HOTĂRÂREA CURȚII (Camera a treia)
20 iunie 2024(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 82 alineatul (1) – Dreptul la despăgubiri pentru prejudiciul cauzat de prelucrarea datelor efectuată cu încălcarea acestui regulament – Noțiunea de «prejudiciu moral» – Incidența gravității prejudiciului suferit – Evaluarea cuantumului despăgubirii – Cerere de despăgubire a unui prejudiciu moral întemeiată pe o temere – Inaplicabilitatea criteriilor prevăzute pentru amenzile administrative la articolul 83 – Funcție de descurajare – Evaluare în caz de încălcări simultane ale regulamentului menționat și ale dreptului național”
În cauza C-590/22,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Amtsgericht Wesel (Tribunalul Districtual din Wesel, Germania), prin decizia din 5 august 2022, primită de Curte la 9 septembrie 2022, în procedura
AT,
BT
împotriva
PS GbR,
VG,
MB,
DH,
WB,
GS,
CURTEA (Camera a treia),
compusă din doamna K. Jürimäe, președintă de cameră, domnul K. Lenaerts, președintele Curții, îndeplinind funcția de judecător al Camerei a treia, domnii N. Piçarra, N. Jääskinen (raportor) și M. Gavalec, judecători,
avocat general: domnul M. Campos Sánchez-Bordona,
grefier: domnul A. Calot Escobar,
având în vedere procedura scrisă,
luând în considerare observațiile prezentate:
– pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și M. Tierney, în calitate de agenți, asistați de D. Fennelly, BL;
– pentru Comisia Europeană, de A. Bouchagiar, M. Heller și H. Kranenborg, în calitate de agenți,
având în vedere decizia de judecare a cauzei fără concluzii, luată după ascultarea avocatului general,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între AT și BT, care sunt reclamanții din litigiul principal, pe de o parte, și PS GbR, o societate de consiliere fiscală, precum și VG, MB, DH, WB și GS, asociații societății PS, pe de altă parte, cu privire la dreptul reclamanților din litigiul principal la acordarea de daune interese, în temeiul articolului 82 alineatul (1) din RGPD, cu titlu de despăgubire pentru suferințele pe care afirmă că le-au îndurat din cauza faptului că declarația lor fiscală care conține date cu caracter personal a fost divulgată unor terți fără consimțământul lor ca urmare a unei erori săvârșite de PS.
Cadrul juridic
3 Considerentele (85), (146) și (148) ale RGPD au următorul cuprins:
„(85) Dacă nu este soluționată la timp și într-un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]
[…]
(146) Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. Operatorul sau persoana împuternicită de operator ar trebui să fie exonerați de răspundere dacă dovedesc că nu sunt în niciun fel răspunzători pentru prejudiciu. Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într-un mod care să reflecte pe deplin obiectivele prezentului regulament. Această dispoziție nu aduce atingere niciunei cereri de despăgubire care rezultă din încălcarea altor norme din dreptul Uniunii sau din dreptul intern. O prelucrare care încalcă prezentul regulament include și prelucrarea care încalcă actele delegate și de punere în aplicare adoptate în conformitate cu prezentul regulament și cu dreptul intern care specifică norme din prezentul regulament. Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l-au suferit. […]
[…]
(148) Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament […] Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. […]”
4 Articolul 4 din acest regulament, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); […]
[…]
7. «operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]
[…]
10. «parte terță» înseamnă o persoană fizică sau juridică, autoritate publică, agenție sau organism altul decât persoana vizată, operatorul, persoana împuternicită de operator și persoanele care, sub directa autoritate a operatorului sau a persoanei împuternicite de operator, sunt autorizate să prelucreze date cu caracter personal;
[…]
12. «încălcarea securității datelor cu caracter personal» înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea;
[…]”
5 Potrivit articolului 79 alineatul (1) din regulamentul menționat:
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
6 Articolul 82 din acesta, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatele (1)-(3):
„(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. […]
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.”
