuqu bħala kontrollur (responsabbiltà mingħajr nuqqas), jew jekk huwiex meħtieġ element ta’ ħtija fit-twettiq tal-ksur ikkonċernat. It-tieni, din titlob kjarifika dwar jekk il-fatt li l-ipproċessar illegali ta’ data personali ma twettaqx mill-kontrollur stess iżda minn proċessur, jaffettwax, bi kwalunkwe mod, il-possibbiltà għall-awtoritajiet superviżorji li jimponu multa fuq il-kontrollur.
61. Ser neżamina suċċessivament kull wieħed minn dawn iż-żewġ aspetti.
1. L‑ewwel aspett: in‑neċessità li tiġi stabbilita ħtija
62. L-Artikolu 83 tal-GDPR jirrikjedi li kwalunkwe multa amministrattiva imposta fil-każ ta’ ksur tar-regoli dwar il-protezzjoni tad-data għandha tkun “effettiva, proporzjonata u dissważiva”. Dan jirriżulta b’mod ċar mill-paragrafu 1 ta’ din id-dispożizzjoni. Madankollu, dan il-paragrafu ma jippreċiżax jekk tali multa tistax tiġi imposta biss jekk tkun stabbilita ħtija wkoll, jiġifieri, jekk il-“ħtija” hijiex prerekwiżit għall-impożizzjoni ta’ kull multa amministrattiva.
63. Il-paragrafu 2(b) ta’ din id-dispożizzjoni jelenka, min-naħa l-oħra, “il-karattru intenzjonali jew negliġenti tal-ksur” fost l-elementi (33) li lilhom l-awtoritajiet superviżorji għandhom jagħtu “konsiderazzjoni dovuta” f’kull każ individwali. Skont l-Artikolu 83(2)(k) ta’ dan ir-regolament, dawn l-elementi għandhom jinftiehmu bħala “[fatturi] aggravanti jew mitiganti” u ma humiex eżawrjenti.
64. F’dan il-kuntest, fil-fehma tiegħi, hemm żewġ modi kif għandu jinftiehem l-Artikolu 83 tal-GDPR.
65. Minn naħa, wieħed jista’ jikkunsidra li, għalkemm deċiżjoni li tiġi imposta multa u l-ammont tagħha għandhom jiġu ddeterminati b’kunsiderazzjoni dovuta għal-livell ta’ ħtija involuta (b’mod li, pereżempju, multa ogħla għandha, bħala prinċipju, tiġi imposta jekk il-ksur kien jirriżulta minn imġiba intenzjonali u, għall-kuntrarju, imġiba negliġenti għandha twassal għal multa inqas għolja), xejn ma jipprekludi li multa tiġi imposta wkoll fl-assenza ta’ kwalunkwe ħtija, sakemm il-proċessur jew il-kontrollur tad-data jkun jista’ jitqies bħala responsabbli għall-ksur. Din l-interpretazzjoni tkun sostnuta minn qari tal-Artikolu 83(2)(b) u (k) fis-sens li, billi jsemmu tipi differenti ta’ ħtija (deliberata jew b’negliġenza) bħala “[fatturi] aggravanti jew mitiganti”, dawn id-dispożizzjonijiet jistgħu jkunu qegħdin jimplikaw li l-ħtija, b’mod ġenerali, ma hijiex prerekwiżit għall-impożizzjoni ta’ multa.
66. Min-naħa l-oħra, wieħed jista’ jargumenta wkoll, kif tagħmel il-Kummissjoni f’dan il-każ, li n-negliġenza tal-persuna jew tal-entità li wettqet il-ksur għandha tiġi stabbilita, bħala rekwiżit minimu, qabel ma tkun tista’ tiġi imposta multa. Dan l-approċċ ikun sostnut minn qari differenti, iktar prudenti, tal-Artikolu 83(2)(b) u (k) tal-GDPR, jiġifieri li dawn id-dispożizzjonijiet jimponu fuq l-awtoritajiet superviżorji l-obbligu li jiddistingwixxuu bejn fattur mitiganti (negliġenza) u wieħed aggravanti (intenzjoni), iżda ma jindikawx li multa tista’ tiġi imposta fl-assenza totali ta’ ħtija.
67. Il-Kummissjoni għażlet espressament din l-interpretazzjoni fil-proposta inizjali tagħha li wasslet għall-adozzjoni tal-GDPR (34), li fiha hija ssuġġerixxiet li s-sistema ta’ multi tiġi organizzata bħala sistema fuq tliet livelli. Għal kull livell, il-Kummissjoni pproponiet li jistgħu jiġu imposti multi biss fuq “kull min, b’intenzjoni jew b’negliġenza” (35), ikun wettaq wieħed jew iktar mill-ksur allegat. B’hekk, il-ħtija kienet prevista b’mod ċar mill-Kummissjoni bħala prerekwiżit għall-impożizzjoni ta’ tali multa (36).
