CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

CONCLUZIILE AVOCATULUI GENERAL

DOMNUL MANUEL CAMPOS SÁNCHEZ‑BORDONA

prezentate la 6 octombrie 2022(1)

Cauza C‑300/21

împotriva

Österreichische Post AG

[cerere de decizie preliminară formulată de Oberster Gerichtshof (Curtea Supremă, Austria)]

„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Prejudiciu moral care rezultă din prelucrarea nelegală a datelor – Condiții privind dreptul la despăgubire – Prejudicii care depășesc un anumit prag de gravitate”

1. Regulamentul (UE) 2016/679(2) oferă oricărei persoane care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a dispozițiilor sale dreptul de a primi despăgubiri din partea operatorului sau a persoanei împuternicite de operator.

2. Posibilitatea de a solicita acest drept în instanță era deja prevăzută în reglementarea anterioară (articolul 23 din Directiva 95/46/CE)(3), însă s‑a apelat rar la ea(4). Dacă nu ne înșelăm, Curtea nu a interpretat în mod specific articolul respectiv.

3. Sub imperiul RGPD, acțiunile în despăgubire au dobândit relevanță(5). Creșterea numărului acestora este perceptibilă la instanțele din statele membre și se reflectă în trimiterile preliminare corespunzătoare(6). În prezenta trimitere preliminară, Oberster Gerichtshof (Curtea Supremă, Austria) solicită Curții să determine câteva caracteristici comune ale regimului de răspundere civilă introdus de RGPD.

I. Cadrul juridic. RGPD

4. Sunt relevante pentru prezentul litigiu în special considerentele (75), (85) și (146) ale RGPD.

5. Articolul 6 („Legalitatea prelucrării”) prevede:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

[…]”

6. Articolul 79 („Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”) alineatul (1) prevede:

„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”

7. Articolul 82 („Dreptul la despăgubiri și răspunderea”) alineatul (1) prevede:

„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”

II. Situația de fapt, litigiul și întrebările preliminare

8. Începând din anul 2017, Österreichische Post AG, o întreprindere care editează liste de adrese, a colectat informații privind afinitățile politice ale populației austriece. Cu ajutorul unui algoritm, aceasta definea „adresele grupurilor‑țintă de destinatari” pe baza anumitor caracteristici sociodemografice.

9. UI este o persoană fizică cu privire la care Österreichische Post a efectuat o extrapolare, printr‑un calcul statistic, pentru a determina clasificarea sa în cadrul potențialelor grupuri‑țintă pentru publicitatea electorală a diferite partide politice. Conform extrapolării respective, UI avea o afinitate mare pentru unul dintre partide. Datele respective nu au fost transmise către terți.

10. UI, care nu își dăduse consimțământul pentru prelucrarea datelor, a fost deranjat de păstrarea datelor referitoare la afinitatea sa politică și s‑a simțit indignat și ofensat de afinitatea care i‑a fost atribuită de Österreichische Post.

11. UI a solicitat o despăgubire în valoare de 1 000 de euro pentru repararea prejudiciului moral (suferință interioară). Acesta susține că afinitatea politică atribuită este o insultă și o rușine și, în plus, îl discreditează. Comportamentul adoptat de Österreichische Post i‑a cauzat o contrarietate considerabilă și o pierdere a încrederii, precum și sentimentul de expunere publică.

12. Instanța de prim grad a respins cererea de despăgubire formulată de UI(7).

13. Instanța de apel a menținut hotărârea primei instanțe. Aceasta a statuat că nu se acordă în mod automat o despăgubire pentru prejudicii morale pentru orice încălcare a RGPD și că:

– având în vedere că dreptul austriac este aplicabil ca o completare a RGPD, se acordă despăgubiri numai pentru alte prejudicii decât cele care decurg din neplăcerile sau sentimentele („Gefühlsschaden”) cauzate de încălcarea drepturilor reclamantului;

– ar trebui reținut principiul care stă la baza dreptului austriac, și anume că fiecare persoană trebuie să suporte simpla senzație de disconfort și simplele sentimente de neplăcere, fără consecințe în materia reparării prejudiciului, cu alte cuvinte dreptul la despăgubiri impune o anumită relevanță a prejudiciului pretins.

14. Hotărârea instanței de apel a fost atacată cu recurs la Oberster Gerichtshof (Curtea Supremă, Austria), care adresează Curții următoarele întrebări preliminare:

„1) Acordarea de despăgubiri în temeiul articolului 82 din RGPD impune, pe lângă încălcarea dispozițiilor RGPD, de asemenea ca reclamantul să fi suferit un prejudiciu sau pentru acordarea despăgubirii este suficientă încălcarea dispozițiilor RGPD ca atare?

2) Pe lângă principiile efectivității și echivalenței, pentru stabilirea cuantumului despăgubirii există și alte dispoziții ale dreptului Uniunii?

3) Este compatibilă cu dreptul Uniunii opinia potrivit căreia recunoașterea unui prejudiciu moral este condiționată de existența unei consecințe sau a unei urmări a încălcării unui drept care are cel puțin o anumită pondere ce depășește neplăcerile cauzate de încălcare?”

III. Procedura

15. Cererea de decizie preliminară a fost înregistrată la grefa Curții la 12 mai 2021.

16. Au prezentat observații scrise UI, Österreichische Post, guvernele austriac, ceh și irlandez, precum și Comisia Europeană. S‑a considerat că nu este necesar să se desfășoare o ședință.

IV. Analiză

A. Considerații prealabile

1. Admisibilitate

17. UI susține că prima întrebare preliminară nu este relevantă pentru litigiu, deoarece acțiunea sa nu se întemeiază pe „simpla” încălcare a unei norme din RGPD, ci pe consecințele sau efectele sale.

18. Excepția de inadmisibilitate trebuie respinsă. Chiar dacă s‑ar accepta că prin prelucrarea datelor s‑a încălcat RGPD fără prejudicierea lui UI, acesta ar putea totuși să aibă dreptul la despăgubiri în temeiul articolului 82 din RGPD dacă, astfel cum solicită instanța de trimitere să se stabilească, s‑ar confirma faptul că simpla încălcare a unei norme privind prelucrarea datelor dă naștere dreptului respectiv.

19. Potrivit UI, Curtea ar putea de asemenea să considere că a doua întrebare preliminară este inadmisibilă pentru motivul că este prea generală din perspectiva conținutului său și excesiv de limitată în ceea ce privește cerințele dreptului Uniunii, la care nu face nicio referire concretă.

20. Nici această obiecție, deși este mai întemeiată decât cea anterioară, nu poate fi reținută. Este legitim ca o instanță să dorească să știe dacă, pentru a aprecia prejudiciul, pe lângă respectarea principiilor echivalenței și eficacității, trebuie să analizeze și alte condiții impuse de dreptul Uniunii.

2. Delimitarea obiectului prezentelor concluzii

21. Articolul 82 din RGPD este format din șase alineate. Instanța de trimitere nu se referă la niciunul dintre acestea în mod special, însă face trimitere în mod implicit la primul dintre ele. De asemenea, aceasta nu precizează nici norma a cărei încălcare ar da naștere la despăgubiri.

22. Concluziile noastre se vor baza pe următoarele premise:

– prelucrarea datelor cu caracter personal ale lui UI a fost efectuată fără să i se solicite consimțământul în sensul articolului 6 alineatul (1) litera (a) din RGPD;

– orice persoană care a suferit un prejudiciu are dreptul la despăgubiri. În acest caz, UI, în calitate de persoană fizică identificată și afectată de prelucrare, este o „persoană vizată”(8);

– RGPD prevede acordarea de despăgubiri pentru prejudicii materiale și morale. Cererea formulată de UI se limitează la acestea din urmă și are un conținut pecuniar.

B. Prima întrebare preliminară

23. Prin intermediul primei sale întrebări, instanța de trimitere solicită să se stabilească în esență dacă simpla încălcare a dispozițiilor RGPD dă dreptul la o despăgubire, indiferent dacă s‑a cauzat sau nu un prejudiciu.

24. Din afirmațiile instanței de trimitere și din observațiile prezentate în fața Curții se poate deduce că este posibilă și o altă interpretare a întrebării, una mai complexă: ar trebui să se stabilească dacă din încălcarea dispozițiilor RGPD rezultă în mod necesar un prejudiciu care dă naștere dreptului la despăgubiri, fără ca pârâtul să aibă posibilitatea de a dovedi contrariul.

25. Există o anumită diferență (teoretică) între cele două abordări: în cazul celei dintâi, prejudiciul nu reprezintă o condiție prealabilă pentru acordarea despăgubirii; în schimb, potrivit celei de a doua abordări, trebuie să existe un prejudiciu. În practică, cerința ca reclamantul să dovedească prejudiciul dispare în ambele cazuri; acesta nu trebuie să dovedească nici legătura de cauzalitate dintre încălcare și prejudiciul respectiv(9).

26. În orice caz, ne antepronunțăm în sensul că niciuna dintre cele două interpretări ale primei întrebări nu trebuie, în opinia noastră, să fie admisă. Ne vom referi la ambele în mod separat.

1. Despăgubire fără existența unui prejudiciu?

27. Susținerea existenței unui drept la despăgubiri, inclusiv atunci când din încălcarea RGPD nu rezultă niciun prejudiciu pentru persoana vizată, ridică dificultăți evidente, începând cu cea privind modul de redactare a articolului 82 alineatul (1) din regulamentul respectiv.

28. În temeiul acestei dispoziții, se acordă despăgubiri(10) tocmai pentru că a existat un prejudiciu anterior. Prin urmare, este obligatoriu în mod neechivoc ca persoana fizică să fi suferit un prejudiciu ca urmare a unei încălcări a RGPD.

