HOTĂRÂREA CURȚII (Camera a treia)
28 aprilie 2022(*)
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 80 – Reprezentarea persoanelor vizate de către o asociație fără scop lucrativ – Acțiune în reprezentare introdusă de o asociație pentru apărarea intereselor consumatorilor în lipsa unui mandat și independent de încălcarea unor drepturi concrete ale unei persoane vizate – Acțiune întemeiată pe interdicția practicilor comerciale neloiale, încălcarea unei legi privind protecția consumatorilor sau interdicția utilizării unor condiții generale nule”
În cauza C‑319/20,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesgerichtshof (Curtea Federală de Justiție, Germania), prin decizia din 28 mai 2020, primită de Curte la 15 iulie 2020, în procedura
Meta Platforms Ireland Limited, fostă Facebook Ireland Limited,
împotriva
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,
CURTEA (Camera a treia),
compusă din doamna A. Prechal, președinta Camerei a doua, îndeplinind funcția de președinte al Camerei a treia, domnii J. Passer și F. Biltgen, doamna L. S. Rossi (raportoare) și domnul N. Wahl, judecători,
avocat general: domnul J. Richard de la Tour,
grefier: doamna M. Krausenböck, administratoare,
având în vedere procedura scrisă și în urma ședinței din 23 septembrie 2021,
luând în considerare observațiile prezentate:
– pentru Meta Platforms Ireland Limited, de H.‑G. Kamann, M. Braun, H. Frey, Rechtsanwälte, și V. Wettner, Rechtsanwältin;
– pentru Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., de P. Wassermann, Rechtsanwalt;
– pentru guvernul german, de D. Klebs și J. Möller, în calitate de agenți;
– pentru guvernul austriac, de A. Posch, G. Kunnert și J. Schmoll, în calitate de agenți;
– pentru guvernul portughez, de L. Inez Fernandes, C. Vieira Guerra, P. Barros da Costa și L. Medeiros, în calitate de agenți;
– pentru Comisia Europeană, inițial de F. Erlbacher, H. Kranenborg și D. Nardi, ulterior de F. Erlbacher și H. Kranenborg, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 2 decembrie 2021,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea articolului 80 alineatele (1) și (2) și a articolului 84 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).
2 Această cerere a fost formulată în cadrul unui litigiu între Meta Platforms Ireland Limited, fostă Facebook Ireland Limited, al cărei sediu social se află în Irlanda, pe de o parte, și Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Uniunea Federală a Organizațiilor și a Asociațiilor de Consumatori, Germania) (denumită în continuare „Uniunea federală”), pe de altă parte, în legătură cu încălcarea de către Meta Platforms Ireland a legislației germane privind protecția datelor cu caracter personal, care constituie în același timp o încălcare a unei legi privind protecția consumatorilor și o încălcare a interdicției utilizării unor condiții generale nule.
Cadrul juridic
Dreptul Uniunii
RGPD
3 Considerentele (9), (10), (13) și (142) ale RGPD au următorul cuprins:
„(9) Obiectivele și principiile Directivei [95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)] rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice, în special în legătură cu activitatea online. Diferențele dintre nivelurile de protecție a drepturilor și libertăților persoanelor fizice, în special a dreptului la protecția datelor cu caracter personal, în ceea ce privește prelucrarea datelor cu caracter personal din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii, pot denatura concurența și pot împiedica autoritățile să îndeplinească responsabilitățile care le revin în temeiul dreptului Uniunii. Această diferență între nivelurile de protecție este cauzată de existența unor deosebiri în ceea ce privește transpunerea și aplicarea Directivei [95/46].
(10) Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. Aplicarea consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal ar trebui să fie asigurată în întreaga Uniune. […]
[…]
(13) În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, inclusiv microîntreprinderi și întreprinderi mici și mijlocii, precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre. […]
[…]
(142) În cazul în care persoana vizată consideră că drepturile sale în temeiul prezentului regulament sunt încălcate, aceasta ar trebui să aibă dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ care este înființat(ă) în conformitate cu dreptul intern, ale cărui (cărei) obiective statutare sunt în interesul public și care își desfășoară activitatea în domeniul asigurării protecției datelor cu caracter personal, să depună o plângere în numele său la o autoritate de supraveghere, să exercite dreptul la o cale de atac în numele persoanelor vizate sau, în cazul în care se prevede în dreptul intern, să exercite dreptul de a primi despăgubiri în numele persoanelor vizate. Un stat membru poate prevedea ca un astfel de organism, organizație sau asociație să aibă dreptul de a depune o plângere în statul membru respectiv, independent de mandatul acordat de o persoană vizată, și să aibă dreptul la o cale de atac eficientă în cazul în care are motive să considere că drepturile unei persoane vizate au fost încălcate ca rezultat al unei prelucrări a datelor cu caracter personal care încalcă prezentul regulament. Organismul, organizația sau asociația în cauza nu poate pretinde despăgubiri în numele unei persoane vizate, independent de mandatul acordat de persoana vizată.”
4 Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede la alineatul (1):
„Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.”
5 Potrivit articolului 4 punctul 1 din RGPD:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unu sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.”
6 Capitolul III din RGPD, care cuprinde articolele 12-23, este intitulat „Drepturile persoanei vizate”.
7 Articolul 12 din acest regulament, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatul (1):
„Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 13 și 14 și orice comunicări în temeiul articolelor 15-22 și 34 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.”
8 Articolul 13 din RGPD, intitulat „Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată”, prevede la alineatul (1) literele (c)-(e):
„În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:
[…]
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
[…]
(e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal.”
