HOTĂRÂREA TRIBUNALULUI (Camera a opta extinsă)
26 aprilie 2023(*)
„Protecția datelor cu caracter personal – Procedură de plată a unei compensații acționarilor și creditorilor în urma rezoluției unei instituții bancare – Decizia AEPD de constatare a încălcării de către SRB a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal – Articolul 15 alineatul (1) litera (d) din Regulamentul (UE) 2018/1725 – Noțiunea de «date cu caracter personal» – Articolul 3 punctul 1 din Regulamentul 2018/1725 – Dreptul de acces la dosar”
În cauza T‑557/20,
Comitetul unic de rezoluție (SRB), reprezentat de H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, în calitate de agenți, asistate de H.‑G. Kamann, M. Braun, F. Louis, și L. Hesse, avocați,
reclamant,
împotriva
Autorității Europene pentru Protecția Datelor (AEPD), reprezentată de P. Candellier, X. Lareo și T. Zerdick, în calitate de agenți,
pârâtă,
TRIBUNALUL (Camera a opta extinsă),
compus din domnii A. Kornezov, președinte, G. De Baere (raportor), D. Petrlík și K. Kecsmár și doamna S. Kingston, judecători,
grefier: doamna I. Kurme, administratoare,
având în vedere faza scrisă a procedurii,
în urma ședinței din 1 decembrie 2022,
pronunță prezenta
Hotărâre
1 Prin acțiunea întemeiată pe articolul 263 TFUE, Comitetul unic de rezoluție (SRB) solicită, pe de o parte, anularea deciziei revizuite a Autorității Europene pentru Protecția Datelor (AEPD) din 24 noiembrie 2020, adoptată în urma cererii de reexaminare prezentate de SRB cu privire la decizia AEPD din 24 iunie 2020 referitoare la cinci plângeri depuse de mai mulți reclamanți (cazurile 2019-947, 2019-998, 2019-999, 2019-1000 și 2019-1122) (denumită în continuare „decizia revizuită”), și, pe de altă parte, declararea nelegalității deciziei AEPD din 24 iunie 2020 (denumită în continuare „decizia inițială”).
Istoricul litigiului
2 La 7 iunie 2017, sesiunea executivă a SRB a adoptat Decizia SRB/EES/2017/08 privind o schemă de rezoluție pentru Banco Popular Español, SA (denumită în continuare „schema de rezoluție”), în temeiul Regulamentului (UE) nr. 806/2014 al Parlamentului European și al Consiliului din 15 iulie 2014 de stabilire a unor norme uniforme și a unei proceduri uniforme de rezoluție a instituțiilor de credit și a anumitor firme de investiții în cadrul unui mecanism unic de rezoluție și al unui fond unic de rezoluție și de modificare a Regulamentului (UE) nr. 1093/2010 (JO 2014, L 225, p. 1).
3 În aceeași zi, Comisia Europeană a adoptat Decizia (UE) 2017/1246 de aprobare a schemei de rezoluție (JO 2017, L 178, p. 15).
4 În schema de rezoluție, SRB, considerând că erau îndeplinite condițiile prevăzute la articolul 18 alineatul (1) din Regulamentul nr. 806/2014, a decis să supună Banco Popular Español (denumită în continuare „Banco Popular”) unei proceduri de rezoluție. SRB a decis să reducă valoarea contabilă și să convertească instrumentele de capital ale Banco Popular în temeiul articolului 21 din Regulamentul nr. 806/2014 și să aplice instrumentul de vânzare a activității pe baza articolului 24 din Regulamentul nr. 806/2014 prin transferul acțiunilor către un cumpărător.
5 În urma rezoluției Banco Popular, Deloitte a transmis SRB, la 14 iunie 2018, evaluarea diferenței de tratament, prevăzută la articolul 20 alineatele (16)-(18) din Regulamentul nr. 806/2014, efectuată pentru a stabili dacă acționarii și creditorii ar fi beneficiat de un tratament mai bun în cazul în care Banco Popular ar fi făcut obiectul unei proceduri obișnuite de insolvență (denumită în continuare „evaluarea 3”).
6 La 6 august 2018, SRB a publicat, pe site‑ul său internet, avizul său din 2 august 2018 referitor la decizia sa preliminară privind necesitatea de a acorda sau nu o compensație acționarilor și creditorilor care au făcut obiectul măsurilor de rezoluție privind Banco Popular și lansarea procedurii privind dreptul de a fi ascultat (SRB/EES/2018/132) (denumită în continuare „decizia preliminară”), precum și o versiune neconfidențială a evaluării 3. La 7 august 2018, o comunicare privind avizul SRB a fost publicată în Jurnalul Oficial al Uniunii Europene (JO 2018, C 277 I, p. 1).
7 În decizia preliminară, SRB a arătat că, pentru a‑i permite să ia o decizie finală cu privire la necesitatea de a acorda sau nu acționarilor și creditorilor afectați de rezoluția Banco Popular o compensație în temeiul articolului 76 alineatul (1) litera (e) din Regulamentul nr. 806/2014, îi invită să își exprime interesul de a‑și exercita dreptul de a fi ascultați în temeiul articolului 41 alineatul (2) litera (a) din Carta drepturilor fundamentale a Uniunii Europene.
Cu privire la procedura referitoare la dreptul de a fi ascultat
8 În decizia preliminară, SRB a arătat că procedura referitoare la dreptul de a fi ascultat se desfășoară în două faze. Într‑o primă fază (denumită în continuare „faza de înscriere”), acționarii și creditorii afectați erau invitați să își exprime interesul de a‑și exercita dreptul de a fi ascultați prin intermediul unui formular de înscriere online până la 14 septembrie 2018. În continuare, SRB trebuia să verifice dacă fiecare parte care și‑a manifestat interesul avea efectiv statutul de acționar sau de creditor afectat. Într‑o a doua fază (denumită în continuare „faza de consultare”), acționarii și creditorii afectați al căror statut fusese verificat de SRB puteau prezenta comentarii cu privire la decizia preliminară, la care era anexată evaluarea 3.
