Ediție provizorie

CONCLUZIILE AVOCATULUI GENERAL

DOMNUL ANTHONY MICHAEL COLLINS

prezentate la 26 octombrie 2023(1)

Cauzele conexate C‑182/22 și C‑189/22

JU (C‑182/22)

SO (C‑189/22)

împotriva

Scalable Capital GmbH

[cerere de decizie preliminară formulată de Amtsgericht München (Tribunalul Districtual din München, Germania)]

„Cerere de decizie preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 82 alineatul (1) – Dreptul de a obține despăgubiri pentru prejudiciile cauzate de prelucrarea datelor care încalcă acest regulament – Prejudiciu moral – Furt de date – Furt sau fraudă de identitate”

I.      Introducere

1.        În două acțiuni în mare măsură identice introduse de JU împotriva societății Scalable Capital GmbH (denumită în continuare „Scalable Capital”) (cauza C‑182/22) și de SO împotriva Scalable Capital (cauza C‑189/22), reclamanții solicită despăgubiri pentru prejudiciile morale pretins suferite ca urmare a ceea ce instanța de trimitere descrie ca fiind furtul(2) de către terți necunoscuți al datelor lor cu caracter personal, stocate pe o aplicație de tranzacționare administrată de Scalable Capital. Terții nu au folosit, până în prezent, aceste date în scopuri frauduloase sau în alte scopuri. Amtsgericht München (Tribunalul Districtual din München, Germania) solicită îndrumări din partea Curții în ceea ce privește interpretarea noțiunii de prejudiciu moral, prevăzută la articolul 82 din Regulamentul (UE) 2016/679(3), și în ceea ce privește condițiile în care pot fi obținute despăgubiri pentru un astfel de prejudiciu. Instanța de trimitere solicită în esență să se stabilească dacă furtul respectivelor date reprezintă „furt de identitate”, noțiune la care se referă considerentul (75) al RGPD.

II.    Cadrul juridic – dreptul Uniunii Europene

2.        Considerentul (75) al RGPD are următorul conținut:

„Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal […]”

3.        Considerentul (85) al RGPD enunță:

„Dacă nu este soluționată la timp și într‑un mod adecvat, o încălcare a securității datelor cu caracter personal poate conduce la prejudicii fizice, materiale sau morale aduse persoanelor fizice, cum ar fi pierderea controlului asupra datelor lor cu caracter personal sau limitarea drepturilor lor, discriminare, furt sau fraudă de identitate, pierdere financiară, inversarea neautorizată a pseudonimizării, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional sau orice alt dezavantaj semnificativ de natură economică sau socială adus persoanei fizice în cauză. […]”

4.        Considerentul (146) al RGPD este formulat după cum urmează:

„Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament. […] Conceptul de prejudiciu ar trebui interpretat în sens larg, din perspectiva jurisprudenței Curții de Justiție, într‑un mod care să reflecte pe deplin obiectivele prezentului regulament. […] Persoanele vizate ar trebui să primească despăgubiri integrale și eficace pentru prejudiciul pe care l‑au suferit. […]”

5.        Potrivit articolului 82 din RGPD, intitulat „Dreptul la despăgubiri și răspunderea”:

„(1)      Orice persoană care a suferit un prejudiciu material sau moral ca urmare a unei încălcări a prezentului regulament are dreptul să obțină despăgubiri de la operator sau de la persoana împuternicită de operator pentru prejudiciul suferit.

(2)      Orice operator implicat în operațiunile de prelucrare este răspunzător pentru prejudiciul cauzat de operațiunile sale de prelucrare care încalcă prezentul regulament. Persoana împuternicită de operator este răspunzătoare pentru prejudiciul cauzat de prelucrare numai în cazul în care nu a respectat obligațiile din prezentul regulament care revin în mod specific persoanelor împuternicite de operator sau a acționat în afara sau în contradicție cu instrucțiunile legale ale operatorului.

(3)      Operatorul sau persoana împuternicită de operator este exonerat(ă) de răspundere în temeiul alineatului (2) dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul.

[…]”

III. Litigiile principale și întrebările preliminare adresate

6.        JU și SO și‑au deschis conturi de investiții pe o aplicație de tranzacționare administrată de Scalable Capital. Pentru a‑și dovedi identitatea, aceștia și‑au înregistrat, fiecare, în aplicație datele cu caracter personal, inclusiv numele, data de naștere, adresa poștală și de e‑mail, precum și copia digitală a cărții lor de identitate(4). Este de necontestat faptul că niște infractori necunoscuți au furat aceste date.