68. Għalkemm iż-żewġ approċċi jistgħu, fil-fehma tiegħi, jiġu difiżi fuq il-bażi ta’ interpretazzjoni testwali tal-Artikolu 83(2) tal-GDPR, sa fejn kull waħda minnhom tikkorrispondi għal ftehim tal-“karattru intenzjonali jew negliġenti tal-ksur” bħala fattur “aggravanti” jew “mitiganti”, jiena tal-fehma li huwa biss it-tieni approċċ li jirrifletti b’mod korrett l-intenzjoni tal-leġiżlatur tal-Unjoni. Diversi raġunijiet iwassluni għal din il-konklużjoni.
a) Ir‑raġunijiet li għalihom hija meħtieġa ħtija
69. L-ewwel, nirrileva li diversi mill-fatturi elenkati fl-Artikolu 83(2) tal-GDPR jinkludu formulazzjoni speċifika li minnha jista’ jiġi dedott li tali fatturi jistgħu japplikaw mhux fil-każijiet kollha, iżda biss f’ċerti każijiet. B’mod partikolari, l-Artikolu 83(2)(c), (e) u (k) kollha jibdew bil-kelma “kwalunkwe” (“kwalunkwe azzjoni meħuda mill-kontrollur jew il-proċessur biex jittaffa d-dannu []”; “kwalunkwe ksur preċedenti rilevanti []”; “kwalunkwe fattur aggravanti jew mitiganti applikabbli għaċ-ċirkostanzi tal-każ []”), u b’hekk jissuġġerixxu li, għalkemm l-awtoritajiet superviżorji għandhom dejjem jieħdu inkunsiderazzjoni l-eżistenza ta’ azzjoni mitiganti, ta’ ksur preċedenti jew ta’ fattur aggravanti jew mitiganti rilevanti ieħor meta tali elementi jkunu preżenti jew ipprovati, jistgħu, effettivament, ikunu jeżistu sitwazzjonijiet li fihom l-istess elementi jkunu sempliċement assenti, iżda madankollu l-awtorità kompetenti fil-qasam tal-protezzjoni tad-data xorta waħda tista’ tiddeċiedi li timponi multa (jew, għall-kuntrarju, li ma timponix multa). Bl-istess mod, ninnota li l-Artikolu 83(2)(i) tal-GDPR huwa fformulat ukoll b’mod mhux sistematiku, peress li jeħtieġ li jiġi eżaminat jekk il-kontrollur jew il-proċessur ikunx osserva l-miżuri msemmija fl-Artikolu 58(2) ta’ dan ir-regolament, iżda biss “fejn [tali] miżuri [] ikunu ġew ordnati minn qabel kontra l-kontrollur jew il-proċessur”.
70. Għall-kuntrarju, l-Artikolu 83(2)(b) isemmi “il-karattru intenzjonali jew negliġenti tal-ksur” (37). Għalhekk, dan jidhirli li huwa parti mill-fatturi li għandhom ikunu preżenti u, minn perspettiva figurattiva, li l-kaxxa tiegħu għandha tiġi “mmarkata”, fil-każijiet kollha, qabel ma tkun tista’ tiġi imposta multa, l-istess bħan-“natura, il-gravità u d-dewmien tal-ksur []” (Artikolu 83(2)(a)), “il-kategoriji ta’ data personali affettwati []” (Artikolu 83(2)(g)), u “il-mod li bih il-ksur sar magħruf []” (Artikolu 83(2)(h)). Dawn il-fatturi l-oħra għandhom ukoll, fil-fehma tiegħi, ikunu “preżenti” fil-każijiet kollha: pereżempju, “in-natura, il-gravità u d-dewmien tal-ksur” jistgħu jvarjaw ħafna minn każ għal ieħor (u għalhekk jistgħu jitqiesu jew bħala raġuni “favur” jew bħala raġuni “kontra” l-impożizzjoni ta’ multa). Madankollu, fil-każijiet kollha, ikun hemm in-natura, ċerta gravità u ċertu dewmien tal-ksur li għandhom jittieħdu inkunsiderazzjoni. Fil-fehma tiegħi, dan jikkostitwixxi l-ewwel indizju li multi amministrattivi kienu introdotti fl-Artikolu 83 tal-GDPR, sabiex dawn jiġu imposti biss f’sitwazzjonijiet fejn il-ksur allegat twettaq jew b’intenzjonali jew b’negliġenza (38).
