Ediție provizorie
CONCLUZIILE AVOCATULUI GENERAL
DOMNUL ANTHONY MICHAEL COLLINS
prezentate la 26 octombrie 2023(1)
Cauzele conexate C‑182/22 și C‑189/22
JU (C‑182/22)
SO (C‑189/22)
împotriva
Scalable Capital GmbH
[cerere de decizie preliminară formulată de Amtsgericht München (Tribunalul Districtual din München, Germania)]
„Cerere de decizie preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 82 alineatul (1) – Dreptul de a obține despăgubiri pentru prejudiciile cauzate de prelucrarea datelor care încalcă acest regulament – Prejudiciu moral – Furt de date – Furt sau fraudă de identitate”
I. Introducere
1. În două acțiuni în mare măsură identice introduse de JU împotriva societății Scalable Capital GmbH (denumită în continuare „Scalable Capital”) (cauza C‑182/22) și de SO împotriva Scalable Capital (cauza C‑189/22), reclamanții solicită despăgubiri pentru prejudiciile morale pretins suferite ca urmare a ceea ce instanța de trimitere descrie ca fiind furtul(2) de către terți necunoscuți al datelor lor cu caracter personal, stocate pe o aplicație de tranzacționare administrată de Scalable Capital. Terții nu au folosit, până în prezent, aceste date în scopuri frauduloase sau în alte scopuri. Amtsgericht München (Tribunalul Districtual din München, Germania) solicită îndrumări din partea Curții în ceea ce privește interpretarea noțiunii de prejudiciu moral, prevăzută la articolul 82 din Regulamentul (UE) 2016/679(3), și în ceea ce privește condițiile în care pot fi obținute despăgubiri pentru un astfel de prejudiciu. Instanța de trimitere solicită în esență să se stabilească dacă furtul respectivelor date reprezintă „furt de identitate”, noțiune la care se referă considerentul (75) al RGPD.
II. Cadrul juridic – dreptul Uniunii Europene
2. Considerentul (75) al RGPD are următorul conținut:
„Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal […]”
3. Considerentul (85) al RGPD enunță:
„Dacă nu este soluționată la timp și într‑un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]”
4. Considerentul (146) al RGPD este formulat după cum urmează:
„Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. […] Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament. […] Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit. […]”
5. Potrivit articolului 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”:
„(1) Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.
(2) Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.
(3) Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.
[…]”
III. Litigiile principale și întrebările preliminare adresate
6. JU și SO și‑au deschis conturi de investiții pe o aplicație de tranzacționare administrată de Scalable Capital. Pentru a‑și dovedi identitatea, aceștia și‑au înregistrat, fiecare, în aplicație datele cu caracter personal, inclusiv numele, data de naștere, adresa poștală și de e‑mail, precum și copia digitală a cărții lor de identitate(4). Este de necontestat faptul că niște infractori necunoscuți au furat aceste date.
7. Amtsgericht München (Tribunalul Districtual din München) consideră că datele furate sunt relativ sensibile și constată că JU și SO au dreptul să obțină despăgubiri în temeiul articolului 82 din RGPD. Având în vedere că întinderea despăgubirilor care trebuie acordate lui JU și lui SO depinde de interpretarea articolului 82 din RGPD, instanța de trimitere a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Articolul 82 din [RGPD] trebuie interpretat în sensul că dreptul la despăgubiri, inclusiv în cadrul stabilirii întinderii sale, nu are caracterul unei sancțiuni, neavând în special o funcție disuasivă generală sau specifică, ci dreptul la despăgubiri are doar o funcție de compensare și, în anumite cazuri, o funcție de satisfacție?
2.a) În vederea aprecierii dreptului la despăgubiri pentru prejudiciul moral, trebuie să se considere că dreptul la despăgubiri are de asemenea o funcție de satisfacție individuală – înțeleasă în acest caz ca fiind interesul rămas în sfera privată a persoanei vătămate de a vedea sancționat comportamentul cauzator al prejudiciului – sau dreptul la despăgubiri are doar o funcție de compensare, înțeleasă în acest caz ca urmărind să compenseze atingerile suferite?