7.        Amtsgericht München (Tribunalul Districtual din München) consideră că datele furate sunt relativ sensibile și constată că JU și SO au dreptul să obțină despăgubiri în temeiul articolului 82 din RGPD. Având în vedere că întinderea despăgubirilor care trebuie acordate lui JU și lui SO depinde de interpretarea articolului 82 din RGPD, instanța de trimitere a decis să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      Articolul 82 din [RGPD] trebuie interpretat în sensul că dreptul la despăgubiri, inclusiv în cadrul stabilirii întinderii sale, nu are caracterul unei sancțiuni, neavând în special o funcție disuasivă generală sau specifică, ci dreptul la despăgubiri are doar o funcție de compensare și, în anumite cazuri, o funcție de satisfacție?

2.a)      În vederea aprecierii dreptului la despăgubiri pentru prejudiciul moral, trebuie să se considere că dreptul la despăgubiri are de asemenea o funcție de satisfacție individuală – înțeleasă în acest caz ca fiind interesul rămas în sfera privată a persoanei vătămate de a vedea sancționat comportamentul cauzator al prejudiciului – sau dreptul la despăgubiri are doar o funcție de compensare, înțeleasă în acest caz ca urmărind să compenseze atingerile suferite?

2.b.1)      Dacă este necesar să se considere că dreptul la despăgubiri pentru prejudiciul moral are atât o funcție de compensare, cât și o funcție de satisfacție, în cadrul aprecierii sale, trebuie să se considere că funcția de compensare are o prioritate structurală sau, cel puțin, se află într‑un raport de tip regulă‑excepție față de funcția de satisfacție? Aceasta are drept consecință faptul că o funcție de satisfacție nu poate fi luată în considerare decât în cazul unor încălcări săvârșite în mod intenționat sau din neglijență gravă?

2.b.2)      În cazul în care dreptul la despăgubiri pentru prejudiciul moral nu are o funcție de satisfacție, în cadrul aprecierii sale, numai încălcările protecției datelor săvârșite în mod intenționat sau din neglijență gravă prezintă o importanță suplimentară în ceea ce privește evaluarea contribuțiilor la cauzarea prejudiciului?

3)      În vederea înțelegerii despăgubirilor pentru prejudiciul moral, în cadrul aprecierii acestora trebuie să se pornească de la premisa unei ierarhii structurale sau, cel puțin, a unei ierarhii de tip regulă‑excepție, în care experiența atingerii aduse de o încălcare a datelor prezintă o importanță mai redusă decât experiența atingerii și a durerii legate de o vătămare corporală?

4)      Atunci când se presupune că există un prejudiciu, o instanță națională are posibilitatea, având în vedere lipsa de gravitate, de a nu acorda decât despăgubiri materiale minore și, prin urmare, în anumite cazuri, care sunt percepute de către partea vătămată sau în general ca fiind doar simbolice?

5)      În vederea înțelegerii despăgubirilor pentru prejudiciul moral, în cadrul aprecierii consecințelor acestuia, trebuie să se considere că există un furt de identitate în sensul considerentului (75) al [RGPD] numai în cazul în care un infractor și‑a asumat în mod efectiv identitatea persoanei vizate, cu alte cuvinte, s‑a prezentat, sub o formă sau alta, ca fiind persoana vizată, sau există deja un asemenea furt de identitate în împrejurarea în care infractorul dispune între timp de date care permit identificarea persoanei vizate?”

IV.    Procedura în fața Curții

8.        Prin decizia din 19 aprilie 2022, președintele Curții de Justiție a conexat cauzele C‑182/22 și C‑189/22 pentru buna desfășurare a procedurii scrise și orale, precum și în vederea pronunțării hotărârii.

9.        La 1 iunie 2022, președintele Curții a respins cererea formulată de Scalable Capital de a anonimiza prezenta procedură în temeiul articolului 95 alineatul (2) din Regulamentul de procedură al Curții de Justiție.

10.      SO, Scalable Capital, Irlanda și Comisia Europeană au depus observații scrise.

11.      Vom analiza mai întâi obiecțiile care au fost ridicate în ceea ce privește admisibilitatea întrebărilor adresate înainte de a propune Curții, conform cererii sale, modul în care aceasta ar trebui să răspundă la cea de a cincea întrebare.

