CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2021:979

CONCLUZIILE AVOCATULUI GENERAL

DOMNUL JEAN RICHARD DE LA TOUR

prezentate la 2 decembrie 2021(1)

Cauza C‑319/20

Facebook Ireland Limited

împotriva

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[cerere de decizie preliminară formulată de Bundesgerichtshof (Curtea Federală de Justiție, Germania)]

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 80 alineatul (2) – Dreptul la o cale de atac jurisdicțională efectivă – Reprezentarea persoanelor vizate de către o asociație fără scop lucrativ – Calitate procesuală activă a unei asociații pentru apărarea intereselor consumatorilor”

I. Introducere

1. În economia modernă, marcată de dezvoltarea economiei digitale, prelucrarea datelor cu caracter personal este susceptibilă să afecteze persoanele nu numai în calitatea lor de persoane fizice beneficiare ale drepturilor conferite de Regulamentul (UE) 2016/679(2), ci și în calitatea lor de consumatori.

2. Această calitate are drept consecință faptul că asociațiile pentru apărarea intereselor consumatorilor sunt din ce în ce mai frecvent la originea acțiunilor prin care se urmărește încetarea comportamentelor anumitor operatori care aduc atingere simultan unor drepturi protejate prin acest regulament și prin alte norme rezultate atât din dreptul Uniunii, cât și din dreptul intern în materie, în special de protecție a drepturilor consumatorilor și de combatere a practicilor comerciale neloiale.

3. Prezenta cerere de decizie preliminară a fost formulată în cadrul unui litigiu între Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Uniunea federală a organizațiilor și a asociațiilor de consumatori, denumită în continuare „Uniunea federală”), pe de o parte, și Facebook Ireland Limited, al cărei sediu social se află în Irlanda, pe de altă parte. Uniunea federală reproșează acestei societăți încălcarea legislației germane privind protecția datelor cu caracter personal care constituie, în același timp, o practică comercială neloială, o încălcare a unei legi privind protecția consumatorilor și o încălcare a interdicției utilizării unor condiții generale nule.

4. Această cerere invită în esență Curtea să interpreteze articolul 80 alineatul (2) din Regulamentul 2016/679 pentru a stabili dacă această dispoziție se opune ca asociațiile pentru protecția intereselor consumatorilor să păstreze, după intrarea în vigoare a acestui regulament, calitatea procesuală activă pe care dreptul național le‑o acordă pentru a asigura încetarea comportamentelor care constituie în același timp o încălcare a drepturilor conferite de regulamentul menționat și o încălcare a unor norme având ca obiect protejarea drepturilor consumatorilor și combaterea practicilor comerciale neloiale. În măsura în care o asemenea calitate procesuală activă a fost considerată de către Curte(3) compatibilă cu Directiva 95/46/CE(4), va reveni acesteia sarcina de a declara dacă Regulamentul 2016/679 a modificat sau nu situația de drept cu privire la acest aspect.

II. Cadrul juridic

A. Regulamentul 2016/679

5. Articolul 80 din Regulamentul 2016/679, intitulat „Reprezentarea persoanelor vizate”, are următorul cuprins(5):

„(1) Persoana vizată are dreptul de a mandata un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal, să depună plângerea în numele său, să exercite în numele său drepturile menționate la articolele 77, 78 și 79, precum și să exercite dreptul de a primi despăgubiri menționat la articolul 82 în numele persoanei vizate, dacă acest lucru este prevăzut în dreptul intern.

(2) Statele membre pot prevedea că orice organism, organizație sau asociație menționată la alineatul (1) din prezentul articol, independent de mandatul unei persoanei vizate, are dreptul de a depune în statul membru respectiv o plângere la autoritatea de supraveghere care este competentă în temeiul articolului 77 și de a exercita drepturile menționate la articolele 78 și 79, în cazul în care consideră că drepturile unei persoane vizate în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării.”

B. Dreptul german

6. Articolul 3 alineatul (1) din Gesetz gegen den unlauteren Wettbewerb (Legea privind combaterea concurenței neloiale)(6) din 3 iulie 2004, în versiunea sa aplicabilă litigiului principal, prevede:

„Se interzic practicile comerciale neloiale.”

7. Articolul 3a din UWG are următorul cuprins:

„Constituie concurență neloială încălcarea de către o persoană a unei dispoziții legale adoptate cu scopul să reglementeze, în interesul operatorilor economici, comportamentul pe piață în măsura în care încălcarea în cauză afectează considerabil interesele consumatorilor, ale altor operatori economici sau ale concurenților.”

8. Articolul 8 alineatele (1) și (3) din UWG prevede:

„(1) Orice practică comercială nelegală în temeiul articolului 3 sau al articolului 7 poate duce la o somație de încetare imediată (eliminare) și, în caz de risc de recidivă, la o somație de încetare pentru viitor (abținere). Dreptul la încetarea pentru viitor (abținere) ia naștere din momentul în care există un risc de încălcare a articolelor 3 sau 7.

[…]

(3) Sunt titulari ai drepturilor conferite la alineatul (1):

[…]

3. entitățile calificate, care dovedesc înscrierea pe lista entităților calificate prevăzută la articolul 4 din [Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Legea privind acțiunile în încetarea unor încălcări ale dreptului consumatorilor și a altor încălcări(7) din 26 noiembrie 2001, în versiunea aplicabilă litigiului principal)] sau pe lista Comisiei Europene prevăzută la articolul 4 alineatul (3) din Directiva 2009/22/CE a Parlamentului European și a Consiliului din 23 aprilie 2009 privind acțiunile în încetare în ceea ce privește protecția intereselor consumatorilor[(8)];

[…]”

9. Articolul 2 din UKlaG prevede:

„(1) Orice încălcare a dispozițiilor care vizează protecția consumatorilor (legile privind protecția consumatorilor), în alt mod decât cu ocazia aplicării sau a recomandării condițiilor generale de vânzare, poate face obiectul unei somații de încetare pentru viitor și de încetare imediată în interesul protecției consumatorilor […]

(2) În sensul prezentei dispoziții, legile privind protecția consumatorilor înseamnă:

[…]

11. normele care definesc legitimitatea

(a) colectării de către un profesionist a datelor cu caracter personal ale unui consumator sau

(b) prelucrării sau a utilizării de către un profesionist a datelor cu caracter personal care au fost colectate cu privire la un consumator,

dacă datele sunt colectate, prelucrate sau utilizate în scopuri publicitare, pentru studii de piață și sondaje de opinie, pentru operarea unui serviciu de informații, în vederea creării profilelor de personalitate și de utilizare, a comerțului cu date sau în alte scopuri comerciale similare.

[…]”

10. Bundesgerichtshof (Curtea Federală de Justiție, Germania) arată că, în temeiul articolului 3 alineatul (1) prima teză punctul 1 din UKlaG, organismele care au calitatea procesuală activă, în sensul acestei dispoziții, pot introduce acțiune în încetare pentru încălcarea legislației referitoare la protecția consumatorilor, care cuprinde de asemenea, în conformitate cu articolul 2 alineatul (2) prima teză punctul 11 din această lege, dispozițiile care privesc legitimitatea colectării, prelucrării sau utilizării de către un profesionist a datelor cu caracter personal ale unui consumator în scopuri publicitare. În plus, tot în temeiul articolului 3 alineatul (1) prima teză punctul 1 din UKlaG, organismele care au calitate procesuală activă pot solicita, în conformitate cu articolul 1 din UKlaG, încetarea utilizării unor condiții generale nule în conformitate cu articolul 307 din Bürgerliches Gesetzbuch (Codul civil), atunci când consideră că aceste condiții generale încalcă o dispoziție în materia protecției datelor.

11. Articolul 13 alineatul (1) din Telemediengesetz (Legea privind telemedia)(9) din 26 februarie 2007 are următorul cuprins:

„La începutul operațiunii de utilizare, furnizorul de servicii trebuie să informeze utilizatorul într‑o formă ușor de înțeles despre felul, volumul și scopul colectării și utilizării datelor cu caracter personal, precum și cu privire la prelucrarea datelor sale în statele aflate în afara domeniului de aplicare al [Directivei 95/46], în măsura în care nu a avut loc deja o asemenea informare. În cazul unei operațiuni automatizate care permite identificarea ulterioară a utilizatorului și care pregătește o colectare sau o utilizare a datelor cu caracter personal, utilizatorul trebuie informat la începutul acestei operațiuni. Conținutul informării trebuie să fie permanent accesibil pentru utilizator.”

III. Situația de fapt din litigiul principal și întrebarea preliminară

12. În Germania, Uniunea federală este înscrisă în lista entităților care au calitate procesuală activă prevăzută la articolul 4 din UKlaG. Facebook Ireland exploatează, la adresa www.facebook.de, platforma internet Facebook, care are ca scop schimbul de date cu caracter personal și de alte date.