29. Prin urmare, interpretarea care asociază în mod automat noțiunea de „încălcare” cu cea de „despăgubire” fără acordarea unui prejudiciu nu este compatibilă cu modul de redactare a articolului 82 din RGPD. De asemenea, aceasta nu respectă nici obiectivul principal al răspunderii civile stabilit de RGPD, și anume acela de a oferi satisfacție persoanei vizate, tocmai prin intermediul unei despăgubiri „integrale și eficace” pentru prejudiciul suferit(11).

30. În lipsa unui prejudiciu, despăgubirea nu ar mai îndeplini o funcție compensatorie pentru consecințele negative pe care le‑a produs încălcarea, ci una de altă natură, mai apropiată de cea a unei sancțiuni.

31. Este adevărat totuși că ordinea juridică a unui stat membru poate să prevadă plata unor daune interese punitive(12). Aceasta reprezintă o obligare la plata unei sume semnificative, în plus față de repararea strictă a prejudiciului.

32. Ca regulă generală, daunele interese punitive nu exclud în general existența prealabilă a unui prejudiciu. Pornind de la această premisă, ele fac totuși diferența între consecințele sale patrimoniale și valoarea despăgubirii ajustate la prejudiciul respectiv.

33. Cu toate acestea, este imaginabilă și situația în care daunele interese punitive nu iau în considerare prejudiciul sau îl consideră irelevant pentru satisfacerea reclamantului.

34. Răspunsul la prima întrebare preliminară ne obligă să analizăm dacă acest tip de despăgubiri se încadrează în domeniul de aplicare al RGPD, cu atât mai mult cu cât decizia de trimitere și observațiile părților și ale intervenienților în procedura preliminară fac referire la această chestiune.

2. Daune interese punitive?

a) Interpretarea literală

35. Funcției clasice a răspunderii civile i se poate adăuga o altă funcție cu caracter „punitiv” sau „exemplar”, în temeiul căreia, astfel cum am arătat deja, valoarea despăgubirii nu este egală cu prejudiciul suferit, ci este majorată sau chiar multiplicată.

36. În principiu, dreptul Uniunii nu exclude despăgubirile respective, în cazul încălcării normelor sale, dacă acestea pot fi acordate în cadrul unor acțiuni similare întemeiate pe dreptul național(13).

37. Daunele interese punitive au un efect de descurajare. Același scop poate să existe atunci când, în cazul unei încălcări a unei directive, statele membre sunt obligate să ia măsuri menite să aibă un „efect disuasiv real”(14). Anumite directive prevăd în mod expres că despăgubirile, concepute ca o sancțiune, trebuie să aibă efect de descurajare(15).

38. Pe de altă parte, în alte texte, legiuitorul afirmă că scopul unei directive „nu este acela de a introduce obligația de a prevedea daune interese punitive”(16) sau că statele membre trebuie să evite astfel de daune interese cu ocazia transpunerii lor(17). În dreptul Uniunii, obligarea directă la plata așa‑numitelor „daune‑interese punitive” este excepțională(18).

39. Or, RGPD nu conține nicio referire la caracterul sancționator al despăgubirii pentru prejudiciile materiale ori morale sau la faptul că modalitatea de calcul al cuantumului acestora reflectă acest caracter sau la faptul că despăgubirea respectivă are caracter disuasiv (calitate pe care o atribuie totuși sancțiunilor penale și amenzilor administrative)(19). Prin urmare, potrivit unei interpretări literale, RGPD nu permite daunele interese punitive.

b) Interpretarea prin prisma genezei dispoziției

40. Articolul 82 alineatul (1) din RGPD a fost precedat de articolul 23 alineatul (1) din Directiva 95/46. Acesta din urmă făcea parte dintr‑un sistem a cărui eficiență se baza pe respectarea normelor la nivel public și privat(20), însă în care despăgubirea (privată) și sancțiunea (publică) nu se confundau(21). Punerea sa în aplicare revenea în principal în sarcina autorităților de supraveghere independente(22).

41. RGPD preia acest model, însă consolidează instrumentele pentru a asigura eficacitatea dispozițiilor sale, acum mai detaliate, și a reacțiilor prevăzute, acum mai intense, în cazul încălcării sau al amenințării privind încălcarea lor:

– pe de o parte, sporește funcțiile autorităților de supraveghere, care sunt responsabile printre altele de impunerea sancțiunilor armonizate prevăzute chiar de RGPD(23). Prin urmare, subliniază componenta de aplicare publică a normelor;

– pe de altă parte, prevede că persoanele fizice își pot apăra drepturile conferite de RGPD(24), fie prin recurgerea la autoritatea de supraveghere (articolul 77), fie în instanță (articolele 79 și 82). În plus, articolul 80 autorizează anumite entități să introducă acțiuni în reprezentare(25), ceea ce facilitează protecția intereselor generale de care beneficiază persoanele fizice(26).

42. Dezvoltarea în RGPD a regimului uniform de răspundere civilă pentru prejudicii a fost limitată. Aspecte care ar fi putut ridica incertitudini în temeiul Directivei 95/46, precum cel privind includerea prejudiciilor morale printre cele care pot fi reparate(27), au fost clarificate în scurt timp. Negocierile s‑au axat pe alte aspecte ale regimului respectiv(28).

43. Nu am identificat în lucrările legislative nicio discuție despre o posibilă funcție punitivă a răspunderii civile prevăzute de RGPD. Prin urmare, nu se poate deduce că aceasta se încadrează în domeniul de aplicare al articolului 82 din RGPD în absența oricărei discuții privind această chestiune, mai ales având în vedere că a existat o discuție cu privire la includerea sa în alte texte de drept al Uniunii(29).

44. În aceste condiții, considerăm că acțiunea prevăzută la articolul 82 alineatul (1) din RGPD a fost concepută și reglementată pentru a îndeplini funcțiile tipice ale răspunderii civile: cea de reparare a prejudiciilor (pentru partea vătămată) și, în al doilea rând, cea de prevenire a prejudiciilor viitoare (pentru autorul încălcării).

c) Interpretare contextuală

45. Astfel cum am menționat, articolul 82 din RGPD face parte dintr‑un sistem de garanții privind eficacitatea normelor în care inițiativa privată completează aplicarea lor publică. Despăgubirea acordată de operatori sau de persoanele împuternicite de operatori contribuie la această eficacitate.

46. Obligația de despăgubire funcționează (în mod ideal) ca un stimulent pentru a acționa mai atent în viitor, respectând regulile și evitând alte prejudicii. Astfel, atunci când solicită o despăgubire pentru el însuși, fiecare individ contribuie la eficacitatea generală a normelor.

47. În acest cadru, funcțiile compensatorie și punitivă sunt separate:

– aceasta din urmă este îndeplinită de amenzile care pot fi impuse de autoritățile de supraveghere sau de instanțe [articolul 83 alineatele (1) și (9) din RGPD] și de alte sancțiuni pe care statele le adoptă în conformitate cu articolul 84 din RGPD(30);

– prima este îndeplinită de plângerea persoanei (articolul 77) și de procedurile judiciare (articolul 79). Cu toate acestea, nu este competența autorităților de supraveghere să decidă cu privire la dreptul la despăgubiri.

48. În același sens al separării funcțiilor compensatorie și sancționatorie:

– la aplicarea unei amenzi și la stabilirea cuantumului său, autoritatea trebuie să ia în considerare factorii enumerați la articolul 83 din RGPD, care nu sunt prevăzuți în domeniul răspunderii civile și care, în principiu, nu pot fi extrapolați la calculul despăgubirii(31);

– în cazul în care nivelul prejudiciilor suferite de persoanele în cauză constituie un factor de cuantificare a amenzii(32), la calcularea cuantumului amenzii nu trebuie să se țină seama de despăgubirile pe care acestea ar fi putut să le primească(33).

49. Dintr‑o perspectivă teoretică, o interpretare care, în lipsa oricărui prejudiciu, conferă răspunderii civile o funcție punitivă creează riscul unei suprapuneri între mecanismele de despăgubire și cele de sancționare.

50. În practică, ușurința de a obține un câștig „punitiv” cu titlu de despăgubire ar putea determina persoanele vizate să prefere această variantă în locul celei prevăzute la articolul 77 din RGPD. Dacă s‑ar generaliza această abordare, autoritățile de supraveghere ar fi private de un instrument util (plângerea persoanei vizate) pentru cunoașterea și, prin urmare, pentru investigarea și sancționarea eventualelor încălcări ale RGPD, în detrimentul instrumentelor mai adecvate pentru apărarea interesului general.

d) Interpretarea teleologică

51. Obiectivele prevăzute de RGPD sunt în esență două și sunt menționate chiar în titlul său: a) pe de o parte, „protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal” și b) pe de altă parte, acordarea protecției respective astfel încât „libera circulație a acestor date” să nu fie restricționată sau interzisă(34).

52. Considerăm că, pentru a atinge aceste obiective, RGPD nu impune obligația ca despăgubirea să fie legată de simpla încălcare a normei care reglementează prelucrarea, conferind răspunderii civile funcții punitive.

53. În ceea ce privește primul obiectiv, pentru a‑l atinge, nu este necesară extinderea pe cale interpretativă a domeniului de aplicare al articolului 82 din RGPD, acoperind situațiile în care a existat o încălcare a unei norme, însă nu s‑a produs niciun prejudiciu. Pe de altă parte, această extindere ar putea avea un efect negativ asupra celui de al doilea obiectiv.

54. Am subliniat deja faptul că RGPD prevede mai multe mecanisme de garantare a respectării dispozițiilor sale, care coexistă și se completează reciproc. Statele membre nu trebuie (și nici nu pot) să aleagă între mecanismele prevăzute în capitolul VIII pentru a garanta protecția datelor. În cazul unei încălcări care nu dă naștere unor prejudicii, persoana vizată are în continuare (cel puțin) dreptul de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77 alineatul (1) din RGPD.

