Cauza C‑439/19
B
(cerere de decizie preliminară formulată de Latvijas Republikas Satversmes tiesa)
Hotărârea Curții (Marea Cameră) din 22 iunie 2021
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolele 5, 6 și 10 – Legislație națională care prevede accesul public la datele cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră – Legalitate – Noțiunea de «date cu caracter personal referitoare la condamnări penale și infracțiuni» – Divulgare în scopul îmbunătățirii siguranței rutiere – Acces public la documente oficiale – Libertatea de informare – Echilibru cu drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal – Reutilizarea datelor – Articolul 267 TFUE – Efectul în timp al unei decizii preliminare – Posibilitatea unei instanțe constituționale a unui stat membru de a menține efectele juridice ale unei legislații naționale incompatibile cu dreptul Uniunii – Principiile supremației dreptului Uniunii și securității juridice”
1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Derogări – Prelucrare de date în cadrul unei activități care nu intră sub incidența dreptului Uniunii – Activitate care urmărește să protejeze securitatea națională sau care se încadrează în această categorie – Noțiune – Activitate care urmărește îmbunătățirea siguranței rutiere – Excludere
[Regulamentul nr. 2016/679 al Parlamentului European și Consiliului, considerentul (16) și art. 2 alin. (2) lit. (a)]
(a se vedea punctele 61-68)
2. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Domeniu de aplicare – Derogări – Prelucrare de date efectuată de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale – Noțiunea de autoritate competentă – Necesitatea unei legături cu protecția datelor cu caracter personal în domeniul cooperării judiciare în materie penală și al cooperării polițienești – Autoritate publică națională care comunică publicului date cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație rutieră – Excludere
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (19) și art. 2 alin. (2) lit. (d); Directiva 2016/680 a Parlamentului European și a Consiliului, considerentele (10) și (11) și art. 3 alin. (7)]
(a se vedea punctele 69-72)
3. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Prelucrarea de date cu caracter personal referitoare la condamnări penale și infracțiuni – Noțiunea de date referitoare la infracțiuni – Date referitoare la punctele de penalizare – Includere – Noțiunea de infracțiuni – Caracter penal – Criterii de apreciere – Încălcări ale normelor de circulație rutieră care conduc la aplicarea unor puncte de penalizare – Includere
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 10; Directiva 2016/680 a Parlamentului European și a Consiliului, considerentul (13)]
(a se vedea punctele 77-93 și dispozitiv 1)
4. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Condiții de legalitate a unei prelucrări de date cu caracter personal – Prelucrare necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice – Reglementare națională care prevede obligativitatea accesului public la datele cu caracter personal referitoare la punctele de penalizare și care autorizează comunicarea acestor date operatorilor economici în scopul reutilizării – Obiectivul de interes general de îmbunătățire a siguranței rutiere – Lipsa caracterului necesar al prelucrării datelor cu caracter personal – Inadmisibilitate – Acces public la documentele oficiale și libertatea de informare – Lipsa incidenței – Supremația drepturilor fundamentale la respectarea vieții private și la protecția datelor cu caracter personal
[Regulamentul nr. 2016/679 al Parlamentului European și al Consiliului, considerentele (39) și (154) și art. 5 alin. (1), art. 6 alin. (1) lit. (e) și art. 10, art. 85 și 86]
(a se vedea punctele 99, 106, 108-113, 120-122, 126 și 129, precum și dispozitiv 2 și 3)
5. Întrebări preliminare – Interpretare – Efectul în timp al hotărârilor de interpretare – Efect retroactiv – Limitare de către Curte – Principiile supremației dreptului Uniunii și securității juridice – Posibilitatea unei instanțe constituționale a unui stat membru de a menține efectele juridice ale unei reglementări naționale calificate ca fiind incompatibilă cu dreptul Uniunii până la data pronunțării hotărârii sale definitive – Lipsă
(art. 267 TFUE)
(a se vedea punctele 132-137 și dispozitiv 4)
Rezumat
Dreptul Uniunii privind protecția datelor se opune reglementării letone prin care autoritatea pentru siguranța rutieră este obligată să asigure accesul publicului la datele referitoare la punctele de penalizare aplicate conducătorilor auto pentru încălcarea normelor de circulație
Nu este demonstrată necesitatea acestui regim pentru garantarea obiectivului urmărit, și anume îmbunătățirea siguranței rutiere
În urma uneia sau mai multor încălcări ale normelor de circulație rutieră, lui B, o persoană fizică, i‑au fost aplicate puncte de penalizare. Aceste puncte de penalizare au fost înscrise de Ceļu satiksmes drošības direkcija (Direcția pentru Siguranța Rutieră, Letonia) (denumită în continuare „CSDD”) în registrul național al vehiculelor și al conducătorilor auto.