7 Articolul 83 din același regulament, intitulat „Condiții generale pentru impunerea amenzilor administrative”, prevede la alineatele (2), (3) și (5):
„(2) […] Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
(a) natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare și scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
(b) dacă încălcarea a fost comisă intenționat sau din neglijență;
[…]
(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
(3) În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.
[…]
(5) Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 [de euro] sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:
(a) principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu articolele 5, 6, 7 și 9;
(b) drepturile persoanelor vizate în conformitate cu articolele 12-22;
[…]”
Litigiul principal și întrebările preliminare
8 Reclamanții din litigiul principal, AT și BT, sunt clienții societății PS, un cabinet de consiliere fiscală. Ei au informat acest cabinet de consiliere cu privire la schimbarea adresei lor poștale, care a fost înregistrată în sistemul informatic de prelucrare a datelor al societății PS. Noua adresă a reclamanților din litigiul principal a fost ulterior utilizată de PS pentru trimiterea mai multor scrisori.
9 În luna iulie 2020, reclamanții din litigiul principal au solicitat societății PS să le redacteze declarația fiscală pentru anul 2019. Întrucât nu au primit niciun răspuns, ei au contactat PS care i-a informat că această declarație fiscală le-a fost totuși trimisă prin scrisoare la 29 septembrie 2020, fără a preciza adresa la care scrisoarea menționată fusese expediată.
10 Noii locatari de la fosta lor adresă i-au informat că au primit un plic cu numele lor la această adresă și că l-au deschis din greșeală. Unul dintre acești noi locatari a arătat că, după ce a constatat că scrisoarea respectivă nu îi era adresată, a reintrodus în plic documentele pe care le-a găsit. Acesta a predat plicul menționat unor cunoștințe care locuiesc în apropierea fostei adrese a reclamanților din litigiul principal pentru ca aceștia din urmă să îl poată recupera.
11 Atunci când reclamanții din litigiul principal au recuperat plicul în cauză, ei au constatat că în acesta se aflau doar o copie a declarației fiscale, precum și o scrisoare de însoțire. Cu toate acestea, ei presupun că plicul menționat conținea de asemenea versiunea originală a acestei declarații fiscale, care cuprindea date personale printre care figurau numele lor și datele lor de naștere, precum și cele ale copiilor lor, numerele lor de identificare fiscală, coordonatele lor bancare sau indicațiile referitoare la apartenența lor la o comunitate religioasă, la calitatea de persoană cu handicap a unui membru al familiei lor, la profesiile lor și la locurile lor de muncă, precum și la diferite cheltuieli efectuate de aceștia.
12 În această privință, instanța de trimitere precizează că nu a fost posibil să se stabilească ce documente se aflau inițial în plicul menționat și nici să se determine în ce măsură noii locatari ai fostei adrese a reclamanților din litigiul principal luaseră sau nu cunoștință de conținutul aceluiași plic. Aceasta arată de asemenea că trimiterea scrisorii în cauză la o adresă eronată rezulta din faptul că PS utilizase date provenite dintr-o bază de date în care figura încă vechea adresă a reclamanților din litigiul principal.
13 În acest context, reclamanții din litigiul principal au sesizat Amtsgericht Wesel (Tribunalul Districtual din Wesel, Germania), care este instanța de trimitere, cu o acțiune prin care au solicitat, în temeiul articolului 82 alineatul (1) din RGPD, repararea prejudiciului moral pe care consideră că l-au suferit ca urmare a divulgării datelor lor cu caracter personal către terți și pe care îl evaluează la 15 000 de euro.
14 Instanța de trimitere ridică, în primul rând, problema dacă, în ipoteza în care s-ar invoca un prejudiciu moral, un drept la despăgubiri în temeiul articolului 82 din RGPD s-ar putea întemeia numai pe încălcarea dispozițiilor acestui regulament, precizându-se că, în dreptul german, dreptul la o despăgubire pecuniară poate fi recunoscut numai în cazurile în care este probat un prejudiciu important, care depășește simpla încălcare a unei dispoziții juridice, cu condiția ca acest prejudiciu să nu poată fi reparat în alt mod.
