HOTĂRÂREA CURȚII (Camera a treia)
20 iunie 2024 (*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 82 – Dreptul la despăgubiri pentru prejudiciul cauzat de prelucrarea datelor efectuată cu încălcarea acestui regulament – Noțiunea de «prejudiciu moral» – Despăgubire cu caracter punitiv sau cu titlu de simplă compensație și satisfacție – Despăgubire minimă sau simbolică – Furt de date cu caracter personal înregistrate pe o aplicație de trading – Furt sau fraudă de identitate”
În cauzele conexate C‑182/22 și C‑189/22,
având ca obiect cereri de decizie preliminară formulate în temeiul articolului 267 TFUE de Amtsgericht München (Tribunalul Districtual München, Germania), prin deciziile din 3 martie 2022, primite de Curte la 10 și 11 martie 2022, în procedura
JU (C‑182/22),
SO (C‑189/22)
împotriva
Scalable Capital GmbH,
CURTEA (Camera a treia),
compusă din doamna K. Jürimäe, președintă de cameră, și domnii N. Piçarra și N. Jääskinen (raportor), judecători,
avocat general: domnul A. M. Collins,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru SO, de M. Ruigrok van de Werve, Rechtsanwalt;
– pentru Scalable Capital GmbH, de M. C. Mekat, Rechtsanwalt;
– pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și M. Tierney, în calitate de agenți, asistați de D. Fennelly, BL;
– pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 26 octombrie 2023,
pronunță prezenta
Hotărâre
1 Cererile de decizie preliminară privesc interpretarea articolului 82 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).
2 Aceste cereri au fost prezentate în cadrul a două litigii între JU și, respectiv, SO, pe de o parte, și Scalable Capital GmbH, pe de altă parte, cu privire la repararea prejudiciului moral pe care afirmă că l‑au suferit din cauza furtului de către terți a căror identitate este necunoscută a datelor lor personale înregistrate pe o aplicație de trading gestionată de această societate.
Cadrul juridic
3 Considerentele (75), (85) și (146) ale RGPD au următorul cuprins:
„(75) Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.
[…]
(85) Dacă nu este soluționată la timp și într‑un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]
[…]
(146) […] Operatorul sau persoana împuternicită de operator ar trebui să fie exonerați de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament. […] Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit. […]”
4 Articolul 4 din acest regulament, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]
[…]
10. «parte terță» înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
[…]
12. «încălcarea securității datelor cu caracter personal» înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într‑un alt mod, sau la accesul neautorizat la acestea;
[…]”
5 Articolul 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatele (1)-(3):
„(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.”
Litigiile principale și întrebările preliminare
6 Scalable Capital, o societate de drept german, gestionează o trading app (o aplicație de trading) în care reclamanții din litigiile principale, JU și SO, au deschis un cont. În acest scop, aceștia din urmă au înregistrat anumite date cu caracter personal în conturile lor respective, în special numele lor, datele lor de naștere, adresa lor poștală, adresa lor de e‑mail, precum și o copie digitală a cărții lor de identitate. Reclamanții din litigiile principale au plătit o sumă de mai multe mii de euro necesară deschiderii acestor conturi.
7 În cursul anului 2020, terți a căror identitate rămâne necunoscută au piratat date personale, precum și date referitoare la conturile de valori mobiliare ale reclamanților din litigiile principale. Potrivit Scalable Capital, datele personale menționate nu au făcut obiectul unei utilizări frauduloase până în prezent.
8 În acest context, reclamanții din litigiile principale au sesizat Amtsgericht München (Tribunalul Districtual din München, Germania), care este instanța de trimitere, cu o acțiune prin care au solicitat repararea prejudiciului moral pe care afirmă că l‑au suferit din cauza furtului datelor lor personale.
9 În primul rând, întrebările instanței de trimitere decurg din abordări divergente ale instanțelor germane în ceea ce privește evaluarea daunelor interese care trebuie acordate în acest tip de situație. Rezultă din aceasta variații importante ale cuantumului despăgubirii pecuniare acordate în cazuri totuși similare cu cele în discuție în litigiile principale, în special după cum s‑a ținut seama sau nu de un eventual efect disuasiv. Instanța de trimitere arată că, în speță, mai multe zeci de mii de persoane sunt afectate de pierderea datelor în discuție și că ar trebui astfel adoptat un mod de evaluare uniform.