71. It-tieni, nirrileva li, għalkemm l-Artikolu 83(2) tal-GDPR ma jindikax espressament li l-ksur għandu jkun jseħħ “b’intenzjoni jew b’negliġenza”, l-istess ma japplikax għall-paragrafu 3 ta’ din id-dispożizzjoni, li jinkludi regola ġenerali li tipprekludi l-akkumulazzjoni ta’ multi amministrattivi. Dan il-paragrafu jsemmi biss il-każ fejn il-ksur ikkonċernat ikun twettaq “intenzjonalment jew b’negliġenza”.
72. Fil-fehma tiegħi, minn dan isegwi loġikament li l-Artikolu 83(2) tal-GDPR għandu jiġi interpretat fis-sens li multa tista’ tiġi imposta biss jekk il-ksur allegat ikun seħħ b’intenzjoni jew b’negliġenza. Tabilħaqq, jekk il-kamp ta’ applikazzjoni tal-Artikolu 83(2) u dak tal-Artikolu 82(3) tal-GDPR kienu differenti, allura jkun possibbli li jiġu imposti multi aggregati għal ksur inqas serju (jiġifieri dak imwettaq mingħajr ħtija), peress li, għalkemm dan xorta waħda jista’ jirriżulta fl-impożizzjoni ta’ multa b’applikazzjoni tal-ewwel waħda minn dawn id-dispożizzjonijiet (Artikolu 83(2)), dan il-ksur ma jkunx jaqa’ taħt it-tieni waħda (Artikolu 83(3)). Madankollu, l-istess ma jgħoddx għall-ksur imwettaq b’negliġenza jew b’intenzjoni, peress li dan il-ksur ikun kollu suġġett għar-regola kontra l-aggregazzjoni prevista fl-Artikolu 83(3) ta’ dan ir-regolament. Tali riżultat ikun imur manifestament kontra l-prinċipju bażiku tar-reġim ta’ sanzjoni stabbilit mill-GDPR, li huwa li ksur serju għandu, bħala prinċipju, jiġi ppenalizzat b’mod iktar strett mill-ksur inqas serju, u mhux bil-maqlub.
73. It-tielet, nirrileva li l-multi imposti skont l-Artikolu 83 tal-GDPR jistgħu jagħtu lok għal sanzjonijiet severi. Tabilħaqq, l-ewwel livell, kopert mill-Artikolu 83(4) ta’ dan ir-regolament, jista’ jwassal għall-impożizzjoni ta’ multi sa EUR 10 000 000 jew, fil-każ ta’ impriża, sa 2 % tad-dħul mill-fatturat annwali totali tas-sena finanzjarja preċedenti, skont liema jkun l-ogħla. It-tieni livell jipprevedi multi sa EUR 20 000 000 jew, fil-każ ta’ impriża, sa 4 % tal-fatturat annwali totali dinji tas-sena finanzjarja preċedenti (għal darba oħra, skont liema jkun ukoll l-ogħla).
74. Konsegwentement, jidhirli li l-multi imposti skont l-Artikolu 83 tal-GDPR għandhom għan punittiv, tal-inqas f’ċerti sitwazzjonijiet (39), u jippreżentaw grad għoli ta’ severità tali li jistgħu jitqiesu li huma ta’ natura kriminali (40) u, għaldaqstant, li jaqgħu fil-kamp ta’ applikazzjoni tal-Artikolu 49 tal-Karta tad-Drittijiet Fundamentali tal-Unjoni Ewropea (iktar ’il quddiem il-“Karta”) (41).
75. Fid-dawl ta’ dawk l-elementi u, b’mod partikolari, tan-natura kriminali tal-multi imposti b’applikazzjoni tal-Artikolu 83 tal-GDPR, wieħed jista’ jkollu l-intenzjoni jsostni li jkun inkompatibbli mar-rekwiżit tal-Artikolu 83(1) tal-GDPR li l-multi jkunu, fil-każijiet kollha, mhux biss u “effettiv[i]” “dissważiv[i]”, iżda wkoll “proporzjonat[i]”, sabiex tali multi jkunu jistgħu jiġu imposti fl-assenza ta’ ħtija. Fi kliem ieħor, ikun sproporzjonat li jiġu imposti multi fil-każijiet fejn lanqas negliġenza ma tkun stabbilita. Fil-fehma tiegħi, dan l-argument huwa, madankollu, diffiċli li jsir, peress li l-Qorti tal-Ġustizzja diġà kkonstatat li sistema ta’ penalitajiet jew ta’ sanzjonijiet ibbażata fuq responsabbiltà mingħajr nuqqas, anki waħda ta’ natura kriminali, ma hijiex, fiha nnifisha, sproporzjonata meta mqabbla mal-għanijiet imfittxija, jekk din is-sistema tkun tali li tħeġġeġ lill-persuni kkonċernati josservaw id-dispożizzjonijiet ta’ regolament u meta l-għan imfittex ikun kwistjoni ta’ interess pubbliku li jista’ jiġġustifika l-introduzzjoni ta’ tali sistema (42). Barra minn hekk, il-Qorti Ewropea tad-Drittijiet tal-Bniedem (il-Qorti EDB) iddeċidiet, fir-rigward tal-Artikolu 7 tal-Konvenzjoni Ewropea dwar id-Drittijiet tal-Bniedem (iktar ’il quddiem il-“KEDB”) (li jikkorrispondi għall-Artikolu 49 tal-Karta) (43), li, għalkemm -piena skont din id-dispożizzjoni ġeneralment teżiġi l-eżistenza ta’ rabta mentali li tippermetti li jiġi identifikat element ta’ responsabbiltà fl-imġiba tal-persuna li fiżikament wettqet il-ksur, dan ir-rekwiżit ma jipprekludix l-eżistenza ta’ ċerti forom ta’ responsabbiltà oġġettiva (44).
