CONCLUZIILE AVOCATULUI GENERAL
DOMNUL MANUEL CAMPOS SÁNCHEZ‑BORDONA
prezentate la 6 octombrie 2022(1)
Cauza C‑300/21
UI
împotriva
Österreichische Post AG
[cerere de decizie preliminară formulată de Oberster Gerichtshof (Curtea Supremă, Austria)]
„Trimitere preliminară – Protecția datelor cu caracter personal – Regulamentul (UE) 2016/679 – Prejudiciu moral care rezultă din prelucrarea nelegală a datelor – Condiții privind dreptul la despăgubire – Prejudicii care depășesc un anumit prag de gravitate”
1. Regulamentul (UE) 2016/679(2) oferă oricărei persoane care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a dispozițiilor sale dreptul de a primi despăgubiri din partea operatorului sau a persoanei împuternicite de operator.
2. Posibilitatea de a solicita acest drept în instanță era deja prevăzută în reglementarea anterioară (articolul 23 din Directiva 95/46/CE)(3), însă s‑a apelat rar la ea(4). Dacă nu ne înșelăm, Curtea nu a interpretat în mod specific articolul respectiv.
3. Sub imperiul RGPD, acțiunile în despăgubire au dobândit relevanță(5). Creșterea numărului acestora este perceptibilă la instanțele din statele membre și se reflectă în trimiterile preliminare corespunzătoare(6). În prezenta trimitere preliminară, Oberster Gerichtshof (Curtea Supremă, Austria) solicită Curții să determine câteva caracteristici comune ale regimului de răspundere civilă introdus de RGPD.
I. Cadrul juridic. RGPD
4. Sunt relevante pentru prezentul litigiu în special considerentele (75), (85) și (146) ale RGPD.
5. Articolul 6 („Legalitatea prelucrării”) prevede:
„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;
[…]”
6. Articolul 79 („Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau unei persoane împuternicite de operator”) alineatul (1) prevede:
„Fără a aduce atingere vreunei căi de atac administrative sau nejudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77, fiecare persoană vizată are dreptul de a exercita o cale de atac judiciară eficientă în cazul în care consideră că drepturile de care beneficiază în temeiul prezentului regulament au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal fără a se respecta prezentul regulament.”
7. Articolul 82 („Dreptul la despăgubiri și răspunderea”) alineatul (1) prevede:
„Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.”
II. Situația de fapt, litigiul și întrebările preliminare
8. Începând din anul 2017, Österreichische Post AG, o întreprindere care editează liste de adrese, a colectat informații privind afinitățile politice ale populației austriece. Cu ajutorul unui algoritm, aceasta definea „adresele grupurilor‑țintă de destinatari” pe baza anumitor caracteristici sociodemografice.
9. UI este o persoană fizică cu privire la care Österreichische Post a efectuat o extrapolare, printr‑un calcul statistic, pentru a determina clasificarea sa în cadrul potențialelor grupuri‑țintă pentru publicitatea electorală a diferite partide politice. Conform extrapolării respective, UI avea o afinitate mare pentru unul dintre partide. Datele respective nu au fost transmise către terți.
10. UI, care nu își dăduse consimțământul pentru prelucrarea datelor, a fost deranjat de păstrarea datelor referitoare la afinitatea sa politică și s‑a simțit indignat și ofensat de afinitatea care i‑a fost atribuită de Österreichische Post.
11. UI a solicitat o despăgubire în valoare de 1 000 de euro pentru repararea prejudiciului moral (suferință interioară). Acesta susține că afinitatea politică atribuită este o insultă și o rușine și, în plus, îl discreditează. Comportamentul adoptat de Österreichische Post i‑a cauzat o contrarietate considerabilă și o pierdere a încrederii, precum și sentimentul de expunere publică.
12. Instanța de prim grad a respins cererea de despăgubire formulată de UI(7).
13. Instanța de apel a menținut hotărârea primei instanțe. Aceasta a statuat că nu se acordă în mod automat o despăgubire pentru prejudicii morale pentru orice încălcare a RGPD și că:
– având în vedere că dreptul austriac este aplicabil ca o completare a RGPD, se acordă despăgubiri numai pentru alte prejudicii decât cele care decurg din neplăcerile sau sentimentele („Gefühlsschaden”) cauzate de încălcarea drepturilor reclamantului;
– ar trebui reținut principiul care stă la baza dreptului austriac, și anume că fiecare persoană trebuie să suporte simpla senzație de disconfort și simplele sentimente de neplăcere, fără consecințe în materia reparării prejudiciului, cu alte cuvinte dreptul la despăgubiri impune o anumită relevanță a prejudiciului pretins.
14. Hotărârea instanței de apel a fost atacată cu recurs la Oberster Gerichtshof (Curtea Supremă, Austria), care adresează Curții următoarele întrebări preliminare:
„1) Acordarea de despăgubiri în temeiul articolului 82 din RGPD impune, pe lângă încălcarea dispozițiilor RGPD, de asemenea ca reclamantul să fi suferit un prejudiciu sau pentru acordarea despăgubirii este suficientă încălcarea dispozițiilor RGPD ca atare?
2) Pe lângă principiile efectivității și echivalenței, pentru stabilirea cuantumului despăgubirii există și alte dispoziții ale dreptului Uniunii?
3) Este compatibilă cu dreptul Uniunii opinia potrivit căreia recunoașterea unui prejudiciu moral este condiționată de existența unei consecințe sau a unei urmări a încălcării unui drept care are cel puțin o anumită pondere ce depășește neplăcerile cauzate de încălcare?”