9 Capitolul VIII din regulamentul menționat, care cuprinde articolele 77-84, este intitulat „Căi de atac, răspundere și sancțiuni”.
10 Articolul 77 din RGPD, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, orice persoană vizată are dreptul de a depune o plângere la o autoritate de supraveghere, în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare, în cazul în care consideră că prelucrarea datelor cu caracter personal care o vizează încalcă prezentul regulament.”
11 Articolul 78 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):
„Fără a aduce atingere oricăror alte căi de atac administrative sau nejudiciare, fiecare persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”
12 Articolul 79 din RGPD, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator”, prevede la alineatul (1):
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
13 Articolul 80 din RGPD, intitulat „Reprezentarea persoanelor vizate”, are următorul cuprins:
„(1) Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.
(2) Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoane vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”
14 Articolul 82 din acest regulament, intitulat „Dreptul la despăgubiri și răspunderea”, prevede la alineatul (1):
„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”
15 Articolul 84 din RGPD, intitulat „Sancțiuni”, prevede la alineatul (1):
„Statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a prezentului regulament, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.”
Directiva 2005/29/CE
16 Obiectivul Directivei 2005/29/CE a Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO 2005, L 149, p. 22, Ediție specială, 15/vol. 14, p. 260) este, potrivit articolului 1, de a contribui la buna funcționare a pieței interne și de a realiza un nivel ridicat de protecție a consumatorilor prin apropierea actelor cu putere de lege și a actelor administrative ale statelor membre privind practicile comerciale neloiale care aduc atingere intereselor economice ale consumatorilor.
17 Potrivit articolului 5 din Directiva 2005/29, intitulat „Interzicerea practicilor comerciale neloiale”:
„(1) Se interzic practicile comerciale neloiale.
(2) O practică comercială este neloială în cazul în care:
(a) este contrară cerințelor diligenței profesionale
și
(b) denaturează sau poate denatura semnificativ comportamentul economic cu privire la un produs al consumatorului mediu la care ajunge sau căruia îi este adresat sau al membrului mediu al unui grup în cazul în care o practică comercială este orientată către un grup particular de consumatori.
[…]
(5) Anexa I conține lista practicilor comerciale considerate neloiale în orice situație. […]”
18 Articolul 11 alineatul (1) din această directivă, intitulat „Punerea în aplicare”, prevede:
„(1) Statele membre asigură existența unor mijloace adecvate și eficiente de combatere a practicilor comerciale neloiale pentru a pune în aplicare respectarea dispozițiilor prezentei directive în interesul consumatorilor.
Aceste mijloace includ dispozițiile legale în baza cărora persoanele sau organizațiile care au, în conformitate cu legislația internă, un interes legitim în combaterea practicilor comerciale neloiale, inclusiv concurenții, pot:
(a) să intenteze o acțiune în instanță împotriva practicilor comerciale neloiale
și/sau
(b) să aducă practicile comerciale neloiale în atenția unei autorități administrative competente fie pentru a pronunța o hotărâre cu privire la reclamații, fie pentru a iniția procedurile judiciare corespunzătoare.
Fiecare stat membru trebuie să decidă pe care dintre aceste proceduri o va reține și dacă este oportun să permită instanțelor judecătorești sau autorităților administrative să recurgă în prealabil la alte căi de soluționare a reclamațiilor, inclusiv cele menționate la articolul 10. Consumatorii trebuie să aibă acces la aceste mijloace, indiferent dacă aceștia sunt pe teritoriul statului membru în care se află sediul comerciantului sau pe teritoriul unui alt stat membru.
[…]”
19 Anexa I la Directiva 2005/29, care conține lista practicilor comerciale considerate neloiale în orice situație, prevede la punctul 26:
„A efectua solicitări repetate și nedorite prin telefon, fax sau e‑mail sau alt mijloc de comunicare la distanță, cu excepția cazului în care legislația internă permite acest lucru în vederea îndeplinirii unei obligații contractuale și în măsura în care o permite. Dispoziția nu aduce atingere […] Directivelor 95/46/CE […]”
Directiva 2009/22/CE
20 Potrivit articolului 1 din Directiva 2009/22/CE a Parlamentului European și a Consiliului din 23 aprilie 2009 privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor (JO 2009, L 110, p. 30), intitulat „Domeniul de aplicare”:
„(1) Scopul prezentei directive este de apropiere a actelor cu putere de lege și a actelor administrative ale statelor membre cu privire la acțiunile în încetare menționate la articolul 2, vizând protejarea intereselor colective ale consumatorilor incluse în directivele enumerate în anexa I, în vederea asigurării unei bune funcționări a pieței interne.
(2) În sensul prezentei directive, o încălcare reprezintă orice act contrar directivelor enumerate în anexa I, astfel cum au fost transpuse în legislația internă a statelor membre, care prejudiciază interesele colective menționate la alineatul (1).”
21 Articolul 7 din Directiva 2009/22, intitulat „Dispoziții privind o capacitate de acțiune mai extinsă”, prevede:
„Prezenta directivă nu împiedică statele membre să adopte sau să mențină în vigoare dispoziții menite să acorde unor entități calificate și oricăror alte persoane interesate o capacitate de acțiune mai extinsă la nivel național.”
22 Anexa I la Directiva 2009/22 conține lista directivelor Uniunii prevăzute la articolul 1 din aceasta. Punctul 11 din această anexă menționează Directiva 2005/29.