10 În al doilea rând, în ceea ce privește evaluarea prejudiciilor morale, aceasta se întemeiază pe dreptul german pentru a distinge o funcție „de compensare” de o funcție de „satisfacere personală”. Funcția de compensare ar urmări să compenseze consecințele suferite și previzibile ale prejudiciul invocat, în timp ce funcția de satisfacere personală ar urmări să neutralizeze sentimentul de nedreptate resimțit ca urmare a producerii prejudiciului menționat. Instanța de trimitere arată că, în dreptul german, această funcție de satisfacere nu are decât un rol accesoriu și apreciază că, în cazul de față, această funcție nu ar trebui să exercite nicio influență asupra calculului daunelor interese pretinse de reclamanți.
11 În al treilea rând, nu ar exista, în dreptul german, un barem care să permită stabilirea cuantumului daunelor interese ce trebuie acordate în funcție de situațiile în care acestea sunt pretinse. Cu toate acestea, numărul mare de decizii individuale pronunțate ar permite stabilirea unui cadru de referință, ceea ce conduce la o formă de sistematizare a compensațiilor. În această privință, în ordinea juridică germană nu s‑ar acorda o despăgubire pecuniară pentru a compensa atingerile aduse drepturilor referitoare la personalitate decât dacă acestea sunt deosebit de grave. Evaluarea pecuniară ar fi mai obiectivată pentru compensarea vătămărilor corporale. Prin urmare, potrivit instanței de trimitere, pierderea datelor ar trebui să aibă o greutate mai mică decât cea a vătămărilor fizice.
12 În al patrulea rând, această instanță are îndoieli privind posibilitatea de a acorda despăgubiri scăzute, ce ar putea fi percepute drept simbolice, în cazurile în care prejudiciul legat de o încălcare a RGPD este minim.
13 În al cincilea rând, instanța de trimitere observă că părțile din litigiile principale interpretează în mod diferit noțiunea de „furt de identitate”. În această privință, ea apreciază că este vorba despre un furt de identitate doar atunci când datele obținute ilegal sunt utilizate de un terț pentru a frauda identitatea persoanei vizate.
14 În aceste condiții, Amtsgericht München (Tribunalul Districtual din München) a decis, în cauzele C‑182/22 și C‑189/22, să suspende judecarea cauzelor și să adreseze Curții următoarele întrebări preliminare, care sunt redactate în termeni identici în aceste două cauze:
„1) Articolul 82 din [RGPD] trebuie interpretat în sensul că dreptul la despăgubiri, inclusiv în cadrul stabilirii întinderii sale, nu are caracterul unei sancțiuni, neavând în special o funcție disuasivă generală sau specifică, ci dreptul la despăgubiri are doar o funcție de compensare și, în anumite cazuri, o funcție de satisfacere?
2) În vederea aprecierii dreptului la despăgubiri pentru prejudiciul moral, trebuie să se considere că dreptul la despăgubiri are de asemenea o funcție de satisfacere individuală – înțeleasă în acest caz ca fiind interesul rămas în sfera privată a persoanei vătămate de a vedea sancționat comportamentul cauzator al prejudiciului – sau dreptul la despăgubiri are doar o funcție de compensare, înțeleasă în acest caz ca urmărind să compenseze atingerile suferite?
Dacă este necesar să se considere că dreptul la despăgubiri pentru prejudiciul moral are atât o funcție de compensare, cât și o funcție de satisfacere, în cadrul aprecierii sale, trebuie să se considere că funcția de compensare are o prioritate structurală sau, cel puțin, se află într‑un raport de tip regulă‑excepție față de funcția de satisfacere? Aceasta are drept consecință faptul că o funcție de satisfacere nu poate fi luată în considerare decât în cazul unor încălcări săvârșite în mod intenționat sau din neglijență gravă?
În cazul în care dreptul la despăgubiri pentru prejudiciul moral nu are o funcție de satisfacere, în cadrul aprecierii sale, numai încălcările protecției datelor săvârșite în mod intenționat sau din neglijență gravă prezintă o importanță suplimentară în ceea ce privește evaluarea contribuțiilor la cauzarea prejudiciului?