III. Procedura
15. Cererea de decizie preliminară a fost înregistrată la grefa Curții la 12 mai 2021.
16. Au prezentat observații scrise UI, Österreichische Post, guvernele austriac, ceh și irlandez, precum și Comisia Europeană. S‑a considerat că nu este necesar să se desfășoare o ședință.
IV. Analiză
A. Considerații prealabile
1. Admisibilitate
17. UI susține că prima întrebare preliminară nu este relevantă pentru litigiu, deoarece acțiunea sa nu se întemeiază pe „simpla” încălcare a unei norme din RGPD, ci pe consecințele sau efectele sale.
18. Excepția de inadmisibilitate trebuie respinsă. Chiar dacă s‑ar accepta că prin prelucrarea datelor s‑a încălcat RGPD fără prejudicierea lui UI, acesta ar putea totuși să aibă dreptul la despăgubiri în temeiul articolului 82 din RGPD dacă, astfel cum solicită instanța de trimitere să se stabilească, s‑ar confirma faptul că simpla încălcare a unei norme privind prelucrarea datelor dă naștere dreptului respectiv.
19. Potrivit UI, Curtea ar putea de asemenea să considere că a doua întrebare preliminară este inadmisibilă pentru motivul că este prea generală din perspectiva conținutului său și excesiv de limitată în ceea ce privește cerințele dreptului Uniunii, la care nu face nicio referire concretă.
20. Nici această obiecție, deși este mai întemeiată decât cea anterioară, nu poate fi reținută. Este legitim ca o instanță să dorească să știe dacă, pentru a aprecia prejudiciul, pe lângă respectarea principiilor echivalenței și eficacității, trebuie să analizeze și alte condiții impuse de dreptul Uniunii.
2. Delimitarea obiectului prezentelor concluzii
21. Articolul 82 din RGPD este format din șase alineate. Instanța de trimitere nu se referă la niciunul dintre acestea în mod special, însă face trimitere în mod implicit la primul dintre ele. De asemenea, aceasta nu precizează nici norma a cărei încălcare ar da naștere la despăgubiri.
22. Concluziile noastre se vor baza pe următoarele premise:
– prelucrarea datelor cu caracter personal ale lui UI a fost efectuată fără să i se solicite consimțământul în sensul articolului 6 alineatul (1) litera (a) din RGPD;
– orice persoană care a suferit un prejudiciu are dreptul la despăgubiri. În acest caz, UI, în calitate de persoană fizică identificată și afectată de prelucrare, este o „persoană vizată”(8);
– RGPD prevede acordarea de despăgubiri pentru prejudicii materiale și morale. Cererea formulată de UI se limitează la acestea din urmă și are un conținut pecuniar.
B. Prima întrebare preliminară
23. Prin intermediul primei sale întrebări, instanța de trimitere solicită să se stabilească în esență dacă simpla încălcare a dispozițiilor RGPD dă dreptul la o despăgubire, indiferent dacă s‑a cauzat sau nu un prejudiciu.
24. Din afirmațiile instanței de trimitere și din observațiile prezentate în fața Curții se poate deduce că este posibilă și o altă interpretare a întrebării, una mai complexă: ar trebui să se stabilească dacă din încălcarea dispozițiilor RGPD rezultă în mod necesar un prejudiciu care dă naștere dreptului la despăgubiri, fără ca pârâtul să aibă posibilitatea de a dovedi contrariul.
25. Există o anumită diferență (teoretică) între cele două abordări: în cazul celei dintâi, prejudiciul nu reprezintă o condiție prealabilă pentru acordarea despăgubirii; în schimb, potrivit celei de a doua abordări, trebuie să existe un prejudiciu. În practică, cerința ca reclamantul să dovedească prejudiciul dispare în ambele cazuri; acesta nu trebuie să dovedească nici legătura de cauzalitate dintre încălcare și prejudiciul respectiv(9).
26. În orice caz, ne antepronunțăm în sensul că niciuna dintre cele două interpretări ale primei întrebări nu trebuie, în opinia noastră, să fie admisă. Ne vom referi la ambele în mod separat.
1. Despăgubire fără existența unui prejudiciu?
27. Susținerea existenței unui drept la despăgubiri, inclusiv atunci când din încălcarea RGPD nu rezultă niciun prejudiciu pentru persoana vizată, ridică dificultăți evidente, începând cu cea privind modul de redactare a articolului 82 alineatul (1) din regulamentul respectiv.
28. În temeiul acestei dispoziții, se acordă despăgubiri(10) tocmai pentru că a existat un prejudiciu anterior. Prin urmare, este obligatoriu în mod neechivoc ca persoana fizică să fi suferit un prejudiciu ca urmare a unei încălcări a RGPD.
29. Prin urmare, interpretarea care asociază în mod automat noțiunea de „încălcare” cu cea de „despăgubire” fără acordarea unui prejudiciu nu este compatibilă cu modul de redactare a articolului 82 din RGPD. De asemenea, aceasta nu respectă nici obiectivul principal al răspunderii civile stabilit de RGPD, și anume acela de a oferi satisfacție persoanei vizate, tocmai prin intermediul unei despăgubiri „integrale și eficace” pentru prejudiciul suferit(11).