2.b.1) Dacă este necesar să se considere că dreptul la despăgubiri pentru prejudiciul moral are atât o funcție de compensare, cât și o funcție de satisfacție, în cadrul aprecierii sale, trebuie să se considere că funcția de compensare are o prioritate structurală sau, cel puțin, se află într‑un raport de tip regulă‑excepție față de funcția de satisfacție? Aceasta are drept consecință faptul că o funcție de satisfacție nu poate fi luată în considerare decât în cazul unor încălcări săvârșite în mod intenționat sau din neglijență gravă?
2.b.2) În cazul în care dreptul la despăgubiri pentru prejudiciul moral nu are o funcție de satisfacție, în cadrul aprecierii sale, numai încălcările protecției datelor săvârșite în mod intenționat sau din neglijență gravă prezintă o importanță suplimentară în ceea ce privește evaluarea contribuțiilor la cauzarea prejudiciului?
3) În vederea înțelegerii despăgubirilor pentru prejudiciul moral, în cadrul aprecierii acestora trebuie să se pornească de la premisa unei ierarhii structurale sau, cel puțin, a unei ierarhii de tip regulă‑excepție, în care experiența atingerii aduse de o încălcare a datelor prezintă o importanță mai redusă decât experiența atingerii și a durerii legate de o vătămare corporală?
4) Atunci când se presupune că există un prejudiciu, o instanță națională are posibilitatea, având în vedere lipsa de gravitate, de a nu acorda decât despăgubiri materiale minore și, prin urmare, în anumite cazuri, care sunt percepute de către partea vătămată sau în general ca fiind doar simbolice?
5) În vederea înțelegerii despăgubirilor pentru prejudiciul moral, în cadrul aprecierii consecințelor acestuia, trebuie să se considere că există un furt de identitate în sensul considerentului (75) al [RGPD] numai în cazul în care un infractor și‑a asumat în mod efectiv identitatea persoanei vizate, cu alte cuvinte, s‑a prezentat, sub o formă sau alta, ca fiind persoana vizată, sau există deja un asemenea furt de identitate în împrejurarea în care infractorul dispune între timp de date care permit identificarea persoanei vizate?”
IV. Procedura în fața Curții
8. Prin decizia din 19 aprilie 2022, președintele Curții de Justiție a conexat cauzele C‑182/22 și C‑189/22 pentru buna desfășurare a procedurii scrise și orale, precum și în vederea pronunțării hotărârii.
9. La 1 iunie 2022, președintele Curții a respins cererea formulată de Scalable Capital de a anonimiza prezenta procedură în temeiul articolului 95 alineatul (2) din Regulamentul de procedură al Curții de Justiție.
10. SO, Scalable Capital, Irlanda și Comisia Europeană au depus observații scrise.
11. Vom analiza mai întâi obiecțiile care au fost ridicate în ceea ce privește admisibilitatea întrebărilor adresate înainte de a propune Curții, conform cererii sale, modul în care aceasta ar trebui să răspundă la cea de a cincea întrebare.
V. Apreciere
A. Admisibilitate
12. Potrivit Scalable Capital, pierderea controlului asupra datelor cu caracter personal, fără alte consecințe pentru persoana vizată, nu dă naștere unui prejudiciu moral în sensul articolului 82 alineatul (1) din RGPD. Textul, structura generală și obiectul articolului 82 din RGPD nu susțin existența unei prezumții potrivit căreia un astfel de prejudiciu se materializează ca urmare a unei astfel de pierderi a controlului. Instanța de trimitere a săvârșit, așadar, o eroare atunci când a presupus că JU și SO au suferit un prejudiciu moral. Prin urmare, cererile de decizie preliminară nu au relevanță pentru soluționarea acțiunilor introduse în fața instanței de trimitere și sunt, așadar, inadmisibile.