9 În faza de înscriere, acționarii și creditorii afectați care doreau să își exercite dreptul de a fi ascultați trebuiau să furnizeze SRB documentele justificative care să dovedească faptul că, la data rezoluției, dețineau unul sau mai multe instrumente de capital ale Banco Popular a căror valoare contabilă a fost redusă sau care au fost convertite și transferate către Banco Santander, SA în cadrul rezoluției. Documentele justificative care trebuiau furnizate cuprindeau un document de identitate și o dovadă a proprietății unuia dintre aceste instrumente de capital la data de 6 iunie 2017.
10 La 6 august 2018, data deschiderii fazei de înscriere, SRB a publicat de asemenea, pe pagina de internet de înscriere în procedura referitoare la dreptul de a fi ascultat și pe site‑ul său internet, o declarație de confidențialitate privind prelucrarea datelor cu caracter personal în cadrul procedurii referitoare la dreptul de a fi ascultat (denumită în continuare „declarația de confidențialitate”).
11 La 16 octombrie 2018, SRB a anunțat pe site‑ul său internet că, începând cu 6 noiembrie 2018, acționarii și creditorii eligibili urmează să fie invitați să își prezinte comentariile scrise cu privire la decizia preliminară în faza de consultare.
12 La 6 noiembrie 2018, prin e‑mail, SRB a trimis acționarilor și creditorilor eligibili un link personal unic care să le permită accesul pe internet la un formular (denumit în continuare „formularul”). Formularul cuprindea șapte întrebări, cu un spațiu de răspuns limitat, care permitea acționarilor și creditorilor afectați să prezinte, înainte de 26 noiembrie 2018, comentarii cu privire la decizia preliminară, precum și la versiunea neconfidențială a evaluării 3.
13 SRB a examinat comentariile relevante ale acționarilor și ale creditorilor afectați referitoare la decizia preliminară. Acesta a solicitat Deloitte, în calitatea sa de evaluator independent, să evalueze comentariile relevante referitoare la evaluarea 3, să îi furnizeze un document care să conțină evaluarea sa și să examineze dacă evaluarea 3 rămâne valabilă în lumina acestor comentarii.
Cu privire la prelucrarea datelor colectate de SRB în cadrul procedurii referitoare la dreptul de a fi ascultat
14 Datele colectate în faza de înscriere, și anume probele privind identitatea participanților și proprietatea asupra instrumentelor de capital ale Banco Popular cu valoare contabilă redusă sau convertite și transferate, erau accesibile unui număr limitat de membri ai personalului SRB însărcinați cu prelucrarea acestor date pentru a stabili eligibilitatea participanților.
15 Aceste date nu erau vizibile pentru membrii personalului SRB însărcinați cu prelucrarea comentariilor primite în faza de consultare, în cursul căreia aceștia au primit numai comentarii identificate prin referire la un cod alfanumeric atribuit fiecărui comentariu prezentat prin intermediul formularului. Codul alfanumeric consta într‑un identificator unic universal de 33 de cifre, generat aleatoriu la momentul primirii răspunsurilor la formular.
16 Într‑o primă etapă, SRB a realizat o filtrare automată a 23 822 de comentarii, fiecare având un cod alfanumeric unic, prezentat de 2 855 de participanți la procedură. Doi algoritmi au permis identificarea a 20 101 comentarii ca fiind identice. Comentariul prezentat în primul rând a fost considerat comentariul original, care a fost examinat în faza de analiză, iar comentariile identice primite ulterior au fost identificate ca fiind dubluri.
17 Într‑o a doua etapă, faza de analiză, SRB a examinat comentariile cu obiectivul de a garanta coerența în cadrul evaluării relevanței și al clasificării lor sau al grupării lor în tematici definite. SRB a identificat astfel comentarii similare, dar nu identice, care erau întemeiate pe aceleași surse disponibile pe internet.
18 Personalul SRB însărcinat cu analiza comentariilor nu avea acces nici la datele colectate în faza de înscriere, așa încât aceste comentarii erau disociate de informațiile personale referitoare la persoanele care le prezentaseră, nici la cheia de date sau la informațiile care permit identificarea identității unui participant prin referire la codul alfanumeric unic atribuit fiecărui comentariu.
19 În cadrul acestei faze de analiză, SRB a comparat toate comentariile prezentate și le‑a clasificat în funcție de întrebarea din formular la care răspundeau. Comentariile au fost apoi apreciate în funcție de relevanța lor și împărțite între, pe de o parte, cele care intrau în domeniul de aplicare al procedurii referitoare la dreptul de a fi ascultat întrucât puteau avea o influență asupra deciziei preliminare sau asupra evaluării 3 și, pe de altă parte, cele care nu intrau în acest domeniu de aplicare întrucât priveau alte aspecte ale rezoluției Banco Popular.
20 În continuare, un comentariu care intra în domeniul de aplicare al procedurii era încadrat în una dintre cele cincisprezece teme predefinite de SRB. În funcție de tema din care făceau parte, comentariile au fost împărțite între cele care trebuiau examinate de SRB întrucât priveau decizia preliminară și cele care trebuiau examinate de Deloitte întrucât priveau evaluarea 3. SRB nu a făcut distincție, printre comentariile care trebuiau examinate, între cele care fuseseră prezentate doar o singură dată și cele care dispuneau de dubluri.
21 La finalul fazei de analiză, SRB a identificat 3 730 de comentarii clasificate în funcție de relevanța și de tema lor.
22 Într‑o a treia etapă, faza de examinare, comentariile referitoare la decizia preliminară au fost prelucrate de SRB, iar cele referitoare la evaluarea 3, și anume 1 104 comentarii, au fost transferate către Deloitte, la 17 iunie 2019, prin intermediul unui server virtual de date securizat și dedicat SRB. SRB a descărcat fișierele care trebuiau comunicate Deloitte pe serverul virtual și a permis accesul la aceste fișiere unui număr limitat și controlat de membri ai personalului Deloitte direct implicați în acest proiect.