76. Dan premess, nifhem minn din il-ġurisprudenza li mens rea hija, bħala regola ġenerali, meħtieġa sabiex tiġi imposta piena, u li r-responsabbiltà mingħajr nuqqas tikkostitwixxi għalhekk tip ta’ “eċċezzjoni” għal din ir-regola ġenerali, sa fejn din għandha tiġi ġġustifikata fid-dawl tal-għanijiet imfittxija mir-regolament.
77. Fid-dawl tal-GDPR kollu kemm hu, jidhirli li l-leġiżlatur tal-Unjoni kkunsidra multi amministrattivi bħala waħda biss mill-għodod ipprovduti f’dan l-istrument sabiex tiġi żgurata osservanza effettiva. Tabilħaqq, għandhom jiġu imposti multi “flimkien ma’, jew minflok” il-miżuri l-oħra elenkati fl-Artikolu 58(2) ta’ dan ir-regolament, li jagħti lill-awtoritajiet superviżorji sensiela ta’ setgħat korrettivi (bħas-setgħa li jagħtu twissijiet, twiddib jew ordnijiet) (45). Barra minn hekk, fis-sitwazzjonijiet fejn ma tiġi imposta ebda multa amministrattiva skont l-Artikolu 83 tal-GDPR, l-awtoritajiet superviżorji għandhom il-possibbiltà li jimponu sanzjonijiet oħra skont l-Artikolu 84 ta’ dan ir-regolament (46).
78. Fil-fehma tiegħi, dawn id-dispożizzjonijiet jippreċiżaw li, meta adotta dan ir-regolament, il-leġiżlatur tal-Unjoni ma kellux l-intenzjoni li kull ksur tar-regoli dwar il-protezzjoni tad-data jkun ippenalizzat permezz ta’ multa amministrattiva. Huwa iktar kellu l-intenzjoni li jipprovdi sistema flessibbli u ddifferenzjata ta’ pieni u sanzjonijiet. Dan huwa kkonfermat mill-premessa 148 tal-GDPR, li tipprovdi li l-awtoritajiet superviżorji jistgħu jastjenu milli jimponu multa amministrattiva, u minflok jagħtu twiddiba, fil-każ “ta’ ksur minuri jew jekk il-multa li x'aktarx li tiġi imposta tikkostitwixxi piż sproporzjonat għal persuna fiżika”. F’dan il-kuntest, il-limitazzjoni tal-applikazzjoni tal-Artikolu 83 tal-GDPR għas-sitwazzjonijiet li fihom in-negliġenza hija, bħala rekwiżit minimu, stabbilita, hija, fil-fehma tiegħi, allinjata ma’ dawn l-għanijiet u mal-loġika globali ta’ dawn id-dispożizzjonijiet differenti, li skonthom l-impożizzjoni ta’ multi amministrattivi għandha tiġi rriżervata għal ċertu tip ta’ ksur.