Directiva (UE) 2020/1828
23 Considerentele (11), (13) și (15) ale Directivei (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO 2020, L 409, p. 1) au următorul cuprins:
„(11) Prezenta directivă nu ar trebui să înlocuiască mecanismele procedurale naționale existente pentru protecția intereselor colective sau individuale ale consumatorilor. Ținând seama de tradițiile juridice naționale, directiva ar trebui să lase la latitudinea statelor membre să aleagă dacă să conceapă mecanismul procedural pentru acțiuni în reprezentare, impus de prezenta directivă, ca parte a unui mecanism procedural existent sau a unui nou mecanism procedural pentru măsuri colective de încetare sau pentru măsuri colective reparatorii, ori ca mecanism procedural distinct, cu condiția ca cel puțin un mecanism procedural național pentru acțiuni în reprezentare să fie conform cu prezenta directivă. […] Dacă la nivel național există mecanisme procedurale suplimentare față de mecanismul procedural impus de prezenta directivă, entitatea calificată ar trebui să poată alege mecanismul procedural la care să recurgă.
[…]
(13) Domeniul de aplicare al prezentei directive ar trebui să reflecte evoluțiile recente din domeniul protecției consumatorilor. Întrucât consumatorii sunt prezenți acum pe o piață mai largă și din ce în ce mai digitalizată, este nevoie ca domenii precum protecția datelor, serviciile financiare, călătoriile și turismul, energia și telecomunicațiile să facă obiectul prezentei directive, pe lângă dreptul general al consumatorilor, astfel încât să se obțină un nivel ridicat de protecție a consumatorilor. […]
[…]
(15) Prezenta directivă nu ar trebui să aducă atingere actelor juridice enumerate în anexa I și, prin urmare, nu ar trebui să modifice sau să extindă definițiile prevăzute în respectivele acte juridice și nici să înlocuiască vreun mecanism de asigurare a respectării dispozițiilor care ar putea fi prevăzut în actele juridice respective. De exemplu, mecanismele de asigurare a respectării dispozițiilor prevăzute în [RGPD] sau întemeiate pe acesta ar putea fi, după caz, utilizate în continuare pentru protecția intereselor colective ale consumatorilor.”
24 Articolul 2 din această directivă, intitulat „Domeniu de aplicare”, prevede la alineatul (1):
„Prezenta directivă se aplică acțiunilor în reprezentare introduse împotriva încălcărilor de către comercianți ale dispozițiilor dreptului Uniunii menționate în anexa I, inclusiv ale respectivelor dispoziții astfel cum sunt transpuse în dreptul intern, încălcări care prejudiciază sau pot prejudicia interesele colective ale consumatorilor. Prezenta directivă nu aduce atingere dispozițiilor din dreptul Uniunii menționate în anexa I. […]”
25 Articolul 24 alineatul (1) din directiva menționată, intitulat „Transpunere”, prevede:
„Statele membre adoptă și publică până la 25 decembrie 2022 actele cu putere de lege și actele administrative necesare pentru a se conforma prezentei directive. Statele membre informează de îndată Comisia cu privire la aceasta.
Statele membre aplică măsurile respective de la 25 iunie 2023.
[…]”
26 Anexa I la Directiva 2020/1828, care conține lista dispozițiilor din dreptul Uniunii menționate la articolul 2 alineatul (1) din aceasta, citează RGPD la punctul 56.
Dreptul german
Legea privind acțiunile în încetare
27 Potrivit articolului 2 din Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Legea privind acțiunile în încetarea unor încălcări ale dreptului consumatorilor și a altor încălcări) din 26 noiembrie 2001 (BGBl. 2001 I, p. 3138), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind acțiunile în încetare”):
„(1) Orice încălcare a dispozițiilor care vizează protecția consumatorilor (legile privind protecția consumatorilor), în alt mod decât cu ocazia aplicării sau a recomandării condițiilor generale de vânzare, poate face obiectul unei somații de încetare pentru viitor și de încetare imediată în interesul protecției consumatorilor. […]
(2) În sensul prezentei dispoziții, legile privind protecția consumatorilor înseamnă:
[…]
11. normele care definesc legitimitatea
(a) colectării de către un profesionist a datelor cu caracter personal ale unui consumator sau
(b) prelucrării sau a utilizării de către un profesionist a datelor cu caracter personal care au fost colectate cu privire la un consumator,
dacă datele sunt colectate, prelucrate sau utilizate în scopuri publicitare, pentru studii de piață și sondaje de opinie, pentru operarea unui serviciu de informații, în vederea creării profilurilor de personalitate și de utilizare, a comerțului cu date sau în alte scopuri comerciale similare.”
28 Bundesgerichtshof (Curtea Federală de Justiție, Germania) arată că, în temeiul articolului 3 alineatul (1) prima teză punctul 1 din Legea privind acțiunile în încetare, organismele care au calitate procesuală activă, în sensul articolului 4 din această lege, pot solicita, pe de o parte, în conformitate cu articolul 1 din legea menționată, încetarea utilizării unor condiții generale nule în aplicarea articolului 307 din Bürgerliches Gesetzbuch (Codul civil) și, pe de altă parte, încetarea încălcărilor legislației în materie de protecție a consumatorilor, în sensul articolului 2 alineatul (2) din aceeași lege.
Legea privind combaterea concurenței neloiale
29 Articolul 3 alineatul (1) din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale) din 3 iulie 2004 (BGBl. 2004 I, p. 1414), în versiunea aplicabilă litigiului principal (denumită în continuare „Legea privind combaterea concurenței neloiale”), prevede:
„Se interzic practicile comerciale neloiale.”
30 Articolul 3a din Legea privind combaterea concurenței neloiale are următorul cuprins:
„Constituie concurență neloială încălcarea de către o persoană a unei dispoziții legale adoptate cu scopul să reglementeze, în interesul operatorilor economici, comportamentul pe piață în măsura în care încălcarea în cauză afectează considerabil interesele consumatorilor, ale altor operatori economici sau ale concurenților.”