30. În lipsa unui prejudiciu, despăgubirea nu ar mai îndeplini o funcție compensatorie pentru consecințele negative pe care le‑a produs încălcarea, ci una de altă natură, mai apropiată de cea a unei sancțiuni.
31. Este adevărat totuși că ordinea juridică a unui stat membru poate să prevadă plata unor daune interese punitive(12). Aceasta reprezintă o obligare la plata unei sume semnificative, în plus față de repararea strictă a prejudiciului.
32. Ca regulă generală, daunele interese punitive nu exclud în general existența prealabilă a unui prejudiciu. Pornind de la această premisă, ele fac totuși diferența între consecințele sale patrimoniale și valoarea despăgubirii ajustate la prejudiciul respectiv.
33. Cu toate acestea, este imaginabilă și situația în care daunele interese punitive nu iau în considerare prejudiciul sau îl consideră irelevant pentru satisfacerea reclamantului.
34. Răspunsul la prima întrebare preliminară ne obligă să analizăm dacă acest tip de despăgubiri se încadrează în domeniul de aplicare al RGPD, cu atât mai mult cu cât decizia de trimitere și observațiile părților și ale intervenienților în procedura preliminară fac referire la această chestiune.
2. Daune interese punitive?
a) Interpretarea literală
35. Funcției clasice a răspunderii civile i se poate adăuga o altă funcție cu caracter „punitiv” sau „exemplar”, în temeiul căreia, astfel cum am arătat deja, valoarea despăgubirii nu este egală cu prejudiciul suferit, ci este majorată sau chiar multiplicată.
36. În principiu, dreptul Uniunii nu exclude despăgubirile respective, în cazul încălcării normelor sale, dacă acestea pot fi acordate în cadrul unor acțiuni similare întemeiate pe dreptul național(13).
37. Daunele interese punitive au un efect de descurajare. Același scop poate să existe atunci când, în cazul unei încălcări a unei directive, statele membre sunt obligate să ia măsuri menite să aibă un „efect disuasiv real”(14). Anumite directive prevăd în mod expres că despăgubirile, concepute ca o sancțiune, trebuie să aibă efect de descurajare(15).
38. Pe de altă parte, în alte texte, legiuitorul afirmă că scopul unei directive „nu este acela de a introduce obligația de a prevedea daune interese punitive”(16) sau că statele membre trebuie să evite astfel de daune interese cu ocazia transpunerii lor(17). În dreptul Uniunii, obligarea directă la plata așa‑numitelor „daune‑interese punitive” este excepțională(18).
39. Or, RGPD nu conține nicio referire la caracterul sancționator al despăgubirii pentru prejudiciile materiale ori morale sau la faptul că modalitatea de calcul al cuantumului acestora reflectă acest caracter sau la faptul că despăgubirea respectivă are caracter disuasiv (calitate pe care o atribuie totuși sancțiunilor penale și amenzilor administrative)(19). Prin urmare, potrivit unei interpretări literale, RGPD nu permite daunele interese punitive.
b) Interpretarea prin prisma genezei dispoziției
40. Articolul 82 alineatul (1) din RGPD a fost precedat de articolul 23 alineatul (1) din Directiva 95/46. Acesta din urmă făcea parte dintr‑un sistem a cărui eficiență se baza pe respectarea normelor la nivel public și privat(20), însă în care despăgubirea (privată) și sancțiunea (publică) nu se confundau(21). Punerea sa în aplicare revenea în principal în sarcina autorităților de supraveghere independente(22).
41. RGPD preia acest model, însă consolidează instrumentele pentru a asigura eficacitatea dispozițiilor sale, acum mai detaliate, și a reacțiilor prevăzute, acum mai intense, în cazul încălcării sau al amenințării privind încălcarea lor:
– pe de o parte, sporește funcțiile autorităților de supraveghere, care sunt responsabile printre altele de impunerea sancțiunilor armonizate prevăzute chiar de RGPD(23). Prin urmare, subliniază componenta de aplicare publică a normelor;
– pe de altă parte, prevede că persoanele fizice își pot apăra drepturile conferite de RGPD(24), fie prin recurgerea la autoritatea de supraveghere (articolul 77), fie în instanță (articolele 79 și 82). În plus, articolul 80 autorizează anumite entități să introducă acțiuni în reprezentare(25), ceea ce facilitează protecția intereselor generale de care beneficiază persoanele fizice(26).
42. Dezvoltarea în RGPD a regimului uniform de răspundere civilă pentru prejudicii a fost limitată. Aspecte care ar fi putut ridica incertitudini în temeiul Directivei 95/46, precum cel privind includerea prejudiciilor morale printre cele care pot fi reparate(27), au fost clarificate în scurt timp. Negocierile s‑au axat pe alte aspecte ale regimului respectiv(28).
43. Nu am identificat în lucrările legislative nicio discuție despre o posibilă funcție punitivă a răspunderii civile prevăzute de RGPD. Prin urmare, nu se poate deduce că aceasta se încadrează în domeniul de aplicare al articolului 82 din RGPD în absența oricărei discuții privind această chestiune, mai ales având în vedere că a existat o discuție cu privire la includerea sa în alte texte de drept al Uniunii(29).