23 Comentariile transferate către Deloitte erau filtrate, categorisite și agregate. Atunci când constituiau copii ale unor comentarii precedente, o singură versiune a fost transmisă Deloitte, astfel încât comentariile individuale care fuseseră replicate nu puteau fi distinse în cadrul aceleiași teme, iar Deloitte nu avea posibilitatea de a ști dacă un comentariu fusese formulat de unul sau de mai mulți participanți la procedură.
24 Comentariile transferate către Deloitte constau numai în cele primite în faza de consultare și aveau un cod alfanumeric. Prin intermediul acestui cod, SRB era singurul care putea conecta comentariile la datele primite în faza de înscriere. Codul alfanumeric a fost dezvoltat în scopul auditului pentru a permite verificarea și, eventual, demonstrarea a posteriori a faptului că fiecare comentariu a fost prelucrat și a fost luat în considerare în mod corespunzător. Deloitte nu avea și nu are nici în prezent acces la baza de date colectate în faza de înscriere.
Cu privire la procedura în fața AEPD
25 La 19, 26 și 28 octombrie, precum și la 5 decembrie 2019, acționarii și creditorii afectați care au răspuns la formular au transmis AEPD cinci plângeri (cazurile 2019-947, 2019-998, 2019-999, 2019-1000 și 2019-1122) (denumite în continuare „cele cinci plângeri”) în temeiul Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO 2018, L 295, p. 39).
26 Autorii celor cinci plângeri (denumiți în continuare „reclamanții”) au invocat faptul că SRB nu i‑a informat că datele colectate prin intermediul răspunsurilor la formular urmează să fie transmise unor terți, și anume Deloitte și Banco Santander, cu încălcarea termenilor declarației de confidențialitate. Ei au susținut că SRB a încălcat, pentru acest motiv, articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725, potrivit căruia, „[î]n cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate […] informațiile [privind] destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz”.
27 La 12 decembrie 2019, AEPD a informat SRB că a primit cele cinci plângeri și i‑a solicitat să prezinte observații.
28 La 24 iunie 2020, în urma unei proceduri în cursul căreia SRB a furnizat diverse explicații la cererea AEPD și reclamanții au prezentat observații, AEPD a adoptat decizia inițială. AEPD a considerat că SRB a încălcat articolul 15 din Regulamentul 2018/1725 prin faptul că nu i‑a informat pe reclamanți, în declarația de confidențialitate, cu privire la posibilitatea ca datele lor cu caracter personal să fie comunicate Deloitte. În consecință, ea a chemat la ordine SRB pentru această încălcare în temeiul articolului 58 alineatul (2) litera (b) din Regulamentul 2018/1725.
29 La 22 iulie 2020, SRB a solicitat AEPD să reexamineze decizia inițială în temeiul articolului 18 alineatul (1) din Decizia AEPD din 15 mai 2020 de adoptare a Regulamentului de procedură al AEPD (JO 2020, L 204, p. 49). SRB a furnizat printre altele o descriere detaliată a procedurii referitoare la dreptul de a fi ascultat și a analizei comentariilor prezentate, în faza de consultare, de patru dintre reclamanții identificați. El a susținut că informațiile transmise Deloitte nu constituiau date cu caracter personal în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
30 La 5 august 2020, AEPD a informat SRB că, având în vedere noile elemente furnizate, a decis să reexamineze decizia inițială și că urmează să adopte o decizie de înlocuire a acesteia.
31 La 24 noiembrie 2020, în urma procedurii de revizuire, în cursul căreia reclamanții au prezentat observații, iar SRB a furnizat informații suplimentare la cererea AEPD, aceasta din urmă a adoptat decizia revizuită.
32 AEPD a decis să revizuiască decizia inițială în următorii termeni:
„1. AEPD consideră că datele pe care SRB le‑a transmis Deloitte sunt date pseudonimizate, atât pentru că comentariile din faza [de consultare] sunt date cu caracter personal, cât și pentru că SRB partaja codul alfanumeric care permite conectarea răspunsurilor primite în faza [de înscriere] la cele din faza [de consultare], chiar dacă datele furnizate de participanți pentru a se identifica în etapa [de înscriere] nu au fost comunicate Deloitte.
2. AEPD consideră că Deloitte era destinatar al datelor cu caracter personal ale reclamanților în sensul articolului 3 punctul 13 din Regulamentul 2018/1725. Faptul că Deloitte nu a fost menționată în declarația de confidențialitate a SRB ca destinatar potențial al datelor cu caracter personal colectate și prelucrate de SRB, în calitatea sa de operator în cadrul procedurii referitoare la dreptul de a fi ascultat, constituie o încălcare a obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) [din Regulamentul 2018/1725].
3. În lumina tuturor măsurilor tehnice și organizatorice instituite de SRB pentru a atenua riscurile la adresa dreptului persoanelor la protecția datelor în cadrul procedurii referitoare la dreptul de a fi ascultat, AEPD decide să nu își exercite competența de a adopta măsuri corective prevăzută la articolul 58 alineatul (2) [din Regulamentul 2018/1725].
4. Cu toate acestea, AEPD recomandă SRB să se asigure că declarațiile sale de confidențialitate în cadrul procedurilor viitoare referitoare la dreptul de a fi ascultat acoperă prelucrarea datelor cu caracter personal atât în faza de înscriere, cât și în faza de consultare și că acestea includ toți destinatarii potențiali ai informațiilor colectate, pentru a respecta pe deplin obligația de a informa persoanele vizate în conformitate cu articolul 15 [din Regulamentul 2018/1725].”
Concluziile părților
33 După adaptarea concluziilor sale, SRB solicită Tribunalului:
– anularea deciziei revizuite;
– declararea nelegalității deciziei inițiale;
– obligarea AEPD la plata cheltuielilor de judecată.
34 AEPD solicită Tribunalului:
– respingerea acțiunii;
– obligarea SRB la plata cheltuielilor de judecată.
În drept
Cu privire la al doilea capăt de cerere, prin care se solicită Tribunalului „să declare nelegală decizia inițială”
35 În speță, părțile nu contestă că decizia revizuită a abrogat și a înlocuit decizia inițială.