V.      Apreciere

A.      Admisibilitate

12.      Potrivit Scalable Capital, pierderea controlului asupra datelor cu caracter personal, fără alte consecințe pentru persoana vizată, nu dă naștere unui prejudiciu moral în sensul articolului 82 alineatul (1) din RGPD. Textul, structura generală și obiectul articolului 82 din RGPD nu susțin existența unei prezumții potrivit căreia un astfel de prejudiciu se materializează ca urmare a unei astfel de pierderi a controlului. Instanța de trimitere a săvârșit, așadar, o eroare atunci când a presupus că JU și SO au suferit un prejudiciu moral. Prin urmare, cererile de decizie preliminară nu au relevanță pentru soluționarea acțiunilor introduse în fața instanței de trimitere și sunt, așadar, inadmisibile.

13.      Comisia consideră că relevanța celei de a cincea întrebări pentru soluționarea acțiunilor introduse în fața instanței de trimitere nu este clară. Instanța de trimitere se referă doar la interpretările divergente ale părților în ceea ce privește legea și constată că „furtul de identitate are loc doar când date dobândite ilegal sunt utilizate în scopul simulării identității persoanei vizate”. Cea de a cincea întrebare nu solicită Curții nici să interpreteze o anumită dispoziție din RGPD.

14.      Potrivit jurisprudenței constante a Curții, întrebările referitoare la interpretarea dreptului Uniunii adresate de o instanță națională beneficiază de o prezumție de pertinență. Curtea poate refuza să se pronunțe cu privire la astfel de întrebări doar în cazul în care este evident că interpretarea dreptului Uniunii solicitată nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util întrebării respective(5).

15.      Obiecția ridicată de Scalable Capital cu privire la admisibilitatea tuturor întrebărilor adresate se întemeiază pe interpretarea pe care aceasta o dă articolului 82 din RGPD, pe dreptul la despăgubiri și pe pretinsa lipsă a unui prejudiciu moral. Întrebările adresate privesc dreptul persoanelor vizate la obținerea de despăgubiri în temeiul articolului 82 din RGPD. Stabilirea existenței unui prejudiciu constituie o condiție prealabilă necesară pentru a obține astfel de despăgubiri(6). Obiecția ridicată de Scalable Capital cu privire la admisibilitatea cererilor de decizie preliminară ține, așadar, de fondul întrebărilor pe care acestea le ridică. Prin natura lor, argumentele care țin de fondul întrebărilor ridicate printr‑o cerere de decizie preliminară nu pot afecta admisibilitatea respectivei cereri(7).

16.      În ceea ce privește obiecția ridicată de Comisie cu privire la admisibilitatea celei de a cincea întrebări, nu reiese în mod clar că această întrebare fie nu are nicio legătură cu acțiunile introduse în fața instanței de trimitere, fie este de natură ipotetică. Instanța de trimitere este sesizată cu acțiuni în obținerea de despăgubiri în temeiul RGPD. Părțile nu sunt de acord asupra aspectului dacă furtul de date cu caracter personal constituie furtul de identitate la care face referire considerentul (75) al RGPD sau dacă, pentru existența unui furt de identitate, „un infractor trebuie să‑și fi însușit în mod efectiv identitatea persoanelor vizate”(8). Deși observațiile instanței de trimitere cu privire la cea de a cincea întrebare sunt succinte, cererile de decizie preliminară dezvăluie faptul că această întrebare este legată de celelalte patru întrebări pe care aceasta le‑a adresat în legătură cu noțiunea de prejudiciu moral și cu dreptul la obținerea de despăgubiri în temeiul articolului 82 din RGPD.

17.      Prin urmare, propunem Curții să respingă diversele obiecții ridicate cu privire la admisibilitatea întrebărilor adresate de Amtsgericht München (Tribunalul Districtual din München).

B.      Fondul cauzelor

1.      Observațiile părților

18.      Potrivit SO, considerentul (85) al RGPD face o distincție clară între furtul de identitate și frauda de identitate. Furtul de identitate presupune posibilitatea ca infractorul să utilizeze abuziv identitatea unei persoane prin inducerea altor persoane în eroare în legătură cu respectiva identitate. Frauda de identitate poate fi săvârșită doar ca urmare a furtului de identitate. Rezultă că furtul de identitate nu impune utilizarea nelegală efectivă a identității unei persoane. Natura și întinderea datelor furate în prezenta cauză dau naștere unei prezumții potrivit căreia furtul de identitate a avut loc, generând un drept la despăgubiri în temeiul acestei prezumții.