În temeiul reglementării letone privind circulația rutieră(1), informațiile referitoare la punctele de penalizare aplicate conducătorilor de vehicule înscrise în acest registru sunt accesibile publicului și sunt comunicate de CSDD oricărei persoane care solicită acest lucru fără ca această persoană să fie ținută să justifice un interes specific în obținerea informațiilor respective, inclusiv operatorilor economici în vederea reutilizării. Ridicând problema legalității acestei reglementări, B a formulat o acțiune constituțională la Latvijas Republikas Satversmes tiesa (Curtea Constituțională, Letonia) pentru ca aceasta să examineze conformitatea reglementării menționate cu dreptul la respectarea vieții private.
Curtea Constituțională a considerat că, în cadrul aprecierii sale asupra acestui drept constituțional, trebuie să ia în considerare Regulamentul general privind protecția datelor (denumit în continuare „RGPD”)(2). Astfel, ea a solicitat Curții să clarifice înțelesul mai multor dispoziții din RGPD în scopul de a determina compatibilitatea reglementării letone privind circulația rutieră cu acest regulament.
Prin hotărârea pronunțată în Marea Cameră, Curtea consideră că RGPD se opune reglementării letone. Ea constată că nu este demonstrată necesitatea, în special în raport cu obiectivul de îmbunătățire a siguranței rutiere invocat de guvernul leton, a unei comunicări a datelor cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație. În plus, potrivit Curții, nici dreptul publicului de a avea acces la documentele oficiale, nici dreptul la libertatea de informare nu justifică o astfel de reglementare.
Aprecierea Curții
În primul rând, Curtea statuează că prelucrare de date cu caracter personal referitoare la punctele de penalizare constituie o „prelucrare de date cu caracter personal referitoare la condamnări penale și infracțiuni”(3), pentru care RGPD prevede o protecție sporită din cauza caracterului deosebit de sensibil al datelor în cauză.
În acest cadru, Curtea observă, cu titlu introductiv, că informațiile referitoare la punctele de penalizare sunt date cu caracter personal și că comunicare lor de către CSDD unor terți constituie o prelucrare care intră în domeniul de aplicare material al RGPD. Astfel, acest domeniu de aplicare este foarte larg, iar această prelucrare nu intră sub incidența excepțiilor de la aplicabilitatea regulamentului menționat.
În acest sens, pe de o parte, această prelucrare nu intră sub incidența excepției referitoare la neaplicarea RGPD în cazul unei prelucrări efectuate în cadrul unei activități care nu intră sub incidența dreptului Uniunii(4). Această excepție trebuie considerată ca având ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie. Aceste activități cuprind activitățile care urmăresc protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății. Or, activitățile referitoare la siguranța rutieră nu urmăresc acest obiectiv și nu pot fi încadrate, așadar, în categoria activităților care au ca scop apărarea securității naționale.
Pe de altă parte, comunicarea datelor personale referitoare la punctele de penalizare nu este o prelucrare acoperită de excepția care prevede neaplicarea RGPD în cazul prelucrării datelor cu caracter personal efectuate de autoritățile competente în materie penală(5). Curtea constată astfel că CSDD nu poate fi considerată, atunci când efectuează comunicarea menționată, o astfel de „autoritate competentă”(6).