3) În vederea interpretării despăgubirii pentru prejudiciul moral, în cadrul aprecierii acestuia trebuie să se pornească de la premisa unei ierarhii structurale sau, cel puțin, a unei ierarhii de tip regulă‑excepție, în care experiența atingerii aduse de o încălcare a datelor prezintă o importanță mai redusă decât experiența atingerii și a durerii legate de o vătămare corporală?
4) Atunci când se presupune că există un prejudiciu, o instanță națională are posibilitatea, având în vedere lipsa de gravitate, de a nu acorda decât despăgubiri materiale minore și care, prin urmare, în anumite cazuri, sunt percepute de către partea vătămată sau în general ca fiind doar simbolice?
5) În vederea interpretării despăgubirilor pentru prejudiciul moral, în cadrul aprecierii consecințelor acestuia, trebuie să se considere că există un furt de identitate, în sensul considerentului (75) al [RGPD], numai în cazul în care un delincvent și‑a asumat în mod efectiv identitatea persoanei vizate, cu alte cuvinte s‑a prezentat, sub o formă sau alta, ca fiind persoana vizată, sau există deja un asemenea furt de identitate în împrejurarea în care delincventul dispune de date care permit identificarea persoanei vizate?”
Procedura în fața Curții
15 Prin Decizia președintelui Curții din 19 aprilie 2022, cauzele C‑182/22 și C‑189/22 au fost conexate pentru buna desfășurare a fazei scrise și a fazei orale ale procedurii, precum și în vederea pronunțării hotărârii.
16 La 1 iunie 2022, președintele Curții a respins cererea formulată de Scalable Capital având ca obiect anonimizarea prezentei proceduri în temeiul articolului 95 alineatul (2) din Regulamentul de procedură al Curții.
Cu privire la admisibilitatea cererilor de decizie preliminară
17 Scalable Capital susține în esență că prezentele cereri de decizie preliminară nu sunt admisibile în măsura în care nu au incidență asupra soluționării litigiilor principale. Aceasta consideră că o pierdere abstractă a controlului asupra unor date precum în cazul de față nu trebuie să fie calificată drept „prejudiciu” în sensul articolului 82 alineatul (1) din RGPD atunci când o asemenea pierdere a controlului a rămas fără o consecință concretă, iar condițiile de aplicare a articolului 82 menționat nu sunt, așadar, îndeplinite. Astfel, o asemenea calificare ar presupune să se considere că orice încălcare a regulamentului dă naștere unei prezumții de prejudiciu, contrar modului de redactare, economiei generale și genezei articolului 82 din RGPD.
18 În această privință, potrivit unei jurisprudențe constante, numai instanța națională, care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată, are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții, care beneficiază de o prezumție de pertinență. În consecință, în cazul în care întrebarea adresată privește interpretarea sau validitatea unei norme de drept al Uniunii, Curtea este, în principiu, obligată să se pronunțe, cu excepția cazului în care este evident că interpretarea solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util întrebării respective [a se vedea Hotărârea din 5 mai 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, punctul 43, și Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 23].
19 În cazul de față, este suficient să se amintească faptul că, din moment ce, în situația în care nu rezultă în mod vădit că interpretarea unei dispoziții de drept al Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, obiecția întemeiată pe inaplicabilitatea acestei dispoziții în cauza principală nu are legătură cu admisibilitatea cererii de decizie preliminară, ci ține de fondul întrebărilor adresate (a se vedea în acest sens Hotărârea din 13 iulie 2006, Manfredi și alții, C‑295/04-C‑298/04, EU:C:2006:461, punctul 30, Hotărârea din 4 iulie 2019, Kirschstein, C‑393/17, EU:C:2019:563, punctul 28, precum și Hotărârea din 24 iulie 2023, Lin, C‑107/23 PPU, EU:C:2023:606, punctul 66).
20 În consecință, prezentele cereri de decizie preliminară sunt admisibile.