13. Platforma Internet Facebook conține un spațiu numit „App‑Zentrum” (Centrul de aplicații) pe care Facebook Ireland pune, printre altele, la dispoziția utilizatorilor săi jocuri gratuite furnizate de terți. Cu ocazia consultării, la 26 noiembrie 2012, a anumitor jocuri în Centrul de aplicații, utilizatorul putea vedea o serie de informații la apăsarea butonului „Sofort spielen” (Joacă acum). Din aceste informații rezultă în esență că utilizarea aplicației în cauză permitea societății care a furnizat jocurile să obțină o serie de date cu caracter personal și o autoriza să facă publice, în numele utilizatorului, anumite informații, precum scorul său. Această utilizare implica acceptarea din partea utilizatorului a condițiilor generale ale aplicației și a politicii sale în materie de protecție a datelor. În plus, în ceea ce privește jocul Scrabble, s‑a menționat că aplicația poate publica statutul, fotografii și alte informații în numele utilizatorului.

14. Uniunea federală critică prezentarea indicațiilor furnizate prin apăsarea butonului „Joacă acum” din Centrul de aplicații pentru motivul că acestea ar fi neloiale, în special ca urmare a nerespectării condițiilor legale care se aplică obținerii unui consimțământ valabil al utilizatorului în temeiul dispozițiilor care reglementează protecția datelor. În plus, aceasta consideră că mențiunea finală de la jocul Scrabble constituie o condiție generală care dezavantajează în mod nejustificat utilizatorul.

15. În acest context, Uniunea federală a introdus la Landgericht Berlin (Tribunalul Regional din Berlin, Germania) o acțiune în încetare împotriva Facebook Ireland. Instanța de trimitere precizează că această acțiune a fost introdusă independent de încălcarea concretă a drepturilor la protecția datelor unei persoane vizate și fără un mandat din partea unei astfel de persoane.

16. Uniunea federală a solicitat să se interzică Facebook Ireland, sub sancțiunea unor măsuri cu titlu cominatoriu, „să prezinte jocuri, în cadrul unor activități comerciale destinate consumatorilor care au reședința permanentă în […] Germania, pe site‑ul internet corespunzător adresei www.facebook.com, într‑un «Centru de aplicații», astfel încât, prin apăsarea unui buton precum „[Joacă acum]”, consumatorul declară că operatorul jocului obține, prin intermediul rețelei sociale exploatate de [Facebook Ireland], informații privind datele cu caracter personal care figurează pe aceasta și este autorizat să transmită (să publice) informații în nume consumatorului […]”.

17. Uniunea federală a solicitat de asemenea să se interzică Facebook Ireland „să includă în convenții încheiate cu consumatorii care au reședința obișnuită în […] Germania următoarea dispoziție sau dispoziții cu conținut identic referitoare la utilizarea aplicațiilor (apps) în cadrul unei rețele sociale, precum și să invoce dispozițiile referitoare la transmiterea datelor către operatorii de jocuri: «Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten» [Această aplicație este autorizată să publice statutul tău, fotografii și alte informații în numele tău]”.

18. Landgericht Berlin (Tribunalul Regional din Berlin) a condamnat Facebook Ireland în conformitate cu concluziile Uniunii federale. Apelul declarat de Facebook Ireland la Kammergericht Berlin (Tribunalul Regional Superior din Berlin, Germania) a fost respins.

19. Facebook Ireland a formulat recurs la instanța de trimitere împotriva deciziei instanței de apel.

20. Pe fond, instanța de trimitere consideră că instanța de apel a apreciat în mod întemeiat că concluziile Uniunii federale erau fondate. Astfel, prin nerespectarea obligațiilor de informare care rezultă din articolul 13 alineatul (1) prima teză prima parte a tezei din TMG, Facebook Ireland a încălcat articolul 3a din UWG și articolul 2 alineatul (2) prima teză punctul 11 din UKlaG. Instanța de apel a considerat în mod întemeiat că dispozițiile articolului 13 din TMG în discuție în speță sunt dispoziții legale care reglementează comportamentul operatorilor pe piață în sensul articolului 3a din UWG. Este vorba, în plus, despre dispoziții care, în conformitate cu articolul 2 alineatul (2) prima teză punctul 11 litera (a) din UKlaG, reglementează legitimitatea colectării, prelucrării sau utilizării de către un profesionist a datelor cu caracter personal ale unui consumator care au fost colectate, prelucrate sau utilizate în scopuri publicitare. Pe de altă parte, instanța de trimitere consideră că, prin nerespectarea obligațiilor de informare în materie de protecție a datelor care sunt aplicabile în speță, Facebook Ireland a utilizat o condiție generală nulă în sensul articolului 1 din UKlaG.

21. Instanța de trimitere ridică însă problema dacă instanța de apel a considerat în mod corect că acțiunea Uniunii federale era admisibilă. Astfel, ea ridică problema dacă o asociație pentru apărarea intereselor consumatorilor, precum Uniunea federală, dispune încă, de la intrarea în vigoare a Regulamentului 2016/679, de competența de a exercita acțiunea, introducând o acțiune în fața instanțelor civile, împotriva încălcării acestui regulament, independent de încălcarea concretă a drepturilor individuale ale persoanelor vizate și fără un mandat din partea acestora din urmă, invocând încălcarea dreptului în sensul articolului 3a din UWG, încălcarea unei legi în materie de protecție a consumatorilor în sensul articolului 2 alineatul (2) prima teză punctul 11 din UKlaG sau chiar utilizarea unei condiții generale nule în temeiul articolului 1 din UKlaG.

22. Instanța de trimitere arată că admisibilitatea acțiunii nu era pusă la îndoială înainte de intrarea în vigoare a Regulamentului 2016/679. Astfel, Uniunea federală era abilitată să introducă o acțiune în încetare la instanțele civile în conformitate cu articolul 8 alineatul (3) punctul 3 din UWG și cu articolul 3 alineatul (1) prima teză punctul 1 din UKlaG.

23. Potrivit aceleiași instanțe, este posibil ca acest regim juridic să fi fost modificat ca urmare a intrării în vigoare a Regulamentului 2016/679.

24. Pe fond, ea observă că dispozițiile articolului 13 alineatul (1) din TMG nu mai sunt aplicabile de la această intrare în vigoare, obligațiile de informare pertinente fiind în prezent cele care rezultă din articolele 12-14 din Regulamentul 2016/679. Astfel, potrivit instanței de trimitere, Facebook Ireland nu a respectat obligația care îi revenea în temeiul articolului 12 alineatul (1) prima teză din acest regulament, care constă în a furniza persoanei vizate, în mod precis, transparent, inteligibil și ușor accesibil, în termeni clari și simpli, informațiile prevăzute la articolul 13 alineatul (1) literele (c) și (e) din regulamentul menționat, care se referă la scopul prelucrării datelor și la destinatarul datelor cu caracter personal.

25. Cu privire la admisibilitatea acțiunii, există, potrivit instanței de trimitere, o dezbatere cu privire la aspectul dacă organismele care au calitate procesuală activă în sensul articolului 4 din UKlaG sunt abilitate, de la intrarea în vigoare a Regulamentului 2016/679 și în conformitate cu articolul 8 alineatul (3) punctul 3 din UWG, să introducă acțiuni în justiție împotriva încălcărilor dispozițiilor acestui regulament, care sunt de aplicare directă în temeiul articolului 288 al doilea paragraf TFUE, invocând încălcarea dreptului în sensul articolului 3a din UWG.

26. În această privință, instanța de trimitere menționează existența unor puncte de vedere divergente cu privire la aspectul dacă Regulamentul 2016/679 reglementează el însuși, în mod exhaustiv, controlul aplicării dispozițiilor sale.

27. Această instanță observă, în ceea ce privește modul de redactare a Regulamentului 2016/679, că o calitate procesuală activă a unei entități precum Uniunea federală, în temeiul articolului 8 alineatul (3) punctul 3 din UWG, nu este acoperită de articolul 80 alineatul (1) din acest regulament, în măsura în care acțiunea în încetare în discuție în litigiul principal nu a fost introdusă pe baza unui mandat și în numele unei persoane vizate pentru a‑și exercita drepturile personale. Dimpotrivă, ar fi vorba despre o calitate procesuală activă a Uniunii federale în temeiul unui drept care îi este propriu, care i‑ar permite, în cazul încălcării dreptului în sensul articolului 3 din UWG, să acționeze împotriva încălcărilor dispozițiilor regulamentului menționat în mod obiectiv, independent de încălcarea unor drepturi concrete ale particularilor vizați și de un mandat din partea acestora din urmă.

28. Or, instanța de trimitere arată că o calitate procesuală activă a Uniunii federale în vederea aplicării, în mod obiectiv, a dreptului privind protecția datelor cu caracter personal nu este prevăzută la articolul 80 alineatul (2) din Regulamentul 2016/679. Astfel, în cazul în care această dispoziție ar prevedea într‑adevăr posibilitatea unei acțiuni de către o asemenea entitate independent de orice mandat încredințat de o persoană vizată, ar trebui totuși ca drepturile unei persoane vizate, astfel cum sunt prevăzute în acest regulament, să fi fost încălcate ca urmare a unei prelucrări. În consecință, nici dispozițiile articolului 80 alineatul (2) din regulamentul menționat nu ar permite, având în vedere modul lor de redactare, calitatea procesuală activă a asociațiilor care invocă încălcări obiective ale dreptului privind protecția datelor cu caracter personal, independent de încălcarea drepturilor subiective ale unei persoane vizate concrete, întemeindu‑se, precum în speță, pe articolul 3a și pe articolul 8 alineatul (3) punctul 3 din UWG. O concluzie identică ar putea fi dedusă din considerentul (142) a doua teză al Regulamentului 2016/679, care menționează de asemenea încălcarea drepturilor unei persoane vizate drept condiție a calității procesuale active a unei asociații independent de un mandat al persoanei în discuție.