13. Comisia consideră că relevanța celei de a cincea întrebări pentru soluționarea acțiunilor introduse în fața instanței de trimitere nu este clară. Instanța de trimitere se referă doar la interpretările divergente ale părților în ceea ce privește legea și constată că „furtul de identitate are loc doar când date dobândite ilegal sunt utilizate în scopul simulării identității persoanei vizate”. Cea de a cincea întrebare nu solicită Curții nici să interpreteze o anumită dispoziție din RGPD.
14. Potrivit jurisprudenței constante a Curții, întrebările referitoare la interpretarea dreptului Uniunii adresate de o instanță națională beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe cu privire la astfel de întrebări doar în cazul în care este evident că interpretarea dreptului Uniunii solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util întrebării respective(5).
15. Obiecția ridicată de Scalable Capital cu privire la admisibilitatea tuturor întrebărilor adresate se întemeiază pe interpretarea pe care aceasta o dă articolului 82 din RGPD, pe dreptul la despăgubiri și pe pretinsa lipsă a unui prejudiciu moral. Întrebările adresate privesc dreptul persoanelor vizate la obținerea de despăgubiri în temeiul articolului 82 din RGPD. Stabilirea existenței unui prejudiciu constituie o condiție prealabilă necesară pentru a obține astfel de despăgubiri(6). Obiecția ridicată de Scalable Capital cu privire la admisibilitatea cererilor de decizie preliminară ține, așadar, de fondul întrebărilor pe care acestea le ridică. Prin natura lor, argumentele care țin de fondul întrebărilor ridicate printr‑o cerere de decizie preliminară nu pot afecta admisibilitatea respectivei cereri(7).
16. În ceea ce privește obiecția ridicată de Comisie cu privire la admisibilitatea celei de a cincea întrebări, nu reiese în mod clar că această întrebare fie nu are nicio legătură cu acțiunile introduse în fața instanței de trimitere, fie este de natură ipotetică. Instanța de trimitere este sesizată cu acțiuni în obținerea de despăgubiri în temeiul RGPD. Părțile nu sunt de acord asupra aspectului dacă furtul de date cu caracter personal constituie furtul de identitate la care face referire considerentul (75) al RGPD sau dacă, pentru existența unui furt de identitate, „un infractor trebuie să‑și fi însușit în mod efectiv identitatea persoanelor vizate”(8). Deși observațiile instanței de trimitere cu privire la cea de a cincea întrebare sunt succinte, cererile de decizie preliminară dezvăluie faptul că această întrebare este legată de celelalte patru întrebări pe care aceasta le‑a adresat în legătură cu noțiunea de prejudiciu moral și cu dreptul la obținerea de despăgubiri în temeiul articolului 82 din RGPD.
17. Prin urmare, propunem Curții să respingă diversele obiecții ridicate cu privire la admisibilitatea întrebărilor adresate de Amtsgericht München (Tribunalul Districtual din München).
B. Fondul cauzelor
1. Observațiile părților
18. Potrivit SO, considerentul (85) al RGPD face o distincție clară între furtul de identitate și frauda de identitate. Furtul de identitate presupune posibilitatea ca infractorul să utilizeze abuziv identitatea unei persoane prin inducerea altor persoane în eroare în legătură cu respectiva identitate. Frauda de identitate poate fi săvârșită doar ca urmare a furtului de identitate. Rezultă că furtul de identitate nu impune utilizarea nelegală efectivă a identității unei persoane. Natura și întinderea datelor furate în prezenta cauză dau naștere unei prezumții potrivit căreia furtul de identitate a avut loc, generând un drept la despăgubiri în temeiul acestei prezumții.
19. Scalable Capital susține că furtul de identitate are loc atunci când o persoană utilizează în mod nelegal datele personale ale altei persoane în scopul „simulării” identității respectivei persoane. Furtul anumitor date poate conduce la furtul de identitate sau poate facilita acest furt, însă nu echivalează în sine cu furtul de identitate. Interpretarea sistematică a considerentului (75) al RGPD oferă sprijin în favoarea acestei abordări, întrucât celelalte exemple prevăzute în această dispoziție indică faptul că posibilitatea de a face uz de anumite date cu caracter personal nu constituie furt de identitate. Obiectivul articolului 82 din RGPD constă în acordarea de despăgubiri pentru prejudiciul pe care îl suferă efectiv persoanele fizice. O interpretare extinsă a noțiunii de furt de identitate este contrară acestui scop, întrucât ar justifica o acțiune în obținerea de despăgubiri prin posibilitatea abstractă ca prejudiciul să poată fi produs în viitor.