Cu privire la întrebările preliminare
Cu privire la prima întrebare și la prima parte a celei de a doua întrebări
21 Prin intermediul primei întrebări și al primei părți a celei de a doua întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că dreptul la despăgubiri prevăzut la această dispoziție îndeplinește o funcție compensatorie prin aceea că o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului suferit ca urmare a încălcării acestui regulament sau îndeplinește de asemenea o funcție punitivă care urmărește printre altele satisfacerea intereselor individuale ale persoanei vizate.
22 În această privință, Curtea a statuat deja că articolul 82 din RGPD nu are o funcție punitivă, ci o funcție compensatorie, spre deosebire de alte dispoziții din acest regulament care figurează de asemenea în capitolul VIII din acesta, și anume articolele 83 și 84, care au, la rândul lor, o finalitate în esență punitivă, întrucât permit aplicarea unor amenzi administrative și, respectiv, a altor sancțiuni. Corelația dintre normele prevăzute la articolul 82 menționat și cele prevăzute la articolele 83 și 84 menționate demonstrează că există o diferență între aceste două categorii de dispoziții, dar și o complementaritate în ceea ce privește incitarea la respectarea RGPD, observându‑se că dreptul oricărei persoane de a solicita despăgubiri pentru un prejudiciu consolidează caracterul operațional al normelor de protecție prevăzute de acest regulament și este de natură să descurajeze repetarea comportamentelor ilegale [a se vedea printre altele Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 38 și 40, precum și Hotărârea din 11 aprilie 2024, juris, C‑741/21, EU:C:2024:288, punctul 59].
23 În consecință, articolul 82 alineatul (1) din RGPD a fost interpretat în sensul că dreptul la despăgubiri prevăzut de această dispoziție, în special în cazul prejudiciului moral, îndeplinește o funcție exclusiv compensatorie, în măsura în care o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului concret suferit ca urmare a încălcării acestui regulament, iar nu o funcție disuasivă sau punitivă [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 57 și 58, precum și Hotărârea din 11 aprilie 2024, juris, C‑741/21, EU:C:2024:288, punctul 61].
24 În consecință, este necesar să se răspundă la prima întrebare și la prima parte a celei de a doua întrebări că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că dreptul la despăgubiri prevăzut de această dispoziție îndeplinește o funcție exclusiv compensatorie, în măsura în care o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului suferit.
Cu privire la a doua parte a celei de a doua întrebări
25 Având în vedere răspunsul dat la prima întrebare și la prima parte a celei de a doua întrebări, nu este necesar să se răspundă la această a doua parte a celei de a doua întrebări.
Cu privire la a treia parte a celei de a doua întrebări
26 Prin intermediul celei de a treia părți a celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că impune ca gradul de gravitate și eventualul caracter intenționat al încălcării acestui regulament săvârșite de operator să fie luat în considerare în scopul reparării unui prejudiciu în temeiul acestei dispoziții.
27 În ceea ce privește evaluarea daunelor interese eventual datorate în temeiul articolului 82 din RGPD, în lipsa unei dispoziții care să aibă un astfel de obiect în acest regulament, instanțele naționale trebuie să aplice normele interne ale fiecărui stat membru referitoare la întinderea despăgubirii pecuniare, cu condiția să fie respectate principiile echivalenței și efectivității dreptului Uniunii [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 53, 54 și 59, precum și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 53].
28 Trebuie subliniat însă, pe de o parte, că angajarea răspunderii operatorului în temeiul articolului 82 din RGPD este condiționată de existența unei culpe a acestuia care este prezumată, cu excepția cazului în care acesta din urmă dovedește că evenimentul care a provocat prejudiciul nu îi este nicidecum imputabil și, pe de altă parte, că acest articol 82 nu impune ca gradul de gravitate al acestei culpe să fie luat în considerare la stabilirea cuantumului daunelor interese acordate ca despăgubiri pentru un prejudiciu moral în temeiul acestei dispoziții (Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 103, și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 52).
29 În plus, funcția exclusiv compensatorie a dreptului la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD exclude luarea în considerare a caracterului eventual intenționat al încălcării acestui regulament, pe care se prezumă că a săvârșit‑o operatorul, cu ocazia stabilirii cuantumului daunelor interese acordate pentru repararea unui prejudiciu moral în temeiul dispoziției menționate. Acest cuantum trebuie însă stabilit astfel încât să compenseze integral prejudiciul concret suferit ca urmare a încălcării regulamentului menționat (a se vedea prin analogie Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punctul 102, și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punctul 54).