19.      Scalable Capital susține că furtul de identitate are loc atunci când o persoană utilizează în mod nelegal datele personale ale altei persoane în scopul „simulării” identității respectivei persoane. Furtul anumitor date poate conduce la furtul de identitate sau poate facilita acest furt, însă nu echivalează în sine cu furtul de identitate. Interpretarea sistematică a considerentului (75) al RGPD oferă sprijin în favoarea acestei abordări, întrucât celelalte exemple prevăzute în această dispoziție indică faptul că posibilitatea de a face uz de anumite date cu caracter personal nu constituie furt de identitate. Obiectivul articolului 82 din RGPD constă în acordarea de despăgubiri pentru prejudiciul pe care îl suferă efectiv persoanele fizice. O interpretare extinsă a noțiunii de furt de identitate este contrară acestui scop, întrucât ar justifica o acțiune în obținerea de despăgubiri prin posibilitatea abstractă ca prejudiciul să poată fi produs în viitor.

20.      Irlanda susține că furtul de identitate se referă la situațiile în care o persoană își însușește efectiv identitatea persoanei ale cărei date au fost dobândite în mod abuziv. Pentru ca furtul de identitate să aibă loc, este, așadar, insuficient ca o persoană să fie în posesia datelor care identifică o persoană vizată. Despăgubirile pentru prejudiciul moral suferit, care pot fi obținute în temeiul articolului 82 din RGPD, trebuie în orice caz să fie evaluate în funcție de situația de fapt concretă a fiecărei cauze în parte.

21.      Comisia observă că RGPD nu definește furtul de identitate. Considerentele (75) și (85) ale RGPD se referă la furtul de identitate ca exemplu de prelucrare a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală. Potrivit Comisiei, furtul de identitate la care fac referire aceste considerente constă în obținerea nelegală de date în scopul „simulării identității” persoanei vizate(9). Pentru a dovedi existența furtului de identitate, intenția infractorului de a‑și însuși identitatea persoanei vizate trebuie dovedită prin raportare la acțiuni sau acte pregătitoare concrete în acest scop. Întrucât rezultă dintr‑o jurisprudență constantă faptul că prejudiciul trebuie să fie „real și cert”(10), simpla deținere a datelor de identificare a persoanei vizate, fără adoptarea vreunei măsuri în scopul însușirii identității persoanei vizate, nu constituie furt de identitate.

2.      Analiză

22.      Prin intermediul celei de a cincea întrebări adresate de instanța de trimitere se urmărește stabilirea aspectului dacă simplul furt de date sensibile cu caracter personal ale unei persoane vizate(11) de către un infractor necunoscut constituie furt de identitate, dând astfel naștere dreptului de a obține despăgubiri, sau dacă, pentru ca furtul de identitate să aibă loc, infractorul trebuie să își însușească în mod efectiv identitatea persoanei vizate sau să adopte măsuri în acest scop. Această întrebare este ridicată în contextul constatării că infractori necunoscuți au furat anumite date sensibile cu caracter personal ale lui JU și ale lui SO din aplicația de tranzacționare deținută de Scalable Capital. Deși nu pare să fi avut loc o utilizare (abuzivă) ulterioară a datelor, întrucât identitatea infractorilor este necunoscută și aceștia nu sunt încă reținuți, nu este posibilă excluderea unei astfel de utilizări (abuzive) viitoare.

23.      Articolul 82 din RGPD confirmă în termeni generali(12) dreptul oricărei persoane vizate care a suferit „un prejudiciu material sau moral” ca urmare a unei încălcări a RGPD de a obține despăgubiri și dreptul la o răspundere împărțită între operator (operatori) și/sau persoana (persoanele) împuternicită (împuternicite) de operator. Această dispoziție nu identifică nici natura specifică a unui astfel de prejudiciu, nici forma acestuia. RGPD nu face trimitere la legislațiile statelor membre pentru a defini sensul și domeniul de aplicare al termenului „prejudiciu moral”(13). Acest termen trebuie considerat, așadar, ca fiind o noțiune autonomă a dreptului Uniunii, care trebuie interpretată în mod uniform în toate statele membre(14).

24.      Dreptul la despăgubiri prevăzut la articolul 82 din RGPD poate fi conferit cu condiția dovedirii existenței unei încălcări a RGPD, a unui „prejudiciu efectiv suferit” și a unei legături de cauzalitate între acest prejudiciu și această încălcare(15). [RGPD] nu instituie un regim de răspundere obiectivă(16). Funcția compensatorie a regimului instituit de articolul 82 alineatul (1) din [RGPD] exclude și plata unor daune‑interese punitive(17). O astfel de despăgubire trebuie să fie integrală și eficace, fiind astfel necesară „compensarea integrală a prejudiciului concret suferit ca urmare a încălcării [RGPD]”(18). Prejudiciul moral suferit de persoana vizată nu trebuie să atingă un anumit nivel de gravitate(19). Deși nu există un prag minim în ceea ce privește nivelul de gravitate a prejudiciului moral, trebuie să existe o dovadă clară și precisă că persoana vizată a suferit un astfel de prejudiciu. Producerea potențială sau ipotetică a unui prejudiciu(20) ori simpla îngrijorare cu privire la furtul datelor cu caracter personal ale unei persoane este insuficientă.