55. În rest, perspectiva de a obține despăgubiri în afara oricărui prejudiciu ar stimula probabil litigiile civile și acțiuni care nu sunt, probabil, întotdeauna justificate(35) și, în această măsură, ar putea descuraja activitatea de prelucrare a datelor(36).

3. Prezumarea existenței unui prejudiciu?

56. În unele dintre observațiile părților din litigiu se propune o interpretare a primei întrebări preliminare diferită de cea pe care am examinat‑o până în acest punct. Dacă înțelegem corect abordarea lor(37), acestea par să susțină că, odată ce a avut loc încălcarea normei, există o prezumție incontestabilă privind existența unui prejudiciu.

57. O astfel de încălcare – adaugă acestea – ar implica în mod obligatoriu o pierdere a controlului asupra datelor, ceea ce ar constitui, în sine, un prejudiciu care trebuie reparat în temeiul articolului 82 alineatul (1) din RGPD.

58. În teorie, o astfel de prezumție nu permite excluderea prejudiciului, respectând astfel structura tipică a răspunderii civile, precum și formularea dispoziției din RGPD. Cu toate acestea, în practică, pentru reclamant și pârât, efectele admiterii acesteia ar fi similare cu cele care rezultă din asocierea despăgubirii prevăzute la articolul 82 alineatul (1) din RGPD cu simpla încălcare a normei.

59. Vom apela din nou la criteriile hermeneutice obișnuite pentru a explica motivele pentru care considerăm că această interpretare nu este corectă.

a) Interpretarea literală

60. Atunci când legiuitorul a considerat, în alte domenii ale dreptului Uniunii, că încălcarea unei norme dă naștere în mod automat dreptului la despăgubiri, nu a ezitat să stabilească acest lucru(38). Situația este diferită în cazul RGPD, care conține norme referitoare la dovezi sau care au consecințe directe asupra acestora(39), însă în care nu există acea legătură automată, fie directă, fie prin intermediul unei prezumții irefragabile.

61. În opinia noastră, referirile la controlul asupra datelor (sau la pierderea acestui control) din considerentele (75)(40) și (85)(41) ale RGPD nu contracarează absența respectivă. În afară de faptul că, fiind considerente, acestea nu au valoare normativă, niciunul dintre ele nu afirmă că încălcarea unei norme implică per se un prejudiciu care trebuie reparat:

– considerentul (75) face referire la împiedicarea controlului asupra datelor cu caracter personal ca fiind unul dintre riscurile posibile ale prelucrării;

– considerentul (85) se referă la pierderea controlului ca fiind una dintre consecințele care ar putea rezulta în urma unei încălcări a securității datelor cu caracter personal(42).

62. Pierderea controlului asupra datelor nu trebuie să dea naștere în mod necesar unui prejudiciu. Expresia poate fi înțeleasă ca o exprimare figurativă pentru a face referire la prejudiciile ulterioare pierderii respective, în cazul în care se materializează(43).

b) Interpretare în lumina situației de fapt

63. Nici analiza istoricului dispoziției nu susține existența unei astfel de prezumții, care nu figura în Directiva 95/46(44), așa cum nici documentele pe care le‑am examinat ale Comisiei, ale Parlamentului European sau ale Consiliului, anterioare adoptării RGPD, nu o prevedeau.

c) Interpretarea contextuală

64. Sistemul RGPD oferă elemente care infirmă faptul că acceptă prezumția contestată, luând ca punct de referință consimțământul persoanei vizate(45). Ca mijloc de control asupra datelor, consimțământul respectiv legitimează prelucrarea datelor la același nivel cu alte temeiuri juridice (articolul 6 din RGPD)(46).

65. Prelucrarea legală a datelor cu caracter personal poate fi concepută fără autorizarea persoanei vizate și, prin urmare, fără controlul pe care îl implica acordarea sau refuzul autorizației respective. Ponderea sa în cadrul sistemului nu este, în definitiv, absolută.

66. În plus, RGPD prevede și alte posibilități de exercitare a controlului respectiv: printre acestea, dreptul la ștergere, care obligă operatorul să șteargă informațiile în cauză „fără întârzieri nejustificate”(47).

67. Pentru persoana vizată ale cărei date sunt prelucrate, acest drept funcționează ca o supapă de siguranță a regimului de protecție: el există (ca regulă de principiu) atât atunci când operatorul nu a obținut consimțământul persoanei vizate, cât și atunci când nu există niciun alt temei pentru a legitima prelucrarea datelor și nu depinde de aspectul dacă prelucrarea a dat naștere vreunui prejudiciu(48).

d) Interpretare teleologică

1) Controlul persoanei vizate asupra datelor sale, un obiectiv al RGPD?

68. Echivalența automată dintre o prelucrare a datelor cu caracter personal pentru care nu s‑a obținut consimțământul persoanei vizate și un prejudiciu care trebuie să fie reparat presupune că acel control, exercitat prin intermediul consimțământului, constituie o valoare în sine.

69. Recunoaștem faptul că, la prima vedere, această opinie nu este lipsită de temei. În propunerea Comisiei, unul dintre motivele principale ale reformei este acela că cetățenii trebuie să aibă control asupra datelor lor(49). Considerentul (7) al RGPD prevede că „[p]ersoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal”.

70. Este cert faptul că, dincolo de dezbaterile doctrinare pe care le‑a provocat, se impune prudență în interpretarea acestei noțiuni. Nu există o definiție exactă a „controlului” în RGPD (și nici nu am găsit‑o în altă parte)(50). Termenul are cel puțin două sensuri, care nu se exclud reciproc: de „putere” sau „stăpânire” și de „supraveghere”.

71. Modul de redactare a considerentului (7) al RGPD generează o oarecare incertitudine, deoarece diferă de la o versiune lingvistică la alta(51). Având în vedere conținutul său, considerăm că RGPD oferă persoanei vizate posibilitatea de a supraveghea și de a interveni în operațiunile efectuate de alte persoane asupra datelor, ca instrument (împreună cu alte persoane) pentru asigurarea protecției datelor respective.

72. Persoana vizată însăși contribuie la protecția informațiilor reprezentate prin date și este responsabilă pentru aceasta, în măsura – nivelul și modalitățile – în care sunt prevăzute de RGPD. Domeniul de aplicare al acțiunii individuale este limitat: în ceea ce privește drepturile enumerate în RGPD, se limitează la exercitarea acestora în condiții specifice.

73. Consimțământul persoanei vizate, ca expresie maximă a controlului(52), este doar unul dintre temeiurile juridice pentru prelucrarea legală, însă nu are capacitatea de a valida nerespectarea celorlalte obligații și condiții impuse operatorului și persoanei împuternicite de operator.

74. Considerăm că nu este ușor de dedus din RGPD faptul că acesta urmărește să confere persoanei vizate controlul asupra datelor cu caracter personal ca o valoare în sine și nici că persoana vizată ar trebui să aibă cel mai mare control posibil asupra acestor date.

75. Această constatare nu este surprinzătoare. Pe de o parte, nu este evident faptul că controlul, în sensul de dominio asupra datelor, face parte din conținutul esențial al dreptului fundamental la protecția datelor cu caracter personal(53). Pe de altă parte, considerarea acestui drept ca fiind un drept la autodeterminare informațională este departe de a fi unanimă: articolul 8 din cartă nu utilizează acești termeni(54).

76. În același sens, în textul final al RGPD nu a fost inclus un considerent potrivit căruia „dreptul la protecția datelor cu caracter personal se bazează pe dreptul persoanei vizate de a exercita controlul asupra datelor cu caracter personal care sunt prelucrate”(55).

77. Considerațiile anterioare, care probabil sunt prea abstracte, ne determină să afirmăm că, atunci când persoana vizată nu își dă consimțământul pentru o prelucrare, iar aceasta este efectuată fără niciun alt temei juridic legitim, persoana respectivă nu ar trebui să fie despăgubită pentru acest motiv, ca urmare a pierderii controlului asupra datelor sale, ca și cum acea pierdere ar implica, în sine, un prejudiciu care trebuie reparat(56). Este necesar să se stabilească dacă persoana vizată a suferit sau nu un prejudiciu (și să se prezinte dovezi în acest sens)(57).

2) Controlul persoanei vizate în contextul dat

78. În sfârșit, considerăm oportun să amintim faptul că protecția datelor cu caracter personal este enunțată drept obiectiv al RGPD, împreună cu cel al facilitării liberei circulații a datelor(58).

79. Consolidarea controlului cetățenilor asupra informațiilor lor personale în mediul digital este unul dintre obiectivele recunoscute ale modernizării regimului de protecție a datelor cu caracter personal, însă nu este un obiectiv independent sau izolat.

80. În comunicarea care a însoțit propunerea sa de RGPD, Comisia asocia un nivel ridicat de protecție a datelor cu încrederea în serviciile online, care permite valorificarea potențialului economiei digitale și încurajează „creșterea economică și competitivitatea industriilor din UE”. Reînnoirea (și armonizarea sporită) a reglementării Uniunii „consolidează dimensiunea protecției datelor privind piața unică”(59).

81. Având în vedere valoarea evidentă a datelor (personale și nepersonale) pentru progresul economic și social în Europa, RGPD nu urmărește să amplifice controlul individului asupra informațiilor care îl privesc prin simpla supunere la preferințele sale, ci să reconcilieze dreptul la protecția datelor cu caracter personal cu interesele terților și ale societății(60).