36 AEPD arată că, pentru acest motiv, capătul de cerere referitor la decizia inițială este inadmisibil.
37 SRB susține că păstrează un interes de a obține constatarea neregularităților procedurale care au condus la adoptarea deciziei inițiale, și anume încălcările dreptului său la apărare și ale dreptului său de acces la dosar, pentru ca acestea să nu se repete în procedurile viitoare. El a precizat în răspunsul său la o măsură de organizare a procedurii că, prin intermediul celui de al doilea capăt de cerere, nu solicită anularea deciziei inițiale, aceasta fiind abrogată și înlocuită cu decizia revizuită cu efect ex tunc, ci declararea nelegalității sale.
38 Prin urmare, este necesar să se considere că, prin intermediul celui de al doilea capăt de cerere, SRB urmărește să obțină o hotărâre declaratorie, iar nu anularea unui act.
39 Or, trebuie amintit că rezultă dintr‑o jurisprudență constantă că Tribunalul nu este competent, în cadrul controlului legalității întemeiat pe articolul 263 TFUE, să pronunțe hotărâri declarative (a se vedea Hotărârea din 4 februarie 2009, Omya/Comisia, T‑145/06, EU:T:2009:27, punctul 23 și jurisprudența citată, și Hotărârea din 13 septembrie 2018, DenizBank/Consiliul, T‑798/14, EU:T:2018:546, punctul 135 și jurisprudența citată).
40 Rezultă că al doilea capăt de cerere al SRB, prin care se solicită Tribunalului să „declare nelegală decizia inițială”, trebuie respins din cauza necompetenței Tribunalului de a‑l soluționa.
Cu privire la admisibilitatea primului capăt de cerere, prin care se solicită anularea deciziei revizuite
41 Admisibilitatea acțiunii face parte din cauzele de inadmisibilitate de ordine publică, care pot fi invocate în orice moment din oficiu de instanța Uniunii Europene (a se vedea Hotărârea din 16 martie 2022, MEKH și FGSZ/ACER, T‑684/19 și T‑704/19, EU:T:2022:138, punctul 29 și jurisprudența citată; a se vedea de asemenea în acest sens Hotărârea din 24 martie 1993, CIRFS și alții/Comisia, C‑313/90, EU:C:1993:111, punctul 23). În cadrul unei măsuri de organizare a procedurii, Tribunalul a adresat întrebări părților printre altele cu privire la aspectul dacă decizia revizuită constituie un act atacabil în temeiul articolului 263 TFUE.
42 În răspunsul la această întrebare, AEPD arată că faptul că decizia revizuită conține poziția sa finală și o constatare a încălcării nu este suficient pentru ca ea să constituie un act atacabil. Ar fi necesar ca această poziție să determine o modificare a situației juridice a SRB. Întrucât AEPD nu a utilizat, în decizia revizuită, competențele sale corective prevăzute la articolul 58 din Regulamentul 2018/1725, s‑ar putea considera că aceasta nu produce efecte juridice în materia controlului jurisdicțional în temeiul articolului 263 TFUE.
43 În răspunsul său la aceeași întrebare, SRB arată că decizia revizuită produce efecte juridice susceptibile să îi afecteze interesele.
44 Reiese din jurisprudență că, în temeiul articolului 263 al patrulea paragraf TFUE, pot fi atacate de o persoană fizică sau juridică numai actele care produc efecte juridice obligatorii de natură să afecteze interesele acesteia, modificând în mod distinct situația sa juridică. Astfel, constituie în principiu acte atacabile măsurile care stabilesc definitiv poziția unei instituții, a unui organ, a unui oficiu sau a unei agenții a Uniunii la sfârșitul unei proceduri administrative și care urmăresc să producă efecte juridice obligatorii de natură să afecteze interesele reclamantului, cu excluderea măsurilor intermediare al căror obiectiv este pregătirea deciziei finale, care nu au asemenea efecte (a se vedea Hotărârea din 25 iunie 2020, SATCEN/KF, C‑14/19 P, EU:C:2020:492, punctele 69 și 70 și jurisprudența citată, și Hotărârea din 6 mai 2021, ABLV Bank și alții/BCE, C‑551/19 P și C‑552/19 P, EU:C:2021:369, punctul 39 și jurisprudența citată).
45 Pentru a determina dacă actul atacat produce asemenea efecte, este necesar să se examineze pe fond acest act și să se evalueze efectele respective în lumina unor criterii obiective, precum conținutul actului menționat, ținându‑se seama, dacă este cazul, de contextul adoptării acestuia din urmă, precum și de competențele instituției, ale organului, ale oficiului sau ale agenției Uniunii care l‑a emis (a se vedea Hotărârea din 22 aprilie 2021, thyssenkrupp Electrical Steel și thyssenkrupp Electrical Steel Ugo/Comisia, C‑572/18 P, EU:C:2021:317, punctul 48 și jurisprudența citată, Hotărârea din 6 mai 2021, ABLV Bank și alții/BCE, C‑551/19 P și C‑552/19 P, EU:C:2021:369, punctul 41 și jurisprudența citată, și Hotărârea din 6 octombrie 2021, Tognoli și alții/Parlamentul, C‑431/20 P, EU:C:2021:807, punctul 34 și jurisprudența citată).
46 În primul rând, trebuie amintit că decizia revizuită a fost adoptată de AEPD în urma unei cereri a SRB de revizuire a deciziei inițiale. Decizia revizuită, adoptată în urma unei proceduri administrative contradictorii, abrogă și înlocuiește decizia inițială și constituie o decizie care stabilește definitiv poziția AEPD cu privire la cele cinci plângeri.
47 Or, articolul 64 alineatul (2) din Regulamentul 2018/1725, referitor la dreptul la o cale de atac judiciară efectivă, prevede că acțiunile împotriva deciziilor AEPD sunt introduse în fața Curții de Justiție a Uniunii Europene.