29. Pe de altă parte, calitatea procesuală activă a unei asociații precum cea prevăzută la articolul 8 alineatul (3) din UWG nu poate rezulta, potrivit instanței de trimitere, din articolul 84 alineatul (1) din Regulamentul 2016/679, în temeiul căruia statele membre stabilesc normele privind alte sancțiuni aplicabile în caz de încălcare a acestui regulament și iau toate măsurile necesare pentru a garanta faptul că acestea sunt puse în aplicare. Astfel, calitatea procesuală activă a unei asociații precum cea vizată la articolul 8 alineatul (3) din UWG nu poate fi considerată o „sancțiune”, în sensul acestei dispoziții din regulamentul menționat.

30. Instanța de trimitere arată, în plus, că economia Regulamentului 2016/679 nu permite să se stabilească cu certitudine dacă calitatea procesuală activă a unui organism în temeiul articolului 8 alineatul (3) punctul 3 din UWG, și anume în temeiul unei dispoziții destinate combaterii concurenței neloiale, mai poate fi recunoscută de la intrarea în vigoare a acestui regulament. Instanța respectivă consideră că din faptul că regulamentul menționat conferă autorităților de supraveghere competențe extinse în materie de supraveghere, de anchetă și în vederea adoptării unor măsuri corective s‑ar putea deduce că revine în principal acestor autorități sarcina de a controla aplicarea dispozițiilor regulamentului menționat. Aceasta ar contraveni unei interpretări extensive a articolului 80 alineatul (2) din Regulamentul 2016/679. Instanța de trimitere arată de asemenea că adoptarea unor măsuri naționale de punere în aplicare a unui regulament nu este în principiu permisă decât dacă este autorizată în mod expres. Cu toate acestea, sintagma „[f]ără a aduce atingere oricăror alte căi de atac”, care figurează la articolul 77 alineatul (1), la articolul 78 alineatele (1) și (2), precum și la articolul 79 alineatul (1) din acest regulament, ar putea infirma teza unei reglementări exhaustive a controlului aplicării dreptului prin regulamentul menționat.

31. În ceea ce privește obiectivul Regulamentului 2016/679, efectul util al acestuia ar putea pleda în favoarea existenței unei calități procesuale active a asociațiilor în temeiul dreptului concurenței, în conformitate cu articolul 8 alineatul (3) punctul 3 din UWG, independent de încălcarea drepturilor concrete ale persoanelor vizate, în măsura în care aceasta ar face să subziste o posibilitate suplimentară de a controla aplicarea dreptului, pentru a asigura un nivel cât mai ridicat de protecție a datelor cu caracter personal, în conformitate cu considerentul (10) al regulamentului menționat. Cu toate acestea, a admite calitatea procesuală activă a asociațiilor în temeiul dreptului concurenței ar putea fi considerată ca fiind contrară obiectivului de armonizare urmărit de regulamentul respectiv.

32. Instanța de trimitere își exprimă de asemenea îndoielile cu privire la persistența, după intrarea în vigoare a Regulamentului 2016/679, a calității procesuale active a organismelor vizate la articolul 3 alineatul (1) prima teză punctul 1 din UKlaG pentru a exercita acțiuni în caz de încălcare a dispozițiilor acestui regulament, în temeiul acțiunilor introduse ca urmare a nerespectării unei legi în materia protecției consumatorilor, în sensul articolului 2 alineatul (2) prima teză punctul 11 din UKlaG. Situația este aceeași în ceea ce privește calitatea procesuală activă a unei asociații pentru apărarea intereselor consumatorilor, în conformitate cu articolul 1 din UKlaG, pentru a solicita încetarea utilizării unor condiții generale nule, în sensul articolului 307 din Codul civil.

33. Presupunând că diferitele dispoziții naționale care fundamentau, înainte de intrarea în vigoare a Regulamentului 2016/679, calitatea procesuală activă a unor organisme pot fi considerate o punere în aplicare anticipată a articolului 80 alineatul (2) din acest regulament, recunoașterea în speță a unei calități procesuale active a Uniunii federale ar necesita, potrivit instanței de trimitere, ca aceasta să susțină că drepturile unei persoane vizate, prevăzute în regulamentul menționat, au fost încălcate ca urmare a unei prelucrări. Or, această condiție nu ar fi îndeplinită.

34. Astfel, această instanță subliniază că concluziile Uniunii federale privesc controlul abstract al prezentării Centrului de aplicații de către Facebook Ireland în raport cu dreptul obiectiv privind protecția datelor, fără ca Uniunea federală să fi invocat încălcarea drepturilor unei persoane fizice identificate sau identificabile, în sensul articolului 4 punctul 1 din Regulamentul 2016/679.

35. Dacă s‑ar constata că Uniunea federală a pierdut, ca urmare a intrării în vigoare a Regulamentului 2016/679, calitatea procesuală activă care se întemeiază pe dispozițiile de drept german citate anterior, instanța de trimitere arată că ar trebui să admită recursul formulat de Facebook Ireland și să respingă acțiunea Uniunii federale, dat fiind că, în temeiul dreptului procesual german, calitatea procesuală activă trebuie să persiste până la finalul ultimei proceduri.

36. Având în vedere aceste considerații, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarea întrebare preliminară:

„Dispozițiile cuprinse în capitolul VIII din Regulamentul (UE) 2016/679, în special cele ale articolului 80 alineatele (1) și (2) și ale articolului 84 alineatul (1) din acest regulament, se opun unor dispoziții naționale care conferă concurenților, pe de o parte, și asociațiilor, organismelor și autorităților locale abilitate în temeiul dreptului intern, pe de altă parte – în plus față de competențele de intervenție ale autorităților de supraveghere responsabile pentru supravegherea și punerea în aplicare a regulamentului menționat și față de căile de atac ale persoanelor vizate –, independent de încălcarea unor drepturi concrete ale unor particulari vizați și fără un mandat din partea unei persoane vizate, posibilitatea de a formula împotriva contravenientului, în fața instanțelor civile, o acțiune având ca obiect încălcarea Regulamentului (UE) 2016/679, invocând principiul interdicției practicilor comerciale neloiale sau încălcarea unei legi privind protecția consumatorului sau interdicția utilizării unor condiții generale nule?”

37. Uniunea federală, Facebook Ireland, guvernele austriac și portughez, precum și Comisia au depus observații scrise. Aceste părți, cu excepția guvernului portughez, precum și guvernul german și‑au prezentat observațiile orale în ședința care a avut loc la 23 septembrie 2021.

IV. Analiză

38. Prin intermediul întrebării formulate, instanța de trimitere solicită în esență să se stabilească dacă Regulamentul 2016/679 și în special articolul 80 alineatul (2) din acesta din urmă trebuie interpretat în sensul că se opune unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să acționeze în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând principiul interdicției practicilor comerciale neloiale sau încălcarea unei legi privind protecția consumatorilor sau interdicția utilizării unor condiții generale nule.

39. Potrivit articolului 4 punctul 1 din Regulamentul 2016/679, o „persoană vizată”, în sensul acestui regulament, este „o persoană fizică identificată sau identificabilă”. Atunci când o astfel de persoană consideră că datele sale cu caracter personal au făcut obiectul unei prelucrări contrare dispozițiilor regulamentului menționat, ea dispune de mai multe mijloace de acțiune.

40. Astfel, o persoană vizată are, în temeiul articolului 77 din același regulament, dreptul de a depune o plângere la o autoritate de supraveghere. Pe de altă parte, în temeiul articolului 78 din Regulamentul 2016/679, această persoană are dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere. În plus, articolul 79 alineatul (1) din acest regulament conferă fiecărei persoane vizate dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul regulamentului menționat au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta același regulament.

41. Desigur, persoanele vizate pot depune ele însele o plângere la o autoritate de supraveghere sau pot exercita căile de atac judiciare descrise anterior. În aceste condiții, articolul 80 din Regulamentul 2016/679 prevede, în anumite condiții, posibilitatea ca aceste persoane să fie reprezentate de un organism, o organizație sau o asociație fără scop lucrativ. Dincolo de acțiunile individuale, dreptul Uniunii prevede astfel diferite posibilități de acțiune în reprezentare desfășurate prin intermediul unor entități însărcinate să reprezinte persoanele vizate(10). Articolul 80 din Regulamentul 2016/679 se înscrie, așadar, în tendința constând în dezvoltarea acțiunilor în reprezentare exercitate de astfel de entități în scopul de a apăra interese generale sau colective ca un mijloc de consolidare a accesului la justiție al persoanelor afectate de încălcarea normelor în cauză(11).

42. Articolul 80 din Regulamentul 2016/679, intitulat „Reprezentarea persoanelor vizate”, cuprinde două alineate. Primul alineat vizează situația în care o persoană vizată conferă mandat unui organism, unei organizații sau asociații în scopul de a o reprezenta. Al doilea alineat privește acțiunea în reprezentare exercitată de o entitate independent de orice mandat încredințat de o persoană vizată.