25.      Articolul 82 alineatul (3) din RGPD exonerează de răspundere operatorul sau persoana împuternicită de operator „dacă dovedește că nu este răspunzător (răspunzătoare) în niciun fel pentru evenimentul care a cauzat prejudiciul”. Curtea nu a avut ocazia să examineze în detaliu articolul 82 alineatul (3) din RGPD. O interpretare literală a acestei dispoziții pare să prevadă că orice neglijență sau abatere (semnificativă) a operatorului sau a persoanei împuternicite de operator este suficientă pentru a exclude aplicarea acestei exonerări. În plus, sarcina probei(21), pe care această dispoziție o impune operatorului (operatorilor) sau persoanei (persoanelor) împuternicite de operator care urmărește să se prevaleze de exonerare, poate necesita punerea în aplicare a unor măsuri permanente, destinate să prevină încălcările securității datelor(22).

26.      Furtul datelor cu caracter personal ale unei persoane vizate dă naștere dreptului la despăgubiri pentru prejudiciul moral suferit, în temeiul articolului 82 alineatul (1) din RGPD, atunci când sunt îndeplinite cele trei condiții prevăzute în Hotărârea Österreichische Post(23). Potrivit considerentului (7) al RGPD, „[p]ersoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal”. Împrejurarea că persoanele vizate ar putea fi „împiedicate să‑și exercite controlul asupra datelor lor cu caracter personal”(24) sau împrejurarea că persoanele fizice și‑ar putea pierde „controlul asupra datelor lor cu caracter personal”(25) poate conduce la prejudicii morale. Acesta este contextul în care instanța de trimitere urmărește să afle dacă furtul datelor cu caracter personal constituie furt de identitate.

27.      Prevederile RGPD aplicabile în speță nici nu fac referire la furtul de identitate, nici nu definesc această noțiune. Considerentele (75) și (85) ale RGPD se referă pur și simplu la „furtul sau frauda de identitate”. Considerentul (75) menționează „furtul sau frauda identității” drept unul dintre exemplele enumerate într‑o listă fără caracter exhaustiv(26), care prezintă un risc pentru exercitarea de către persoanele fizice a drepturilor și a libertăților lor ca urmare a unei prelucrări a datelor lor cu caracter personal. În mod similar, considerentul (85) al RGPD se referă la „furtul sau frauda de identitate”, ca un exemplu(27) de prejudicii care pot rezulta ca urmare a nesoluționării la timp și într‑un mod adecvat a unei încălcări a securității datelor cu caracter personal(28).

28.      O serie de considerente(29) și de dispoziții(30) prevăzute în alte reglementări ale Uniunii se referă la termeni precum „furt de identitate”(31), „fraudă de identitate” și „furt sau fraudă a identității”(32). Nu am identificat nicio dispoziție prevăzută în legislația Uniunii care să definească acești termeni(33). Prin urmare, legiuitorul Uniunii face referire la acești termeni doar în scop exemplificativ(34).

29.      Acest lucru reiese în mod evident și din analiza diverselor versiuni lingvistice ale acestor termeni din considerentele (75) și (85) ale RGPD. În timp ce versiunile în limba germană (Identitätsdiebstahl oder -betrug), în limba engleză (identity theft or fraud), în limba estonă (identiteedivargust või -pettust), în limba irlandeză (goid aitheantais nó calaois aitheantais), în limba lituaniană (būti pavogta ar suklastota tapatybė), în limba neerlandeză (identiteitsdiefstal of - fraude), în limba polonă (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), în limba română (furt sau fraudă a identității) și în limba slovacă (krádeži totožnosti alebo podvodu) sunt foarte similare, alte versiuni lingvistice diferă de acestea într‑o mai mică sau mai mare măsură: versiunile în limba cehă (krádeži či zneužití identity), în limba franceză (vol ou une usurpation d᾽identité), în limba greacă (κατάχρηση ή υποκλοπή ταυτότητας), în limba portugheză (usurpação ou roubo da identidade), în limba italiană (furto o usurpazione d᾽identità) și în limba spaniolă (usurpación de identidad o fraude). Diferitele versiuni lingvistice ale considerentelor pertinente ale RGPD indică faptul că termenii furt de identitate, fraudă a identității, abuz de identitate, utilizare abuzivă a identității, însușire abuzivă a identității și uzurpare a identității se suprapun și pot fi considerați, cel puțin într‑o anumită măsură, ca fiind interschimbabili. Rezultă că considerentele (75) și (85) ale RGPD nu fac o distincție clară între noțiunea de furt de identitate și cea de fraudă a identității, contrar celor susținute de SO, astfel cum acestea sunt prezentate la punctul 18 din prezentele concluzii.