15 În al doilea rând, această instanță ridică problema dacă temerea că date cu caracter personal au ajuns în posesia unor persoane neautorizate poate, în sine, să constituie un prejudiciu moral susceptibil să confere dreptul la o despăgubire pecuniară în temeiul articolului 82 din RGPD.
16 În al treilea rând, instanța menționată arată că articolul 83 din RGPD enunță criterii care permit să se stabilească în mod uniform cuantumul amenzilor administrative aplicate în cazul încălcării acestui regulament. Or, acest articol nu ar conține niciun echivalent în ceea ce privește despăgubirea pecuniară a prejudiciului moral. Prin urmare, aceasta ridică problema dacă aceste criterii pot fi transpuse în materie de despăgubire pecuniară a prejudiciului moral datorată în temeiul articolului 82 din RGPD.
17 În al patrulea rând, instanța de trimitere amintește că considerentul (146) al RGPD prevede că noțiunea de „prejudiciu” trebuie interpretată în sens larg, pentru a asigura despăgubiri integrale și eficace pentru prejudiciul suferit. Cu toate acestea, instanța de trimitere ridică problema dacă referirea la despăgubiri „eficace” înseamnă că despăgubirile care trebuie plătite cu titlu de prejudiciu moral trebuie evaluate astfel încât să producă un efect disuasiv. Operatorii de date ar putea fi eventual tentați să nu respecte obligațiile prevăzute de RGPD în ipoteza în care costul unei respectări stricte a acestui regulament s-ar dovedi mai ridicat decât cuantumul daunelor interese pe care ar putea fi obligați să le plătească în cazul încălcării regulamentului menționat.
18 În al cincilea și ultimul rând, instanța de trimitere ridică problema dacă încălcarea simultană a unor dispoziții rezultate din RGPD și a unor dispoziții rezultate din dreptul german precum cele care impun obligații de confidențialitate anumitor profesioniști trebuie luată în considerare în scopul evaluării daunelor interese datorate pentru prejudiciul moral în temeiul articolului 82 din RGPD. Instanța de trimitere arată că are îndoieli în această privință, întrucât dispozițiile relevante de drept german în discuție în speță erau deja în vigoare la momentul adoptării RGPD și, prin urmare, nu pot fi considerate acte delegate sau acte de punere în aplicare adoptate în conformitate cu acest regulament, în sensul considerentului (146) al acestuia.
19 În aceste condiții, Amtsgericht Wesel (Tribunalul Districtual din Wesel) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Pentru a justifica un drept la despăgubiri în conformitate cu articolul 82 alineatul (1) din [RGPD], este suficient ca o dispoziție a [acestui regulament] care îl protejează pe reclamant să fi fost încălcată sau este necesar ca, pe lângă încălcarea dispozițiilor ca atare, reclamantului să fi suferit un prejudiciu?
2) În temeiul dreptului Uniunii, pentru a justifica un drept la despăgubiri pentru prejudiciul moral în conformitate cu articolul 82 alineatul (1) din RGPD, este necesară existența unui prejudiciu de o anumită gravitate?
3) În special, pentru a justifica un drept la despăgubiri pentru prejudiciul moral în conformitate cu articolul 82 alineatul (1) din RGPD, este suficient ca reclamantul să se teamă că, în urma unor încălcări ale dispozițiilor RGPD, datele sale cu caracter personal au ajuns în mâinile unor terți, fără ca acest lucru să poată fi stabilit în mod cert?
4) Faptul că instanța națională, atunci când evaluează despăgubirile pentru prejudiciul moral în conformitate cu articolul 82 alineatul (1) din RGPD, utilizează criteriile prevăzute la articolul 83 alineatul (2) a doua teză din RGPD care, potrivit modului de redactare, sunt aplicabile numai în cazul amenzilor administrative, este conform cu dreptul Uniunii?