44. În aceste condiții, considerăm că acțiunea prevăzută la articolul 82 alineatul (1) din RGPD a fost concepută și reglementată pentru a îndeplini funcțiile tipice ale răspunderii civile: cea de reparare a prejudiciilor (pentru partea vătămată) și, în al doilea rând, cea de prevenire a prejudiciilor viitoare (pentru autorul încălcării).
c) Interpretare contextuală
45. Astfel cum am menționat, articolul 82 din RGPD face parte dintr‑un sistem de garanții privind eficacitatea normelor în care inițiativa privată completează aplicarea lor publică. Despăgubirea acordată de operatori sau de persoanele împuternicite de operatori contribuie la această eficacitate.
46. Obligația de despăgubire funcționează (în mod ideal) ca un stimulent pentru a acționa mai atent în viitor, respectând regulile și evitând alte prejudicii. Astfel, atunci când solicită o despăgubire pentru el însuși, fiecare individ contribuie la eficacitatea generală a normelor.
47. În acest cadru, funcțiile compensatorie și punitivă sunt separate:
– aceasta din urmă este îndeplinită de amenzile care pot fi impuse de autoritățile de supraveghere sau de instanțe [articolul 83 alineatele (1) și (9) din RGPD] și de alte sancțiuni pe care statele le adoptă în conformitate cu articolul 84 din RGPD(30);
– prima este îndeplinită de plângerea persoanei (articolul 77) și de procedurile judiciare (articolul 79). Cu toate acestea, nu este competența autorităților de supraveghere să decidă cu privire la dreptul la despăgubiri.
48. În același sens al separării funcțiilor compensatorie și sancționatorie:
– la aplicarea unei amenzi și la stabilirea cuantumului său, autoritatea trebuie să ia în considerare factorii enumerați la articolul 83 din RGPD, care nu sunt prevăzuți în domeniul răspunderii civile și care, în principiu, nu pot fi extrapolați la calculul despăgubirii(31);
– în cazul în care nivelul prejudiciilor suferite de persoanele în cauză constituie un factor de cuantificare a amenzii(32), la calcularea cuantumului amenzii nu trebuie să se țină seama de despăgubirile pe care acestea ar fi putut să le primească(33).
49. Dintr‑o perspectivă teoretică, o interpretare care, în lipsa oricărui prejudiciu, conferă răspunderii civile o funcție punitivă creează riscul unei suprapuneri între mecanismele de despăgubire și cele de sancționare.
50. În practică, ușurința de a obține un câștig „punitiv” cu titlu de despăgubire ar putea determina persoanele vizate să prefere această variantă în locul celei prevăzute la articolul 77 din RGPD. Dacă s‑ar generaliza această abordare, autoritățile de supraveghere ar fi private de un instrument util (plângerea persoanei vizate) pentru cunoașterea și, prin urmare, pentru investigarea și sancționarea eventualelor încălcări ale RGPD, în detrimentul instrumentelor mai adecvate pentru apărarea interesului general.
d) Interpretarea teleologică
51. Obiectivele prevăzute de RGPD sunt în esență două și sunt menționate chiar în titlul său: a) pe de o parte, „protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal” și b) pe de altă parte, acordarea protecției respective astfel încât „libera circulație a acestor date” să nu fie restricționată sau interzisă(34).
52. Considerăm că, pentru a atinge aceste obiective, RGPD nu impune obligația ca despăgubirea să fie legată de simpla încălcare a normei care reglementează prelucrarea, conferind răspunderii civile funcții punitive.
53. În ceea ce privește primul obiectiv, pentru a‑l atinge, nu este necesară extinderea pe cale interpretativă a domeniului de aplicare al articolului 82 din RGPD, acoperind situațiile în care a existat o încălcare a unei norme, însă nu s‑a produs niciun prejudiciu. Pe de altă parte, această extindere ar putea avea un efect negativ asupra celui de al doilea obiectiv.
54. Am subliniat deja faptul că RGPD prevede mai multe mecanisme de garantare a respectării dispozițiilor sale, care coexistă și se completează reciproc. Statele membre nu trebuie (și nici nu pot) să aleagă între mecanismele prevăzute în capitolul VIII pentru a garanta protecția datelor. În cazul unei încălcări care nu dă naștere unor prejudicii, persoana vizată are în continuare (cel puțin) dreptul de a depune o plângere la o autoritate de supraveghere în temeiul articolului 77 alineatul (1) din RGPD.
55. În rest, perspectiva de a obține despăgubiri în afara oricărui prejudiciu ar stimula probabil litigiile civile și acțiuni care nu sunt, probabil, întotdeauna justificate(35) și, în această măsură, ar putea descuraja activitatea de prelucrare a datelor(36).
3. Prezumarea existenței unui prejudiciu?
56. În unele dintre observațiile părților din litigiu se propune o interpretare a primei întrebări preliminare diferită de cea pe care am examinat‑o până în acest punct. Dacă înțelegem corect abordarea lor(37), acestea par să susțină că, odată ce a avut loc încălcarea normei, există o prezumție incontestabilă privind existența unui prejudiciu.
57. O astfel de încălcare – adaugă acestea – ar implica în mod obligatoriu o pierdere a controlului asupra datelor, ceea ce ar constitui, în sine, un prejudiciu care trebuie reparat în temeiul articolului 82 alineatul (1) din RGPD.
58. În teorie, o astfel de prezumție nu permite excluderea prejudiciului, respectând astfel structura tipică a răspunderii civile, precum și formularea dispoziției din RGPD. Cu toate acestea, în practică, pentru reclamant și pârât, efectele admiterii acesteia ar fi similare cu cele care rezultă din asocierea despăgubirii prevăzute la articolul 82 alineatul (1) din RGPD cu simpla încălcare a normei.