30.      Considerentele (75) și (85) ale RGPD fac distincție între exemplul referitor la „pierderea controlului” sau cel referitor la imposibilitatea persoanelor vizate de a‑și „exercita controlul” asupra datelor lor cu caracter personal și exemplul referitor la „furtul sau frauda de identitate”. Prin urmare, furtul de date cu caracter personal(35) în sine nu constituie furt de identitate, chiar dacă acest furt poate conduce la o viitoare utilizare (abuzivă) a acestor date. Furtul de identitate impune obligativitatea existenței unei acțiuni sau măsuri suplimentare cu efecte dăunătoare pentru persoana vizată, care depășește sfera de aplicare a furtului de date cu caracter personal(36). Persoana care fură datele cu caracter personal ale unei persoane vizate trebuie să utilizeze (abuziv) aceste date sau trebuie să adopte măsuri concrete pentru a le utiliza (abuziv) în scopuri ilegale, fără consimțământul respectivei persoane(37). Astfel de acțiuni presupun în mod obișnuit existența unei fraude sau a altei forme de înșelăciune și sunt în general întreprinse pentru obținerea unui câștig financiar sau de altă natură ori pentru a aduce atingere persoanei vizate sau anturajului său(38).

31.      Din cele prezentate mai sus rezultă că, deși furtul de date cu caracter personal nu constituie furt de identitate sau fraudă a identității, acesta poate da naștere unui prejudiciu moral și unui drept de a obține despăgubiri în temeiul articolului 82 alineatul (1) din RGPD(39). Dovada existenței unui prejudiciu moral poate fi mai ușor de efectuat în cazul în care se constată că o persoană vizată a fost victima unui furt de identitate sau a unei fraude a identității ca urmare a furtului datelor sale cu caracter personal(40). Cu toate acestea, dreptul de a obține despăgubiri pentru un prejudiciu moral conform articolului 82 alineatul (1) din RGPD ca urmare a furtului de date cu caracter personal nu este condiționat de existența unui furt sau a unei fraude de identitate(41). Prejudiciul moral și dreptul de a obține despăgubiri în temeiul articolului 82 alineatul (1) din RGPD trebuie evaluate în funcție de fiecare cauză în parte, luând în considerare toate circumstanțele specifice acesteia.

VI.    Concluzie

32.      În lumina considerațiilor de mai sus, propunem Curții să răspundă la cea de a cincea întrebare adresată de Amtsgericht München (Tribunalul Districtual din München, Germania) după cum urmează:

Articolul 82 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)

trebuie interpretat în sensul că furtul de către un infractor necunoscut al datelor sensibile cu caracter personal ale unei persoane vizate poate da naștere dreptului de a obține despăgubiri pentru un prejudiciu moral, cu condiția dovedirii existenței unei încălcări a Regulamentului general privind protecția datelor, a unui prejudiciu efectiv suferit și a unei legături de cauzalitate între prejudiciu și respectiva încălcare. Acordarea unor astfel de despăgubiri nu impune infractorului să își însușească identitatea persoanei vizate, iar deținerea propriu‑zisă a datelor care identifică persoana vizată nu constituie furt de identitate.

1      Limba originală: engleza.

2      Instanța de trimitere nu furnizează o calificare juridică exactă a acțiunilor infractorilor în cadrul dreptului național. Noțiunea „furt” este amplă și poate include însușirea nelegală a datelor de către terți.

3      Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1) (denumit în continuare „RGPD”).

4      În deciziile de trimitere se mai precizează că „[c]ontul de valori mobiliare era gestionat de un robo‑advisor [consilier‑robot], astfel încât, din tranzacțiile efectuate, nu putea fi identificat un profil al apetitului de risc al reclamantului”.