31 Articolul 8 din Legea privind combaterea concurenței neloiale prevede:
„(1) Orice practică comercială nelegală în temeiul articolului 3 sau al articolului 7 poate duce la o somație de încetare și, în caz de risc de recidivă, la o somație de a nu face sau la o interdicție. […]
[…]
(3) Somațiile menționate la alineatul 1 pot fi solicitate:
[…]
3. de entitățile calificate care dovedesc că sunt înscrise în lista entităților calificate conform articolului 4 din [Legea privind acțiunile în încetare] […]”
Legea privind comunicațiile electronice
32 Bundesgerichtshof (Curtea Federală de Justiție) arată că articolul 13 alineatul (1) din Telemediengesetz (Legea privind comunicațiile electronice) din 26 februarie 2007 (BGBl. 2007 I, p. 179) era aplicabil până la intrarea în vigoare a RGPD. De la această dată, această dispoziție a fost înlocuită de articolele 12-14 din RGPD.
33 Potrivit articolului 13 alineatul (1) prima teză din Legea privind comunicațiile electronice:
„La începutul operațiunii de utilizare, furnizorul de servicii trebuie să informeze utilizatorul într‑o formă ușor de înțeles despre felul, volumul și scopul colectării și utilizării datelor cu caracter personal, precum și cu privire la prelucrarea datelor sale în statele aflate în afara domeniului de aplicare al Directivei 95/46[…], în măsura în care nu a avut loc deja o asemenea informare.”
Litigiul principal și întrebarea preliminară
34 Meta Platforms Ireland, care administrează oferta de servicii a rețelei sociale online Facebook în Uniune, este operatorul de date cu caracter personal ale utilizatorilor acestei rețele sociale în Uniune. Facebook Germany GmbH, cu sediul în Germania, promovează la adresa www.facebook.de vânzarea de spații publicitare. Platforma Internet Facebook conține, printre altele la adresa de internet www.facebook.de, un spațiu numit „App‑Zentrum” (Centrul de aplicații), în care Meta Platforms Ireland pune la dispoziția utilizatorilor jocuri gratuite furnizate de terți. La consultarea în Centrul de aplicații a unora dintre aceste jocuri, utilizatorul vede indicația potrivit căreia utilizarea aplicației în cauză permite societății care a furnizat jocurile să obțină o serie de date cu caracter personal și o autorizează să facă publice, în numele utilizatorului, anumite date, precum scorul său și alte informații. Această utilizare are drept consecință acceptarea din partea utilizatorului a condițiilor generale ale aplicației și a politicii sale în materie de protecție a datelor. În plus, în ceea ce privește un anumit joc, apare indicația că aplicația poate publica statutul, fotografii și alte informații în numele aceluiași utilizator.
35 Uniunea federală, organism care are calitate procesuală activă în temeiul articolului 4 din Legea privind acțiunile în încetare, apreciază că indicațiile furnizate de jocurile în cauză în Centrul de aplicații sunt neloiale, în special din perspectiva nerespectării condițiilor legale care se aplică obținerii unui consimțământ valabil al utilizatorului în temeiul dispozițiilor care reglementează protecția datelor. În plus, aceasta consideră că indicația potrivit căreia aplicația este autorizată să publice în numele utilizatorului anumite informații personale ale acestuia constituie o condiție generală care defavorizează în mod nejustificat utilizatorul.
36 În acest context, Uniunea federală a introdus la Landgericht Berlin (Tribunalul Regional din Berlin, Germania) o acțiune în încetare împotriva Meta Platforms Ireland întemeiată pe articolul 3a din Legea privind combaterea concurenței neloiale, pe articolul 2 alineatul (2) prima teză punctul 11 din Legea privind acțiunile în încetare, precum și pe Codul civil. Această acțiune a fost introdusă independent de încălcarea concretă a dreptului la protecția datelor unei persoane vizate și fără un mandat din partea unei astfel de persoane.
37 Landgericht Berlin (Tribunalul Regional din Berlin) a condamnat Meta Platforms Ireland în conformitate cu concluziile Uniunii federale. Apelul declarat de Meta Platforms Ireland la Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania) a fost respins. Meta Platforms Ireland a formulat atunci recurs la instanța de trimitere împotriva deciziei de respingere adoptate de instanța de apel.
38 Instanța de trimitere consideră că acțiunea Uniunii federale este fondată, în măsura în care Meta Platforms Ireland a încălcat articolul 3a din Legea privind combaterea concurenței neloiale, precum și articolul 2 alineatul (2) prima teză punctul 11 din Legea privind acțiunile în încetare și a utilizat o condiție generală nulă, în sensul articolului 1 din Legea privind acțiunile în încetare.
39 Totuși, această instanță are îndoieli în ceea ce privește admisibilitatea acțiunii Uniunii federale. Astfel, ea consideră că nu este exclus ca Uniunea federală, care avea într‑adevăr calitate procesuală activă la data introducerii acțiunii sale – în temeiul articolului 8 alineatul (3) din Legea privind combaterea concurenței neloiale și al articolului 3 alineatul (1) prima teză punctul 1 din Legea privind acțiunile în încetare –, să fi pierdut această calitate în cursul procedurii, în urma intrării în vigoare a RGPD și în special a articolului 80 alineatele (1) și (2), precum și a articolului 84 alineatul (1) din acesta. Dacă aceasta ar fi situația, instanța de trimitere ar trebui să admită recursul formulat de Meta Platforms Ireland și să respingă acțiunea Uniunii federale, dat fiind că, potrivit dispozițiilor procedurale pertinente ale dreptului german, calitatea procesuală activă trebuie să persiste până la finalul ultimei proceduri.