59. Vom apela din nou la criteriile hermeneutice obișnuite pentru a explica motivele pentru care considerăm că această interpretare nu este corectă.
a) Interpretarea literală
60. Atunci când legiuitorul a considerat, în alte domenii ale dreptului Uniunii, că încălcarea unei norme dă naștere în mod automat dreptului la despăgubiri, nu a ezitat să stabilească acest lucru(38). Situația este diferită în cazul RGPD, care conține norme referitoare la dovezi sau care au consecințe directe asupra acestora(39), însă în care nu există acea legătură automată, fie directă, fie prin intermediul unei prezumții irefragabile.
61. În opinia noastră, referirile la controlul asupra datelor (sau la pierderea acestui control) din considerentele (75)(40) și (85)(41) ale RGPD nu contracarează absența respectivă. În afară de faptul că, fiind considerente, acestea nu au valoare normativă, niciunul dintre ele nu afirmă că încălcarea unei norme implică per se un prejudiciu care trebuie reparat:
– considerentul (75) face referire la împiedicarea controlului asupra datelor cu caracter personal ca fiind unul dintre riscurile posibile ale prelucrării;
– considerentul (85) se referă la pierderea controlului ca fiind una dintre consecințele care ar putea rezulta în urma unei încălcări a securității datelor cu caracter personal(42).
62. Pierderea controlului asupra datelor nu trebuie să dea naștere în mod necesar unui prejudiciu. Expresia poate fi înțeleasă ca o exprimare figurativă pentru a face referire la prejudiciile ulterioare pierderii respective, în cazul în care se materializează(43).
b) Interpretare în lumina situației de fapt
63. Nici analiza istoricului dispoziției nu susține existența unei astfel de prezumții, care nu figura în Directiva 95/46(44), așa cum nici documentele pe care le‑am examinat ale Comisiei, ale Parlamentului European sau ale Consiliului, anterioare adoptării RGPD, nu o prevedeau.
c) Interpretarea contextuală
64. Sistemul RGPD oferă elemente care infirmă faptul că acceptă prezumția contestată, luând ca punct de referință consimțământul persoanei vizate(45). Ca mijloc de control asupra datelor, consimțământul respectiv legitimează prelucrarea datelor la același nivel cu alte temeiuri juridice (articolul 6 din RGPD)(46).
65. Prelucrarea legală a datelor cu caracter personal poate fi concepută fără autorizarea persoanei vizate și, prin urmare, fără controlul pe care îl implica acordarea sau refuzul autorizației respective. Ponderea sa în cadrul sistemului nu este, în definitiv, absolută.
66. În plus, RGPD prevede și alte posibilități de exercitare a controlului respectiv: printre acestea, dreptul la ștergere, care obligă operatorul să șteargă informațiile în cauză „fără întârzieri nejustificate”(47).
67. Pentru persoana vizată ale cărei date sunt prelucrate, acest drept funcționează ca o supapă de siguranță a regimului de protecție: el există (ca regulă de principiu) atât atunci când operatorul nu a obținut consimțământul persoanei vizate, cât și atunci când nu există niciun alt temei pentru a legitima prelucrarea datelor și nu depinde de aspectul dacă prelucrarea a dat naștere vreunui prejudiciu(48).
d) Interpretare teleologică
1) Controlul persoanei vizate asupra datelor sale, un obiectiv al RGPD?
68. Echivalența automată dintre o prelucrare a datelor cu caracter personal pentru care nu s‑a obținut consimțământul persoanei vizate și un prejudiciu care trebuie să fie reparat presupune că acel control, exercitat prin intermediul consimțământului, constituie o valoare în sine.
69. Recunoaștem faptul că, la prima vedere, această opinie nu este lipsită de temei. În propunerea Comisiei, unul dintre motivele principale ale reformei este acela că cetățenii trebuie să aibă control asupra datelor lor(49). Considerentul (7) al RGPD prevede că „[p]ersoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal”.
70. Este cert faptul că, dincolo de dezbaterile doctrinare pe care le‑a provocat, se impune prudență în interpretarea acestei noțiuni. Nu există o definiție exactă a „controlului” în RGPD (și nici nu am găsit‑o în altă parte)(50). Termenul are cel puțin două sensuri, care nu se exclud reciproc: de „putere” sau „stăpânire” și de „supraveghere”.
71. Modul de redactare a considerentului (7) al RGPD generează o oarecare incertitudine, deoarece diferă de la o versiune lingvistică la alta(51). Având în vedere conținutul său, considerăm că RGPD oferă persoanei vizate posibilitatea de a supraveghea și de a interveni în operațiunile efectuate de alte persoane asupra datelor, ca instrument (împreună cu alte persoane) pentru asigurarea protecției datelor respective.
72. Persoana vizată însăși contribuie la protecția informațiilor reprezentate prin date și este responsabilă pentru aceasta, în măsura – nivelul și modalitățile – în care sunt prevăzute de RGPD. Domeniul de aplicare al acțiunii individuale este limitat: în ceea ce privește drepturile enumerate în RGPD, se limitează la exercitarea acestora în condiții specifice.
73. Consimțământul persoanei vizate, ca expresie maximă a controlului(52), este doar unul dintre temeiurile juridice pentru prelucrarea legală, însă nu are capacitatea de a valida nerespectarea celorlalte obligații și condiții impuse operatorului și persoanei împuternicite de operator.