5      A se vedea în acest sens Hotărârea din 2 septembrie 2021, OTP Jelzálogbank și alții (C‑932/19, EU:C:2021:673, punctul 26 și jurisprudența citată).

6      Curtea a interpretat articolul 82 din RGPD în sensul că existența unui „prejudiciu” care a fost „suferit” constituie una dintre cele trei condiții care trebuie îndeplinite pentru a obține despăgubiri în temeiul acestuia. Simpla încălcare a RGPD nu dă naștere în sine dreptului la despăgubiri. Hotărârea din 4 mai 2023, Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2023:370, punctele 32 și 42) (denumită în continuare „Hotărârea Österreichische Post”).

7      A se vedea prin analogie Hotărârea din 12 decembrie 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, punctul 29).

8      A se vedea textul celei de a cincea întrebări adresate de instanța de trimitere.

9      A se vedea Comitetul european pentru protecția datelor, Orientările 01/2021 referitoare la exemple de notificare privind încălcarea securității datelor cu caracter personal – Adoptate la 14 decembrie 2021 – Versiunea 2.0, disponibile la adresa de internet https://edpb_guidelines_012021_pdbnotification_adopted_ro.pdf (europa.eu) (denumite în continuare „Orientările din 2021”).

10      Hotărârea din 4 aprilie 2017, Ombudsman/Staelen (C‑337/15 P, EU:C:2017:256, punctele 91-95 și 127-131).

11      Articolul 4 punctul 1 din RGPD prevede că noțiunea „date cu caracter personal” „înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

12      A se vedea considerentul (146) al RGPD.

13      Curtea nu a definit noțiunea de „prejudiciu moral” în contextul articolului 82 din RGPD. Suntem de acord cu domnul avocat general Pitruzzella că supărarea sau nemulțumirea în legătură cu faptul că datele cuiva au fost „piratate” nu este suficientă. Pentru a avea succes într‑o astfel de revendicare, persoana vizată trebuie să demonstreze că temerea față de o astfel de utilizare abuzivă a datelor sale i‑a cauzat un „prejudiciu emoțional”. A se vedea Concluziile avocatului general Pitruzzella în cauza Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punctele 81-83).

14      Hotărârea Österreichische Post, punctul 30.

15      A se vedea articolul 82 alineatul (2) din RGPD și Hotărârea Österreichische Post, punctele 32 și 50.

16      Hotărârea Österreichische Post, punctele 33 și 34. A se vedea de asemenea Concluziile prezentate de avocatul general Pitruzzella în cauza Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punctul 61).

17      Hotărârea Österreichische Post, punctul 58. A se vedea de asemenea Concluziile avocatului general Campos Sánchez‑Bordona prezentate în cauza Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2022:756, punctele 27-55) și Concluziile avocatului general Pitruzzella prezentate în cauza Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punctul 74).

18      Hotărârea Österreichische Post, punctul 58.

19      Hotărârea Österreichische Post, punctele 31-33, 51 și 58. A se vedea și considerentul (146) al RGPD. A se vedea în sens contrar Concluziile prezentate de avocatul general Campos Sánchez‑Bordona în cauza Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2022:756, punctul 105), și Concluziile prezentate de avocatul general Pitruzzella în cauza Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punctul 78).

20      În acest sens, a se vedea Hotărârea Österreichische Post, punctul 37.

21      Se pare că, pentru a intra în sfera de aplicare a exonerării, operatorului (operatorilor) și/sau persoanei (persoanelor) împuternicite de operator i(li) se poate solicita să dovedească contrariul.

22      Domnul avocat general Pitruzzella consideră că, pentru a fi exonerați de răspundere în temeiul articolului 82 din RGPD, operatorii sistemelor entităților publice sau private care dețin o cantitate mare de date cu caracter personal trebuie să instituie măsuri adecvate pentru a face față în special atacurilor externe: a se vedea Concluziile prezentate de acest avocat în cauza Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punctele 65-67). Astfel de măsuri de precauție pot fi împovărătoare și costisitoare. Însuși articolul 82 din RGPD impune operatorilor și persoanelor împuternicite de operatori obligația de a manifesta un nivel înalt de prudență.

23      A se vedea punctele 32 și 50 din această hotărâre. A se vedea de asemenea punctul 24 și nota de subsol 6 din prezentele concluzii.

24      Considerentul (75) al RGPD.

25      Considerentul (85) al RGPD.

26      Acest lucru reiese în mod clar din utilizarea termenilor „poate”, „ar putea” și „în special” în cuprinsul acestui considerent.