20. Irlanda susține că furtul de identitate se referă la situațiile în care o persoană își însușește efectiv identitatea persoanei ale cărei date au fost dobândite în mod abuziv. Pentru ca furtul de identitate să aibă loc, este, așadar, insuficient ca o persoană să fie în posesia datelor care identifică o persoană vizată. Despăgubirile pentru prejudiciul moral suferit, care pot fi obținute în temeiul articolului 82 din RGPD, trebuie în orice caz să fie evaluate în funcție de situația de fapt concretă a fiecărei cauze în parte.
21. Comisia observă că RGPD nu definește furtul de identitate. Considerentele (75) și (85) ale RGPD se referă la furtul de identitate ca exemplu de prelucrare a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală. Potrivit Comisiei, furtul de identitate la care fac referire aceste considerente constă în obținerea nelegală de date în scopul „simulării identității” persoanei vizate(9). Pentru a dovedi existența furtului de identitate, intenția infractorului de a‑și însuși identitatea persoanei vizate trebuie dovedită prin raportare la acțiuni sau acte pregătitoare concrete în acest scop. Întrucât rezultă dintr‑o jurisprudență constantă faptul că prejudiciul trebuie să fie „real și cert”(10), simpla deținere a datelor de identificare a persoanei vizate, fără adoptarea vreunei măsuri în scopul însușirii identității persoanei vizate, nu constituie furt de identitate.
2. Analiză
22. Prin intermediul celei de a cincea întrebări adresate de instanța de trimitere se urmărește stabilirea aspectului dacă simplul furt de date sensibile cu caracter personal ale unei persoane vizate(11) de către un infractor necunoscut constituie furt de identitate, dând astfel naștere dreptului de a obține despăgubiri, sau dacă, pentru ca furtul de identitate să aibă loc, infractorul trebuie să își însușească în mod efectiv identitatea persoanei vizate sau să adopte măsuri în acest scop. Această întrebare este ridicată în contextul constatării că infractori necunoscuți au furat anumite date sensibile cu caracter personal ale lui JU și ale lui SO din aplicația de tranzacționare deținută de Scalable Capital. Deși nu pare să fi avut loc o utilizare (abuzivă) ulterioară a datelor, întrucât identitatea infractorilor este necunoscută și aceștia nu sunt încă reținuți, nu este posibilă excluderea unei astfel de utilizări (abuzive) viitoare.
23. Articolul 82 din RGPD confirmă în termeni generali(12) dreptul oricărei persoane vizate care a suferit „un prejudiciu material sau moral” ca urmare a unei încălcări a RGPD de a obține despăgubiri și dreptul la o răspundere împărțită între operator (operatori) și/sau persoana (persoanele) împuternicită (împuternicite) de operator. Această dispoziție nu identifică nici natura specifică a unui astfel de prejudiciu, nici forma acestuia. RGPD nu face trimitere la legislațiile statelor membre pentru a defini sensul și domeniul de aplicare al termenului „prejudiciu moral”(13). Acest termen trebuie considerat, așadar, ca fiind o noțiune autonomă a dreptului Uniunii, care trebuie interpretată în mod uniform în toate statele membre(14).
24. Dreptul la despăgubiri prevăzut la articolul 82 din RGPD poate fi conferit cu condiția dovedirii existenței unei încălcări a RGPD, a unui „prejudiciu efectiv suferit” și a unei legături de cauzalitate între acest prejudiciu și această încălcare(15). [RGPD] nu instituie un regim de răspundere obiectivă(16). Funcția compensatorie a regimului instituit de articolul 82 alineatul (1) din [RGPD] exclude și plata unor daune‑interese punitive(17). O astfel de despăgubire trebuie să fie integrală și eficace, fiind astfel necesară „compensarea integrală a prejudiciului concret suferit ca urmare a încălcării [RGPD]”(18). Prejudiciul moral suferit de persoana vizată nu trebuie să atingă un anumit nivel de gravitate(19). Deși nu există un prag minim în ceea ce privește nivelul de gravitate a prejudiciului moral, trebuie să existe o dovadă clară și precisă că persoana vizată a suferit un astfel de prejudiciu. Producerea potențială sau ipotetică a unui prejudiciu(20) ori simpla îngrijorare cu privire la furtul datelor cu caracter personal ale unei persoane este insuficientă.