43. În măsura în care acțiunea exercitată de Uniunea federală nu se întemeiază pe mandatul unei persoane vizate, articolul 80 alineatul (2) din Regulamentul 2016/679 este relevant în cadrul prezentei trimiteri preliminare.

A. Hotărârea Fashion ID

44. În Hotărârea Fashion ID, Curtea s‑a pronunțat, în legătură cu Directiva 95/46, cu privire la o problemă similară celei ridicate în cadrul prezentei trimiteri preliminare. Ea a declarat astfel că „articolele 22-24 din [această directivă] trebuie interpretate în sensul că nu se opun unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal”(12).

45. Pentru a ajunge la această concluzie, Curtea a pornit de la constatarea că nicio dispoziție a Directivei 95/46 nu impunea statelor membre obligația de a prevedea și nici nu le abilita expres să prevadă în dreptul lor național posibilitatea unei asociații de a reprezenta în justiție o persoană vizată sau de a formula din proprie inițiativă o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal(13). În opinia Curții, aceasta nu însemna însă că directiva menționată se opunea unei reglementări naționale care permite asociației pentru apărarea intereselor consumatorilor să acționeze în justiție împotriva autorului prezumat al unei asemenea atingeri(14). În această privință, Curtea a subliniat caracteristicile proprii unei directive, precum și obligația statelor membre destinatare de a adopta toate măsurile necesare pentru a asigura efectul deplin al directivei vizate, conform obiectivului pe care aceasta îl urmărește(15).

46. Curtea a amintit în acest caz că Directiva 95/46 avea ca obiective să „asigur[e] protejarea eficientă și completă a drepturilor și a libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal” și „să asigure un nivel înalt de protecție în Uniune[a Europeană]”(16). Or, în opinia Curții, prevederea de către un stat membru în legislația sa națională a posibilității unei asociații pentru apărarea intereselor consumatorilor de a introduce o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal contribuia la realizarea acestor obiective(17). Curtea a subliniat, pe de altă parte, că „statele membre dispun în multe privințe de o marjă de manevră în vederea transpunerii [Directivei 95/46]”(18), în special cu privire la articolele 22-24 din aceasta, care „sunt formulate în termeni generali și nu efectuează o armonizare exhaustivă a dispozițiilor naționale referitoare la căile de atac în justiție susceptibile să fie inițiate împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal”(19). Astfel, „prevederea posibilității unei asociații pentru apărarea intereselor consumatorilor de a introduce o acțiune în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal pare să constituie o măsură adecvată, în sensul [articolului 24 din această directivă], care contribuie […] la realizarea obiectivelor directivei menționate, conform jurisprudenței Curții”(20).

47. Prin prezenta trimitere preliminară se solicită Curții să decidă dacă ceea ce s‑ar putea admite în temeiul Directivei 95/46 ar trebui interzis în prezent în urma intrării în vigoare a Regulamentului 2016/679. Cu alte cuvinte, articolul 80 alineatul (2) din acest regulament are ca efect juridic eliminarea calității procesuale active a unei asociații pentru apărarea intereselor consumatorilor în cadrul unei acțiuni precum cea în discuție în litigiul principal?

48. S‑a permis deja să ne îndoim numai la simpla lectură a punctului 62 din Hotărârea Fashion ID, în care Curtea a arătat că faptul că Regulamentul 2016/679 „autorizează expres, la articolul 80 alineatul (2), statele membre să permită asociațiilor pentru apărarea intereselor consumatorilor să acționeze în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal nu înseamnă nicidecum că statele membre nu le puteau conferi acest drept sub imperiul Directivei 95/46, ci confirmă, dimpotrivă, că interpretarea acesteia reținută în prezenta hotărâre reflectă voința legiuitorului Uniunii”(21).

49. Pentru motivele pe care le vom dezvolta în continuare, considerăm că nici înlocuirea Directivei 95/46 cu un regulament, nici împrejurarea că Regulamentul 2016/679 consacră în prezent un articol reprezentării persoanelor vizate în cadrul unor acțiuni în justiție nu sunt de natură să repună în discuție ceea ce Curtea a statuat în Hotărârea Fashion ID, și anume că statele membre pot prevedea în reglementarea lor națională posibilitatea asociațiilor pentru apărarea intereselor consumatorilor de a acționa în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal.

B. Caracteristicile speciale ale Regulamentului 2016/679

50. În ceea ce privește înlocuirea Directivei 95/46 cu o normă de natură diferită, și anume Regulamentul 2016/679, trebuie arătat că alegerea legiuitorului Uniunii de a recurge la forma juridică a regulamentului, care este, în temeiul articolului 288 TFUE, obligatoriu în toate elementele sale și se aplică direct în fiecare stat membru, se explică prin voința sa, exprimată în considerentul (13) al Regulamentului 2016/679, de a asigura un nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și de a preîntâmpina discrepanțele care împiedică libera circulație a datelor în cadrul pieței interne. În consecință, acest regulament pare, la prima vedere, să tindă spre o armonizare completă, nelimitându‑se, așadar, la stabilirea unor standarde minime pe care statele membre le‑ar putea sublinia și nelăsând acestor state posibilitatea de a deroga, de a completa sau de a pune în aplicare dispozițiile sale, pentru ca aplicarea simultană și uniformă în Uniune a dispozițiilor regulamentului menționat să nu fie compromisă.

51. Realitatea se dovedește a fi mai complexă. Astfel, temeiul juridic al Regulamentului 2016/679, și anume articolul 16 TFUE(22), împiedică să se considere că Uniunea ar fi utilizat, prin adoptarea acestui regulament, ansamblul ramificațiilor pe care protecția datelor cu caracter personal le poate avea în alte domenii referitoare, printre altele, la dreptul muncii, la dreptul concurenței sau la dreptul consumatorilor, privând statele membre să adopte norme specifice în aceste domenii, într‑un mod mai mult sau mai puțin autonom, după cum este sau nu este vorba despre un domeniu reglementat de dreptul Uniunii(23). În acest sens, deși protecția datelor cu caracter personal este, prin natura sa, transversală, armonizarea efectuată de Regulamentul 2016/679 se limitează la aspectele acoperite în mod specific de regulamentul menționat în acest domeniu. În afara lor, statele membre rămân libere să legifereze, în măsura în care nu aduc atingere conținutului și obiectivelor regulamentului amintit.

52. În plus, atunci când se intră în detalii cu privire la dispozițiile Regulamentului 2016/679, trebuie să se constate că întinderea armonizării realizate prin acest regulament variază în funcție de dispozițiile avute în vedere. Prin urmare, stabilirea domeniului de aplicare normativ al regulamentului menționat impune o examinare de la caz la caz(24). Deși se poate considera, ca urmare a jurisprudenței referitoare la Directiva 95/46(25), că Regulamentul 2016/679 efectuează o armonizare care este, „în principiu, completă”, mai multe dispoziții ale acestui regulament recunosc totuși statelor membre o marjă de manevră care trebuie sau poate, după caz, să fie utilizată de acestea din urmă în condițiile și limitele prevăzute de aceleași dispoziții(26).

53. Trebuie amintit că, potrivit unei jurisprudențe consacrate a Curții, „în temeiul articolului 288 TFUE și având în vedere însăși natura regulamentelor și funcția lor în sistemul de izvoare ale dreptului Uniunii, dispozițiile regulamentelor menționate au în general un efect imediat în ordinile juridice naționale, fără a fi necesar ca autoritățile naționale să adopte măsuri de aplicare. Cu toate acestea, unele dintre aceste dispoziții pot necesita, pentru punerea lor în aplicare, adoptarea unor măsuri de aplicare de către statele membre”(27). Recurgerea la un regulament nu presupune neapărat lipsa oricărei marje de acțiune lăsate subiectelor de drept de dispozițiile acestui regulament(28). Pe de altă parte, caracterul obligatoriu și direct aplicabil al unui regulament nu împiedică un act de această natură să conțină norme facultative(29).

54. Articolul 80 alineatul (2) din Regulamentul 2016/679 constituie, prin utilizarea termenului „pot”, un exemplu de dispoziție facultativă care oferă statelor membre o marjă de apreciere în punerea sa în aplicare.

55. Această dispoziție face parte din numeroasele „clauze de deschidere” incluse în regulamentul menționat, care îi conferă singularitate în raport cu un regulament clasic și îl apropie de o directivă(30). Trimiterile la dreptul național care figurează în aceste clauze pot fi obligatorii(31), dar constituie însă adeseori o facultate lăsată statelor membre(32). S‑a putut observa că aceste numeroase trimiteri la dreptul național repartizează riscul unei noi fragmentări a regimului de protecție a datelor cu caracter personal în cadrul Uniunii, care se opune intenției exprimate de legiuitorul Uniunii de a ajunge la o uniformizare mai susținută a acestui regim și care poate avea efecte negative asupra efectivității acestei protecții, precum și asupra lizibilității obligațiilor lor în sarcina operatorilor și subcontractanților(33). Întinderea armonizării realizate de Regulamentul 2016/679 este astfel limitată de numeroasele „clauze de deschidere” care figurează în acest regulament.