74. Considerăm că nu este ușor de dedus din RGPD faptul că acesta urmărește să confere persoanei vizate controlul asupra datelor cu caracter personal ca o valoare în sine și nici că persoana vizată ar trebui să aibă cel mai mare control posibil asupra acestor date.
75. Această constatare nu este surprinzătoare. Pe de o parte, nu este evident faptul că controlul, în sensul de dominio asupra datelor, face parte din conținutul esențial al dreptului fundamental la protecția datelor cu caracter personal(53). Pe de altă parte, considerarea acestui drept ca fiind un drept la autodeterminare informațională este departe de a fi unanimă: articolul 8 din cartă nu utilizează acești termeni(54).
76. În același sens, în textul final al RGPD nu a fost inclus un considerent potrivit căruia „dreptul la protecția datelor cu caracter personal se bazează pe dreptul persoanei vizate de a exercita controlul asupra datelor cu caracter personal care sunt prelucrate”(55).
77. Considerațiile anterioare, care probabil sunt prea abstracte, ne determină să afirmăm că, atunci când persoana vizată nu își dă consimțământul pentru o prelucrare, iar aceasta este efectuată fără niciun alt temei juridic legitim, persoana respectivă nu ar trebui să fie despăgubită pentru acest motiv, ca urmare a pierderii controlului asupra datelor sale, ca și cum acea pierdere ar implica, în sine, un prejudiciu care trebuie reparat(56). Este necesar să se stabilească dacă persoana vizată a suferit sau nu un prejudiciu (și să se prezinte dovezi în acest sens)(57).
2) Controlul persoanei vizate în contextul dat
78. În sfârșit, considerăm oportun să amintim faptul că protecția datelor cu caracter personal este enunțată drept obiectiv al RGPD, împreună cu cel al facilitării liberei circulații a datelor(58).
79. Consolidarea controlului cetățenilor asupra informațiilor lor personale în mediul digital este unul dintre obiectivele recunoscute ale modernizării regimului de protecție a datelor cu caracter personal, însă nu este un obiectiv independent sau izolat.
80. În comunicarea care a însoțit propunerea sa de RGPD, Comisia asocia un nivel ridicat de protecție a datelor cu încrederea în serviciile online, care permite valorificarea potențialului economiei digitale și încurajează „creșterea economică și competitivitatea industriilor din UE”. Reînnoirea (și armonizarea sporită) a reglementării Uniunii „consolidează dimensiunea protecției datelor privind piața unică”(59).
81. Având în vedere valoarea evidentă a datelor (personale și nepersonale) pentru progresul economic și social în Europa, RGPD nu urmărește să amplifice controlul individului asupra informațiilor care îl privesc prin simpla supunere la preferințele sale, ci să reconcilieze dreptul la protecția datelor cu caracter personal cu interesele terților și ale societății(60).
82. Astfel cum am arătat, RGPD nu urmărește să limiteze sistematic prelucrarea datelor cu caracter personal, ci să o legitimeze în condiții stricte. Acest obiectiv este îndeplinit, în primul rând, prin promovarea încrederii persoanei vizate în faptul că prelucrarea se va efectua într‑un context sigur(61), la care contribuie el însuși. Astfel, este încurajată dorința sa de a permite accesul la datele sale și utilizarea acestora printre altele în domeniul tranzacțiilor comerciale online.
C. A doua întrebare preliminară
83. Instanța de trimitere solicită să se stabilească dacă, „pe lângă principiile efectivității și echivalenței, pentru stabilirea cuantumului despăgubirii, există și alte dispoziții ale dreptului Uniunii”.
84. În realitate, principiul echivalenței nu pare să joace un rol relevant în speță: regimul armonizat al RGPD se aplică în mod direct în acest domeniu, iar articolul 82 din RGPD include în domeniul său de aplicare toate prejudiciile morale care rezultă dintr‑o încălcare, indiferent de sursa ei.
85. Aceeași reflecție este valabilă și în ceea ce privește principiul efectivității. Este o chestiune diferită faptul că despăgubirea, respectând ceea ce se propune în considerentul (146) al RGPD (persoanele vizate ar trebui să primească o despăgubire integrală și efectivă pentru prejudiciul suferit), trebuie să aibă un anumit conținut.
86. Articolul 82 din RGPD nu impune nicio altă cerință decât încălcarea normelor sale în cazul în care aceasta are drept rezultat un prejudiciu, material sau moral, suferit de orice persoană. În ceea ce privește calcularea în special a cuantumului despăgubirii pentru astfel de prejudicii, acesta nu oferă orientări pentru instanțele naționale.
87. Pe baza celor două calificative transcrise anterior (integrală și efectivă), despăgubirea va depinde, în primul rând, de cererea pe care o formulează fiecare reclamant.
88. În cazul în care această cerere ar consta în obligarea la plata unor daune interese punitive(62), răspunsul la prima întrebare preliminară ar fi suficient: astfel de despăgubiri nu figurează în RGPD. În cadrul său, răspunderea civilă îndeplinește o funcție compensatorie „privată”, în timp ce amenzile și sancțiunile penale au funcția publică de descurajare și, dacă este cazul, de sancționare.
89. Nu este exclus ca despăgubirea solicitată pentru prejudiciul moral să includă și alte componente decât cea pur pecuniară, de exemplu recunoașterea faptului că încălcarea a avut loc, oferind astfel o anumită satisfacție morală reclamantului. Hotărârea Curții din 15 aprilie 2021(63), deși se încadrează într‑un domeniu care nu coincide cu cel al protecției datelor, ar permite, prin analogie, admiterea acestei cereri.