82. Astfel cum am arătat, RGPD nu urmărește să limiteze sistematic prelucrarea datelor cu caracter personal, ci să o legitimeze în condiții stricte. Acest obiectiv este îndeplinit, în primul rând, prin promovarea încrederii persoanei vizate în faptul că prelucrarea se va efectua într‑un context sigur(61), la care contribuie el însuși. Astfel, este încurajată dorința sa de a permite accesul la datele sale și utilizarea acestora printre altele în domeniul tranzacțiilor comerciale online.

C. A doua întrebare preliminară

83. Instanța de trimitere solicită să se stabilească dacă, „pe lângă principiile efectivității și echivalenței, pentru stabilirea cuantumului despăgubirii, există și alte dispoziții ale dreptului Uniunii”.

84. În realitate, principiul echivalenței nu pare să joace un rol relevant în speță: regimul armonizat al RGPD se aplică în mod direct în acest domeniu, iar articolul 82 din RGPD include în domeniul său de aplicare toate prejudiciile morale care rezultă dintr‑o încălcare, indiferent de sursa ei.

85. Aceeași reflecție este valabilă și în ceea ce privește principiul efectivității. Este o chestiune diferită faptul că despăgubirea, respectând ceea ce se propune în considerentul (146) al RGPD (persoanele vizate ar trebui să primească o despăgubire integrală și efectivă pentru prejudiciul suferit), trebuie să aibă un anumit conținut.

86. Articolul 82 din RGPD nu impune nicio altă cerință decât încălcarea normelor sale în cazul în care aceasta are drept rezultat un prejudiciu, material sau moral, suferit de orice persoană. În ceea ce privește calcularea în special a cuantumului despăgubirii pentru astfel de prejudicii, acesta nu oferă orientări pentru instanțele naționale.

87. Pe baza celor două calificative transcrise anterior (integrală și efectivă), despăgubirea va depinde, în primul rând, de cererea pe care o formulează fiecare reclamant.

88. În cazul în care această cerere ar consta în obligarea la plata unor daune interese punitive(62), răspunsul la prima întrebare preliminară ar fi suficient: astfel de despăgubiri nu figurează în RGPD. În cadrul său, răspunderea civilă îndeplinește o funcție compensatorie „privată”, în timp ce amenzile și sancțiunile penale au funcția publică de descurajare și, dacă este cazul, de sancționare.

89. Nu este exclus ca despăgubirea solicitată pentru prejudiciul moral să includă și alte componente decât cea pur pecuniară, de exemplu recunoașterea faptului că încălcarea a avut loc, oferind astfel o anumită satisfacție morală reclamantului. Hotărârea Curții din 15 aprilie 2021(63), deși se încadrează într‑un domeniu care nu coincide cu cel al protecției datelor, ar permite, prin analogie, admiterea acestei cereri.

90. În ordinile juridice care prevăd acest lucru, este posibil ca regimul de răspundere civilă să prevadă acordarea de despăgubiri cu titlu de revendicare a unui drept (plata unei despăgubiri simbolice) sau de anulare a unui avantaj necuvenit (renunțarea la câștigul obținut în mod nejustificat).

91. Primele despăgubiri au la bază ideea de a da continuitate și de a exercita dreptul („Rechtsfortsetzungsfunktion”) prin intermediul unei despăgubiri pur simbolice, adăugată la declarația potrivit căreia pârâtul a comis o faptă ilicită și a încălcat drepturile reclamantului. Articolul 82 din RGPD nu prevede acest lucru și nici nu există vreun indiciu în acest sens în lucrările anterioare, ceea ce nu este surprinzător, deoarece nu este o chestiune comună în sistemele juridice ale statelor membre(64) și nici una necontroversată în cele în care există(65).

92. Cu toate acestea, sistemul RGPD și obiectivele sale nu împiedică statele membre care cunosc această soluție să o pună la dispoziția persoanelor afectate de încălcarea unei norme, în cadrul căilor de atac prevăzute la articolul 79, în cazul unei lipse totale a prejudiciului. Pe de altă parte, dacă reclamantul pretinde că a suferit un prejudiciu material, situația este reglementată de articolul 82 din RGPD, iar dificultatea de a dovedi acest lucru nu ar trebui să conducă la o despăgubire simbolică(66).

93. În ceea ce privește hotărârile prin care se dispune obligarea la plata unei sume ca urmare a încălcării unui drept, acestea pot avea drept scop privarea autorului de profitul obținut. În afara domeniului proprietății intelectuale(67), acest scop nu este obișnuit în domeniul răspunderii civile delictuale, care se concentrează mai degrabă pe pierderea părții prejudiciate decât pe câștigul părții în culpă(68). RGPD nu îl include în articolele sale.

94. Oferim aceste reflecții pentru a facilita sarcina instanței de trimitere, având în vedere amploarea celei de a doua întrebări. Suntem conștienți totuși de posibilitatea ca ele să fie inutile pentru susținerea sau respingerea unei cereri în care partea vizată solicită despăgubiri pentru un prejudiciu moral care este strict pecuniar.

D. A treia întrebare preliminară

95. Instanța de trimitere solicită să se stabilească dacă, în temeiul RGPD, recunoașterea prejudiciului moral este condiționată de „încălc[area] unui drept care are cel puțin o anumită pondere ce depășește neplăcerile cauzate de încălcare”.

96. Drept criteriu pentru ca un prejudiciu să fie reparabil, cererea de decizie preliminară ia în considerare intensitatea experienței trăite de persoana vizată. Cu toate acestea, nu ridică problema (cel puțin nu în mod direct) dacă o anumită emoție sau un anumit sentiment al persoanei vizate este relevant sau irelevant în sensul articolului 82 alineatul (1) din RGPD în lumina conținutului său(69).

97. Astfel, se ridică întrebarea dacă statele membre pot condiționa repararea prejudiciului moral de amploarea consecințelor care decurg din încălcarea normei, inclusiv numai de cele care depășesc un anumit prag de gravitate. Prin urmare, întrebarea nu ar privi elementele susceptibile să dea naștere reparației(70) sau cuantumul despăgubirii, ci existența unui prag minim de reacție a persoanei prejudiciate, sub care aceasta nu ar fi despăgubită.

98. Articolul 82 din RGPD nu oferă un răspuns direct la această întrebare. În opinia noastră, nici considerentele (75) și (85). Ambele conțin o enumerare exemplificativă a prejudiciilor, culminând cu o clauză deschisă care pare să limiteze prejudiciile care trebuie reparate la cele „semnificative”.

99. Totuși, considerăm că aceste considerente nu sunt utile pentru soluționarea îndoielii instanței de trimitere:

– primul se referă la identificarea și la evaluarea riscurilor legate de prelucrarea datelor și la adoptarea de măsuri de prevenire sau de atenuare a acestora. Ilustrează consecințele nedorite ale oricărei prelucrări și pune accentul „în special” pe unele dintre ele, probabil datorită caracterului lor mai grav;

– al doilea se referă la breșele de securitate a datelor și atrage atenția că consecințele acestora pot fi semnificative.

100. Nici conținutul considerentului (146) al RGPD (operatorii de date trebuie plătească despăgubiri „pentru orice prejudiciu”)(71) nu oferă niciun criteriu pentru a răspunde la această întrebare.

101. Ca urmare a transpunerii considerentului respectiv în textul RGPD, acesta din urmă a inclus în mod explicit prejudiciile morale, înlocuind tăcerea Directivei 95/46 în această privință(72). Totuși, nu s‑a abordat în special problema ridicată în prezent în fața Curții.

102. Același considerent (146) al RGPD prevede că „conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament”.

103. Nu suntem siguri că o astfel de indicație ar avea o utilitate prea mare în contextul protecției datelor, deoarece Curtea nu se pronunțase încă în această privință la momentul adoptării RGPD(73). În cazul în care se dorea să se facă referire la hotărârile privind răspunderea civilă în temeiul altor directive sau regulamente, recurgerea la analogii ar fi fost binevenită.

104. În realitate, Curtea nu a elaborat o definiție generală a noțiunii de „prejudicii” care să poată fi aplicată în mod nediscriminatoriu în orice domeniu(74). În ceea ce privește ceea ce este relevant în speță (prejudiciile morale), se poate deduce din jurisprudența sa că:

– atunci când obiectivul (sau unul dintre obiectivele) dispoziției interpretate este protecția individului sau a unei anumite categorii de indivizi(75), noțiunea de prejudiciu trebuie să fie largă;

– în conformitate cu această abordare, despăgubirea se extinde la prejudiciile morale, chiar dacă acestea nu sunt menționate în dispoziția care face obiectul interpretării(76).

105. Deși jurisprudența Curții permite să se considere că, în termenii enunțați, în dreptul Uniunii există un principiu de reparare a prejudiciilor morale, considerăm că din aceasta nu se poate deduce, în schimb, o regulă potrivit căreia orice prejudiciu moral, oricât de grav ar fi, poate fi reparat.

106. Curtea a recunoscut compatibilitatea cu normele europene a reglementării naționale care, în scopul calculării despăgubirii, face distincție între prejudiciile morale legate de vătămările corporale rezultate din accidente în funcție de originea lor(77).

107. De asemenea, aceasta a analizat împrejurările care pot da naștere unor prejudicii morale, în conformitate cu dispoziția aplicabilă în fiecare cauză(78), însă nu s‑a pronunțat în mod explicit (dacă nu ne înșelăm) asupra cerinței privind gravitatea acelor prejudicii(79).

108. În această etapă, considerăm că răspunsul la cea de a treia întrebare preliminară trebuie să fie afirmativ.

109. În susținerea tezei noastre, amintim faptul că RGPD nu are ca unic obiectiv garantarea dreptului fundamental la protecția datelor cu caracter personal(80) și că sistemul său de garanții include mecanisme de diferite tipuri(81).