56. Este clar că, în comparație cu ceea ce era valabil cu Directiva 95/46, legiuitorul Uniunii a urmărit, prin Regulamentul 2016/679, să reglementeze de o manieră mai extinsă și mai precisă la nivelul Uniunii aspectele referitoare la reprezentarea persoanelor vizate pentru a depune o plângere la o autoritate de supraveghere sau chiar o acțiune în justiție(34). Alineatele (1) și (2) ale articolului 80 din acest regulament nu au însă același domeniu de aplicare normativ. Într‑adevăr, în timp ce alineatul (1) al acestui articol este obligatoriu pentru statele membre(35), alineatul (2) oferă numai o posibilitate acestora din urmă. Astfel, pentru a se putea exercita acțiunea în reprezentare fără mandat prevăzută la articolul 80 alineatul (2) din regulamentul menționat, statele membre trebuie să beneficieze de posibilitatea care le este oferită de dispoziția menționată de a prevedea în dreptul lor național această modalitate de reprezentare a persoanelor vizate.

57. Nu se poate considera că articolul 80 alineatul (2) din Regulamentul 2016/679, fie doar ca urmare a caracterului său facultativ și a discrepanțelor potențiale dintre legislațiile naționale pe care le implică, a efectuat o armonizare completă cu privire la acțiunile în reprezentare fără mandat în materie de protecție a datelor cu caracter personal. Totuși, atunci când pun în aplicare această dispoziție în dreptul lor național, statele membre trebuie să respecte condițiile și limitele în care legiuitorul Uniunii a dorit să încadreze exercitarea posibilității prevăzute de dispoziția menționată.

58. Deși, în comparație cu ceea ce era valabil cu Directiva 95/46, încadrarea se face mai precis, statele membre păstrează totuși o marjă de apreciere în punerea în aplicare a articolului 80 alineatul (2) din Regulamentul 2016/679.

59. Din elementele de care dispune Curtea reiese că legiuitorul german nu a adoptat, în urma intrării în vigoare a acestui regulament, nicio dispoziție destinată în mod specific să pună în aplicare, în dreptul său național, articolul 80 alineatul (2) din regulamentul menționat. În aceste condiții, trebuie, astfel cum instanța de trimitere solicită Curții, să se examineze dacă normele preexistente ale dreptului german care acordă unei asociații pentru apărarea intereselor consumatorilor calitatea procesuală activă pentru a asigura încetarea unui comportament care constituie o încălcare atât a dispozițiilor Regulamentului 2016/679, cât și a normelor care au ca obiect în special protecția consumatorilor sunt compatibile cu această dispoziție. Altfel spus, dreptul național preexistent intrării în vigoare a acestui regulament este în conformitate cu ceea ce permite articolul 80 alineatul (2) din regulamentul menționat?

60. După cum a precizat guvernul german în ședință, dispozițiile naționale care permit unei asociații precum Uniunea federală să introducă o acțiune în reprezentare precum cea în discuție în litigiul principal constituie măsuri de transpunere a Directivei 2009/22. Pentru a răspunde la problema dacă articolul 80 alineatul (2) din Regulamentul 2016/679 permite de asemenea o astfel de acțiune și, așadar, dacă aceleași dispoziții naționale se înscriu în cadrul marjei de apreciere recunoscute fiecărui stat membru(36), acest articol trebuie interpretat ținând seama, printre altele, de modul său de redactare, precum și de economia și de obiectivele regulamentului respectiv.

C. Interpretarea literală, sistematică și teleologică a articolului 80 alineatul (2) din Regulamentul 2016/679

61. Potrivit articolului 80 alineatul (2) din Regulamentul 2016/679, acțiunile în reprezentare care sunt prevăzute de acesta pot fi exercitate de „orice organism, organizație sau asociație menționată la alineatul (1)” al acestui articol. Articolul 80 alineatul (1) din regulamentul menționat vizează „un organism, o organizație sau o asociație fără scop lucrativ, care au fost constituite în mod corespunzător în conformitate cu dreptul intern, ale căror obiective statutare sunt de interes public, care sunt active în domeniul protecției drepturilor și libertăților persoanelor vizate în ceea ce privește protecția datelor lor cu caracter personal”. O asemenea definiție nu poate fi, în opinia noastră, limitată la entitățile care au ca obiect unic și exclusiv protecția datelor cu caracter personal, ci se extinde la toate cele care urmăresc un obiectiv de interes public care are legătură cu protecția datelor cu caracter personal. Aceasta este situația asociațiilor pentru apărarea intereselor consumatorilor, precum Uniunea federală, care sunt chemate să exercite acțiuni în încetare cu privire la comportamente care, întrucât aduc atingere dispozițiilor regulamentului menționat, încalcă de asemenea norme în materie de protecție a consumatorilor sau de combatere a concurenței neloiale(37).

62. Potrivit modului de redactare a articolului 80 alineatul (2) din Regulamentul 2016/679, acțiunea în reprezentare poate fi exercitată de o entitate care îndeplinește condițiile menționate la alineatul (1) al articolului respectiv în cazul în care „consideră că drepturile unei persoane vizate în temeiul [acestui regulament] au fost încălcate ca urmare a prelucrării”. Contrar a ceea ce pare să lase să se înțeleagă instanța de trimitere, nu considerăm că această ultimă teză ar trebui interpretată în sens restrictiv, și anume că, pentru a fi abilitată să acționeze în conformitate cu prevederile articolului 80 alineatul (2) din Regulamentul 2016/679, o entitate ar trebui să efectueze o individualizare prealabilă a uneia sau a mai multor persoane afectate în mod concret de prelucrarea în discuție. Lucrările pregătitoare pentru adoptarea acestui regulament nu merg nicidecum în acest sens. În plus, considerăm că însăși definiția noțiunii de „persoană vizată”, în sensul articolului 4 punctul 1 din regulamentul menționat, cu alte cuvinte o „persoană fizică identificată sau identificabilă”(38), este în contradicție cu cerința potrivit căreia persoanele care fac obiectul unei prelucrări contrare dispozițiilor Regulamentului 2016/679 ar trebui să fie deja identificate la introducerea unei acțiuni în reprezentare în temeiul articolului 80 alineatul (2) din acest regulament. Rezultă în mod logic că nu se poate impune, în temeiul acestei dispoziții, ca o entitate să invoce existența unor cazuri concrete cu privire la persoane desemnate la nivel individual pentru ca aceasta să poată fi abilitată să acționeze în conformitate cu prevederile dispoziției menționate.

63. Considerăm că punerea în aplicare a unei acțiuni în reprezentare în temeiul articolului 80 alineatul (2) din Regulamentul 2016/679 presupune numai să se invoce existența unei prelucrări a datelor cu caracter personal contrare dispozițiilor acestui regulament care protejează drepturi individuale și, prin urmare, susceptibilă să afecteze drepturile persoanelor identificate sau identificabile, fără ca o calitate procesuală activă a unei entități să fie supusă verificării de la caz la caz a aspectului dacă drepturile uneia sau ale mai multor persoane determinate au fost încălcate(39). Pe scurt, o astfel de acțiune trebuie să fie întemeiată pe încălcarea drepturilor pe care o persoană fizică le poate avea în temeiul regulamentului menționat în urma unei prelucrări a datelor sale cu caracter personal. Această acțiune nu are ca obiect protejarea unui drept obiectiv, ci numai drepturile subiective pe care Regulamentul 2016/679 le conferă în mod direct persoanelor vizate(40). Cu alte cuvinte, clauza de deschidere prevăzută la articolul 80 alineatul (2) din acest regulament urmărește să permită entităților abilitate să solicite verificarea de către o autoritate de supraveghere sau chiar de către o instanță a respectării de către operatori a normelor de protecție a persoanelor vizate care figurează în regulamentul menționat(41). Din această perspectivă, pentru ca o entitate să aibă calitatea procesuală activă pentru a acționa în temeiul dispoziției menționate, este suficient ca ea să menționeze încălcarea dispozițiilor Regulamentului 2016/679 care au ca obiect protejarea drepturilor subiective ale persoanelor vizate.

64. Astfel cum arată în esență Comisia, o interpretare a articolului 80 alineatul (2) din Regulamentul 2016/679, potrivit căreia o entitate ar trebui, pentru a putea exercita o acțiune în reprezentare fără mandat, să demonstreze sau să susțină că o anumită persoană a fost afectată în drepturile sale într‑o anumită situație, ar limita într‑un mod prea important domeniul de aplicare al acestei dispoziții. Asemenea guvernului portughez și Comisiei, considerăm că articolul 80 alineatul (2) din regulamentul menționat ar trebui să facă obiectul unei interpretări care menține efectul util al acestuia în raport cu alineatul (1) al aceluiași articol. În consecință, articolul 80 alineatul (2) din regulamentul menționat ar trebui, în opinia noastră, să fie interpretat în sensul că depășește reprezentarea unor cazuri individuale, care face obiectul alineatului (1) al acestui articol, oferind o posibilitate de reprezentare, la inițiativa entităților abilitate și în mod autonom, a intereselor colective ale persoanelor care fac obiectul unei prelucrări a datelor lor cu caracter personal, contrară Regulamentului 2016/679. Efectul util al articolului 80 alineatul (2) din acest regulament ar fi în mare măsură redus în cazul în care ar trebui să se considere că, la fel cum se impune la alineatul (1) al articolului menționat, o entitate și‑ar vedea acțiunea limitată în cele două cazuri la reprezentarea unor persoane desemnate nominal și la nivel individual.