79. Jidhirli wkoll li, meta l-leġiżlatur tal-Unjoni wera r-rieda tiegħu li jintroduċi responsabbiltà mingħajr nuqqas jew responsabbiltà preżunta fil-GDPR, huwa għamel dan bl-użu ta’ termini speċifiċi li huma assenti mill-Artikolu 83 tiegħu. Pereżempju, fir-rigward tar-responsabbiltà ċivili (jiġifieri r-responsabbiltà tal-kontrolluri u tal-proċessuri lejn is-suġġetti tad-data), koperta mill-Artikolu 82 tal-GDPR, il-leġiżlatur tal-Unjoni indika li l-kontrolluri u l-proċessuri għandhom obbligu strett li jikkumpensaw id-dannu li jikkawżaw lis-suġġetti tad-data, sakemm ma jirnexxilhomx juru li ma huma bl-ebda mod responsabbli għall-fatti li kkawżaw id-dannu (47). Għall-kuntrarju, l-Artikolu 83 ta’ dan ir-regolament ma jinkludix formulazzjoni analoga għall-Artikolu 84 tal-GDPR. Fil-fehma tiegħi, dan jikkonferma li l-leġiżlatur tal-Unjoni ma kellux l-intenzjoni li din id-dispożizzjoni tintroduċi sistema ta’ multi bbażata fuq responsabbiltà mingħajr nuqqas jew fuq responsabbiltà preżunta.
80. Ir-raba’, u forsi l-iktar importanti, inqis li, fil-prattika, il-limitu għal ksur negliġenti tal-GDPR, fis-sens tal-Artikolu 83(2)(b) ta’ dan ir-regolament, huwa, fi kwalunkwe każ, tant baxx li jkun diffiċli li jiġu previsti sitwazzjonijiet li fihom ikun impossibbli li tiġi imposta multa għas-sempliċi raġuni li dan l-element ma jkunx issodisfatt. Għaldaqstant, inqis li s-sempliċi fatt li għandha tiġi stabbilita intenzjoni jew negliġenza qabel ma tkun tista’ tiġi imposta multa b’applikazzjoni tal-Artikolu 83 ta’ dan ir-regolament ma jikkompromettix l-għan tal-leġiżlatur tal-Unjoni li jiġi ggarantit l-infurzar effettiv tar-regoli dwar il-protezzjoni tad-data inklużi fih, anżi, għall-kuntrarju.
81. Xi wħud sostnew, f’dan ir-rigward, li s-sempliċi assenza ta’ kwalunkwe azzjoni f’sitwazzjoni fejn il-kontrollur jew il-proċessur ikollu sempliċi dubji dwar il-legalità tal-ipproċessar imwettaq diġà tikkostitwixxi aċċettazzjoni ddeliberata ta’ ksur possibbli tal-GDPR u, għalhekk, ta’ negliġenza serja (48). Barra minn hekk, il-Grupp ta’ Ħidma Artikolu 29 issuġġerixxa li ksur negliġenti, f’diversi aspetti, jammonta għal ksur “mhux intenzjonat”, peress li, fil-fehma tiegħu, tali ksur jista’ jeżisti fejn ma kien hemm l-ebda intenzjoni li jiġi kkawżat il-ksur, u l-kontrollur jew il-proċessur sempliċement naqas mid-dmir tiegħu ta’ diliġenza (49). B’mod partikolari, huwa indika li anki “żball uman” evidenti u sempliċi (50) jista’ juri negliġenza.
82. Żewġ konklużjonijiet jiġu f’moħħi. L-ewwel, il-linja bejn ksur purament mhux intenzjonat mingħajr ħtija u ksur negliġenti hija, fir-realtà, fina ħafna. Inqis li l-awtoritajiet superviżorji rarament ikollhom diffikultajiet sabiex isibu biżżejjed elementi li l-ksur allegat seħħ tal-inqas b’negliġenza. F’dan ir-rigward, nirrileva li fid-duttrina ngħad li, “fid-dawl tad-diversi azzjonijiet ta’ sensibilizzazzjoni preżenti [] intiżi sabiex tiġi żgurata l-osservanza tal-GDPR, huwa diffiċli li wieħed jimmaġina [] ksur tal-GDPR mingħajr tal-inqas negliġenza preżenti.” (51) Jiena naqbel bis-sħiħ u nfakkar li l-GDPR għandu l-għan speċifiku li jiżgura li l-kontrolluri u l-proċessuri jkunu konxji tar-regoli dwar il-protezzjoni tad-data personali, u dan jagħmilha saħansitra iktar diffiċli, fil-fehma tiegħi, li jitqies li ksur jista’ jseħħ mingħajr ħtija assoluta (lanqas negliġenza) (52).
83. It-tieni, dan ir-riżultat jidher perfettament konformi mal-għan prinċipali tal-GDPR, li huwa li jiġi żgurat livell ta’ protezzjoni konsistenti u għoli tal-persuni fiżiċi fi ħdan l-Unjoni Ewropea(53). Tabilħaqq, il-multi għandhom effett ta’ deterrent (54). Bis-saħħa tal-inċentiv li huma joħolqu għall-kontrolluri u l-proċessuri sabiex jikkonformaw mal-GDPR, huma jikkontribwixxu b’mod ġenerali għat-tisħiħ tal-protezzjoni tas-suġġetti tad-data u għalhekk huma element ewlieni sabiex jiġi żgurat ir-rispett tad-drittijiet tagħhom (55). Minn dan isegwi, fil-fehma tiegħi, li, filwaqt li l-“ħtija” ma tistax titwarrab, il-livell ta’ ħtija meħtieġ sabiex japplika l-Artikolu 83 ta’ dan ir-regolament huwa suffiċjentement baxx, sabiex jiġi żgurat livell xieraq ta’ protezzjoni għas-suġġetti tad-data.