30 Având în vedere motivele care precedă, trebuie să se răspundă la a treia parte a celei de a doua întrebări că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că nu impune ca gradul de gravitate și eventualul caracter intenționat al încălcării acestui regulament săvârșite de operator să fie luate în considerare în scopul reparării unui prejudiciu în temeiul acestei dispoziții.
Cu privire la a treia întrebare
31 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în cadrul stabilirii cuantumului daunelor interese datorate în temeiul dreptului la repararea unui prejudiciu moral, trebuie să se considere că un astfel de prejudiciu cauzat printr‑o încălcare a securității datelor cu caracter personal este, prin natura sa, mai puțin important decât un prejudiciu corporal.
32 În această privință, trebuie amintit că, potrivit unei jurisprudențe constante, în lipsa unor norme ale Uniunii în materie, revine ordinii juridice interne a fiecărui stat membru atribuția de a stabili, în temeiul principiului autonomiei procedurale, modalitățile procedurale ale acțiunilor în justiție destinate să asigure apărarea drepturilor justițiabililor, cu condiția însă ca acestea să nu fie mai puțin favorabile decât cele aplicabile unor situații similare supuse dreptului intern (principiul echivalenței) și să nu facă imposibilă în practică sau excesiv de dificilă exercitarea drepturilor conferite de dreptul Uniunii (principiul efectivității) [a se vedea în acest sens Hotărârea din 13 decembrie 2017, El Hassani, C‑403/16, EU:C:2017:960, punctul 26, și Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 53].
33 În speță, este necesar să se arate că RGPD nu conține nicio dispoziție care să aibă ca obiect definirea normelor privind evaluarea daunelor interese pe care o persoană vizată, în sensul articolului 4 punctul 1 din acest regulament, le poate pretinde, în temeiul articolului 82 din acesta, atunci când o încălcare a regulamentului menționat i‑a cauzat un prejudiciu. Prin urmare, în lipsa unor norme de drept al Uniunii în materie, revine sistemului juridic al fiecărui stat membru sarcina de a stabili modalitățile de reglementare a acțiunilor menite să garanteze drepturile pe care particularii le derivă din acest articol 82 și, în special, criteriile de determinare a întinderii despăgubirilor datorate în acest context, sub rezerva respectării principiilor echivalenței și efectivității menționate [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 54].
34 Întrucât niciun element din dosarul de care dispune Curtea nu sugerează că principiul echivalenței ar putea fi pertinent în contextul prezentelor cauze principale, trebuie analizat principiul efectivității. Din această perspectivă, revine instanței de trimitere sarcina de a stabili dacă modalitățile prevăzute în dreptul german pentru stabilirea judiciară a daunelor interese datorate în temeiul dreptului la despăgubiri consacrat la articolul 82 din RGPD nu fac imposibilă în practică sau excesiv de dificilă exercitarea drepturilor conferite de dreptul Uniunii și, mai precis, de acest regulament.
35 În această privință, rezultă din jurisprudența amintită la punctul 23 din prezenta hotărâre că, ținând seama de funcția exclusiv compensatorie a dreptului la despăgubiri prevăzut la articolul 82 alineatul (1) din acest regulament, o despăgubire pecuniară întemeiată pe această dispoziție trebuie considerată ca fiind „integrală și eficace” dacă permite compensarea integrală a prejudiciului concret suferit ca urmare a încălcării regulamentului menționat.
36 Din această perspectivă, considerentul (146) al regulamentului menționat arată de altfel că „conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament” și că „[p]ersoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit”.
37 Trebuie arătat de asemenea că considerentele (75) și (85) ale RGPD enunță diferite împrejurări care pot fi calificate drept „prejudicii de natură fizică, materială sau morală”, fără a opera o ierarhie între ele și fără a indica faptul că atingerile rezultate dintr‑o încălcare a securității datelor sunt, prin natura lor, mai puțin semnificative decât vătămările corporale.