48 În special, articolul 18 din Regulamentul de procedură al AEPD, în temeiul căruia a fost adoptată decizia revizuită, prevede printre altele la alineatul (3):
„În cazul în care, în urma unei solicitări de revizuire a deciziei sale cu privire la o plângere, AEPD emite o decizie nouă, revizuită, informează reclamantul și instituția în cauză că pot să atace această nouă decizie la Curtea de Justiție a Uniunii Europene, în conformitate cu articolul 263 [TFUE].”
49 În această privință, în scrisoarea de însoțire a deciziei revizuite trimise SRB se arată următoarele:
„Vă atragem atenția asupra faptului că această decizie anulează și înlocuiește decizia adoptată la 24 iunie 2020. Puteți introduce o acțiune în anulare împotriva acestei decizii la Curtea de Justiție a Uniunii Europene, în termen de două luni de la adoptarea prezentei decizii și în condițiile prevăzute la articolul 263 [TFUE].”
50 În al doilea rând, în ceea ce privește fondul deciziei revizuite, trebuie amintit, pe de o parte, că AEPD a concluzionat că SRB a săvârșit o încălcare a obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725 și, pe de altă parte, că i‑a recomandat în esență să se asigure, în viitoarele sale declarații de confidențialitate, că nu comite din nou o asemenea încălcare.
51 Pe de o parte, este necesar să se arate că, în temeiul articolului 65 din Regulamentul 2018/1725, o asemenea încălcare este susceptibilă să angajeze răspunderea SRB, în calitate de operator al datelor vizate, sub rezerva respectării celorlalte condiții prevăzute de tratate.
52 Pe de altă parte, în temeiul articolului 66 alineatul (1) din Regulamentul 2018/1725, AEPD, atunci când ia decizia privind oportunitatea aplicării unei amenzi administrative unei instituții sau unui organ al Uniunii și decizia cu privire la valoarea acestei amenzi, acordă atenție, printre altele, eventualelor încălcări anterioare similare comise de instituția sau de organul respectiv. Prin urmare, în cazul în care SRB nu ar urma recomandarea AEPD de a‑și modifica în viitor declarațiile de confidențialitate în procedurile referitoare la dreptul de a fi ascultat, s‑ar putea constata o încălcare similară de către SRB a articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725 și s‑ar putea aplica o amendă.
53 Rezultă că constatarea, în decizia revizuită, a încălcării de către SRB a articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725 produce efecte juridice obligatorii, chiar dacă AEPD a indicat că renunță la exercitarea competenței sale de a adopta măsuri corective prevăzute la articolul 58 alineatul (2) din Regulamentul 2018/1725.
54 Având în vedere ceea ce precedă, decizia revizuită este un act al Uniunii de natură să afecteze interesele destinatarului său, modificând în mod distinct situația sa juridică. Aceasta constituie, așadar, un act atacabil în sensul articolului 263 TFUE.
55 Prin urmare, este necesar să se considere că primul capăt de cerere, prin care se solicită anularea deciziei revizuite, este admisibil.
Cu privire la fond
56 În susținerea acțiunii formulate, SRB invocă două motive. Primul motiv este întemeiat pe încălcarea articolului 3 punctul 1 din Regulamentul 2018/1725, întrucât informațiile transmise Deloitte nu constituiau date cu caracter personal. Al doilea motiv este întemeiat pe încălcarea dreptului la bună administrare consacrat la articolul 41 din Carta drepturilor fundamentale.
57 Prin intermediul primului motiv, SRB arată că AEPD a încălcat articolul 3 punctul 1 din Regulamentul 2018/1725 atunci când a apreciat, în decizia revizuită, că informațiile transmise Deloitte constituiau date cu caracter personal ale reclamanților.
58 Articolul 3 punctul 1 din Regulamentul 2018/1725 definește datele cu caracter personal ca fiind „orice informație privind o persoană fizică identificată sau identificabilă [și indică faptul că] o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective”.
59 Din această definiție reiese că o informație constituie o dată cu caracter personal în special dacă sunt întrunite două condiții cumulative, și anume, pe de o parte, ca această informație „să privească” o persoană fizică și, pe de altă parte, ca această persoană să fie „identificată sau identificabilă”.
Cu privire la condiția prevăzută la articolul 3 punctul 1 din Regulamentul 2018/1725, potrivit căreia informația „privește” o persoană fizică
60 SRB arată că comentariile primite în faza de consultare și comunicate Deloitte nu priveau persoane specifice în sensul articolului 3 punctul 1 din Regulamentul 2018/1725. Acesta apreciază că raționamentul urmat în Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994), nu se aplică comentariilor reclamanților. Acesta susține că informațiile conținute în comentariile reclamanților erau informații factuale și juridice independente de persoane sau de calitățile personale ale reclamanților și fără legătură cu viața lor privată. Acesta consideră că obiectivul procedurii referitoare la dreptul de a fi ascultat era acela de a evalua argumentele de fapt și de drept privind decizia preliminară și evaluarea 3 provenite de la un număr mare de părți interesate, a căror personalitate și identitate nu erau relevante pentru evaluarea comentariilor lor.
61 Potrivit AEPD, conținutul comentariilor acționarilor și ale creditorilor afectați este o informație care îi „privește”, întrucât răspunsurile lor conțineau și reflectau punctul lor de vedere personal, chiar dacă se întemeiau pe informații accesibile publicului. Răspunsurile la formular ale reclamanților și ale celorlalți participanți ar constitui date cu caracter personal, indiferent de aspectul dacă este vorba despre exprimarea unui punct de vedere original sau a unui punct de vedere împărtășit de alții și indiferent de aspectul dacă SRB le consideră informații independente de drepturile specifice ale acționarilor și ale creditorilor afectați în materie de respectare a vieții private.
62 AEPD consideră de asemenea că comentariile constituie date cu caracter personal în temeiul efectului lor. Aprecierea realizată cu privire la aceste comentarii, prin care se urmărea verificarea validității evaluării 3 și a legalității deciziei preliminare, ar fi putut avea o incidență asupra intereselor și a drepturilor participanților în materie de compensație financiară. În sfârșit, aceasta arată că finalitatea colectării comentariilor este de a acorda drepturi procedurale fiecărei părți, pentru a obține puncte de vedere individuale.