5) Cuantumul unui drept la despăgubiri pentru prejudiciul moral în conformitate cu articolul 82 alineatul (1) din RGPD trebuie evaluat și pe baza faptului că prin cuantumul dreptului acordat este obținut un efect disuasiv și/sau este împiedicată o «comercializare» (acceptarea calculată a amenzilor administrative/plății despăgubirilor) a încălcărilor regulamentului menționat?
6) În cadrul evaluării unui drept la despăgubiri pentru prejudiciul moral în conformitate cu articolul 82 alineatul (1) din RGPD, luarea în considerare, în privința cuantumului, a încălcărilor simultane ale normelor naționale care au ca scop protecția datelor cu caracter personal, dar care nu sunt acte delegate sau acte de punere în aplicare adoptate în conformitate cu prezentul regulament sau cu dreptul intern care specifică norme din prezentul regulament, este conformă cu dreptul Uniunii?”
Cu privire la întrebările preliminare
Cu privire la prima și la a doua întrebare
20 Prin intermediul primei și al celei de a doua întrebări, care trebuie examinate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că o încălcare a acestui regulament este suficientă în sine pentru a constitui temeiul unui drept la despăgubiri potrivit acestei dispoziții sau dacă persoana vizată trebuie să probeze și existența unui prejudiciu care să atingă un anumit nivel de gravitate, cauzat de această încălcare.
21 Articolul 82 alineatul (1) din RGPD prevede că „[o]rice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit”.
22 Curtea a constatat deja că reiese cu claritate din modul de redactare a acestei dispoziții că existența unui „prejudiciu”, material sau moral, ori a unei „daune” care a fost „suferit[ă]” constituie una dintre condițiile dreptului la despăgubiri prevăzut la acest articol 82 alineatul (1), la fel ca existența unei încălcări a regulamentului menționat și a unei legături de cauzalitate între acest prejudiciu și această încălcare, aceste trei condiții fiind cumulative [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctul 32, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 34].
23 Prin urmare, nu se poate considera că orice „încălcare” a dispozițiilor RGPD conferă, în sine, respectivul drept la despăgubiri în favoarea persoanei vizate, astfel cum este definită la articolul 4 punctul 1 din acest regulament. De altfel, menționarea distinctă a unui „prejudiciu” și a unei „încălcări”, la articolul 82 alineatul (1) din regulamentul amintit, ar fi superfluă dacă legiuitorul Uniunii ar fi considerat că o încălcare a dispozițiilor aceluiași regulament poate fi suficientă, prin ea însăși și în orice ipoteză, pentru a constitui temeiul unui drept la despăgubiri [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctele 33 și 34].
24 Rezultă că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că simpla încălcare a dispozițiilor acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctul 42].
25 Persoana care solicită repararea unui prejudiciu moral în temeiul acestei dispoziții este obligată astfel să dovedească nu numai încălcarea dispozițiilor acestui regulament, ci și că această încălcare i-a cauzat un astfel de prejudiciu [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctele 42 și 50, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 35].
26 În ceea ce privește această din urmă condiție, articolul 82 alineatul (1) din RGPD se opune unei norme sau unei practici naționale care subordonează obținerea de despăgubiri pentru un prejudiciu moral, în sensul acestei dispoziții, condiției ca prejudiciul suferit de persoana vizată să fi atins un anumit nivel de gravitate [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctul 51, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 36].
27 Nu este mai puțin adevărat că această persoană are obligația, în temeiul articolului 82 alineatul (1) din acest regulament, de a dovedi că a suferit efectiv un prejudiciu material sau moral (a se vedea în acest sens Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 39).
28 Având în vedere motivele care precedă, este necesar să se răspundă la prima și la a doua întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că o încălcare a acestui regulament nu este suficientă, în sine, pentru a constitui temeiul unui drept la despăgubiri potrivit acestei dispoziții. Persoana vizată trebuie de asemenea să stabilească existența unui prejudiciu cauzat de această încălcare, fără însă ca acest prejudiciu să trebuiască să atingă un anumit nivel de gravitate.