65. De altfel, interpretarea pe care o dăm articolului 80 alineatul (2) din Regulamentul 2016/679 este conformă cu natura preventivă și cu scopul de descurajare al acțiunilor în încetare, precum și cu independența lor față de orice conflict individual(42).

66. Fără a risca să se creeze două standarde diferite cu privire la calitatea procesuală activă a entităților abilitate să introducă o acțiune în încetare după cum o astfel de acțiune se întemeiază pe o măsură națională care intră în domeniul de aplicare al articolului 80 alineatul (2) din Regulamentul 2016/679 sau chiar în cel al Directivei 2020/1828, considerăm că este indicat, deși această directivă nu este aplicabilă în cadrul litigiului principal, să se țină seama de faptul că aceasta din urmă impune acelor entități nu să invoce existența unor consumatori desemnați nominal la nivel individual ca fiind afectați de încălcarea în discuție(43), ci să invoce existența unor încălcări de către comercianți ale dispozițiilor dreptului Uniunii menționate în anexa I la directiva amintită(44), care menționează de altfel la punctul 56 din aceasta Regulamentul 2016/679.

67. Teza favorabilă unei interpretări restrictive a articolului 80 alineatul (2) din Regulamentul 2016/679 opune, în opinia noastră în mod eronat, apărarea intereselor colective ale consumatorilor(45) și protecția drepturilor fiecărei persoane care face obiectul unui presupus tratament contrar acestui regulament. Astfel, apărarea intereselor colective ale consumatorilor nu exclude, în opinia noastră, protecția drepturilor subiective pe care Regulamentul 2016/679 le conferă în mod direct persoanelor vizate, ci, dimpotrivă, integrează o asemenea protecție.

68. De altfel în mențiunea care figurează în considerentul (15) al Directivei 2020/1828, potrivit căreia „mecanismele de asigurare a respectării dispozițiilor prevăzute în Regulamentul […] 2016/679 […] sau întemeiate pe acesta ar putea fi, după caz, utilizate în continuare pentru protecția intereselor colective ale consumatorilor”(46), identificăm confirmarea că acțiunea în reprezentare prevăzută la articolul 80 alineatul (2) din acest regulament este susceptibilă să vizeze protecția unor asemenea interese.

69. Din elementele care precedă deducem că articolul 80 alineatul (2) din Regulamentul 2016/679 autorizează, în opinia noastră, statele membre să prevadă posibilitatea ca entitățile abilitate să exercite, fără un mandat din partea persoanelor vizate, acțiuni în reprezentare prin care se urmărește protejarea intereselor colective ale consumatorilor, din moment ce se invocă încălcarea unor dispoziții ale acestui regulament care au ca obiect conferirea de drepturi subiective persoanelor vizate.

70. Or, aceasta este într‑adevăr situația acțiunii în încetare care a fost introdusă de Uniunea federală împotriva Facebook Ireland.

71. Astfel, amintim că, potrivit instanței de trimitere și în conformitate cu concluziile Uniunii federale, Facebook Ireland nu a respectat obligația care îi revine în temeiul articolului 12 alineatul (1) prima teză din Regulamentul 2016/679, care constă în a furniza persoanei vizate, în mod precis, transparent, inteligibil și ușor accesibil, în termeni clari și simpli, informațiile prevăzute la articolul 13 alineatul (1) literele (c) și (e) din acest regulament, care se referă la scopul prelucrării datelor și la destinatarul datelor cu caracter personal. Aceste dispoziții aparțin cu siguranță categoriei celor care conferă persoanelor vizate drepturi subiective, fapt confirmat în special de constatarea potrivit căreia ele figurează în capitolul III din regulamentul menționat, intitulat „Drepturile persoanei vizate”. Prin urmare, protecția acestor drepturi poate fi solicitată fie direct de persoanele vizate, fie de o entitate abilitată în temeiul articolului 80 alineatul (1) din Regulamentul 2016/679 sau chiar al unor dispoziții naționale care pun în aplicare articolul 80 alineatul (2) din acest regulament.

72. Apreciem de asemenea că articolul 80 alineatul (2) din Regulamentul 2016/679 nu se opune unor dispoziții naționale care abilitează o asociație pentru apărarea intereselor consumatorilor să exercite o acțiune în încetare în vederea garantării respectării drepturilor conferite de acest regulament prin intermediul unor norme care au ca obiect protejarea consumatorilor sau combaterea practicilor comerciale neloiale. Astfel, asemenea norme pot conține dispoziții asemănătoare celor cuprinse în regulamentul menționat, în special în ceea ce privește informarea persoanelor vizate în legătură cu prelucrarea datelor lor cu caracter personal(47), ceea ce implică faptul că încălcarea unei norme privind protecția datelor cu caracter personal poate determina simultan încălcarea unor norme privind protecția consumatorilor sau practicile comerciale neloiale. Nimic nu împiedică, în modul de redactare a articolului 80 alineatul (2) din Regulamentul 2016/679, o punere în aplicare parțială a acestei clauze de deschidere, în sensul că acțiunea în reprezentare urmărește să protejeze, în calitatea lor de consumatori, drepturile conferite persoanelor vizate de acest regulament(48).

73. Interpretarea astfel propusă a articolului 80 alineatul (2) din Regulamentul 2016/679 este, în opinia noastră, cea mai în măsură să atingă obiectivele urmărite de regulamentul menționat.

74. În această privință, Curtea a arătat că, „după cum rezultă din articolul 1 alineatul (2) din Regulamentul 2016/679 coroborat cu considerentele (10), (11) și (13) ale acestui regulament, acesta din urmă impune instituțiilor, organelor, oficiilor și agențiilor Uniunii, precum și autorităților competente ale statelor membre sarcina de a asigura un nivel ridicat de protecție a drepturilor garantate la articolul 16 TFUE și la articolul 8 din [C]arta [drepturilor fundamentale a Uniunii Europene]”(49). Pe de altă parte, regulamentul menționat urmărește să „asigur[e] protecția eficientă a drepturilor și a libertăților fundamentale ale persoanelor fizice, în special dreptul lor la protecția vieții private și la protecția datelor cu caracter personal”(50).

75. Ar fi contrar obiectivului de a garanta un nivel ridicat de protecție a datelor cu caracter personal ca statele membre să fie împiedicate să instituie acțiuni care, deși urmăresc un obiectiv de protecție a consumatorilor, contribuie de asemenea la atingerea obiectivului de protecție a datelor cu caracter personal. La fel ca în cazul Directivei 95/46, se mai poate afirma, după intrarea în vigoare a Regulamentului 2016/679, că conferirea calității procesuale active unor asociații pentru apărarea intereselor consumatorilor pentru a asigura încetarea prelucrărilor contrare dispozițiilor acestui regulament contribuie la consolidarea drepturilor persoanelor vizate prin intermediul acțiunilor colective în despăgubire(51).

76. Astfel, apărarea intereselor colective ale consumatorilor de către asociații este deosebit de adaptată la obiectivul privind stabilirea unui nivel ridicat de protecție a datelor cu caracter personal. În această perspectivă, funcția preventivă a acțiunilor desfășurate de aceste asociații nu ar putea fi asigurată dacă acțiunea în reprezentare prevăzută la articolul 80 alineatul (2) din Regulamentul 2016/679 ar permite doar invocarea încălcării drepturilor unei persoane afectate la nivel individual și concret de această încălcare.

77. O acțiune în încetare formulată de o asociație pentru apărarea intereselor consumatorilor, precum Uniunea federală, contribuie, așadar, în mod incontestabil la asigurarea aplicării efective a drepturilor protejate de Regulamentul 2016/679(52).

78. Pe de altă parte, ar fi cel puțin paradoxal ca întărirea mijloacelor de supraveghere a normelor privind protecția datelor cu caracter personal urmărită de legiuitorul Uniunii prin adoptarea Regulamentului 2016/679 să se reflecte în final într‑o scădere a nivelului acestei protecții în raport cu cel pe care statele membre îl puteau asigura în temeiul Directivei 95/46.

79. Este adevărat că, spre deosebire de Statele Unite ale Americii, în dreptul Uniunii, reglementările referitoare, pe de o parte, la practicile comerciale neloiale și, pe de altă parte, la protecția datelor cu caracter personal s‑au dezvoltat separat. Cele două domenii fac astfel obiectul unor cadre normative diferite.

80. În aceste condiții, există interacțiuni între cele două domenii, astfel încât acțiunile care se înscriu în cadrul reglementării privind protecția datelor cu caracter personal pot contribui, în același timp și în mod indirect, la încetarea unei practici comerciale neloiale. Situația inversă este de asemenea adevărată(53). De altfel, o legătură între protecția datelor cu caracter personal, din perspectiva acordului pentru prelucrarea acestor date, și protecția consumatorilor își găsește expresia în însuși Regulamentul 2016/679, în special în considerentul (42) al acestuia. Pe de altă parte, Comisia a subliniat interacțiunile dintre reglementarea Uniunii în materie de protecție a datelor cu caracter personal și Directiva 2005/29/CE(54).