63 În decizia revizuită, AEPD a indicat că răspunsurile primite în faza de consultare constituie date cu caracter personal ale reclamanților, în măsura în care conțin punctul lor de vedere personal și, prin urmare, constituie informații care îi privesc, chiar dacă se întemeiază pe informații accesibile publicului pentru a‑și exprima punctul de vedere. Aceasta a apreciat că faptul că reclamanții au exprimat puncte de vedere asemănătoare, dar nu identice cu cele ale altor participanți nu înseamnă că răspunsurile lor nu reflectau propria lor opinie. În consecință, AEPD a considerat că toate răspunsurile furnizate de reclamanți și de ceilalți participanți în câmpurile de text liber trebuie să fie considerate date cu caracter personal, indiferent dacă este vorba despre exprimarea din punct de vedere original și unic sau a unui punct de vedere împărtășit de alții sau care este inspirat ori întemeiat pe informații accesibile publicului. Ea a adăugat că această concluzie nu este contrazisă de Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994), în care Curtea nu a făcut distincție între răspunsurile elaborate în întregime de respondenți și răspunsurile întemeiate pe alte surse de cunoștințe.
64 Trebuie să se examineze dacă AEPD a putut aprecia în mod întemeiat că informațiile transmise Deloitte „priveau” o persoană fizică în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
65 Cu titlu introductiv, este necesar să se constate că, în decizia revizuită, AEPD a calificat drept date cu caracter personal toate comentariile formulate de acționarii și de creditorii afectați în cadrul fazei de consultare și nu și‑a limitat aprecierea numai la informațiile transmise Deloitte.
66 Or, în măsura în care încălcarea articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725 constatată în decizia revizuită privea numai faptul că SRB nu a menționat, în declarația de confidențialitate, că Deloitte ar fi destinatarul potențial al anumitor date, trebuie limitată examinarea la aspectul dacă informațiile transmise Deloitte erau date cu caracter personal în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
67 În această privință, articolul 3 punctul 13 din Regulamentul 2018/1725 definește „destinatarul” ca fiind „persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia/căruia îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță”.
68 Potrivit jurisprudenței, utilizarea expresiei „orice informație” în cadrul definiției noțiunii de „date cu caracter personal” care figurează la articolul 3 punctul 1 din Regulamentul 2018/1725 reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea „să privească” persoana în cauză (a se vedea prin analogie Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 34).
69 În ceea ce privește această din urmă condiție, Curtea a statuat că ea este îndeplinită atunci când, ca urmare a conținutului, a finalității sau a efectului său, informația este legată de o anumită persoană (Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 35).
70 Or, în decizia revizuită, AEPD nu a examinat nici conținutul, nici finalitatea, nici efectul informațiilor transmise Deloitte.
71 Astfel, aceasta s‑a limitat să arate că comentariile prezentate de reclamanți în faza de consultare reflectă opiniile sau punctele lor de vedere și să concluzioneze, numai în acest temei, că ele constituie informații care îi privesc, ceea ce este suficient pentru a le califica drept date cu caracter personal.
72 În ședință, AEPD a confirmat că este de părere că orice opinie personală constituie o dată cu caracter personal. Aceasta a admis de asemenea că nu a examinat conținutul comentariilor prezentate de reclamanți în faza de consultare.
73 Desigur, nu se poate exclude posibilitatea ca puncte de vedere personale sau opinii să constituie date cu caracter personal. Cu toate acestea, din cuprinsul punctelor 34 și 35 din Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994), citate la punctele 68 și 69 de mai sus, reiese că o asemenea concluzie nu se poate întemeia pe o prezumție precum cea descrisă la punctele 71 și 72 de mai sus, ci trebuie să se bazeze pe examinarea prin care se urmărește să se stabilească dacă, prin conținutul, prin finalitatea sau prin efectul său, un punct de vedere este legat de o anumită persoană.
74 Rezultă că, întrucât nu a efectuat o asemenea examinare, AEPD nu putea concluziona că informațiile transmise Deloitte constituie informații „privind” o persoană fizică în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
75 Tribunalul va examina în continuare aprecierea AEPD referitoare la aspectul dacă informațiile transmise Deloitte priveau o persoană fizică „identificată sau identificabilă”.
Cu privire la condiția prevăzută la articolul 3 punctul 1 din Regulamentul 2018/1725, potrivit căreia informația privește o persoană fizică „identificată sau identificabilă”
76 SRB arată că, contrar celor considerate de AEPD, comunicarea codului alfanumeric către Deloitte nu a condus la „pseudonimizarea” datelor. Acestea ar fi rămas anonime, în măsura în care SRB nu ar fi partajat cu Deloitte informațiile care permit reidentificarea autorilor comentariilor.
77 SRB susține că datele sunt anonimizate pentru un terț, chiar dacă informația care permite reidentificarea nu este eliminată în mod irevocabil și este păstrată de subcontractantul inițial, din moment ce formatul în care datele sunt comunicate acestui terț nu mai permite identificarea autorului observațiilor sau nu o face probabilă în mod rezonabil. SRB arată că, contrar celor apreciate de AEPD în decizia revizuită, Regulamentul 2018/1725 și jurisprudența Curții impun o evaluare a riscului de reidentificare.
78 Mai precis, SRB susține că condițiile stabilite de jurisprudența Curții privind existența unui risc de reidentificare atunci când toate informațiile susceptibile să permită identificarea nu sunt deținute de o singură persoană, ci de mai multe părți nu sunt îndeplinite în speță. Pe de o parte, codul alfanumeric atribuit comentariilor individuale nu ar permite Deloitte să reidentifice persoanele care au prezentat comentarii. Informațiile suplimentare menționate la articolul 3 punctul 6 din Regulamentul 2018/1725 ar fi constituite din baza de date care permite decodarea la care ar avea acces numai SRB. Pe de altă parte, în ceea ce privește criteriul probabilității rezonabile de combinare a informațiilor, Deloitte nu ar fi avut și nu ar avea nici în prezent mijloace legale de acces la informațiile suplimentare și de identificare.