38 Or, a presupune, în principiu, că un prejudiciu corporal este, prin natura sa, mai important decât un prejudiciu moral ar risca să repună în discuție principiul unei despăgubiri integrale și eficace a prejudiciului suferit.
39 Având în vedere motivele care precedă, trebuie să se răspundă la a treia întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în cadrul stabilirii cuantumului daunelor interese datorate în temeiul dreptului la repararea unui prejudiciu moral, trebuie să se considere că un astfel de prejudiciu cauzat printr‑o încălcare a securității datelor cu caracter personal nu este, prin natura sa, mai puțin important decât un prejudiciu corporal.
Cu privire la a patra întrebare
40 Prin intermediul celei de a patra întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în cazul în care un prejudiciu este stabilit, o instanță națională poate, atunci când acesta nu este grav, să îl compenseze acordând persoanei vizate o despăgubire minimă, care ar putea fi percepută ca fiind simbolică.
41 Trebuie amintit că rezultă dintr‑o jurisprudență constantă că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că simpla încălcare a acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri, din moment ce existența unui „prejudiciu”, material sau moral, sau a unei „daune” care a fost „suferit/ă” constituie una dintre condițiile dreptului la despăgubiri prevăzut la articolul 82 alineatul (1) menționat, la fel ca existența unei încălcări a acestui regulament și a unei legături de cauzalitate între acest prejudiciu și această încălcare, cele trei condiții fiind cumulative [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctul 32, și Hotărârea din 11 aprilie 2024, juris, C‑741/21, EU:C:2024:288, punctul 34].
42 Astfel, persoana care solicită repararea unui prejudiciu moral în temeiul acestei dispoziții este obligată să dovedească nu numai încălcarea unor dispoziții ale acestui regulament, ci și că această încălcare i‑a cauzat un astfel de prejudiciu, care nu poate fi deci prezumat ca urmare a survenirii încălcării menționate [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 42 și 50, precum și Hotărârea din 11 aprilie 2024, juris, C‑741/21, EU:C:2024:288, punctul 35].
43 Atunci când o persoană reușește să demonstreze că încălcarea RGPD i‑a cauzat un prejudiciu sau o daună, în sensul articolului 82 din acest regulament, reiese în esență din cuprinsul punctului 33 din prezenta hotărâre că criteriile de evaluare a despăgubirii datorate în cadrul acțiunilor destinate să asigure protecția drepturilor conferite justițiabililor de acest articol trebuie să fie stabilite în cadrul ordinii juridice a fiecărui stat membru, cu condiția ca o astfel de despăgubire să fie integrală și eficace.
44 În această privință, Curtea a apreciat că articolul 82 alineatul (1) din RGPD nu impune ca, în urma unei încălcări dovedite a unor dispoziții ale acestui regulament, prejudiciul invocat de persoana vizată să trebuiască să atingă un „prag de minimis” pentru a da naștere unui drept la despăgubiri (a se vedea în acest sens Hotărârea din 14 decembrie 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punctul 18).
45 Astfel de considerații nu exclud totuși posibilitatea ca instanțele naționale să acorde o despăgubire într‑un cuantum mai redus, cu condiția ca această despăgubire să compenseze integral prejudiciul menționat, aspect care trebuie verificat de instanța de trimitere, cu respectarea principiilor amintite la punctul 43 din prezenta hotărâre.
46 Având în vedere motivele care precedă, trebuie să se răspundă la a patra întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, în cazul în care un prejudiciu este stabilit, o instanță națională poate, atunci când acesta nu este grav, să îl compenseze acordând persoanei vizate o despăgubire minimă, cu condiția ca această despăgubire să fie de natură să compenseze în mod integral prejudiciul suferit.
Cu privire la a cincea întrebare
Cu privire la admisibilitate
47 În observațiile sale scrise, Comisia Europeană a ridicat problema pertinenței celei de a cincea întrebări în scopul soluționării litigiilor principale, în măsura în care aceasta constată că instanța de trimitere nu a făcut nicio referire la o dispoziție concretă a dreptului Uniunii.