81. Interacțiunile dintre dreptul privind protecția datelor cu caracter personal, dreptul consumatorilor și dreptul concurenței sunt frecvente și numeroase, în măsura în care același comportament poate intra simultan sub incidența unor norme de drept care aparțin acestor domenii diferite. Astfel de interacțiuni contribuie la o protecție mai eficientă a datelor cu caracter personal(55).

82. Desigur, beneficiarii drepturilor prevăzute de Regulamentul 2016/679 nu se limitează la categoria consumatorilor, acest regulament nefiind întemeiat pe o concepție consumeristă privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal(56), ci pe cea potrivit căreia această protecție este, în conformitate cu articolul 8 din Carta drepturilor fundamentale și după cum indică, printre altele, considerentul (1), precum și articolul 1 alineatul (2) din regulamentul menționat, un drept fundamental(57).

83. Nu este mai puțin adevărat că, în era economiei digitale, persoanele vizate au adesea calitatea de consumatori. Acesta este motivul pentru care normele menite să protejeze consumatorii sunt adesea mobilizate pentru a le garanta acestora din urmă o protecție împotriva unei prelucrări a datelor lor cu caracter personal contrare dispozițiilor Regulamentului 2016/679.

84. La finalul acestei analize, trebuie să se constate că poate exista o suprapunere între acțiunea în reprezentare prevăzută la articolul 80 alineatul (2) din Regulamentul 2016/679 și cea prevăzută de Directiva 2020/1828 în vederea obținerii unor măsuri de încetare atunci când „persoanele vizate”, în sensul regulamentului menționat, au și calitatea de „consumator”, în sensul articolului 3 punctul 1 din această directivă(58). Vedem aici semnul unei complementarități și al unei convergențe a dreptului privind protecția datelor cu caracter personal cu alte domenii de drept, precum dreptul consumatorilor și dreptul concurenței. Odată cu adoptarea directivei menționate, legiuitorul Uniunii a extins această mișcare și mai departe, legând în mod explicit protecția intereselor colective ale consumatorilor de respectarea Regulamentului 2016/679. Aplicarea efectivă a normelor conținute în acesta din urmă nu va putea decât să fie consolidată.

V. Concluzie

85. Având în vedere ansamblul considerațiilor care precedă, propunem să se răspundă la întrebarea preliminară adresată de Bundesgerichtshof (Curtea Federală de Justiție, Germania) după cum urmează:

„Articolul 80 alineatul (2) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că nu se opune unei reglementări naționale care permite asociațiilor pentru apărarea intereselor consumatorilor să introducă acțiuni în justiție împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând interdicția practicilor comerciale neloiale, încălcarea legislației privind protecția consumatorului sau interdicția utilizării unor condiții generale nule, din moment ce acțiunea în reprezentare în discuție urmărește să asigure respectarea drepturilor pe care acest regulament le conferă în mod direct persoanelor care fac obiectul prelucrării contestate.”

1 Limba originală: franceza.

2 Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

3 A se vedea Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, denumită în continuare „Hotărârea Fashion ID”, EU:C:2019:629).

4 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

5 A se vedea de asemenea considerentul (142) al acestui regulament.

6 BGBl. 2004 I, p. 1414, denumită în continuare „UWG”.

7 BGBl. 2001 I, p. 3138,, 3173, denumită în continuare „UKlaG”.

8 JO 2009, L 110, p. 30.

9 BGBl. 2007 I, p. 179, denumită în continuare „TMG”.

10 Reprezentarea persoanelor vizate este de asemenea prevăzută la articolul 67 din Regulamentul (UE) 2018/1725 al Parlamentului și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO 2018, L 295, p. 39), precum și la articolul 55 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89). În aceste două cazuri este vorba despre o reprezentare cu mandat.

11 Această tendință, concretizată în special de Directiva 2009/22, s‑a reflectat în adoptarea recentă a Directivei (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO 2020, L 409, p. 1). Termenul de transpunere a acestei din urmă directive este stabilit la 25 decembrie 2022. A se vedea cu privire la acest subiect Pato, A., „Collective Redress Mechanisms in the EU”, Jurisdiction and Cross‑Border Collective Redress: A European Private International Law Perspective, Bloomsbury Publishing, Londra, 2019, p. 45-117. A se vedea de asemenea Gsell, B., „The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward”, Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen‑sur‑le‑Rhin, 2021, p. 1365-1400.

12 A se vedea Hotărârea Fashion ID (punctul 63 și dispozitivul).

13 A se vedea Hotărârea Fashion ID (punctul 47).

14 A se vedea Hotărârea Fashion ID (punctul 48).

15 A se vedea Hotărârea Fashion ID (punctul 49).

16 A se vedea Hotărârea Fashion ID (punctul 50).

17 A se vedea Hotărârea Fashion ID (punctul 51).

18 A se vedea Hotărârea Fashion ID (punctul 56 și jurisprudența citată).

19 A se vedea Hotărârea Fashion ID (punctul 57 și jurisprudența citată).

20 A se vedea Hotărârea Fashion ID (punctul 59).

21 Sublinierea noastră.

22 Astfel cum a subliniat Curtea în Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 44).

23 Din preambulul Regulamentului 2016/679 reiese că acesta a fost adoptat în temeiul articolului 16 TFUE, al cărui alineat (2) prevede, printre altele, că Parlamentul European și Consiliul, hotărând în conformitate cu procedura legislativă ordinară, stabilesc, pe de o parte, normele privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii, precum și de către statele membre în exercitarea activităților care fac parte din domeniul de aplicare al dreptului Uniunii, precum și, pe de altă parte, normele privind libera circulație a datelor.

24 Prin urmare, stabilirea întinderii armonizării realizate de o normă precum Regulamentul 2016/679 presupune să se efectueze „o microanaliză, fiind analizată o normă specifică sau, în cel mai bun caz, un aspect specific și bine definit al dreptului Uniunii”: a se vedea Concluziile avocatului general Bobek prezentate în cauza Dzivev și alții (C‑310/16, EU:C:2018:623, punctul 74). A se vedea de asemenea Mišćenić, E., și Hoffmann, A.‑L., „The Role of Opening Clauses in Harmonization of EU Law: Example of the EU’s General Data Protection Regulation (GDPR)”, EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, p. 44-61, care arată că „[i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them” (p. 49).

25 A se vedea Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctul 96).

26 A se vedea, în privința Directivei 95/46, Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, EU:C:2003:596, punctul 97). Contrar anumitor idei primite, alegerea legiuitorului Uniunii de a recurge mai degrabă la un regulament decât la o directivă nu se exprimă în mod necesar printr‑o armonizare completă a domeniului avut în vedere. A se vedea Mišćenić, E., și Hoffmann, A.‑L., op. cit., care arată că „an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules” (p. 48).

27 A se vedea în special Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 110 și jurisprudența citată). A se vedea de asemenea, în ceea ce privește un domeniu care a făcut anterior obiectul unei directive, Hotărârea din 21 decembrie 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punctul 42), în care Curtea precizează că „împrejurarea că reglementarea Uniunii în materia protecției animalelor în timpul transportului figurează acum într‑un regulament nu înseamnă în mod necesar că orice măsură națională de aplicare a acestei reglementări ar fi în prezent interzisă”.

28 A se vedea Hotărârea din 27 octombrie 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

29 Astfel, Curtea a admis că un stat membru care a ales să nu exercite o posibilitate oferită de un regulament nu încalcă articolul 288 TFUE: a se vedea Hotărârea din 17 decembrie 2015, Imtech Marine Belgium (C‑300/14, EU:C:2015:825, punctele 27-31). A se vedea de asemenea, pentru un regulament care instituie restituiri la export pe care statele membre le pot acorda sau pot refuza acordarea acestora, Hotărârea din 27 octombrie 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).

30 A se vedea, cu privire la aceste clauze de deschidere, Wagner, J., și Benecke, A., „National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law”, European Data Protection Law Review, Lexxion, Berlin, vol. 2, Issue 3, 2016, p. 353-361.

31 A se vedea printre altele articolele 51 și 84 din Regulamentul 2016/679.

32 A se vedea printre altele articolul 6 alineatele (2) și (3), articolul 8 alineatul (1) al doilea paragraf, precum și articolele 85-89 din Regulamentul 2016/679.

33 A se vedea, cu privire la acest subiect, Mišćenić, E., și Hoffmann, A.‑L., op. cit., care observă că „[d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation” (p. 50 și 51).

34 Directiva 95/46 prevedea, la articolul 28 alineatul (4) din aceasta, doar posibilitatea ca o asociație să depună o plângere la o autoritate de supraveghere în numele unei persoane care reclamă o atingere adusă drepturilor sale în cadrul prelucrării datelor cu caracter personal.

35 Cu excepția însă a acțiunii în reprezentare cu mandat pentru a primi despăgubiri în numele persoanelor vizate care rămâne facultativă pentru statele membre.