110. În acest context, este relevantă distincția, propusă Curții, între prejudiciile morale care trebuie reparate și alte inconveniente care rezultă din nerespectarea legii și care, ca urmare a gravității lor minore, nu ar da naștere în mod obligatoriu dreptului la despăgubiri.

111. Această disociere este percepută în sistemele juridice naționale ca un corolar inevitabil al vieții în societate(82). Curtea nu ignoră diferența respectivă, pe care o recunoaște atunci când se referă la dificultăți și la neplăceri ca la o categorie distinctă de cea a prejudiciilor, în domeniile în care consideră că acestea trebuie să fie reparate(83). Nimic nu împiedică transpunerea sa în RGPD.

112. În rest, considerăm că dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD nu este instrumentul potrivit pentru a contracara încălcările în domeniul prelucrării datelor cu caracter personal, dacă acestea provoacă persoanei vizate doar furie sau supărare.

113. În principiu, orice încălcare a unei norme privind protecția datelor personale va genera o anumită reacție negativă din partea persoanei vizate. Despăgubirea rezultată dintr‑un simplu sentiment de nemulțumire față de nerespectarea legii este ușor de confundat cu despăgubirea care nu implică existența unui prejudiciu, pe care am respins‑o deja mai sus.

114. Din punct de vedere practic, includerea simplei nemulțumiri printre prejudiciile morale care pot fi compensate nu este eficientă, având în vedere inconvenientele și dificultățile care caracterizează, pentru reclamant, introducerea unei acțiuni în justiție(84) și, pentru pârât, organizarea apărării sale(85).

115. Refuzul unui drept la despăgubiri pentru sentimente sau emoții slabe și trecătoare(86) legate de o încălcare a normelor privind prelucrarea datelor nu lasă persoana vizată complet neajutorată. Astfel cum am arătat în cadrul analizei primei întrebări, sistemul RGPD oferă și alte căi de atac.

116. Nu avem îndoieli în ceea ce privește faptul că granița dintre simplele nemulțumiri (pentru care nu se acordă prejudicii) și prejudiciile morale efective (care trebuie reparate) este una fină și nici nu ignorăm dificultatea de a delimita, în abstract, cele două categorii și de a le aplica, în concret, într‑un litigiu. Această sarcină dificilă revine instanțelor din statele membre, care probabil că nu vor putea, în hotărârile lor, să ocolească percepția societății, la un moment dat, cu privire la toleranța admisibilă atunci când consecințele subiective ale încălcării unei norme în acest domeniu nu depășesc un nivel de minimis(87).

V. Concluzie

117. În temeiul considerațiilor prezentate, propunem să se răspundă Oberster Gerichtshof (Curtea Supremă, Austria) după cum urmează:

„Articolul 82 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că:

Pentru recunoașterea dreptului la despăgubiri pentru prejudiciile suferite de o persoană ca urmare a unei încălcări a regulamentului menționat, simpla încălcare a normei, în sine, nu este suficientă dacă nu este însoțită de prejudiciile corespunzătoare, materiale sau morale.

Despăgubirile pentru prejudiciile morale pe care le reglementează nu se extind la simpla supărare pe care persoana în cauză o poate resimți ca urmare a încălcării dispozițiilor Regulamentului 2016/679. Este de competența instanțelor naționale să stabilească în ce moment, datorită caracteristicilor sale, sentimentul subiectiv de nemulțumire poate fi considerat, în fiecare caz, drept prejudiciu moral.”

1 Limba originală: spaniola.

2 Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1). Denumit în continuare „RGPD”.

3 Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

4 Conform Raportului Agenției pentru Drepturi Fundamentale a Uniunii Europene (FRA), Access to data protection remedies in the EU Member States, Oficiul pentru Publicații al Uniunii Europene, 2013, punctele 3 și 4.

5 Recunoașterea legislativă a acestui drept este, în mare măsură, o particularitate a sistemului de protecție al Uniunii. Analiza validității instrumentelor juridice privind transmiterea datelor cu caracter personal către țări terțe ține seama în special de aspectul dacă există sau nu o dispoziție cu același scop. A se vedea punctele 226 și 227 din Avizul 1/15 [Acordul PNR UE-Canada din 26 iulie 2017 (EU:C:2017:592)], Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559), și Hotărârea din 21 iunie 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6 La momentul redactării prezentelor concluzii, există alte șapte cereri de decizie preliminară în această materie (cauzele C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22 și C‑189/22 și C‑456/22). În paralel, Comisiei pentru petiții a Parlamentului European i s‑a solicitat „să clarifice considerentele RGPD, în special în ceea ce privește prejudiciile morale, pentru a evita alte hotărâri injuste ale instanțelor germane” (petiția nr. 0386/2021).

7 În schimb, aceasta a admis cererea de încetare a comportamentului, hotărâre care a fost menținută în apel. Recursul declarat de Österreichische Post împotriva ordinului de încetare a fost respins.

8 Utilizăm acest termen în sensul articolului 4 alineatul (1) din RGPD.

9 În anumite situații, persoana vizată nici măcar nu va trebui să dovedească faptul că nu și‑a dat consimțământul, deoarece, în conformitate cu articolul 7 alineatul (1) din RGPD, „[î]n cazul în care prelucrarea se bazează pe consimțământ, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal”. Reclamantului i se poate solicita să furnizeze elemente care să permită cuantificarea prejudiciului.

10 Termenul „indemnización” este utilizat în versiunile în limbile spaniolă și portugheză („indemnização”). „Schadenersatz”, în versiunea în limba germană, este de asemenea foarte expresiv. În versiunea în limba franceză, nu se utilizează „indemnisation”, ci „réparation”; în versiunea în limba engleză, „compensation”. Considerăm că, în oricare dintre aceste versiuni și în altele similare, rezultatul este identic: prejudiciul rămâne un element indispensabil al răspunderii civile.

11 Considerentul (146) al RGPD. Despăgubirea urmărește să restabilească echilibrul situației juridice care a fost afectată (prejudiciată) de încălcarea dreptului.

12 Daunele interese punitive (punitive damages) sunt caracteristice sistemului common law. Alte sisteme juridice le utilizează ca reacție la un comportament deosebit de rău intenționat sau de o neglijență gravă. Acestea sunt uneori asociate cu evaluarea prejudiciului moral care rezultă din vătămarea integrității fizice sau a vieții private a persoanelor.

13 Hotărârea din 13 iulie 2006, Manfredi și alții (C‑295/04-C‑298/04, EU:C:2006:461, punctul 92): „În ceea ce privește acordarea de daune interese și o posibilitate eventuală de a acorda despăgubiri cu caracter de sancțiune, în lipsa unor dispoziții ale dreptului Uniunii în materie, revine ordinii juridice interne a fiecărui stat membru atribuția de a prevedea criteriile care permit stabilirea întinderii reparației, cu condiția să fie respectate principiile echivalenței și efectivității”. Sublinierea noastră.

14 Hotărârea din 11 octombrie 2007, Paquay (C‑460/06, EU:C:2007:601, punctul 44 și următoarele), în legătură cu articolul 6 din Directiva 76/207/CEE a Consiliului din 9 februarie 1976 privind punerea în aplicare a principiului egalității de tratament între bărbați și femei în ceea ce privește accesul la încadrarea în muncă, la formarea și la promovarea profesională, precum și condițiile de muncă (JO 1976, L 39, p. 40, Ediție specială, 05/vol. 6, p. 143).

15 Articolul 28 din Directiva 2004/109/CE a Parlamentului European și a Consiliului din 15 decembrie 2004 privind armonizarea obligațiilor de transparență în ceea ce privește informația referitoare la emitenții ale căror valori mobiliare sunt admise la tranzacționare pe o piață reglementată și de modificare a Directivei 2001/34/CE (JO 2004, L 390, p. 38, Ediție specială, 06/vol. 7, p. 38), sau articolul 25 din Directiva 2006/54/CE a Parlamentului European și a Consiliului din 5 iulie 2006 privind punerea în aplicare a principiului egalității de șanse și al egalității de tratament între bărbați și femei în materie de încadrare în muncă și de muncă (JO 2006, L 204, p. 23, Ediție specială, 05/vol. 8, p. 262).

16 A se vedea în acest sens considerentul (26) al Directivei 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO 2004, L 157, p. 45). În acest caz, adoptarea unei măsuri punitive nu este interzisă, însă nu este obligatorie: Hotărârea din 25 ianuarie 2017, Stowarzyszenie Oławska Telewizja Kablowa (C‑367/15, EU:C:2017:36, punctul 28).

17 Articolul 3 alineatul (3) din Directiva 2014/104/UE a Parlamentului European și a Consiliului din 26 noiembrie 2014 privind anumite norme care guvernează acțiunile în despăgubire în temeiul dreptului intern în cazul încălcărilor dispozițiilor legislației în materie de concurență a statelor membre și a Uniunii Europene (JO 2014, L 349, p. 1, Ediție specială, 17/vol. 02, p. 56) sau considerentele (10) și (42) ale Directivei (UE) 2020/1828 a Parlamentului European și a Consiliului din 25 noiembrie 2020 privind acțiunile în reprezentare pentru protecția intereselor colective ale consumatorilor și de abrogare a Directivei 2009/22/CE (JO 2020, L 409, p. 1), care acoperă domeniul protecției datelor.

18 Se citează deseori ca exemplu articolul 18 alineatul (2) din Regulamentul (CE) nr. 1768/95 al Comisiei din 24 iulie 1995 de stabilire a normelor de aplicare a derogării prevăzute la articolul 14 alineatul (3) din Regulamentul (CE) nr. 2100/94 (JO 1995, L 173, p. 14, Ediție specială, 03/vol. 17, p. 177): „repararea pagubei suportată de titular […] reprezintă cel puțin o sumă forfetară care se calculează la de patru ori suma medie percepută […]”.