48 În această privință, a cincea întrebare se referă la noțiunea de „furt de identitate”, în sensul considerentului (75) al RGPD, și nu privește în mod formal articolul 82 din acest regulament. Cu toate acestea, simplul fapt că Curtea este chemată să se pronunțe în temeni abstracți și generali nu poate avea ca efect să determine inadmisibilitatea unei cereri de decizie preliminară (Hotărârea din 15 noiembrie 2007, International Mail Spain, C‑162/06, EU:C:2007:681, punctul 24).
49 Or, prin intermediul acestei întrebări, instanța de trimitere solicită Curții să interpreteze noțiunea de „furt de identitate”, astfel cum figurează în considerentul (75) al RGPD, pentru a stabili cuantumul despăgubirii pecuniare prevăzute la articolul 82 din RGPD. Prin urmare, întrebarea menționată se referă într‑adevăr la o dispoziție de drept al Uniunii. De altfel, răspunsul la această întrebare este de asemenea pertinent în măsura în care nici instanța de trimitere, nici părțile din litigiile principale nu sunt de acord cu privire la definiția acestei noțiuni în scopul evaluării prejudiciului suferit în cauzele principale.
50 În aceste condiții, a cincea întrebare este admisibilă.
Cu privire la fond
51 Potrivit unei jurisprudențe constante, în cadrul procedurii de cooperare între instanțele naționale și Curte instituite la articolul 267 TFUE, este de competența acesteia din urmă să ofere instanței naționale un răspuns util, care să îi permită să soluționeze litigiul cu care este sesizată. Din această perspectivă, Curtea trebuie, dacă este cazul, să reformuleze întrebările care îi sunt adresate. În plus, Curtea poate fi pusă în situația de a lua în considerare norme de drept al Uniunii la care instanța națională nu a făcut referire în enunțul întrebării sale (Hotărârea din 7 septembrie 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, punctul 47 și jurisprudența citată).
52 În speță, a cincea întrebare privește dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD și în special noțiunea de „furt de identitate”, care figurează în considerentul (75) al RGPD. Or, trebuie arătat că, pe lângă acest considerent, noțiunea amintită este de asemenea menționată în considerentul (85) al acestui regulament.
53 În consecință, este necesar să se considere că, prin intermediul celei de a cincea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD, citit în lumina considerentelor (75) și (85) ale acestui regulament, trebuie interpretat în sensul că, pentru a fi individualizată și pentru a da dreptul la repararea prejudiciului moral în temeiul acestei dispoziții, noțiunea de „furt de identitate” presupune ca identitatea unei persoane vizate de un furt de date cu caracter personal să fie efectiv fraudată de un terț sau dacă un astfel de furt de identitate este individualizat atât timp cât acest terț dispune de date care permit identificarea persoanei vizate.
54 Noțiunea de furt de identitate nu este definită în RGPD. Cu toate acestea, „furtul” sau „frauda” de identitate sunt menționate în considerentul (75) al acestui regulament ca făcând parte dintr‑o listă neexhaustivă de consecințe ale unei prelucrări a datelor cu caracter personal care poate cauza prejudicii de natură fizică, materială sau morală. În considerentul (85) al regulamentului menționat, „furtul” sau „frauda” de identitate sunt menționate din nou împreună într‑o listă de prejudicii de natură fizică, materială sau morală care pot fi cauzate de o încălcare a securității datelor cu caracter personal.
55 Astfel cum a arătat domnul avocat general la punctul 29 din concluzii, diferitele versiuni lingvistice ale considerentelor (75) și (85) ale RGPD menționează termenii „furt de identitate”, „fraudă de identitate”, „fraudă a identității”, „abuz de identitate” și „deturnare de identitate” care sunt utilizate fără distincție în acestea. În consecință, noțiunile de „furt” și de „fraudă” de identitate sunt interschimbabile și nu se poate face nicio distincție între ele. Aceste ultime două noțiuni dau naștere prezumției unei voințe de a‑și apropria identitatea unei persoane ale cărei date cu caracter personal au fost anterior furate.