84. Barra minn hekk, nenfasizza li dan l-approċċ li nipproponi li l-Qorti tal-Ġustizzja tadotta jikkonferma wkoll l-allinjament tas-sistema ta’ impożizzjoni ta’ multi stabbilita minn din id-dispożizzjoni ma’ dik prevista fl-Artikolu 23(1) tar-Regolament (KE) Nru 1/2003 (56), għall-ksur tad-dritt tal-kompetizzjoni, li tapplika ukoll biss jekk intenzjoni u negliġenza jiġu stabbiliti. Il-fatt li din is-sistema l-oħra ta’impożizzjoni ta’ multi ispirat il-formulazzjoni tal-Artikolu 83 tal-GDPR huwa kkorroborat mill-premessa 150 tiegħu, li tipprovdi li, “[f]ejn il-multi amministrattivi jiġu imposti fuq intrapiża, ‘intrapriża’ għandha tinftiehem bħala intrapriża skont l-Artikoli 101 u 102 TFUE għal dawk il-finijiet”, kif ukoll minn similaritajiet oħra bejn dawn iż-żewġ sistemi ta’ impożizzjoni ta’ multi, bħall-fatt li l-ammont tal-multi jista’, għal impriżi, ikun ibbażat, fiż-żewġ sistemi, fuq il-fatturat tagħhom. Nirrileva wkoll li diversi fatturi elenkati fl-Artikolu 83(2) tal-GDPR jirriflettu dawk li huma rilevanti għad-determinazzjoni tal-ammont ta’ multa għall-ksur tad-dritt tal-kompetizzjoni (57).
85. Wara li esponejt ir-raġunijiet għalfejn nemmen li għandha tiġi stabbilita l-ħtija qabel ma tkun tista’ tiġi imposta multa fuq kontrollur jew proċessur skont l-Artikolu 83(2) tal-GDPR, jifdalli ngħid xi kliem dwar ir-raġunament tal-Kunsill u tal-Gvern Litwan. Skont dawn il-partijiet, huma l-Istati Membri li għandhom jiddeċiedu jekk hemmx bżonn ta’ ħtija qabel ma tkun tista’ tiġi imposta multa amministrattiva.
86. Jiena sempliċement ma naqbilx ma’ dan is-suġġeriment.
b) Għaliex l‑Istati Membri ma għandhom l‑ebda marġni ta’ diskrezzjoni dwar jekk hijiex meħtieġa l‑ħtija
87. Jidhirli li huwa evidenti li wieħed mill-għanijiet essenzjali tal-GDPR u, b’mod partikolari, tal-Artikolu 83 tiegħu, huwa li jintlaħaq livell ogħla ta’ armonizzazzjoni fl-Unjoni kollha f’dak li jirrigwarda, b’mod partikolari, l-impożizzjoni ta’ multi (58). F’dan ir-rigward, jiena tal-fehma li, kuntrarjament għal dak li sostnew il-Kunsill u l-Gvern Litwan, il-leġiżlatur tal-Unjoni ma kellux l-intenzjoni li l-Istati Membri jkollhom id-diskrezzjoni fir-rigward tal-kwistjoni dwar jekk hijiex meħtieġa l-ħtija jew le.
88. Huwa minnu li r-rekwiżiti addizzjonali dwar il-proċedura li għandha tiġi segwita mill-awtoritajiet superviżorji sabiex jimponu multa jistgħu jiġu previsti mil-leġiżlazzjoni nazzjonali (fir-rigward ta’ kwistjonijiet bħall-komunikazzjoni tal-multa u t-termini għall-preżentata tal-osservazzjonijiet, l-appell, l-infurzar u l-ħlas) (59). Dan jirriżulta b’mod ċar mill-Artikolu 83(8) tal-GDPR, li jipprovdi li l-eżerċizzju mill-awtoritajiet superviżorji tas-setgħat tagħhom fil-qasam tal-impożizzjoni ta’ multi għandu jkun “soġġett għal salvagwardji proċedurali xierqa”, li għandhom ikunu pprovduti fid-dritt nazzjonali, sakemm tiġi żgurata l-osservanza tad-dritt tal-Unjoni (u b’mod partikolari tad-dritt għal rimedju ġudizzjarju effettiv u għal proċess ġust).