25. Articolul 82 alineatul (3) din RGPD exonerează de răspundere operatorul sau persoana împuternicită de operator „dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul”. Curtea nu a avut ocazia să examineze în detaliu articolul 82 alineatul (3) din RGPD. O interpretare literală a acestei dispoziții pare să prevadă că orice neglijență sau abatere (semnificativă) a operatorului sau a persoanei împuternicite de operator este suficientă pentru a exclude aplicarea acestei exonerări. În plus, sarcina probei(21), pe care această dispoziție o impune operatorului (operatorilor) sau persoanei (persoanelor) împuternicite de operator care urmărește să se prevaleze de exonerare, poate necesita punerea în aplicare a unor măsuri permanente, destinate să prevină încălcările securității datelor(22).
26. Furtul datelor cu caracter personal ale unei persoane vizate dă naștere dreptului la despăgubiri pentru prejudiciul moral suferit, în temeiul articolului 82 alineatul (1) din RGPD, atunci când sunt îndeplinite cele trei condiții prevăzute în Hotărârea Österreichische Post(23). Potrivit considerentului (7) al RGPD, „[p]ersoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal”. Împrejurarea că persoanele vizate ar putea fi „împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal”(24) sau împrejurarea că persoanele fizice și‑ar putea pierde „controlul asupra datelor lor cu caracter personal”(25) poate conduce la prejudicii morale. Acesta este contextul în care instanța de trimitere urmărește să afle dacă furtul datelor cu caracter personal constituie furt de identitate.
27. Prevederile RGPD aplicabile în speță nici nu fac referire la furtul de identitate, nici nu definesc această noțiune. Considerentele (75) și (85) ale RGPD se referă pur și simplu la „furtul sau frauda de identitate”. Considerentul (75) menționează „furtul sau frauda identității” drept unul dintre exemplele enumerate într‑o listă fără caracter exhaustiv(26), care prezintă un risc pentru exercitarea de către persoanele fizice a drepturilor și a libertăților lor ca urmare a unei prelucrări a datelor lor cu caracter personal. În mod similar, considerentul (85) al RGPD se referă la „furtul sau frauda de identitate”, ca un exemplu(27) de prejudicii care pot rezulta ca urmare a nesoluționării la timp și într‑un mod adecvat a unei încălcări a securității datelor cu caracter personal(28).
28. O serie de considerente(29) și de dispoziții(30) prevăzute în alte reglementări ale Uniunii se referă la termeni precum „furt de identitate”(31), „fraudă de identitate” și „furt sau fraudă a identității”(32). Nu am identificat nicio dispoziție prevăzută în legislația Uniunii care să definească acești termeni(33). Prin urmare, legiuitorul Uniunii face referire la acești termeni doar în scop exemplificativ(34).