40 Potrivit instanței de trimitere, răspunsul în această privință nu reiese clar din aprecierea modului de redactare, a economiei, precum și a obiectivului dispozițiilor RGPD.
41 În ceea ce privește modul de redactare a RGPD, instanța de trimitere arată că existența calității procesuale active a organismelor, organizațiilor sau asociațiilor fără scop lucrativ care au fost constituite în mod corespunzător în conformitate cu dreptul unui stat membru, în temeiul articolului 80 alineatul (1) din RGPD, presupune că persoana vizată a mandatat un organism, o organizație sau o asociație să exercite în numele său drepturile menționate la articolele 77-79 din RGPD și dreptul de a primi despăgubiri menționat la articolul 82 din RGPD, dacă acest lucru este prevăzut în dreptul intern.
42 Or, instanța de trimitere subliniază că calitatea procesuală activă în temeiul articolului 8 alineatul (3) punctul 3 din Legea privind combaterea concurenței neloiale nu preconizează o astfel de acțiune pe bază de mandat și în numele unei persoane vizate pentru valorificarea drepturilor sale personale. Dimpotrivă, ea ar conferi unei asociații în temeiul unui drept care i‑ar fi propriu și care ar decurge din articolul 3 alineatul (1), precum și din articolul 3a din Legea privind combaterea concurenței neloiale o calitate procesuală activă cu titlu obiectiv împotriva încălcării dispozițiilor RGPD, independent de încălcarea unor drepturi concrete ale persoanelor vizate și de un mandat conferit de acestea din urmă.
43 În plus, instanța de trimitere observă că articolul 80 alineatul (2) din RGPD nu prevede calitatea procesuală activă a unei asociații în scopul de a aplica cu titlu obiectiv dreptul la protecția datelor cu caracter personal, în măsura în care această dispoziție presupune că drepturile unei persoane vizate prevăzute în RGPD au fost efectiv încălcate ca urmare a unei prelucrări specifice a datelor.
44 Pe de altă parte, calitatea procesuală activă a unei asociații precum cea prevăzută la articolul 8 alineatul (3) din Legea privind combaterea concurenței neloiale nu poate rezulta din articolul 84 alineatul (1) din RGPD, în temeiul căruia statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a acestui regulament și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Astfel, calitatea procesuală activă a unei asociații precum cea vizată la articolul 8 alineatul (3) din Legea privind combaterea concurenței neloiale nu poate fi considerată ca reprezentând o „sancțiune”, în sensul acestei dispoziții din RGPD.
45 În ceea ce privește economia dispozițiilor RGPD, instanța de trimitere consideră că se poate deduce din faptul că acesta a armonizat printre altele competențele autorităților de supraveghere că revine în principal acestor autorități sarcina de a controla aplicarea dispozițiilor acestui regulament. Cu toate acestea, sintagma „[f]ără a aduce atingere oricăror alte căi de atac”, care figurează la articolul 77 alineatul (1), la articolul 78 alineatele (1) și (2), precum și la articolul 79 alineatul (1) din RGPD, ar putea infirma teza unei reglementări exhaustive a controlului aplicării dreptului prin acest regulament.
46 În ceea ce privește obiectivul dispozițiilor RGPD, instanța de trimitere arată că efectul util al acestuia ar putea pleda în favoarea existenței unei calități procesuale active a asociațiilor în temeiul dreptului concurenței, în conformitate cu articolul 8 alineatul (3) punctul 3 din Legea privind combaterea concurenței neloiale, independent de încălcarea drepturilor concrete ale persoanelor vizate, în măsura în care aceasta ar face să subziste o posibilitate suplimentară de a controla aplicarea dreptului, pentru a asigura un nivel cât mai ridicat de protecție a datelor cu caracter personal, în conformitate cu considerentul (10) al RGPD. Cu toate acestea, a admite calitatea procesuală activă a asociațiilor în temeiul dreptului concurenței ar putea fi considerat ca fiind contrar obiectivului de armonizare urmărit de RGPD.
47 În aceste condiții, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:
„Dispozițiile cuprinse în capitolul VIII din [RGPD], în special cele ale articolului 80 alineatele (1) și (2) și ale articolului 84 alineatul (1) din acesta, se opun unor dispoziții naționale care conferă concurenților, pe de o parte, și asociațiilor, organismelor și [camerelor] abilitate în temeiul dreptului intern, pe de altă parte – în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a regulamentului menționat și față de căile de atac ale persoanelor vizate –, independent de încălcarea unor drepturi concrete ale unor persoane vizate individuale și fără un mandat din partea unei persoane vizate, posibilitatea de a formula împotriva contravenientului, în fața instanțelor civile, o acțiune având ca obiect încălcarea [RGPD], invocând principiul interdicției practicilor comerciale neloiale, încălcarea unei legi privind protecția consumatorilor sau interdicția utilizării unor condiții generale nule?”
Cu privire la întrebarea preliminară
48 Cu titlu introductiv, trebuie arătat că, după cum rezultă printre altele din cuprinsul punctului 36, precum și din cuprinsul punctelor 41-44 din prezenta hotărâre, litigiul principal se desfășoară între o asociație pentru apărarea intereselor consumatorilor, precum Uniunea federală, și Meta Platforms Ireland și privește aspectul dacă o astfel de asociație poate acționa împotriva acestei societăți în lipsa unui mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate.