Cu privire la a treia întrebare
29 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că temerea resimțită de o persoană că datele sale cu caracter personal au fost divulgate unor terți, ca urmare a unei încălcări a acestui regulament, fără să se poată stabili că aceasta a fost efectiv situația, este suficientă pentru a justifica un drept la repararea prejudiciului moral.
30 Din decizia de trimitere reiese că reclamanții din litigiul principal doresc să obțină, în temeiul RGPD, repararea unui prejudiciu moral pentru pierderea controlului asupra datelor lor cu caracter personal care au făcut obiectul unei prelucrări, fără a putea stabili în ce măsură terții ar fi luat efectiv cunoștință de datele respective.
31 În această privință, în lipsa oricărei trimiteri, în cuprinsul articolului 82 alineatul (1) din RGPD, la dreptul intern al statelor membre, noțiunea de „prejudiciu moral”, în sensul acestei dispoziții, trebuie să primească o definiție autonomă și uniformă, proprie dreptului Uniunii [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctele 30 și 44, precum și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punctul 64].
32 Curtea a statuat că reiese nu numai din modul de redactare a articolului 82 alineatul (1) din RGPD, interpretat în lumina considerentelor (85) și (146) ale acestui regulament, care invită la reținerea unei interpretări largi a noțiunii de „prejudiciu moral” în sensul acestei prime dispoziții, ci și din obiectivul ce constă în asigurarea unui nivel ridicat de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, care este vizat de regulamentul menționat, că temerea față de o potențială utilizare abuzivă a datelor sale cu caracter personal de către părți terțe pe care o resimte o persoană vizată în urma unei încălcări a aceluiași regulament poate constitui, în sine, un „prejudiciu moral”, în sensul acestui articol 82 alineatul (1) [a se vedea în acest sens Hotărârea din 14 decembrie 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punctele 79-86, precum și Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punctul 65].
33 Pierderea controlului asupra unor date cu caracter personal, chiar și pentru o perioadă scurtă, poate constitui un „prejudiciu moral”, în sensul articolului 82 alineatul (1) din RGPD, care dă dreptul la despăgubiri, cu condiția ca persoana respectivă să demonstreze că a suferit efectiv un asemenea prejudiciu, oricât de nesemnificativ ar fi el, amintindu-se că simpla încălcare a dispozițiilor acestui regulament nu este suficientă pentru a conferi un drept la despăgubiri în acest temei (a se vedea în acest sens Hotărârea din 25 ianuarie 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, punctul 66, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 42).
34 Persoana care consideră că datele sale cu caracter personal au făcut obiectul unei prelucrări efectuate cu încălcarea dispozițiilor relevante din RGPD și solicită despăgubiri în temeiul articolului 82 alineatul (1) din acest regulament trebuie, așadar, să dovedească faptul că a suferit efectiv un prejudiciu material sau moral.
35 Astfel, simpla susținere a unei temeri, fără consecințe negative demonstrate, nu poate da naștere unei reparații în temeiul acestei dispoziții.
36 Având în vedere motivele care precedă, este necesar să se răspundă la a treia întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că temerea resimțită de o persoană că datele sale cu caracter personal au fost divulgate unor terți, ca urmare a unei încălcări a acestui regulament, fără să se poată stabili că aceasta a fost efectiv situația, este suficientă pentru a justifica un drept la despăgubiri, cu condiția ca această temere, cu consecințele sale negative, să fie dovedită în mod corespunzător.
Cu privire la a patra și a cincea întrebare
37 Prin intermediul celei de a patra și al celei de a cincea întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a determina cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se confere acestui drept la despăgubire o funcție de descurajare.