79 AEPD susține că împrejurarea că Deloitte nu a avut acces la informațiile deținute de SRB care permit reidentificarea nu are drept consecință faptul că datele „pseudonimizate” transmise Deloitte au devenit date anonime. Nu ar fi necesar să se stabilească dacă autorii informațiilor transmise Deloitte erau reidentificabili de aceasta din urmă sau dacă reidentificarea menționată era probabilă în mod rezonabil. Datele „pseudonimizate” ar rămâne astfel chiar și atunci când sunt transmise unui terț care nu dispune de informații suplimentare.
80 AEPD susține că utilizarea termenului „indirect” la articolul 3 punctul 1 din Regulamentul 2018/1725 înseamnă că, pentru ca o informație să fie calificată drept dată cu caracter personal, nu este necesar ca aceasta să permită prin ea însăși identificarea persoanei vizate. În plus, în ceea ce privește mijloacele pe care este probabil, în mod rezonabil, să le utilizeze atât operatorul, cât și o altă persoană, nu ar fi necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane.
81 În decizia revizuită, AEPD a considerat că informațiile transmise Deloitte sunt date „pseudonimizate”. În această privință, ea a indicat că diferența dintre datele „pseudonimizate” și datele anonime constă în faptul că, în cazul datelor anonime, nu există „informații suplimentare” care să poată fi utilizate pentru a atribui datele unei anumite persoane vizate, în timp ce, în cazul datelor „pseudonimizate”, există asemenea informații suplimentare. În consecință, pentru a evalua dacă datele erau anonime sau „pseudonimizate”, trebuia să se examineze dacă existau „informații suplimentare” care să poată fi utilizate pentru a atribui datele unor persoane vizate specifice.
82 AEPD a evidențiat că SRB a transmis Deloitte nu numai anumite comentarii ale acționarilor și ale creditorilor afectați, ci și codul alfanumeric corespunzător și că Deloitte nu a avut acces la răspunsurile date în faza de înscriere. Aceasta a arătat că, după cum a explicat SRB, „era imposibil ca Deloitte să detecteze identitatea oricărei părți care utilizează acest cod referindu‑se la datele concrete furnizate de părțile eligibile în cadrul fazei de înregistrare (care a fost întotdeauna păstrată de SRB)”. AEPD a considerat însă că datele furnizate în etapa de înscriere cu identificatorul unic, și anume codul alfanumeric atribuit fiecărui participant eligibil, constituie un exemplu perfect de „informații suplimentare” în sensul articolului 3 punctul 6 din Regulamentul 2018/1725, întrucât puteau fi utilizate de SRB pentru a atribui datele unei persoane vizate specifice.
83 AEPD a explicat că Regulamentul 2018/1725 nu face distincție între cei care păstrează datele „pseudonimizate” și cei care dețin informațiile suplimentare și că faptul că este vorba despre entități diferite nu face ca datele „pseudonimizate” să devină anonimizate. Aceasta a adăugat că faptul că Deloitte nu a fost în măsură să atribuie singură comentariile către datele primite în faza de înscriere nu exclude posibilitatea ca datele pe care le‑a primit să fie „pseudonimizate”. În opinia AEPD, datele pe care SRB le‑a partajat cu Deloitte erau date „pseudonimizate”, atât pentru că comentariile primite în faza de consultare erau date cu caracter personal, cât și pentru că SRB partaja codul alfanumeric care permitea conectarea răspunsurilor date în faza de înscriere la cele date în faza de consultare, chiar dacă datele furnizate de participanți pentru a se identifica în faza de înscriere nu fuseseră comunicate Deloitte. Aceasta a concluzionat că informațiile transmise Deloitte erau date „pseudonimizate” și, prin urmare, date cu caracter personal în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
84 Cu titlu introductiv, este necesar să se arate că, având în vedere mecanismele instituite de SRB în ceea ce privește prelucrarea datelor colectate în cadrul procedurii referitoare la dreptul de a fi ascultat, descrise la punctele 14-24 de mai sus, informațiile transmise Deloitte nu priveau persoane „identificate”.
85 Așadar, trebuie să se examineze dacă AEPD a putut aprecia în mod întemeiat că informațiile transmise Deloitte privesc o persoană fizică „identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
86 Potrivit acestei dispoziții, o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect.
87 Considerentul (16) al Regulamentului 2018/1725 are următorul cuprins:
„[…] Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându‑se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică […]”
88 Trebuie să se arate că, în Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), Curtea a interpretat noțiunea „dată cu caracter personal” în sensul articolului 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), care conține o dispoziție echivalentă cu articolul 3 punctul 1 din Regulamentul 2018/1725.
89 Această cauză ridica problema dacă o adresă de protocol internet (denumită în continuare „adresa IP”) dinamică constituie o dată cu caracter personal în raport cu furnizorul de servicii de comunicații electronice care a înregistrat‑o. Curtea a apreciat că trebuie să se verifice dacă această adresă IP poate fi calificată drept informație care privește o „persoană fizică identificabilă”, luând în considerare, pe de o parte, faptul că nu oferă, în sine, acestui furnizor posibilitatea de a identifica utilizatorul care a consultat site‑ul internet și, pe de altă parte, faptul că informațiile suplimentare necesare care, dacă ar fi coroborate cu această adresă IP, ar permite identificarea utilizatorului respectiv erau deținute de furnizorul de acces la internet.
90 În măsura în care considerentul (16) al Regulamentului 2018/1725 face referire la mijloacele pe care este probabil, în mod rezonabil, să le pună în aplicare atât operatorul, cât și o „altă persoană”, modul de redactare a acestuia sugerează că, pentru ca o dată să poată fi calificată drept „dată cu caracter personal” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725, nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane (a se vedea prin analogie Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 43).
91 Curtea a adăugat însă că faptul că informațiile suplimentare necesare pentru a identifica utilizatorul unui site internet nu sunt deținute de furnizorul de servicii de comunicații electronice, ci de furnizorul de acces la internet al acestui utilizator nu pare astfel de natură să excludă posibilitatea ca adresele IP dinamice înregistrate de furnizorul de servicii de comunicații electronice să constituie pentru acesta date cu caracter personal (Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 44).