Pentru a stabili dacă accesul la datele cu caracter personal referitoare la încălcarea normelor de circulație, precum punctele de penalizare, constituie o prelucrare de date cu caracter personal referitoare la „infracțiuni”(7), care beneficiază de o protecție sporită, Curtea constată, întemeindu‑se în special pe geneza RGPD, că această noțiune se referă exclusiv la infracțiunile penale. Faptul că în sistemul juridic leton încălcările normelor de circulație sunt calificate drept administrative nu este însă determinant pentru a aprecia dacă aceste încălcări intră sub incidența noțiunii de „infracțiune”, în măsura în care este vorba despre o noțiune autonomă de drept al Uniunii, care necesită în întreaga Uniune o interpretare autonomă și uniformă. Astfel, după ce amintește cele trei criterii pertinente pentru aprecierea caracterului penal al unei fapte ilicite, și anume calificarea juridică a faptei ilicite în dreptul intern, natura faptei ilicite și gradul de severitate al sancțiunii aplicate, Curtea statuează că încălcările normelor de circulație în cauză intră sub incidența noțiunii de „infracțiune” în sensul RGPD. În ceea ce privește primele două criterii, Curtea constată că, deși faptele ilicite nu sunt calificate drept „penale” în dreptul național, un asemenea caracter poate decurge din natura faptei ilicite și în special din finalitatea represivă urmărită de sancțiunea pe care infracțiunea o poate antrena. Or, în speță, atribuirea unor puncte de penalizare pentru încălcarea normelor de circulație rutieră, precum și celelalte sancțiuni pe care aceste încălcări le poate antrena, urmăresc, printre altele, o astfel de finalitate represivă. În ceea ce privește al treilea criteriu, Curtea observă că numai încălcările normelor de circulație rutieră de o anumită gravitate presupun atribuirea unor puncte de penalizare și că, prin urmare, acestea pot antrena sancțiuni de o anumită gravitate. Mai mult, aplicarea punctelor respective se adaugă în general sancțiunii impuse, iar cumularea punctelor menționate antrenează consecințe juridice, care pot merge chiar până la interdicția de a conduce.
În al doilea rând, Curtea statuează că RGPD se opune reglementării letone care obligă CSDD să face accesibile publicului datele referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație, fără ca persoana care solicită accesul să justifice un interes specific în obținerea acestora.
În acest context, Curtea subliniază că îmbunătățirea siguranței rutiere, pe care o urmărește reglementarea letonă, constituie un obiectiv de interes general recunoscut de Uniune și că, prin urmare, statele membre pot califica siguranța rutieră drept „sarcină care servește unui interes public”(8). Cu toate acestea, nu este demonstrată necesitatea regimului leton de comunicare a datelor cu caracter personal referitoare la punctele de penalizare pentru garantarea obiectivului urmărit. Astfel, pe de o parte, legiuitorul leton dispune de o multitudine de modalități de acțiune care i‑ar fi permis să atingă acest obiectiv prin alte mijloace, care aduc mai puțin atingere drepturilor fundamentale ale persoanelor vizate. Pe de altă parte, trebuie să se țină seama de caracterul sensibil al datelor referitoare la punctele de penalizare și de faptul că comunicarea acestora publicului poate constitui o ingerință gravă în drepturile la respectarea vieții private și la protecția datelor cu caracter personal, din moment ce poate provoca dezaprobarea socială și poate antrena stigmatizarea persoanei în cauză.
În plus, Curtea consideră că, ținând seama de caracterul sensibil al acestor date și de gravitatea acestei ingerințe în cele două drepturi fundamentale, aceste drepturi prevalează atât asupra interesului publicului de a avea acces la documente oficiale, cum este registrul național al vehiculelor și al conducătorilor acestora, cât și asupra dreptului la libertatea de informare.
În al treilea rând, pentru motive identice, Curtea statuează că RGPD se opune de asemenea reglementării letone în măsura în care aceasta autorizează CSDD să comunice datele referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație unor operatori economici pentru ca aceștia din urmă să le poată reutiliza și comunica publicului.
În al patrulea și ultimul rând, Curtea precizează că principiul supremației dreptului Uniunii se opune ca instanța de trimitere, sesizată cu o acțiune împotriva reglementării letone, calificată de Curte ca incompatibilă cu dreptul Uniunii, să decidă menținerea efectelor juridice ale acestei reglementări până la data pronunțării hotărârii sale definitive.