19 Punctul 47 de mai jos.

20 Utilizăm în acest context termenii „respectare a normelor la nivel public” și „respectare a normelor la nivel privat” în același sens ca Directiva 2014/104.

21 Considerentul (55) anunța conținutul capitolului III („Acțiuni în justiție, răspundere și sancțiuni”) din Directiva 95/46. Articolele 22, 23 și, respectiv, 24 corespundeau fiecărei noțiuni. Capitolul VI era consacrat autorităților de supraveghere.

22 Curtea a confirmat rolul central al acestor autorități în cadrul sistemului: de exemplu în Hotărârea din 9 martie 2010, Comisia/Germania (C‑518/07, EU:C:2010:125, punctul 23). Acestea sunt menționate la articolul 8 alineatul (3) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) și la articolul 16 alineatul (2) TFUE in fine.

23 Estonia și Danemarca au un regim special, la care se face referire în considerentul (151) al RGPD.

24 Deși RGPD nu menționează în mod direct relevanța respectării la nivel privat a normelor, similară celei stabilite în considerentul (3) al Directivei 2014/104.

25 Posibilitatea acțiunilor colective era deja recunoscută înainte de RGPD: Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629). În conformitate cu articolul 80 alineatul (1) din RGPD, în materie de despăgubiri, nu este posibilă acțiunea organismelor de protecție a persoanelor vizate, cu excepția cazului în care statele membre prevăd acest lucru și persoana vizată acordă mandatul necesar. Situația se poate schimba ca urmare a Directivei 2020/1828.

26 Astfel cum subliniază avocatul general Richard de la Tour în Concluziile prezentate în cauza Meta Platforms Ireland (C‑319/20, EU:C:2021:979), acțiunea prevăzută la articolul 80 din RGPD poate fi utilizată atât pentru protecția intereselor private, cât și a celor generale. În cauza respectivă era vorba despre o acțiune în încetare.

27 În special în statele membre care nu acceptă obligarea la plata unor prejudicii morale în lipsa unor dispoziții legale.

28 Ca de exemplu calitatea procesuală pasivă, motivele de exonerare și regimul de răspundere pentru operatorii asociați și persoanele împuternicite de operatori. Într‑un document al Consiliului există următoarea întrebare adresată de delegația belgiană: „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage”. Răspunsul Comisiei a fost în sensul că era necesar să se dovedească prejudiciul: a se vedea Nota Președinției nr. 17831/13 din 16 decembrie 2013, nota de subsol 541, unde a fost publicat pentru prima dată. Nu există informații din care să rezulte că această chestiune a fost dezbătută pe larg.

29 Facem referire la activitatea desfășurată înainte de adoptarea Directivelor 2004/48 și 2014/104. O interpretare care ar extinde articolul 82 din RGPD la daunele interese punitive ar avea consecințe importante pentru statele membre: acestea ar trebui să abordeze chestiuni precum cine trebuie să fie beneficiarul despăgubirii care are scopul de drept, cum să o calculeze astfel încât să îndeplinească obiectivul sau cum să o coreleze cu amenzile administrative și cu sancțiunile penale pentru a evita sancționarea excesivă.

30 Aceste „alte sancțiuni”, de natură penală sau administrativă, nu sunt armonizate. Ca și amenzile, acestea trebuie să fie „eficace, proporționale și disuasive” [articolul 84 alineatul (1) in fine].

31 Nu excludem faptul că, în abstract, unii dintre ei ar putea să fie prevăzuți și în sfera răspunderii civile [ne gândim, de exemplu, la „intenția sau neglijența” autorului infracțiunii, conform articolului 83 alineatul (2) litera (b) din RGPD] sau să se reflecte în despăgubire [de exemplu „categoriile de date cu caracter personal afectate de încălcare”, conform articolului 83 alineatul (2) litera (g) din RGPD]. Totuși, chiar și în aceste cazuri, extrapolarea fiecărui factor dintr‑un domeniu în altul nu ar funcționa în mod automat.

32 Articolul 83 alineatul (2) litera (a) din RGPD.

33 Nici ca parametru de calcul, nici pentru a‑l scădea din sumă.

34 Articolul 1 din RGPD și considerentele (6), (9) și (170). Considerentul (9) amintește că acestea erau obiectivele Directivei 95/46 și insistă asupra faptului că ele sunt în continuare valabile. Se subliniază deseori faptul că, în Directiva 95/46, obiectivul liberei circulații a datelor cu caracter personal prevala asupra obiectivului de protecție, în timp ce în RGPD se întâmplă contrariul, ceea ce s‑ar explica prin recunoașterea formală a dreptului la articolul 8 din cartă, care trebuia să fie transpus în noua reglementare. Cu toate acestea, articolul 1 din RGPD este clar în ceea ce privește dorința de a concilia protecția datelor cu caracter personal și libera circulație a acestora. Acest lucru presupune, desigur, asigurarea unui nivel de protecție echivalent în toate statele membre, evitând obstacolele care rezultă din fragmentarea legislației, dar și înlăturarea reticenței persoanelor fizice de a împărtăși sau de a furniza date cu caracter personal, în scopul prelucrării, prin crearea încrederii că beneficiază de protecție.

35 În observațiile sale, la punctul 53, guvernul irlandez arată că „[…] very many claims for compensation under Article 82 RGPD arise in the context of very minor, marginal or speculative non‑material damage” (sublinierea noastră). În Germania, o parte a jurisprudenței atrage atenția asupra riscului abuzului de acțiuni și asupra necesității de a evita apariția unei „datenschutzrechtliche Klageindustrie”: Wybitul, T., Neu, L., Strauch, M., „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen”, Zeitschrift für Datenschutz, 2018, p. 202 și următoarele, în special p. 206; Paal, B. P., Kritzer, I., „Geltendmachung von DS‑GVO‑Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, p. 2433 și următoarele.

36 Nu poate fi exclus un efect „de atracție” sau de multiplicare, care rezultă din succesul unei acțiuni în răspundere civilă în care nu există prejudicii. Acest lucru ar spori șansele ca operatorii economici să se confrunte, pe lângă posibila sancțiune administrativă sau penală, cu acțiuni colective sau cu o pluralitate de acțiuni individuale (mai mult sau mai puțin abuzive, după caz).

37 Observațiile părților doar sugerează acest lucru, însă nu îl detaliază. De exemplu, acestea nu precizează dacă ar fi sau nu o prezumție irefutabilă. Prima posibilitate este cea mai coerentă cu întrebarea instanței de trimitere, așadar ne vom limita la ea.

38 A se vedea articolul 7 din Regulamentul (CE) nr. 261/2004 al Parlamentului European și al Consiliului din 11 februarie 2004 de stabilire a unor norme comune în materie de compensare și de asistență a pasagerilor în eventualitatea refuzului la îmbarcare și anulării sau întârzierii prelungite a zborurilor și de abrogare a Regulamentului (CEE) nr. 295/91 (JO 2004, L 46, p. 1, Ediție specială, 07/vol. 12, p. 218) sau articolul 19 din Regulamentul (UE) nr. 1177/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 privind drepturile pasagerilor care călătoresc pe mare și pe căi navigabile interioare și de modificare a Regulamentului (CE) nr. 2006/2004 (JO 2010, L 334, p. 1).

39 Fără a mai intra în detalii, chiar articolul 82 alineatele (3) și (4) din RGPD.

40 „Persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal.”

41 „[…] o încălcare a securității datelor cu caracter personal poate conduce la […] pierderea controlului asupra datelor lor cu caracter personal.”

42 Consecințele enumerate în considerentul respectiv nu sunt automate. În conformitate cu articolul 34 din RGPD, operatorul trebuie să evalueze, de la caz la caz, dacă este necesar să informeze persoana vizată cu privire la încălcare.

43 Consecințele emoționale legate de pierderea controlului asupra datelor, precum teama sau anxietatea cu privire la ceea ce s‑ar putea întâmpla cu datele, decurg din pierdere, însă nu sunt identice cu aceasta.

44 Unele state membre au stabilit o prezumție privind existența unui prejudiciu în domenii similare celui al protecției datelor. Astfel, în Spania, articolul 9 alineatul 3 din Legea organică nr. 1/1982 din 5 mai 1982 privind protecția civilă a dreptului la onoare, la intimitate personală și familială și la imagine (BOE nr. 115 din 14 mai 1982, p. 12546-12548) prevede că „se prezumă existența unui prejudiciu în cazul în care se constată o ingerință ilicită [în drepturile garantate de această lege]”.

45 Reamintim faptul că, în prezentul litigiu, nelegalitatea comportamentului este legată tocmai de lipsa consimțământului persoanei vizate. Argumentele privind locul dreptului la despăgubiri printre garanțiile de respectare a normelor RGPD se aplică și în speță.

46 Totuși, este vorba doar despre un temei pentru prelucrarea legală; toate cele enumerate în RGPD au aceeași valoare. A se vedea Avizul 06/2014 al Grupului de lucru „articolul 29” pentru protecția datelor privind noțiunea de interes legitim al operatorului de date în temeiul articolului 7 din Directiva 95/46/CE, adoptat la 9 aprilie 2014, p. 10. Or, operatorul nu poate schimba temeiul prelucrării odată ce a început prelucrarea: Autoritatea Europeană pentru Protecția Datelor, Orientări 5/2020 privind consimțământul în sensul Regulamentului (UE) 2016/679, punctele 121-123.

47 Articolul 17 alineatul (1) din RGPD. Acest lucru nu înseamnă că nu există dreptul la despăgubiri pentru orice prejudiciu cauzat de prelucrarea efectuată până la momentul ștergerii.