38 În primul rând, în ceea ce privește o eventuală luare în considerare a criteriilor prevăzute la articolul 83 din RGPD în scopul evaluării cuantumului despăgubirilor datorate în temeiul articolului 82 din acesta, este cert că aceste două dispoziții urmăresc obiective diferite. Astfel, în timp ce articolul 83 din acest regulament stabilește „[c]ondițiile generale pentru impunerea amenzilor administrative”, articolul 82 din regulamentul menționat reglementează „[d]reptul la despăgubiri și răspunderea”.
39 Rezultă de aici că criteriile prevăzute la articolul 83 din RGPD în vederea stabilirii cuantumului amenzilor administrative, care sunt menționate și în considerentul (148) al acestui regulament, nu pot fi utilizate pentru evaluarea cuantumului daunelor interese în temeiul articolului 82 din acesta (Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 57).
40 RGPD nu conține nicio dispoziție care să aibă ca obiect definirea normelor privind evaluarea daunelor interese pe care o persoană vizată, în sensul articolului 4 punctul 1 din acest regulament, le poate pretinde, în temeiul articolului 82 din acesta, atunci când o încălcare a regulamentului menționat i-a cauzat un prejudiciu. Prin urmare, în lipsa unor norme de drept al Uniunii în materie, revine ordinii juridice a fiecărui stat membru atribuția de a stabili modalitățile acțiunilor destinate să asigure protecția drepturilor conferite justițiabililor de acest articol 82 și, în special, criteriile care permit determinarea întinderii despăgubirilor datorate în acest context, sub rezerva respectării principiilor echivalenței și efectivității [Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctul 54, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 58].
41 În al doilea rând, dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD nu îndeplinește o funcție de descurajare sau punitivă. Rezultă că gravitatea încălcării acestui regulament care a cauzat prejudiciul material sau moral invocat nu poate influența cuantumul daunelor interese acordate în temeiul acestei dispoziții și că acest cuantum nu poate fi stabilit la un nivel care să depășească compensarea integrală a acestui prejudiciu (a se vedea în acest sens Hotărârea din 21 decembrie 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punctul 86, și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 60).
42 Ținând seama de funcția compensatorie a dreptului la despăgubiri prevăzut la articolul 82 din RGPD, astfel cum este enunțată în considerentul (146) a șasea teză a acestui regulament, despăgubirile pecuniare întemeiate pe acest articol trebuie considerate ca fiind „integrale și eficace” dacă permit compensarea integrală a prejudiciului concret suferit ca urmare a încălcării regulamentului menționat, fără a fi necesar, în vederea unei astfel de compensații integrale, să se impună plata unor daune interese punitive [a se vedea în acest sens Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal), C-300/21, EU:C:2023:370, punctele 57 și 58, precum și Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 61].
43 Astfel, având în vedere diferențele de redactare și de scopuri existente între articolul 82 din RGPD, interpretat în lumina considerentului (146) al acestuia, și articolul 83 din regulamentul menționat, interpretat în lumina considerentului (148) al acestuia, nu se poate considera că criteriile de evaluare enunțate în mod specific la acest articol 83 sunt aplicabile mutatis mutandis în cazul acestui articol 82, deși căile legale prevăzute de aceste două dispoziții sunt complementare pentru a asigura respectarea aceluiași regulament (Hotărârea din 11 aprilie 2024, juris, C-741/21, EU:C:2024:288, punctul 62).
44 Având în vedere motivele care precedă, trebuie să se răspundă la a patra și la a cincea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a determina cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, nu este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se confere acestui drept la despăgubire o funcție de descurajare.
Cu privire la a șasea întrebare
45 Prin intermediul celei de a șasea întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a determina cuantumul daunelor interese datorate în temeiul reparării unui prejudiciu întemeiat pe această dispoziție, este necesar să se țină seama de încălcări simultane ale unor dispoziții naționale privind protecția datelor cu caracter personal, dar care nu au ca obiect precizarea normelor acestui regulament.