36 A se vedea prin analogie Hotărârea din 21 decembrie 2011, Danske Svineproducenter (C‑316/10, EU:C:2011:863, punctul 43).

37 A se vedea Pato, A., The National Adaptation of Article 80 GDPR: Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxemburg, 2019, p. 98-106. Potrivit acestei autoare, „[t]he number of actors who potentially have standing to sue is broad” și „[c]onsumer associations will usually meet those requirements easily” (p. 99).

38 Sublinierea noastră. Potrivit aceleiași dispoziții, „o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”. După cum arată Martial‑Braz, N., „Le champ d’application du RGPD”, în Bensamoun, A., și Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare și Martin, Paris, 2020, p. 19-33, „caracterul identificabil este înțeles în sens larg întrucât criteriul de identificare a persoanei include toate mijloacele care pot fi în mod rezonabil puse în aplicare pentru identificarea persoanei” (p. 24). A se vedea în special, cu privire la noțiunea de „persoană identificabilă”, în sensul articolului 2 litera (a) din Directiva 95/46, Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779).

39 A se vedea Boehm, F., „Artikel 80 Vertretung von betroffenen Personen”, în Simitis, S., Hornung, G., și Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden‑Baden, 2019, în special punctul 13.

40 A se vedea Frenzel, E. M., „Art. 80 Vertretung von betroffenen Personen”, în Paal, B. P., și Pauly, D. A., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, a 3-a ed, C.H. Beck, München, 2021, în special punctul 11, precum și Kreße, B., „Artikel 80 Vertretung von betroffenen Personen”, în Sydow, G., Europäische Datenschutzverordnung, a 2-a ed., Nomos, Baden‑Baden, 2018, în special punctul 13.

41 A se vedea Moos, F., și Schefzig, J., „Art. 80 Vertretung von betroffenen Personen”, în Taeger, J., și Gabel, D., Kommentar DSGVO – BDSG, a 3-a ed., Deutscher Fachverlag, Frankfurt pe Main, 2019, în special punctul 22.

42 A se vedea în special, în ceea ce privește clauzele abuzive din contractele încheiate între profesioniști și consumatori, Hotărârea din 14 aprilie 2016, Sales Sinués și Drame Ba (C‑381/14 și C‑385/14, EU:C:2016:252, punctul 29).

43 A se vedea considerentul (33), precum și articolul 8 alineatul (3) litera (a) din Directiva 2020/1828, potrivit căruia „[e]ntitatea calificată nu este obligată să dovedească […] nici pierderea reală sau prejudiciul real suferit de consumatorii la nivel individual afectați de încălcare, astfel cum este menționată la articolul 2 alineatul (1)”. Pe de altă parte, dacă articolul 7 alineatul (2) din această directivă impune entității calificate să furnizeze instanței judecătorești sau autorității administrative „suficiente informații despre consumatorii vizați de acțiunea în reprezentare”, din considerentul (34) al directivei menționate rezultă că aceste informații, al căror nivel de detaliere poate varia în funcție de măsura pe care o solicită entitatea calificată, nu vizează desemnarea consumatorilor la nivel individual afectați de încălcarea în cauză, ci mai degrabă informații precum locul în care s‑a produs fapta prejudiciabilă sau chiar indicarea grupului de consumatori vizați de acțiunea în reprezentare [a se vedea de asemenea considerentul (65) al Directivei 2020/1828]. Arătăm de altfel că, chiar și atunci când acțiunea în reprezentare urmărește obținerea de măsuri reparatorii, considerentul (49) al Directivei 2020/1828 arată că „[e]ntitatea calificată nu ar trebui să aibă obligația de a identifica individual fiecare consumator vizat de acțiunea în reprezentare pentru a putea introduce acțiunea în reprezentare”. A se vedea, cu privire la acest subiect, Gsell, B., op. cit., în special p. 1370.

44 A se vedea articolul 2 alineatul (1) din Directiva 2020/1828.

45 A se vedea considerentul (3) al Directivei 2009/22 care precizează că acțiunile în încetare care intră în domeniul de aplicare al acesteia urmăresc să protejeze „interesele colective ale consumatorilor”, acestea fiind definite ca „acele interese care nu reprezintă doar cumularea intereselor persoanelor cărora le‑au fost aduse prejudicii prin încălcarea legii”. La articolul 3 punctul 3 din Directiva 2020/1828, noțiunea de „interese colective ale consumatorilor” este definită ca fiind „interesele generale ale consumatorilor și, mai ales în scopul obținerii de măsuri reparatorii, interesele unui grup de consumatori”.

46 Sublinierea noastră.

47 A se vedea Helberger, N., Zuiderveen Borgesius, F., și Reyna, A., „The Perfect Match? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law”, Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen‑sur‑le‑Rhin, 2017, p. 1427-1465, care arată că „[o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual” (p. 1437).

48 A se vedea Neun, A., și Lubitzsch, K., „Die neue EU‑Datenschutz‑Grundverordnung – Rechtsschutz und Schadensersatz”, Betriebs‑Berater, Deutscher Fachverlag, Frankfurt pe Main, 2017, p. 2563-2569, în special p. 2567.

49 A se vedea Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 45).

50 A se vedea Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 91).

51 A se vedea Concluziile avocatului general Bobek prezentate în cauza Fashion ID (C‑40/17, EU:C:2018:1039, punctul 33).

52 Pentru exemple de acțiuni inițiate de asociații pentru apărarea intereselor consumatorilor, a se vedea Helberger, N., Zuiderveen Borgesius, F., și Reyna, A., op. cit., în special p. 1452 și 1453.

53 A se vedea, cu privire la complementaritatea dintre acțiunile referitoare la protecția datelor cu caracter personal și cele având ca obiect încetarea practicilor comerciale neloiale, van Eijk, N., Hoofnagle, C. J., și Kannekens, E., „Unfair Commercial Practices: A Complementary Approach to Privacy Protection”, European Data Protection Law Review, Lexxion, Berlin, vol. 3, Issue 3, 2017, p. 325-337, care arată că „[t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective” (p. 336).

54 Directiva Parlamentului European și a Consiliului din 11 mai 2005 privind practicile comerciale neloiale ale întreprinderilor de pe piața internă față de consumatori și de modificare a Directivei 84/450/CEE a Consiliului, a Directivelor 97/7/CE, 98/27/CE și 2002/65/CE ale Parlamentului European și ale Consiliului și a Regulamentului (CE) nr. 2006/2004 al Parlamentului European și al Consiliului („Directiva privind practicile comerciale neloiale”) (JO 2005, L 149, p. 22, Ediție specială, 15/vol. 14, p. 260). A se vedea Document de lucru al serviciilor Comisiei – Orientări privind implementarea/aplicarea Directivei 2005/29/CE privind practicile comerciale neloiale care însoțește documentul Comunicare a comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor – O abordare cuprinzătoare pentru stimularea comerțului electronic transfrontalier în beneficiul cetățenilor și întreprinderilor europene [SWD(2016) 163 final], în special punctul 1.4.10, p. 26-31. În acesta Comisia pune accentul pe necesitatea unei prelucrări corecte a datelor, care presupune ca persoana vizată să beneficieze de o serie de informații relevante, privind în special scopurile prelucrării datelor cu caracter personal în cauză (p. 28). Comisia arată de asemenea că „[î]ncălcarea Directivei [95/46] și a Directivei [2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63)] de către un comerciant nu înseamnă întotdeauna, în sine, că practica respectivă încalcă, de asemenea, [Directiva 2005/29]”. Cu toate acestea, potrivit Comisiei, „astfel de încălcări în materie de protecție a datelor trebuie luate în considerare atunci când se evaluează caracterul neloial, în general, al practicilor comerciale în temeiul [Directivei 2005/29], în special în situația în care comerciantul prelucrează datele consumatorilor încălcând cerințele privind protecția datelor, și anume, în scopuri de comercializare directă sau alte scopuri comerciale precum crearea de profiluri, stabilirea personalizată a prețurilor sau aplicațiile cu volume mari de date” (p. 30).

55 A se vedea printre altele, cu privire la acest subiect, Helberger, N., Zuiderveen Borgesius, F., și Reyna, A., op. cit., care arată că „data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets” (p. 1429). A se vedea de asemenea van Eijk, N., Hoofnagle, C. J., și Kannekens, E., op. cit., în special p. 336. Pentru o ilustrare a complementarității dintre normele privind protecția datelor cu caracter personal în sectorul comunicațiilor electronice și normele care interzic practicile comerciale neloiale ale întreprinderilor față de consumatori, a se vedea Concluziile noastre prezentate în cauza StWL Städtische Werke Lauf a.d. Pegnitz (C‑102/20, EU:C:2021:518).

56 A se vedea Martial‑Braz, N., op. cit., în special p. 23.

57 A se vedea Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 44).

58 A se vedea considerentul (14) al Directivei 2020/1828, potrivit căruia aceasta „ar trebui să protejeze doar interesele persoanelor fizice care au suferit prejudicii sau care pot suferi prejudicii ca urmare a [încălcările dispozițiilor din dreptul Uniunii menționate în anexa I] dacă respectivele persoane sunt consumatori în temeiul [acestei] directive”.