48 Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317, punctul 4 din dispozitiv).

49 Propunere de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) [COM(2012) 011 final], p. 2, și considerentul (6) al textului propus. A se vedea de asemenea punctul 2 din Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor „Protecția vieții private într‑o lume interconectată. Un cadru european privind protecția datelor pentru secolul 21” [COM(2012) 9 final].

50 Considerăm că această tăcere nu este întâmplătoare. Dincolo de disertațiile conceptuale privind proprietatea asupra datelor cu caracter personal, se ridică întrebarea dacă admiterea faptului că controlul asupra propriilor date echivalează cu faptul că persoanele fizice au drept de proprietate asupra informațiilor care le privesc (ceea ce probabil nu ar fi compatibil cu interesele terților și ale societății în ansamblul său). Recomandarea de a recunoaște drepturile de proprietate asupra datelor cu caracter personal figurează în Avizul Comitetului Economic și Social European privind Propunerea de regulament al Parlamentului European și al Consiliului privind guvernanța europeană a datelor (Legea privind guvernanța datelor), COM(2020) 767 final, (JO 2021, C 286, p. 38), punctul 4.18: „[…] CESE recomandă recunoașterea drepturilor europene de proprietate asupra datelor personale și digitale, astfel încât cetățenii (lucrători, consumatori, angajatori) să poată controla, gestiona sau împiedica utilizarea datelor lor” (sublinierea noastră). Pe de altă parte, dacă se contestă faptul că datele constituie o marfă, a se vedea nota de subsol 53 in fine.

51 Versiunea în limba spaniolă prevede că „las personas físicas deben tener el control de sus propios daños personales” (sublinierea noastră); cea în limba engleză arată că „natural persons should have control of their own personal data” (iar nu controlul). Altele, precum cea în limba portugheză, afirmă că „as pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais”. În conformitate cu articolul 4 din RGPD, controlul asupra datelor cu caracter personal se exercită asupra informațiilor pe care acestea le reprezintă. Controlul asupra utilizării datelor s‑ar exercita mai degrabă asupra prelucrării acestora.

52 În practică, consimțământul se limitează la acceptarea sau refuzul propunerii operatorului de date.

53 Nu excludem posibilitatea ca regimul juridic să evolueze în direcția acordării drepturilor de proprietate persoanei vizate. Totuși, nu credem că acest lucru ar conduce la maximizarea controlului individual: o poziție de putere dominantă a persoanei vizate asupra datelor cu caracter personal ar putea să nu fie compatibilă cu dezvoltarea economiei și a inovării; compatibilitatea sa cu dimensiunea drepturilor fundamentale ar fi discutabilă. A se vedea considerentul (24) al Directivei (UE) 2019/770 a Parlamentului European și a Consiliului din 20 mai 2019 privind anumite aspecte referitoare la contractele de furnizare de conținut digital și de servicii digitale (JO 2019, L 136, p. 1): „Deși recunoaște pe deplin că protecția datelor cu caracter personal este un drept fundamental și, așadar, datele cu caracter personal nu pot fi considerate o marfă […]”. Sublinierea noastră.

54 Formulări precum cea propusă pentru articolul 19 în Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4284/1/00 REV din 11 mai 2000: „Toute personne a le droit de décider elle‑même de la divulgation et de l’utilisation de ses données personnelles” nu au fost acceptate. Nici formularea pentru articolul respectiv propusă în Nota del Presidium – Projet de Charte des Droits Fondamentaux de l’Union Européenne, Charte 4333/00 din 4 iunie 2000 nu a avut succes: „Toute personne a le droit de décider elle‑même de la collecte, de l’utilisation et de la divulgation des données à caractère personnel la concernant”. La nivel național, ideea de autodeterminare informațională s‑a impus în unele state membre, precum Germania, în urma deciziei Bundesverfassungsgericht (Curtea Constituțională) din 15 decembrie 1983, 1 BvR 209/83. În Spania, a se vedea de exemplu hotărârea nr. 292/2000 a Tribunal Constitucional [Curtea Constituțională] din 30 noiembrie 2000 (BOE din 4 ianuarie 2001). Nu suntem siguri că această situație există în Uniune, deși Concluziile avocatului general Szpunar prezentate în cauza Orange România (C‑61/19, EU:C:2020:158, punctul 37) indică acest lucru: „Criteriul de bază al legislației Uniunii privind protecția datelor cu caracter personal este cel al unei decizii independente a unei persoane care este capabilă să ia decizii cu privire la utilizarea și la prelucrarea datelor sale”, făcând referire chiar la jurisprudența germană.

55 Proiect de Raport referitor la Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor) [COM(2012) 0011 – C7-0025/2012 – 2012/0011 (COD)], PE501.927v04-00 din 16 ianuarie 2013, amendamentul 29.

56 Nu sugerăm că încălcarea regulii ar trebui să rămână nesancționată: ceea ce susținem este că despăgubirea nu reprezintă un instrument adecvat dacă nu a existat niciun prejudiciu.

57 Excluzând faptul că oferirea către individ a controlului asupra datelor sale constituie, în sine, un scop al RGPD, nu excludem posibilitatea de a lua în considerare pierderea controlului ca un ghid pentru recunoașterea prejudiciilor imateriale, în sensul luării în considerare a reacțiilor ulterioare unei astfel de pierderi.

58 A se vedea punctul 51 din prezentele concluzii. Libera circulație a datelor este un obiectiv unic în ceea ce privește datele fără caracter personal: articolul 1 din Regulamentul (UE) 2018/1807 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind un cadru pentru libera circulație a datelor fără caracter personal în Uniunea Europeană (JO 2018, L 303, p. 59).

59 Comunicare a Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social și Comitetul Regiunilor „Protecția vieții private într‑o lume interconectată. Un cadru european privind protecția datelor pentru secolul 21” [COM(2012) 9 final], punctul 1. În continuare, la punctul 5: „preocupările legate de viața privată sunt printre cele mai frecvente motive pentru care oamenii nu cumpăra bunuri și servicii online”.

60 Considerentul (2) al RGPD: „[…] să contribuie la realizarea unui spațiu de libertate, securitate și justiție și a unei uniuni economice, la progresul economic și social, la consolidarea și convergența economiilor în cadrul pieței interne și la bunăstarea persoanelor fizice”. Considerentul (4): „[…] Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate […]”. A se vedea în același sens Hotărârea din 24 septembrie 2019, Google (Întinderea teritorială a dreptului la dezindexare) (C‑507/17, EU:C:2019:772, punctul 60), cu trimiterile suplimentare.

61 Acest obiectiv este comun cu cadrul de reglementare care vizează consolidarea pieței unice a datelor. În acest sens, Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic și Social European și Comitetul Regiunilor „O strategie europeană privind datele”, COM(2020) 66 final, punctul 1, explică: „Într‑o societate în care persoanele vor genera cantități din ce în ce mai mari de date, modul în care sunt colectate și utilizate acestea trebuie să pună interesele persoanelor pe primul loc, în conformitate cu valorile europene, cu drepturile fundamentale și cu normele în vigoare. Cetățenii vor avea încredere în inovațiile bazate pe date și le vor adopta numai dacă sunt siguri că orice schimb de date cu caracter personal din UE se va efectua cu respectarea deplină a normelor stricte ale UE în materie de protecție a datelor”.

62 Instanța de trimitere pare să fie îngrijorată (decizia de trimitere, punctul 5 din motivarea întrebărilor) de faptul că despăgubirea ar putea ajunge să aibă natură punitivă, având în vedere că RGPD prevede deja amenzi ridicate, astfel încât eficacitatea sa nu ar necesita și acordarea de despăgubiri semnificative pentru prejudicii morale.

63 Cauza C‑30/19, Braathens Regional Aviation (EU:C:2021:269, punctul 49): „plata unei sume de bani nu este suficientă pentru a satisface pretențiile unei persoane care urmărește cu prioritate să se recunoască, cu titlu de reparare a prejudiciului moral suferit, că a fost victima unei discriminări, astfel încât această plată nu poate să fie considerată, în acest sens, ca având o funcție reparatorie satisfăcătoare”. Cauza respectivă se referea la Directiva 2000/43/CE a Consiliului din 29 iunie 2000 de punere în aplicare a principiului egalității de tratament între persoane, fără deosebire de rasă sau origine etnică (JO 2000, L 180, p. 22, Ediție specială, 20/vol. 1, p. 19).

64 A se vedea Magnus, U., „Comparative Report on the Law of Damages”, în Unification of Tort Law: Damages, Kluwer Law International, 2001, p. 187, paragrafele 14 și 15.

65 În general, în sistemele de common law, în special în Statele Unite, unde solicitarea unei despăgubiri simbolice reprezintă o ultimă soluție pentru apărarea drepturilor constituționale. Pentru un rezumat al dezbaterilor privind utilitatea lor în această țară, a se vedea Grealish, M‑B., „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion”, în Fordham L. Rev., vol. 87, p. 733, și, recent, decizia Curții Supreme a Statelor Unite din 8 martie 2021, în Uzuegbunam v Preczewski. Nici nominal damages nu sunt acceptate cu ușurință în Regatul Unit: se presupune că, în practică, interesul privind obligarea la plata unor despăgubiri nominale depinde de aspectul dacă beneficiarului i se dă câștig de cauză în sensul acordării cheltuielilor de judecată, lucru care nu este automat ca urmare a deciziei Anglo‑Cyprian Trade Agencies Ltd v Paphos Wine Industries Ltd [1951] 1 All ER 873.

66 Curtea, în cadrul articolului 215 (la momentul respectiv) din Tratatul CEE, a solicitat dovezi cu privire la existența prejudiciului chiar și atunci când, ca urmare a dificultății de a‑l dovedi, reclamantul a cerut o despăgubire simbolică: Hotărârea din 21 mai 1976, Roquette Frères/Comisia (26/74, EU:C:1976:69, punctele 23 și 24).