56 În plus, astfel cum a arătat de asemenea domnul avocat general la punctul 30 din concluzii, printre diferitele noțiuni enunțate în listele care figurează în considerentele (75) și (85) ale RGPD, „pierderea controlului” sau imposibilitatea de „exercita[re a controlului]” asupra datelor cu caracter personal se disting de „furtul” sau de „frauda” identității. Rezultă că accesul și preluarea controlului asupra unor astfel de date, care ar putea fi asimilate unui furt al acestora din urmă, nu sunt prin ele însele asimilabile unui „furt” sau unei „fraude” de identitate. Cu alte cuvinte, furtul datelor cu caracter personal nu constituie, în sine, un furt sau o fraudă de identitate.
57 Cu toate acestea, este necesar să se precizeze, în această privință, că repararea unui prejudiciu moral cauzat de furtul de date cu caracter personal, în temeiul articolului 82 alineatul (1) din RGPD, nu poate fi limitată la cazurile în care se demonstrează că un astfel de furt de date a condus ulterior la un furt sau la o fraudă de identitate. Astfel, furtul datelor cu caracter personal ale unei persoane vizate dă naștere dreptului la despăgubiri pentru prejudiciul moral suferit, în temeiul articolului 82 alineatul (1) din RGPD, dacă se aplică cele trei condiții prevăzute de această dispoziție, și anume o prelucrare de date cu caracter personal efectuată cu încălcarea dispozițiilor RGPD, un prejudiciu sau o daună suferită de persoana vizată și o legătură de cauzalitate între această prelucrare ilegală și respectivul prejudiciu [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C‑300/21, EU:C:2023:370, punctele 32 și 36].
58 Pentru aceste motive, este necesar să se răspundă la a cincea întrebare că articolul 82 alineatul (1) din RGPD, citit în lumina considerentelor (75) și (85) ale acestui regulament, trebuie interpretat în sensul că, pentru a fi individualizată și pentru a da naștere dreptului la repararea prejudiciului moral în temeiul acestei dispoziții, noțiunea de „furt de identitate” presupune ca identitatea unei persoane vizate de un furt de date cu caracter personal să fie efectiv fraudată de un terț. Cu toate acestea, repararea unui prejudiciu moral cauzat de furtul de date cu caracter personal, în temeiul dispoziției menționate, nu poate fi limitată la cazurile în care se demonstrează că un astfel de furt de date a condus ulterior la un furt sau la o fraudă a identității.
Cu privire la cheltuielile de judecată
59 Întrucât, în privința părților din litigiile principale, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a treia) declară:
1) Articolul 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
dreptul la despăgubiri prevăzut de această dispoziție îndeplinește o funcție exclusiv compensatorie, în măsura în care o despăgubire pecuniară întemeiată pe dispoziția menționată trebuie să permită compensarea integrală a prejudiciului suferit.
2) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
nu impune ca gradul de gravitate și eventualul caracter intenționat al încălcării acestui regulament săvârșite de operator să fie luate în considerare în scopul reparării unui prejudiciu în temeiul acestei dispoziții.
3) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că,
în cadrul stabilirii cuantumului daunelor interese datorate în temeiul dreptului la repararea unui prejudiciu moral, trebuie să se considere că un astfel de prejudiciu cauzat printr‑o încălcare a securității datelor cu caracter personal nu este, prin natura sa, mai puțin important decât un prejudiciu corporal.
4) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că,
în cazul în care un prejudiciu este stabilit, o instanță națională poate, atunci când acesta nu este grav, să îl compenseze acordând persoanei vizate o despăgubire minimă, cu condiția ca această despăgubire să fie de natură să compenseze în mod integral prejudiciul suferit.
5) Articolul 82 alineatul (1) din Regulamentul 2016/679, citit în lumina considerentelor (75) și (85) ale acestui regulament,
trebuie interpretat în sensul că,
pentru a fi individualizată și pentru a da naștere dreptului la repararea prejudiciului moral în temeiul acestei dispoziții, noțiunea de „furt de identitate” presupune ca identitatea unei persoane vizate de un furt de date cu caracter personal să fie efectiv fraudată de un terț. Cu toate acestea, repararea unui prejudiciu moral cauzat de furtul de date cu caracter personal, în temeiul dispoziției menționate, nu poate fi limitată la cazurile în care se demonstrează că un astfel de furt de date a condus ulterior la un furt sau la o fraudă a identității.
Semnături