49 În aceste condiții, așa cum a arătat în mod întemeiat Comisia în observațiile sale scrise, răspunsul la întrebarea preliminară depinde numai de interpretarea articolului 80 alineatul (2) din RGPD, dispozițiile articolului 80 alineatul (1) din RGPD și ale articolului 84 din RGPD nefiind pertinente în speță. Astfel, pe de o parte, aplicarea articolului 80 alineatul (1) din RGPD presupune că persoana vizată a mandatat organismul, organizația sau asociația cu scop nelucrativ, vizate la această dispoziție, să ia în numele său măsurile legale prevăzute la articolele 77-79 din RGPD. Or, este cert că nu aceasta este situația în cadrul afacerii principale, în măsura în care Uniunea federală acționează independent de orice mandat al persoanei vizate. Pe de altă parte, este cert că articolul 84 din RGPD vizează sancțiunile administrative și penale aplicabile pentru încălcările acestui regulament, ceea ce nu mai este cazul în procedura principală.
50 În plus, trebuie arătat că în cauza principală nu se ridică problema calității procesuale active a unui concurent. În consecință, trebuie să se răspundă numai la partea de întrebare care privește calitatea procesuală activă a asociațiilor, a organismelor și a camerelor abilitate în temeiul dreptului intern, vizate la articolul 80 alineatul (2) din RGPD.
51 Rezultă că întrebarea adresată de instanța de trimitere trebuie înțeleasă în sensul că urmărește în esență să se stabilească dacă articolul 80 alineatul (2) din RGPD trebuie interpretat în sensul că se opune unei reglementări naționale care permite unei asociații pentru apărarea intereselor consumatorilor să acționeze în justiție, în lipsa unei mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale unei persoane vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând încălcarea interdicției practicilor comerciale neloiale, a unei legi privind protecția consumatorilor sau a interdicției utilizării unor condiții generale nule.
52 Pentru a răspunde la această întrebare, trebuie amintit că, astfel cum reiese din considerentul (10) al RGPD, acesta din urmă urmărește printre altele să asigure o aplicare consecventă și omogenă a normelor în materie de protecție a drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în întreaga Uniune și să îndepărteze obstacolele din calea circulației datelor cu caracter personal în cadrul acesteia.
53 În acest context, capitolul VIII din acest regulament reglementează printre altele căile de atac care permit protejarea drepturilor persoanei vizate atunci când datele cu caracter personal care o privesc fac obiectul unui tratament pretins contrar dispozițiilor regulamentului menționat. Protecția acestor drepturi poate fi astfel reclamată fie direct de persoana vizată, fie de o entitate abilitată, în prezența sau în lipsa unui mandat în acest sens în temeiul articolului 80 din RGPD.
54 Astfel, mai întâi, persoana vizată are dreptul de a depune ea însăși o plângere la o autoritate de supraveghere a unui stat membru sau o acțiune în fața instanțelor civile naționale. Mai precis, această persoană dispune de dreptul de a depune o reclamație la o autoritate de supraveghere, în conformitate cu articolul 77 din RGPD, de dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere, în temeiul articolului 78 din RGDP, de dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de operator, prevăzut la articolul 79 din RGPD, și, respectiv, de dreptul de a obține despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit, în temeiul articolului 82 din RGPD.
55 În continuare, în conformitate cu articolul 80 alineatul (1) din RGPD, persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, în anumite condiții, să depună plângere sau să exercite în numele său drepturile menționate la articolele citate anterior.
56 În sfârșit, în conformitate cu articolul 80 alineatul (2) din RGPD, statele membre pot prevedea că orice organism, organizație sau asociație, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere, în temeiul articolului 77 din acest regulament, și de a exercita drepturile menționate la articolele 78 și 79 din acesta, în cazul în care consideră că drepturile unei persoane vizate în temeiul acestui regulament au fost încălcate ca urmare a prelucrării datelor cu caracter personal care o privesc.
57 În această privință, trebuie arătat că, astfel cum reiese din articolul 1 alineatul (1) din RGPD, interpretat în special în lumina considerentelor (9), (10) și (13) ale acestuia, acest regulament urmărește să asigure o armonizare a legislațiilor naționale referitoare la protecția datelor cu caracter personal care este, în principiu, completă. Totuși, anumite dispoziții ale regulamentului menționat deschid posibilitatea ca statele membre să prevadă norme naționale suplimentare, mai stricte sau derogatorii, care lasă acestora o marjă de apreciere asupra modului în care pot fi puse în aplicare aceste dispoziții („clauze de deschidere”).
58 Astfel, trebuie amintit că, potrivit unei jurisprudențe consacrate a Curții, în temeiul articolului 288 TFUE și având în vedere însăși natura regulamentelor și funcția lor în sistemul de izvoare ale dreptului Uniunii, dispozițiile regulamentelor menționate au în general un efect imediat în ordinile juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare. Cu toate acestea, unele dintre aceste dispoziții pot necesita, pentru punerea lor în aplicare, adoptarea unor măsuri de aplicare de către statele membre (Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctul 110, precum și jurisprudența citată).
59 Aceasta este de altfel situația articolului 80 alineatul (2) din RGPD, care lasă statelor membre o marjă de apreciere în ceea ce privește punerea sa în aplicare. Astfel, pentru a se putea exercita acțiunea în reprezentare fără mandat în materie de protecție a datelor cu caracter personal prevăzută la această dispoziție, statele membre trebuie să beneficieze de posibilitatea care le este oferită de aceasta de a prevedea în dreptul lor național această modalitate de reprezentare a persoanelor vizate.