89. Madankollu, dan il-marġni ta’ diskrezzjoni ma jistax jiġi estiż għar-rekwiżiti sostantivi li japplikaw għall-impożizzjoni ta’ multa, bħall-grad ta’ ħtija. Fil-fehma tiegħi, din il-konklużjoni tirriżulta direttament minn diversi premessi ta’ dan ir-regolament (60), li minnhom jirriżulta li s-sistema ta’ multi amministrattivi stabbilita mill-Artikolu 83 tal-GDPR kienet intiża mil-leġiżlatur tal-Unjoni sabiex twassal għal riżultati konsistenti fit-territorju tal-Unjoni.
90. Għall-finijiet ta’ kompletezza, inżid li, peress li l-multi għandhom effett qawwi fuq il-kompetizzjoni bejn l-impriżi u għandhom riperkussjonijiet sinjifikanti fuq is-suq, huwa essenzjali, fil-fehma tiegħi, li l-Artikolu 83 tal-GDPR jiġi applikat b’mod konsistenti, jew inkella huwa jista’ effettivament jikkontribwixxi għall-introduzzjoni ta’ distorsjonijiet tal-kompetizzjoni bejn l-impriżi (61).
2. It‑tieni aspett: kontrollur jista’ jiġi mmultat għal ksur imwettaq f’kuntest fejn l‑ipproċessar illegali ma twettaqx minnu nnifsu, iżda minn proċessur?
91. Permezz tat-tieni parti tas-sitt domanda, il-qorti tar-rinviju tistaqsi, essenzjalment, jekk kontrollur jistax jiġi mmultat skont l-Artikolu 83 tal-GDPR f’kuntest fejn l-ipproċessar illegali ta’ data personali ma jkunx twettaq mill-kontrollur innifsu, iżda minn proċessur (f’dan il-każ, ITSS).
92. Fil-fehma tiegħi, ir-risposta għal din id-domanda għandha tkun fl-affermattiv.
93. F’dan ir-rigward, infakkar li, kif indikajt fil-punt 27 iktar ’il fuq, kontrollur ma għandux bżonn jipproċessa huwa stess id-data personali, sakemm jiddetermina l-“għalfejn u l-mod” tal-attivitajiet ta’ pproċessar ikkonċernati. Barra minn hekk, nirrileva li l-Artikolu 4(8) tal-GDPR jiddefinixxi l-“proċessur” bħala “persuna fiżika jew ġuridika, awtorità pubblika, aġenzija jew korp ieħor li jipproċessa data personali f’isem il-kontrollur” (62).
94. Dawn id-definizzjonijiet jikkonfermaw, fil-fehma tiegħi, li, fil-kuntest tal-applikazzjoni tal-GDPR, kontrollur jista’ jinżamm responsabbli u, għaldaqstant jista’ jiġi mmultat, skont l-Artikolu 83 ta’ dan ir-regolament, f’sitwazzjoni fejn data personali tiġi pproċessata b’mod illegali u meta dan l-ipproċessar illegali twettaq mhux mill-kontrollur stess, iżda minn proċessur. Din il-possibbiltà tibqa’ teżisti sakemm tali proċessur jipproċessa data personali f’isem il-kontrollur.
95. Dan ikun il-każ sakemm il-proċessur jaġixxi skont il-mandat mogħti lilu mill-kontrollur u jipproċessa d-data skont l-istruzzjonijiet legali li jirċievi mingħand il-kontrollur (63). Madankollu, jekk il-proċessur joħroġ mill-kuntest ta’ dan il-mandat u juża d-data rċevuta bħala proċessur għall-finijiet tiegħu stess u jekk ikun ċar li l-partijiet ma humiex “kontrolluri konġunti”, fis-sens tal-Artikolu 4(7) u tal-Artikolu 21(6) tal-GDPR, allura l-kontrollur ma jistax, fil-fehma tiegħi, jiġi mmultat, skont l-Artikolu 83 ta’ dan ir-regolament, għall-ipproċessar illegali li jkun seħħ (64).
96. Minn dan isegwi li, f’każ bħal dak fil-kawża prinċipali, multa tista’ tiġi imposta, b’applikazzjoni tal-Artikolu 83 tal-GDPR, fuq in-NVSC, minkejja li d-data personali ġiet ipproċessata b’mod illegali biss minn ITSS u li n-NVSC ma pparteċipax fl-ipproċessar. Din il-possibbiltà tibqa’ teżisti sakemm din il-kumpannija tista’ titqies li pproċessat data personali f’isem in-NVSC, li ma jkunx il-każ jekk ITSS aġixxiet barra mill-istruzzjonijiet legali tan-NVSC jew f’kontradizzjoni magħhom u użat data personali għall-finijiet tagħha stess, u huwa ċar li n-NVSC u ITSS ma aġixxewx bħala kontrolluri konġunti.