90. În ordinile juridice care prevăd acest lucru, este posibil ca regimul de răspundere civilă să prevadă acordarea de despăgubiri cu titlu de revendicare a unui drept (plata unei despăgubiri simbolice) sau de anulare a unui avantaj necuvenit (renunțarea la câștigul obținut în mod nejustificat).
91. Primele despăgubiri au la bază ideea de a da continuitate și de a exercita dreptul („Rechtsfortsetzungsfunktion”) prin intermediul unei despăgubiri pur simbolice, adăugată la declarația potrivit căreia pârâtul a comis o faptă ilicită și a încălcat drepturile reclamantului. Articolul 82 din RGPD nu prevede acest lucru și nici nu există vreun indiciu în acest sens în lucrările anterioare, ceea ce nu este surprinzător, deoarece nu este o chestiune comună în sistemele juridice ale statelor membre(64) și nici una necontroversată în cele în care există(65).
92. Cu toate acestea, sistemul RGPD și obiectivele sale nu împiedică statele membre care cunosc această soluție să o pună la dispoziția persoanelor afectate de încălcarea unei norme, în cadrul căilor de atac prevăzute la articolul 79, în cazul unei lipse totale a prejudiciului. Pe de altă parte, dacă reclamantul pretinde că a suferit un prejudiciu material, situația este reglementată de articolul 82 din RGPD, iar dificultatea de a dovedi acest lucru nu ar trebui să conducă la o despăgubire simbolică(66).
93. În ceea ce privește hotărârile prin care se dispune obligarea la plata unei sume ca urmare a încălcării unui drept, acestea pot avea drept scop privarea autorului de profitul obținut. În afara domeniului proprietății intelectuale(67), acest scop nu este obișnuit în domeniul răspunderii civile delictuale, care se concentrează mai degrabă pe pierderea părții prejudiciate decât pe câștigul părții în culpă(68). RGPD nu îl include în articolele sale.
94. Oferim aceste reflecții pentru a facilita sarcina instanței de trimitere, având în vedere amploarea celei de a doua întrebări. Suntem conștienți totuși de posibilitatea ca ele să fie inutile pentru susținerea sau respingerea unei cereri în care partea vizată solicită despăgubiri pentru un prejudiciu moral care este strict pecuniar.
D. A treia întrebare preliminară
95. Instanța de trimitere solicită să se stabilească dacă, în temeiul RGPD, recunoașterea prejudiciului moral este condiționată de „încălc[area] unui drept care are cel puțin o anumită pondere ce depășește neplăcerile cauzate de încălcare”.
96. Drept criteriu pentru ca un prejudiciu să fie reparabil, cererea de decizie preliminară ia în considerare intensitatea experienței trăite de persoana vizată. Cu toate acestea, nu ridică problema (cel puțin nu în mod direct) dacă o anumită emoție sau un anumit sentiment al persoanei vizate este relevant sau irelevant în sensul articolului 82 alineatul (1) din RGPD în lumina conținutului său(69).
97. Astfel, se ridică întrebarea dacă statele membre pot condiționa repararea prejudiciului moral de amploarea consecințelor care decurg din încălcarea normei, inclusiv numai de cele care depășesc un anumit prag de gravitate. Prin urmare, întrebarea nu ar privi elementele susceptibile să dea naștere reparației(70) sau cuantumul despăgubirii, ci existența unui prag minim de reacție a persoanei prejudiciate, sub care aceasta nu ar fi despăgubită.
98. Articolul 82 din RGPD nu oferă un răspuns direct la această întrebare. În opinia noastră, nici considerentele (75) și (85). Ambele conțin o enumerare exemplificativă a prejudiciilor, culminând cu o clauză deschisă care pare să limiteze prejudiciile care trebuie reparate la cele „semnificative”.
99. Totuși, considerăm că aceste considerente nu sunt utile pentru soluționarea îndoielii instanței de trimitere:
– primul se referă la identificarea și la evaluarea riscurilor legate de prelucrarea datelor și la adoptarea de măsuri de prevenire sau de atenuare a acestora. Ilustrează consecințele nedorite ale oricărei prelucrări și pune accentul „în special” pe unele dintre ele, probabil datorită caracterului lor mai grav;
– al doilea se referă la breșele de securitate a datelor și atrage atenția că consecințele acestora pot fi semnificative.
100. Nici conținutul considerentului (146) al RGPD (operatorii de date trebuie plătească despăgubiri „pentru orice prejudiciu”)(71) nu oferă niciun criteriu pentru a răspunde la această întrebare.
101. Ca urmare a transpunerii considerentului respectiv în textul RGPD, acesta din urmă a inclus în mod explicit prejudiciile morale, înlocuind tăcerea Directivei 95/46 în această privință(72). Totuși, nu s‑a abordat în special problema ridicată în prezent în fața Curții.
102. Același considerent (146) al RGPD prevede că „conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament”.
103. Nu suntem siguri că o astfel de indicație ar avea o utilitate prea mare în contextul protecției datelor, deoarece Curtea nu se pronunțase încă în această privință la momentul adoptării RGPD(73). În cazul în care se dorea să se facă referire la hotărârile privind răspunderea civilă în temeiul altor directive sau regulamente, recurgerea la analogii ar fi fost binevenită.