67 În contextul proprietății intelectuale, despăgubirea, ca reacție la încălcarea unei norme, servește la îndeplinirea propriului său obiectiv, esențial în domeniu, de protejare a integrității economice a dreptului. Articolul 13 alineatul (1) litera (a) din Directiva 2004/48 se referă la „orice beneficiu fără justă cauză realizat de contravenient” ca fiind unul dintre factorii care trebuie să fie luați în considerare de autoritățile judiciare la stabilirea despăgubirilor.

68 O dispoziție similară figurează la articolul 94 alineatul (2) din Regulamentul (CE) nr. 2100/94 al Consiliului din 27 iulie 1994 de instituire a unui sistem de protecție comunitară a soiurilor de plante (JO 1994, L 227, p. 1, Ediție specială, 03/vol. 15, p. 197): „În caz de contravenție, dreptul titularului la despăgubiri se poate reduce în consecință, fără a fi totuși inferior avantajului dobândit de către autorul contrafacerii în urma acțiunii de contrafacere.”

69 Caracterul inefabil al emoțiilor sau al senzațiilor, în special dacă acestea se referă la riscuri legate de ceea ce s‑ar putea întâmpla cu datele în viitor, a determinat ca acestea să nu fie considerate prejudicii, din cauza gradului insuficient de concretizare sau a naturii lor ipotetice.

70 Cu alte cuvinte, cu privire la chefs de préjudice sau heads of damage.

71 Potrivit considerentului respectiv, persoanele în cauză trebuie să primească o despăgubire „integrală și efectivă”. Considerăm că această afirmație nu este relevantă pentru cea de a treia întrebare, deoarece nu se referă la categoriile de prejudicii care trebuie reparate, ci la calcularea despăgubirilor (o etapă care, în mod logic, este ulterioară și nu trebuie confundată cu identificarea prejudiciilor care trebuie reparate). Având în vedere lucrările pregătitoare ale RGPD, accentul pus pe asigurarea unei despăgubiri „integrale și efective” garantează faptul că implicarea mai multor operatori sau persoane împuternicite de operatori nu are ca rezultat acordarea unei despăgubiri parțiale persoanei vizate. Acesta este motivul pentru care articolul 82 alineatul (4) din RGPD prevede că „[…] fiecare operator sau persoană împuternicită de operator este răspunzător (răspunzătoare) pentru întregul prejudiciu pentru a asigura despăgubirea efectivă a persoanei vizate”.

72 Articolul 23 din Directiva 95/46 nu a fost explicit cu privire la prejudiciile care trebuie reparate, ceea ce a dat naștere unei dezbateri cu privire la cele incluse în domeniul său de aplicare. Negocierile care au precedat adoptarea RGPD s‑au concentrat pe eliminarea îndoielilor privind includerea prejudiciilor morale. În considerentul (118) al propunerii Comisiei menționate în nota de subsol 49, s‑a făcut referire la repararea oricărui prejudiciu. În etapele ulterioare ale procedurii colegislative, s‑a făcut referire la „orice prejudiciu, patrimonial sau de altă natură”, care ar determina apariția formulei „prejudicii nepatrimoniale” și, în sfârșit, a actualei formule „prejudicii morale”.

73 Curtea nu se pronunțase în ceea ce privește articolul 23 din Directiva 95/46 și nu a făcut‑o, până în prezent, nici în ceea ce privește articolul 82 din RGPD. Dacă nu ne înșelăm, aceasta nu s‑a pronunțat nici cu privire la articolul 56 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89) sau cu privire la articolul 19 din decizia‑cadru abrogată.

74 De asemenea, Curtea nu a identificat o metodă de interpretare – autonomă sau prin trimitere la legislația națională – ca fiind preferabilă: aceasta depinde de problema supusă examinării. A se compara Hotărârea din 10 mai 2001, Veedfald (C‑203/99, EU:C:2001:258, punctul 27), cu privire la produsele defecte, Hotărârea din 6 mai 2010, Walz (C‑63/09, EU:C:2010:251, punctul 21), cu privire la răspunderea operatorilor de transport aerian, sau Hotărârea din 10 iunie 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, punctul 37 și următoarele), cu privire la răspunderea civilă aplicabilă accidentelor rezultate din circulația autovehiculelor. Documentele referitoare la negocierile privind RGPD reflectă îndoielile statelor membre cu privire la aspectul dacă noțiunile de prejudiciu și despăgubire utilizate în articolul 77 (în vigoare la momentul respectiv) ar trebui să fie sau nu autonome și susțin pozițiile diferite adoptate în această privință. Comisia a preferat să lase această chestiune la latitudinea Curții. A se vedea Consiliul Uniunii Europene, Nota Președinției nr. 17831/13 din 16 decembrie 2013, nota de subsol 539.

75 De exemplu consumatorii de produse sau victimele accidentelor rutiere.

76 În domeniul pachetelor de servicii de călătorie, a se vedea Hotărârea din 12 martie 2002, Leitner (C‑168/00, EU:C:2002:163); în domeniul răspunderii civile pentru pagubele produse de autovehicule, a se vedea Hotărârea din 24 octombrie 2013, Haasová (C‑22/12, EU:C:2013:692, punctele 47-50), Hotărârea din 24 octombrie 2013, Drozdovs (C‑277/12, EU:C:2013:685, punctul 40), și Hotărârea din 23 ianuarie 2014, Petillo (C‑371/12, EU:C:2014:26, punctul 35).

77 Hotărârea din 23 ianuarie 2014, Petillo (C‑371/12, EU:C:2014:26), dispozitiv: dreptul Uniunii nu se opune „unei legislații naționale […] care prevede un regim special de despăgubire pentru prejudiciile morale rezultate din vătămări corporale ușoare cauzate de accidentele de circulație rutieră care limitează despăgubirea acestor prejudicii în raport cu ceea ce se admite în materie de reparare a prejudiciilor identice care rezultă din alte cauze decât aceste accidente”.

78 De exemplu, Hotărârea din 12 martie 2002, Leitner (C‑168/00, EU:C:2002:163), cu privire la pierderea dreptului la concediu de odihnă, și Hotărârea din 6 mai 2010, Walz (C‑63/09, EU:C:2010:251), cu privire la pierderea bagajelor în contextul pachetelor de călătorie.

79 Hotărârea din 17 martie 2016, Liffers (C‑99/15, EU:C:2016:173, punctul 17), privind interpretarea Directivei 2004/48, a subliniat că prejudiciul moral constituie o componentă a prejudiciului efectiv suferit „cu condiția ca acesta să fi fost dovedit”. În mod logic, dovada presupune realitatea prejudiciului; aceasta, la rândul său, este apropiată de ideea de gravitate a prejudiciului, însă nu coincide cu ea.

80 Supra, punctul 51.

81 Supra, punctul 45 și următoarele.

82 Recent, în domeniul protecției datelor, în Italia, Tribunale de Palermo, sez. I civile, sentenza 05/10/2017 n. 5261, precum și Cass Civ. ord. Sez. 6, nr. 17383/2020. În Germania, printre altele AG Diez, 07.11.2018 ‐ 8 C 130/18, LG Karlsruhe, 02.08.2019 ‐ 8 O 26/19, și AG Frankfurt am Main, 10.07.2020 ‐ 385 C 155/19 (70). În Austria, OGH 6 Ob 56/21k.

83 A se vedea Hotărârea din 23 octombrie 2012, Nelson și alții (C‑581/10 și C‑629/10, EU:C:2012:657, punctul 51), cu privire la distincția dintre „prejudicii”, în sensul articolului 19 din Convenția pentru unificarea anumitor norme referitoare la transportul aerian internațional, încheiată la Montreal la 28 mai 1999, și „neplăceri”, în sensul Regulamentului nr. 261/2004, pentru care se acordă despăgubiri în conformitate cu articolul 7 din acesta din urmă, în temeiul Hotărârii din 19 noiembrie 2009, Sturgeon și alții (C‑402/07 și C‑432/07, EU:C:2009:716). În acest sector, ca și în cel al transportului de persoane pe mare și pe căi navigabile interioare reglementat de Regulamentul nr. 1177/2010, legiuitorul a putut recunoaște o categorie abstractă, deoarece factorul care a condus la dificultăți și esența sa sunt identice pentru toate părțile vizate. În opinia noastră, această deducție nu este posibilă în materia protecției datelor.

84 Mecanismul paradigmatic de exercitare a dreptului prevăzut la articolul 82 din RGPD este reprezentat de litigiile desfășurate conform procedurii de drept comun. Principiul eficacității poate, desigur, să condiționeze aplicarea normelor naționale cu privire la aspecte precum cheltuielile de judecată sau probele. Cu toate acestea, dificultatea de a admite că se pot plăti despăgubiri pentru simple neplăceri nu este cauzată doar de disproporția dintre valoarea sa monetară și costul litigiului (pe lângă faptul că costurile pentru administrarea justiției nu sunt suportate doar de părți). În opinia noastră, având în vedere tăcerea RGPD, nu este justificat să se ceară statelor membre să elaboreze o procedură ad‑hoc.

85 Amintim faptul că, în conformitate cu articolul 82 alineatul (3) din RGPD, operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător/răspunzătoare în niciun fel pentru evenimentul care a cauzat prejudiciul.

86 Prin intermediul acestor reflecții nu ne antepronunțăm dacă, în prezenta cauză, situația lui UI se încadrează într‑o categorie sau alta, acest aspect urmând să fie decis de instanța de trimitere.

87 Acest lucru se aplică și în ceea ce privește valoarea despăgubirii.