60 Totuși, așa cum a observat domnul avocat general la punctele 51 și 52 din concluzii, atunci când statele membre exercită posibilitatea care le este acordată de o asemenea clauză de deschidere, ele trebuie să își utilizeze marja de apreciere în condițiile și în limitele prevăzute de dispozițiile RGPD și trebuie astfel să legifereze fără să aducă atingere conținutului și obiectivelor acestui regulament.
61 În speță, după cum a confirmat guvernul german în ședința de audiere a pledoariilor în prezenta cauză, legiuitorul german nu a adoptat, în urma intrării în vigoare a RGPD, dispoziții speciale destinate în mod specific să pună în aplicare, în dreptul său național, articolul 80 alineatul (2) din acest regulament. Astfel, reglementarea națională în discuție în litigiul principal, adoptată pentru a asigura transpunerea Directivei 2009/22, permite deja asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal. Acest guvern subliniază, pe de altă parte, că, în Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629), privind interpretarea dispozițiilor Directivei 95/46, Curtea a statuat că acestea nu se opun acestei reglementări naționale.
62 În aceste condiții, așa cum a arătat domnul avocat general la punctul 60 din concluzii, trebuie în esență să se verifice dacă normele naționale în discuție în litigiul principal se înscriu în cadrul marjei de apreciere recunoscute fiecărui stat membru la articolul 80 alineatul (2) din RGPD și să se interpreteze astfel această dispoziție ținând seama de modul său de redactare, precum și de economia și de obiectivele regulamentului respectiv.
63 În această privință, este necesar să se arate că articolul 80 alineatul (2) din RGPD deschide statelor membre posibilitatea de a prevedea un mecanism de acțiune în reprezentare împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, enunțând totodată un anumit număr de cerințe la nivelul domeniului de aplicare personal și material care trebuie respectate în acest scop.
64 În ceea ce privește, în primul rând, domeniul de aplicare personal al unui astfel de mecanism, calitatea procesuală activă este recunoscută unui organism, unei organizații sau unei asociații care îndeplinește criteriile enumerate la articolul 80 alineatul (1) din RGPD. În special, această dispoziție face trimitere la „un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal”.
65 Or, este necesar să se constate că o asociație pentru apărarea intereselor consumatorilor, precum Uniunea federală, poate intra sub incidența acestei noțiuni întrucât urmărește un obiectiv de interes public care constă în a asigura drepturile și libertățile persoanelor vizate în calitatea lor de consumatori, din moment ce realizarea unui astfel de obiectiv poate fi conexă protecției datelor cu caracter personal ale acestora din urmă.
66 Astfel, încălcarea normelor care au ca obiect protecția consumatorilor sau combaterea practicilor comerciale neloiale – încălcare pe care o asociație pentru protecția intereselor consumatorilor, precum Uniunea federală, urmărește să o prevină și să o sancționeze printre altele prin recurgerea la acțiuni în încetare prevăzută de reglementarea națională aplicabilă – poate fi conexă, precum în speță, încălcării normelor în materie de protecție a datelor cu caracter personal ale acestor consumatori.
67 În ceea ce privește, în al doilea rând, domeniul de aplicare material al mecanismului menționat, exercitarea acțiunii în reprezentare prevăzute la articolul 80 alineatul (2) din RGPD de către o entitate care îndeplinește condițiile menționate la alineatul (1) din același articol presupune că această entitate, independent de orice mandat care i‑a fost încredințat, „consideră că drepturile unei persoane vizate în temeiul [acestui] regulament au fost încălcate ca urmare a prelucrării” datelor sale cu caracter personal.
68 În această privință, este necesar să se precizeze, primo, că, în scopul introducerii unei acțiuni în reprezentare, în sensul articolului 80 alineatul (2) din RGPD, nu se poate impune unei astfel de entități să efectueze identificarea individuală prealabilă a persoanei în mod specific vizate de o prelucrare a datelor pretins contrară dispozițiilor RGPD.
69 Astfel, este suficient să se arate că noțiunea de „persoană vizată”, în sensul articolului 4 alineatul (1) din acest regulament, nu acoperă doar o „persoană fizică identificată”, ci și o „persoană fizică identificabilă”, și anume o persoană fizică „care poate fi identificată”, direct sau indirect, prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare sau un identificator online. În aceste condiții, desemnarea unei categorii sau a unui grup de persoane afectate de o asemenea prelucrare poate fi în egală măsură suficientă în scopul introducerii unei astfel de acțiuni în reprezentare.
70 Secundo, în temeiul articolului 80 alineatul (2) din RGPD, exercitarea unei acțiuni în reprezentare nu este supusă nici existenței unei încălcări concrete a drepturilor conferite unei persoane de normele în materie de protecție a datelor.
71 Astfel, după cum reiese din însuși modul de redactare a acestei dispoziții, amintit la punctul 67 din prezenta hotărâre, introducerea unei acțiuni în reprezentare presupune numai ca entitatea vizată să „considere” că drepturile unei persoane vizate în temeiul acestui regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal și să invoce, în consecință, existența unei prelucrări de date contrare dispozițiilor acestui regulament.
72 Rezultă că, pentru a recunoaște calitatea procesuală activă a unei astfel de entități, în temeiul dispoziției menționate, este suficient să se arate că prelucrarea de date în cauză poate afecta drepturile conferite persoanelor fizice identificate sau identificabile de regulamentul menționat, fără a fi necesar să se demonstreze un prejudiciu real suferit de persoana vizată, într‑o situație determinată, prin atingerea adusă drepturilor sale.
73 O asemenea interpretare este conformă cu cerințele care decurg din articolul 16 TFUE și din articolul 8 din Carta drepturilor fundamentale a Uniunii și astfel cu obiectivul urmărit de RGPD care constă în a asigura o protecție eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, precum și în special în a realiza un nivel ridicat de protecție a dreptului oricărei persoane la protecția datelor cu caracter personal care o privesc (a se vedea în acest sens Hotărârea din 15 iunie 2021, Facebook Ireland și alții, C‑645/19, EU:C:2021:483, punctele 44, 45 și 91).