104. În realitate, Curtea nu a elaborat o definiție generală a noțiunii de „prejudicii” care să poată fi aplicată în mod nediscriminatoriu în orice domeniu(74). În ceea ce privește ceea ce este relevant în speță (prejudiciile morale), se poate deduce din jurisprudența sa că:
– atunci când obiectivul (sau unul dintre obiectivele) dispoziției interpretate este protecția individului sau a unei anumite categorii de indivizi(75), noțiunea de prejudiciu trebuie să fie largă;
– în conformitate cu această abordare, despăgubirea se extinde la prejudiciile morale, chiar dacă acestea nu sunt menționate în dispoziția care face obiectul interpretării(76).
105. Deși jurisprudența Curții permite să se considere că, în termenii enunțați, în dreptul Uniunii există un principiu de reparare a prejudiciilor morale, considerăm că din aceasta nu se poate deduce, în schimb, o regulă potrivit căreia orice prejudiciu moral, oricât de grav ar fi, poate fi reparat.
106. Curtea a recunoscut compatibilitatea cu normele europene a reglementării naționale care, în scopul calculării despăgubirii, face distincție între prejudiciile morale legate de vătămările corporale rezultate din accidente în funcție de originea lor(77).
107. De asemenea, aceasta a analizat împrejurările care pot da naștere unor prejudicii morale, în conformitate cu dispoziția aplicabilă în fiecare cauză(78), însă nu s‑a pronunțat în mod explicit (dacă nu ne înșelăm) asupra cerinței privind gravitatea acelor prejudicii(79).
108. În această etapă, considerăm că răspunsul la cea de a treia întrebare preliminară trebuie să fie afirmativ.
109. În susținerea tezei noastre, amintim faptul că RGPD nu are ca unic obiectiv garantarea dreptului fundamental la protecția datelor cu caracter personal(80) și că sistemul său de garanții include mecanisme de diferite tipuri(81).
110. În acest context, este relevantă distincția, propusă Curții, între prejudiciile morale care trebuie reparate și alte inconveniente care rezultă din nerespectarea legii și care, ca urmare a gravității lor minore, nu ar da naștere în mod obligatoriu dreptului la despăgubiri.
111. Această disociere este percepută în sistemele juridice naționale ca un corolar inevitabil al vieții în societate(82). Curtea nu ignoră diferența respectivă, pe care o recunoaște atunci când se referă la dificultăți și la neplăceri ca la o categorie distinctă de cea a prejudiciilor, în domeniile în care consideră că acestea trebuie să fie reparate(83). Nimic nu împiedică transpunerea sa în RGPD.
112. În rest, considerăm că dreptul la despăgubiri prevăzut la articolul 82 alineatul (1) din RGPD nu este instrumentul potrivit pentru a contracara încălcările în domeniul prelucrării datelor cu caracter personal, dacă acestea provoacă persoanei vizate doar furie sau supărare.
113. În principiu, orice încălcare a unei norme privind protecția datelor personale va genera o anumită reacție negativă din partea persoanei vizate. Despăgubirea rezultată dintr‑un simplu sentiment de nemulțumire față de nerespectarea legii este ușor de confundat cu despăgubirea care nu implică existența unui prejudiciu, pe care am respins‑o deja mai sus.
114. Din punct de vedere practic, includerea simplei nemulțumiri printre prejudiciile morale care pot fi compensate nu este eficientă, având în vedere inconvenientele și dificultățile care caracterizează, pentru reclamant, introducerea unei acțiuni în justiție(84) și, pentru pârât, organizarea apărării sale(85).
115. Refuzul unui drept la despăgubiri pentru sentimente sau emoții slabe și trecătoare(86) legate de o încălcare a normelor privind prelucrarea datelor nu lasă persoana vizată complet neajutorată. Astfel cum am arătat în cadrul analizei primei întrebări, sistemul RGPD oferă și alte căi de atac.
116. Nu avem îndoieli în ceea ce privește faptul că granița dintre simplele nemulțumiri (pentru care nu se acordă prejudicii) și prejudiciile morale efective (care trebuie reparate) este una fină și nici nu ignorăm dificultatea de a delimita, în abstract, cele două categorii și de a le aplica, în concret, într‑un litigiu. Această sarcină dificilă revine instanțelor din statele membre, care probabil că nu vor putea, în hotărârile lor, să ocolească percepția societății, la un moment dat, cu privire la toleranța admisibilă atunci când consecințele subiective ale încălcării unei norme în acest domeniu nu depășesc un nivel de minimis(87).
V. Concluzie
117. În temeiul considerațiilor prezentate, propunem să se răspundă Oberster Gerichtshof (Curtea Supremă, Austria) după cum urmează:
„Articolul 82 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) trebuie interpretat în sensul că:
Pentru recunoașterea dreptului la despăgubiri pentru prejudiciile suferite de o persoană ca urmare a unei încălcări a regulamentului menționat, simpla încălcare a normei, în sine, nu este suficientă dacă nu este însoțită de prejudiciile corespunzătoare, materiale sau morale.
Despăgubirile pentru prejudiciile morale pe care le reglementează nu se extind la simpla supărare pe care persoana în cauză o poate resimți ca urmare a încălcării dispozițiilor Regulamentului 2016/679. Este de competența instanțelor naționale să stabilească în ce moment, datorită caracteristicilor sale, sentimentul subiectiv de nemulțumire poate fi considerat, în fiecare caz, drept prejudiciu moral.”