29. Acest lucru reiese în mod evident și din analiza diverselor versiuni lingvistice ale acestor termeni din considerentele (75) și (85) ale RGPD. În timp ce versiunile în limba germană (Identitätsdiebstahl oder -betrug), în limba engleză (identity theft or fraud), în limba estonă (identiteedivargust või -pettust), în limba irlandeză (goid aitheantais nó calaois aitheantais), în limba lituaniană (būti pavogta ar suklastota tapatybė), în limba neerlandeză (identiteitsdiefstal of - fraude), în limba polonă (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), în limba română (furt sau fraudă a identității) și în limba slovacă (krádeži totožnosti alebo podvodu) sunt foarte similare, alte versiuni lingvistice diferă de acestea într‑o mai mică sau mai mare măsură: versiunile în limba cehă (krádeži či zneužití identity), în limba franceză (vol ou une usurpation d᾽identité), în limba greacă (κατάχρηση ή υποκλοπή ταυτότητας), în limba portugheză (usurpação ou roubo da identidade), în limba italiană (furto o usurpazione d᾽identità) și în limba spaniolă (usurpación de identidad o fraude). Diferitele versiuni lingvistice ale considerentelor pertinente ale RGPD indică faptul că termenii furt de identitate, fraudă a identității, abuz de identitate, utilizare abuzivă a identității, însușire abuzivă a identității și uzurpare a identității se suprapun și pot fi considerați, cel puțin într‑o anumită măsură, ca fiind interschimbabili. Rezultă că considerentele (75) și (85) ale RGPD nu fac o distincție clară între noțiunea de furt de identitate și cea de fraudă a identității, contrar celor susținute de SO, astfel cum acestea sunt prezentate la punctul 18 din prezentele concluzii.
30. Considerentele (75) și (85) ale RGPD fac distincție între exemplul referitor la „pierderea controlului” sau cel referitor la imposibilitatea persoanelor vizate de a‑și „exercita controlul” asupra datelor lor cu caracter personal și exemplul referitor la „furtul sau frauda de identitate”. Prin urmare, furtul de date cu caracter personal(35) în sine nu constituie furt de identitate, chiar dacă acest furt poate conduce la o viitoare utilizare (abuzivă) a acestor date. Furtul de identitate impune obligativitatea existenței unei acțiuni sau măsuri suplimentare cu efecte dăunătoare pentru persoana vizată, care depășește sfera de aplicare a furtului de date cu caracter personal(36). Persoana care fură datele cu caracter personal ale unei persoane vizate trebuie să utilizeze (abuziv) aceste date sau trebuie să adopte măsuri concrete pentru a le utiliza (abuziv) în scopuri ilegale, fără consimțământul respectivei persoane(37). Astfel de acțiuni presupun în mod obișnuit existența unei fraude sau a altei forme de înșelăciune și sunt în general întreprinse pentru obținerea unui câștig financiar sau de altă natură ori pentru a aduce atingere persoanei vizate sau anturajului său(38).
31. Din cele prezentate mai sus rezultă că, deși furtul de date cu caracter personal nu constituie furt de identitate sau fraudă a identității, acesta poate da naștere unui prejudiciu moral și unui drept de a obține despăgubiri în temeiul articolului 82 alineatul (1) din RGPD(39). Dovada existenței unui prejudiciu moral poate fi mai ușor de efectuat în cazul în care se constată că o persoană vizată a fost victima unui furt de identitate sau a unei fraude a identității ca urmare a furtului datelor sale cu caracter personal(40). Cu toate acestea, dreptul de a obține despăgubiri pentru un prejudiciu moral conform articolului 82 alineatul (1) din RGPD ca urmare a furtului de date cu caracter personal nu este condiționat de existența unui furt sau a unei fraude de identitate(41). Prejudiciul moral și dreptul de a obține despăgubiri în temeiul articolului 82 alineatul (1) din RGPD trebuie evaluate în funcție de fiecare cauză în parte, luând în considerare toate circumstanțele specifice acesteia.
VI. Concluzie
32. În lumina considerațiilor de mai sus, propunem Curții să răspundă la cea de a cincea întrebare adresată de Amtsgericht München (Tribunalul Districtual din München, Germania) după cum urmează:
Articolul 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că furtul de către un infractor necunoscut al datelor sensibile cu caracter personal ale unei persoane vizate poate da naștere dreptului de a obține despăgubiri pentru un prejudiciu moral, cu condiția dovedirii existenței unei încălcări a Regulamentului general privind protecția datelor, a unui prejudiciu efectiv suferit și a unei legături de cauzalitate între prejudiciu și respectiva încălcare. Acordarea unor astfel de despăgubiri nu impune infractorului să își însușească identitatea persoanei vizate, iar deținerea propriu‑zisă a datelor care identifică persoana vizată nu constituie furt de identitate.