74 Or, faptul de a abilita asociații pentru apărarea intereselor consumatorilor, precum Uniunea federală, să introducă, printr‑un mecanism de acțiune în reprezentare, acțiuni în încetarea prelucrărilor contrare dispozițiilor prezentului regulament, independent de încălcarea drepturilor unei persoane afectate la nivel individual și concret de această încălcare, contribuie în mod incontestabil la consolidarea drepturilor persoanelor vizate și la realizarea unui nivel ridicat de protecție pentru acestea.
75 În plus, trebuie arătat că exercitarea unei astfel de acțiuni în reprezentare, în măsura în care permite prevenirea unui număr ridicat de încălcări ale drepturilor persoanelor vizate prin prelucrarea datelor lor cu caracter personal, s‑ar putea dovedi mai eficace decât acțiunea pe care o singură persoană afectată la nivel individual și concret de o încălcare a dreptului său la protecția datelor cu caracter personal o poate exercita împotriva autorului acestei încălcări.
76 Astfel, după cum a observat domnul avocat general la punctul 76 din concluzii, funcția preventivă a acțiunilor desfășurate de asociațiile pentru apărarea intereselor consumatorilor, precum Uniunea federală, nu ar putea fi asigurată dacă acțiunea în reprezentare prevăzută la articolul 80 alineatul (2) din RGPD ar permite doar invocarea încălcării drepturilor unei persoane afectate la nivel individual și concret de această încălcare.
77 În al treilea rând, trebuie să se verifice de asemenea, astfel cum solicită instanța de trimitere, dacă articolul 80 alineatul (2) din RGPD împiedică exercitarea unei acțiuni în reprezentare independent de o încălcare concretă a dreptului unei persoane vizate și de un mandat conferit de aceasta din urmă, atunci când încălcarea normelor în materie de protecție a datelor a fost invocată în cadrul unei acțiuni care are ca obiect controlarea aplicării altor norme juridice care au ca obiect asigurarea protecției consumatorilor.
78 În această privință, trebuie arătat că, după cum s‑a observat în esență la punctul 66 din prezenta hotărâre, încălcarea unei norme privind protecția datelor cu caracter personal poate determina simultan încălcarea unor norme privind protecția consumatorilor sau practicile comerciale neloiale.
79 Prin urmare, așa cum a arătat domnul avocat general la punctul 72 din concluzii, această dispoziție nu se opune ca statele membre să exercite posibilitatea pe care le‑o oferă în acest sens, prin care asociațiile pentru apărarea intereselor consumatorilor sunt abilitate să acționeze împotriva încălcării drepturilor prevăzute de RGPD prin intermediul, după caz, al unor norme având ca obiect protecția consumatorilor sau combaterea practicilor comerciale neloiale, astfel cum sunt acestea prevăzute de Directiva 2005/29 și Directiva 2009/22.
80 Această interpretare a articolului 80 alineatul (2) din RGPD este de altfel confirmată de Directiva 2020/1828, care abrogă și înlocuiește, de la 25 iunie 2023, Directiva 2009/22. În acest context, este necesar să se observe că, în conformitate cu articolul 2 alineatul (1) din Directiva 2020/1828, aceasta se aplică acțiunilor în reprezentare introduse împotriva încălcărilor de către comercianți ale dispozițiilor dreptului Uniunii vizate în anexa I la această directivă, care menționează RGPD la punctul 56.
81 Desigur, Directiva 2020/1828 nu este aplicabilă în cadrul litigiului principal, iar termenul său de transpunere încă nu a expirat. Totuși, ea conține mai multe elemente care confirmă că articolul 80 din RGPD nu împiedică exercitarea unor acțiuni în reprezentare suplimentare în domeniul protecției consumatorilor.
82 Astfel, deși, după cum reiese din considerentul (11) al acestei directive, rămâne totuși posibil să se prevadă un mecanism procedural al acțiunilor în reprezentare suplimentar în domeniul protecției consumatorilor, mecanismele de aplicare prevăzute în RGPD sau întemeiate pe acesta, precum cel prevăzut la articolul 80 din acest regulament, nu pot fi înlocuite sau modificate, așa cum precizează considerentul (15) al directivei menționate, și pot astfel să fie utilizate în scopul protecției intereselor colective ale consumatorilor.
83 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la întrebarea adresată că articolul 80 alineatul (2) din RGPD trebuie interpretat în sensul că nu se opune unei reglementări naționale care permite unei asociații pentru apărarea intereselor consumatorilor să acționeze în justiție, în lipsa unei mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând încălcarea interdicției practicilor comerciale neloiale, a unei legi privind protecția consumatorilor sau a interdicției utilizării unor condiții generale nule, în măsura în care prelucrarea datelor în cauză poate afecta drepturile conferite unor persoane fizice identificate sau identificabile de acest regulament.
Cu privire la cheltuielile de judecată
84 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Camera a treia) declară:
Articolul 80 alineatul (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că nu se opune unei reglementări naționale care permite unei asociații pentru apărarea intereselor consumatorilor să acționeze în justiție, în lipsa unei mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând încălcarea interdicției practicilor comerciale neloiale, a unei legi privind protecția consumatorilor sau a interdicției utilizării unor condiții generale nule, în măsura în care prelucrarea datelor în cauză poate afecta drepturile conferite unor persoane fizice identificate sau identificabile de acest regulament.
Semnături