92 Curtea a apreciat însă că trebuie să se stabilească dacă posibilitatea de a combina o adresă IP dinamică cu informațiile suplimentare menționate deținute de acest furnizor de acces la internet constituie un mijloc care este probabil, în mod rezonabil, să fie pus în aplicare pentru a identifica persoana vizată (Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 45).
93 Curtea a arătat că situația nu s‑ar prezenta astfel dacă identificarea persoanei vizate ar fi interzisă prin lege sau nerealizabilă în practică, de exemplu ca urmare a faptului că ar implica un efort disproporționat în termeni de timp, de costuri și de forță de muncă, așa încât riscul unei identificări ar părea în realitate nesemnificativ (Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 46).
94 În speță, nu se contestă, pe de o parte, că codul alfanumeric care figura în informațiile transmise Deloitte nu permitea în sine identificarea autorilor comentariilor și, pe de altă parte, că Deloitte nu avea acces la datele de identificare primite în faza de înscriere care să permită conectarea participanților la comentariile lor datorită codului alfanumeric.
95 AEPD a precizat în decizia revizuită și a confirmat în ședință că informațiile suplimentare necesare pentru a identifica autorii comentariilor constau în codul alfanumeric și în baza de date de identificare.
96 Desigur, astfel cum susține AEPD, având în vedere punctul 43 din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), citată la punctul 90 de mai sus, faptul că informațiile suplimentare necesare pentru a identifica autorii comentariilor primite în faza de consultare nu erau deținute de Deloitte, ci de SRB nu este de natură să excludă a priori că informațiile transmise Deloitte constituiau, pentru aceasta, date cu caracter personal.
97 Cu toate acestea, reiese de asemenea din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), că, pentru a stabili dacă informațiile transmise Deloitte constituie date cu caracter personal, trebuie să ne plasăm din punctul de vedere al acesteia din urmă pentru a stabili dacă informațiile care i‑au fost transmise privesc „persoane identificabile”.
98 Astfel, trebuie amintit, în primul rând, că încălcarea articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725 constatată de AEPD în decizia revizuită privea transferul de către SRB al anumitor comentarii către Deloitte, iar nu simpla deținere de către SRB a acestora.
99 În al doilea rând, pe de o parte, situația Deloitte poate fi comparată cu cea a furnizorului de servicii de comunicații electronice vizată în Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), dat fiind că deținea informații, și anume comentariile referitoare la evaluarea 3, care nu constituiau informații privind o „persoană fizică identificată”, în măsura în care codul alfanumeric care figura pe fiecare răspuns nu permitea să se dezvăluie în mod direct identitatea persoanei fizice care a completat formularul. Pe de altă parte, situația SRB poate fi comparată cu cea a furnizorului de acces la internet în această cauză, în măsura în care este cert că era singurul care deținea informațiile suplimentare care permiteau identificarea acționarilor și a creditorilor afectați care au răspuns la formular, și anume codul alfanumeric și baza de date de identificare.
100 Prin urmare, în temeiul punctului 44 din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), citat la punctul 91 de mai sus, revenea AEPD sarcina de a examina dacă comentariile transmise Deloitte constituiau, în raport cu aceasta, date cu caracter personal.
101 Astfel, AEPD susține în mod eronat că nu era necesar să se examineze dacă autorii informațiilor transmise Deloitte erau reidentificabili de aceasta din urmă sau dacă reidentificarea menționată era posibilă în mod rezonabil.
102 Trebuie să se constate că, în decizia revizuită, AEPD a considerat că faptul că SRB deținea informațiile suplimentare care permiteau reidentificarea autorilor comentariilor era suficient pentru a concluziona că informațiile transmise Deloitte erau date cu caracter personal, recunoscând totodată că datele de identificare primite în faza de înscriere nu fuseseră comunicate Deloitte.
103 Reiese astfel din decizia revizuită că AEPD s‑a limitat să examineze posibilitatea de a reidentifica autorii comentariilor din punctul de vedere al SRB, iar nu al Deloitte.
104 Or, din cuprinsul punctului 45 din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), citată la punctul 92 de mai sus, reiese că revenea AEPD sarcina de a stabili dacă posibilitatea de a combina informațiile care fuseseră transmise Deloitte cu informațiile suplimentare deținute de SRB constituia un mijloc pe care era probabil, în mod rezonabil, să îl pună în aplicare Deloitte pentru a identifica autorii comentariilor.
105 Prin urmare, întrucât AEPD nu a cercetat dacă Deloitte dispunea de mijloace legale și realizabile în practică care să îi permită accesul la informațiile suplimentare necesare pentru reidentificarea autorilor comentariilor, AEPD nu putea concluziona că informațiile transmise Deloitte constituiau informații privind o „persoană fizică identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
106 Din ansamblul a ceea ce precedă reiese că primul motiv trebuie admis și, prin urmare, decizia revizuită trebuie anulată fără a fi necesară examinarea celui de al doilea motiv.
Cu privire la cheltuielile de judecată
107 Potrivit articolului 134 alineatul (1) din Regulamentul de procedură al Tribunalului, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată.
108 Întrucât AEPD a căzut în pretenții, se impune obligarea acesteia la plata cheltuielilor de judecată, conform concluziilor SRB.
Pentru aceste motive,
TRIBUNALUL (Camera a opta extinsă)
declară și hotărăște:
1) Anulează decizia revizuită a Autorității Europene pentru Protecția Datelor (AEPD) din 24 noiembrie 2020 adoptată în urma cererii prezentate de Comitetul unic de rezoluție (SRB) de reexaminare a deciziei AEPD din 24 iunie 2020 privind cinci plângeri depuse de mai mulți reclamanți (cazurile 2019-947, 2019-998, 2019-999, 2019-1000 și 2019-1122).
2) Respinge în rest acțiunea.
3) Obligă AEPD la plata cheltuielilor de judecată.
Pronunțată astfel în ședință publică la Luxemburg, la 26 aprilie 2023.
Semnături