46 Această întrebare este adresată având în vedere faptul că reclamanții din litigiul principal consideră că încălcarea combinată a unor dispoziții prevăzute de RGPD, precum și a legislației germane aplicabile consultanților fiscali, care a fost adoptată anterior intrării în vigoare a acestui regulament și, prin urmare, nu urmărește să precizeze normele acestuia, ar trebui să aibă drept consecință o majorare a daunelor interese pe care aceștia le solicită în temeiul articolului 82 alineatul (1) din RGPD, drept compensare a prejudiciului moral pe care pretind că l-au suferit.
47 În această privință, reiese, desigur, în esență din considerentul (146) a cincea teză al RGPD că prelucrarea datelor cu caracter personal care încalcă acest regulament „include și prelucrarea care încalcă actele delegate și de punere în aplicare adoptate în conformitate cu prezentul regulament și cu dreptul intern care specifică norme din prezentul regulament”.
48 Cu toate acestea, împrejurarea că o astfel de prelucrare a datelor a fost efectuată și cu încălcarea unor dispoziții de drept național privind protecția datelor cu caracter personal, dar care nu au ca obiect precizarea normelor acestui regulament, nu constituie un factor pertinent în scopul evaluării daunelor interese acordate în temeiul articolului 82 alineatul (1) din RGPD. Astfel, încălcarea unor asemenea dispoziții naționale nu este vizată de articolul 82 alineatul (1) din acest regulament coroborat cu considerentul (146) al acestuia.
49 Acest lucru nu aduce atingere faptului că, dacă legislația națională îi permite, instanța națională îi poate acorda persoanei vizate o despăgubire mai mare decât despăgubirile integrale și efective prevăzute la articolul 82 alineatul (1) din RGPD în cazul în care, ținând seama de faptul că prejudiciul a fost cauzat și de încălcarea unor dispoziții de drept național precum cele menționate la punctul anterior, această din urmă despăgubire nu ar fi considerată suficientă sau adecvată.
50 Având în vedere motivele care precedă, trebuie să se răspundă la a șasea întrebare că articolul 82 alineatul (1) din RGPD trebuie interpretat în sensul că, pentru a determina cuantumul daunelor interese datorate în temeiul reparării unui prejudiciu întemeiat pe această dispoziție, nu este necesar să se țină seama de încălcări simultane ale unor dispoziții naționale privind protecția datelor cu caracter personal, dar care nu au ca obiect precizarea normelor acestui regulament.
Cu privire la cheltuielile de judecată
51 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a treia) declară:
1) Articolul 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că
o încălcare a acestui regulament nu este suficientă, în sine, pentru a constitui temeiul unui drept la despăgubiri potrivit acestei dispoziții. Persoana vizată trebuie de asemenea să stabilească existența unui prejudiciu cauzat de această încălcare, fără însă ca acest prejudiciu să trebuiască să atingă un anumit nivel de gravitate.
2) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
temerea resimțită de o persoană că datele sale cu caracter personal au fost divulgate unor terți, ca urmare a unei încălcări a acestui regulament, fără să se poată stabili că aceasta a fost efectiv situația, este suficientă pentru a justifica un drept la despăgubiri, cu condiția ca această temere, cu consecințele sale negative, să fie dovedită în mod corespunzător.
3) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
pentru a determina cuantumul daunelor interese datorate pentru repararea unui prejudiciu în temeiul acestei dispoziții, nu este necesar, pe de o parte, să se aplice mutatis mutandis criteriile de stabilire a cuantumului amenzilor administrative prevăzute la articolul 83 din acest regulament și, pe de altă parte, să se confere acestui drept la despăgubire o funcție de descurajare.
4) Articolul 82 alineatul (1) din Regulamentul 2016/679
trebuie interpretat în sensul că
pentru a determina cuantumul daunelor interese datorate în temeiul reparării unui prejudiciu întemeiat pe această dispoziție, nu este necesar să se țină seama de încălcări simultane ale unor dispoziții naționale privind protecția datelor cu caracter personal, dar care nu au ca obiect precizarea normelor acestui regulament.
Semnături