V. Konklużjoni
97. Fid-dawl tal-kunsiderazzjonijiet preċedenti, nipproponi li l-Qorti tal-Ġustizzja tirrispondi għad-domandi preliminari magħmula mill-Vilniaus apygardos administracinis teismas (il-Qorti Amministrattiva Reġjonali ta’ Vilnjus, il-Litwanja) kif ġej:
(1) L-Artikolu 4(7) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data)
għandu jiġi interpretat fis-sens li entità li tibda l-iżvilupp ta’ applikazzjoni għal apparati mobbli tista’ biss titqies bħala l-“kontrollur”, fis-sens ta’ din id-dispożizzjoni, f’sitwazzjoni fejn jeżistu biżżejjed elementi ta’ natura fattwali, pjuttost milli formali, li jippermettu lill-qrati nazzjonali jikkonludu li tali entità eżerċitat influwenza effettiva kemm fuq l-“għanijiet” kif ukoll fuq il-“mezzi” ta’ dan l-ipproċessar u hija effettivament tat il-kunsens tagħha għall-iżvelar lill-pubbliku tal-applikazzjoni għal apparati mobbli u, konsegwentement, għall-ipproċessar tad-data personali.
(2) Din id-dispożizzjoni, moqrija flimkien mal-Artikolu 26(1) ta’ dan ir-regolament,
għandu jiġi interpretat fis-sens li, sabiex żewġ kontrolluri jew iktar ikunu jistgħu jitqiesu bħala “kontrolluri konġunti”, għandhom jiġu ssodisfatti żewġ kundizzjonijiet: l-ewwel, kull kontrollur konġunt għandu jissodisfa b’mod indipendenti l-kriterji elenkati fid-definizzjoni ta’ “kontrollur” ipprovduta fl-Artikolu 4(7) ta’ dan ir-regolament u, it-tieni, l-influwenza tal-kontrolluri fuq l-“għanijiet u l-mezzi” tal-ipproċessar għandha tiġi eżerċitata b’mod konġunt. Barra minn hekk, l-assenza ta’ ftehim jew anki ta’ koordinazzjoni bejn il-kontrolluri ma tistax, waħedha, teskludi l-konstatazzjoni li l-kontrolluri huma “kontrolluri konġunti” fis-sens ta’ dawn id-dispożizzjonijiet.
(3) L-Artikolu 4(2) ta’ dan ir-regolament
għandu jiġi interpretat fis-sens li l-kunċett ta’ “pproċessar” ikopri sitwazzjoni li fiha d-data personali tintuża fil-fażi ta’ ttestjar ta’ applikazzjoni għal apparati mobbli, ħlief jekk din id-data tkun saret anonima b’tali mod li s-suġġett tad-data ma huwiex jew ma huwiex iktar identifikabbli. Il-kwistjoni dwar jekk id-data personali tinġabarx bl-għan li jiġu ttestjati s-sistemi tal-informatika integrati f’applikazzjoni għal apparati mobbli jew għal għan ieħor ma għandha, min-naħa tagħha, l-ebda effett fuq il-kwistjoni dwar jekk l-attività inkwistjoni tikkwalifikax bħala “ipproċessar”.
(4) L-Artikolu 83 tar-Regolament 2016/679
għandu jiġi interpretat fis-sens li multa tista’ tiġi imposta biss sabiex jiġi ssanzjonat ksur tar-regoli ta’ dan ir-regolament li twettaq “b’intenzjoni jew b’negliġenza”. Barra minn hekk, tista’ tiġi imposta multa fuq kontrollur skont din id-dispożizzjoni anki jekk l-ipproċessar illegali jitwettaq minn proċessur. Din il-possibbiltà tkun miftuħa sakemm ikun stabbilit li l-proċessur jaġixxi f’isem il-kontrollur. Madankollu, jekk il-proċessur jipproċessa data personali barra jew bi ksur tal-istruzzjonijiet legali tal-kontrollur u juża d-data personali rċevuta għall-bżonnijiet tiegħu stess u jekk ikun ċar li l-partijiet ma humiex “kontrolluri konġunti”, fis-sens tal-Artikolu 4(7) u tal-Artikolu 21(6) tar-Regolament 2016/679, allura il-kontrollur ma jistax jiġi mmultat, skont l-Artikolu 83 tal-istess regolament, għall-ipproċessar illegali li jkun seħħ.