27      Acest lucru reiese în mod clar din utilizarea termenilor „poate” și „cum ar fi” în cuprinsul acestui considerent. A se vedea prin analogie Hotărârea din 22 decembrie 2008, Wallentin‑Hermann (C‑549/07, EU:C:2008:771, punctul 22).

28      Articolul 4 punctul 12 din RGPD definește noțiunea „încălcarea securității datelor cu caracter personal” ca însemnând „o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într‑un alt mod sau la accesul neautorizat la acestea”.

29      Considerentele facilitează interpretarea și înțelegerea unei reglementări a Uniunii prin indicarea printre altele a obiectivelor pe care aceasta le urmărește și a contextului în care aceasta a fost adoptată. Considerentele contribuie la stabilirea semnificației dispozițiilor legislative ambigue. Considerentele nu pot fi utilizate pentru interpretarea unei dispoziții contra legem. Hotărârea din 19 noiembrie 1998, Nilsson și alții (C‑162/97, EU:C:1998:554, punctul 54).

30      A se vedea de exemplu articolul 86 litera (e) din Decizia 2013/490/UE a Consiliului și a Comisiei din 22 iulie 2013 privind încheierea Acordului de stabilizare și de asociere între Comunitățile Europene și statele membre ale acestora, pe de o parte, și Republica Serbia, pe de altă parte (JO 2013, L 278, p. 14), precum și articolul 2 alineatul (2) litera (b) și articolele 21 și 25 din Regulamentul (UE) 2019/817 al Parlamentului European și al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informații ale UE în domeniul frontierelor și al vizelor și de modificare a Regulamentelor (CE) nr. 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 și (UE) 2018/1861 ale Parlamentului European și ale Consiliului și a Deciziilor 2004/512/CE și 2008/633/JAI ale Consiliului (JO 2019, L 135, p. 27).

31      Considerentul (14) al Directivei 2013/40/UE a Parlamentului European și a Consiliului din 12 august 2013 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei‑cadru 2005/222/JAI a Consiliului (JO 2013, L 218, p. 8) prevede că „[i]nstituirea unor măsuri eficace împotriva furtului de identitate și a altor infracțiuni legate de identitate constituie un alt element important al unei abordări integrate împotriva criminalității informatice”. Potrivit considerentului (31) al Directivei (UE) 2019/713 a Parlamentului European și a Consiliului din 17 aprilie 2019 privind combaterea fraudelor și a contrafacerii în legătură cu mijloacele de plată fără numerar și de înlocuire a Deciziei‑cadru 2001/413/JAI a Consiliului (JO 2019, L 123, p. 18), „[f]raudele și contrafacerea în legătură cu mijloace de plată fără numerar pot avea grave consecințe economice și neeconomice pentru victime. Dacă astfel de fraude includ, de exemplu, furtul de identitate, consecințele lor sunt adesea agravate de prejudiciile profesionale și de cele aduse reputației și evaluării de credit a unei persoane, și de traumele emoționale grave”. Considerentul (33) al directivei menționate prevede că „[s]tatele membre ar trebui să adopte măsuri de asistență și de sprijin pentru aceste victime, care să se bazeze pe măsurile prevăzute de directiva menționată, dar care să răspundă într‑un mod mai direct nevoilor specifice ale victimelor fraudelor legate de furtul de identitate”.

32      Termenul „furt sau fraudă a identității” este utilizat, fără a fi definit, în considerentele altor reglementări ale Uniunii. A se vedea, de exemplu, considerentul (46) al Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO 2018, L 295, p. 39) și considerentele (51) și (61) ale Directivei (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).

33      Anexa II la Regulamentul (UE) 2018/1798 al Comisiei din 21 noiembrie 2018 de punere în aplicare a Regulamentului (CE) nr. 808/2004 al Parlamentului European și al Consiliului privind statisticile comunitare referitoare la societatea informațională pentru anul de referință 2019 (JO 2018, L 296, p. 2) cuprinde o serie de exemple de furt de identitate. Printre acestea se numără cazul în care „cineva fură datele cu caracter personal ale respondentului și îi utilizează identitatea, de exemplu, cumpără utilizând numele respondentului”, ca un exemplu de „furt al identității online”.

34      A se vedea în schimb articolul 226-4-1 din Code pénal français (Codul penal francez), modificat prin articolul 19 din LOI n°2020-936 du 30 juillet 2020 (Legea nr. 2020-936 din 30 iulie 2020), care prevede: „[f]urtul identității unei alte persoane sau utilizarea uneia sau mai multor date de orice fel prin care respectiva persoană poate fi identificată, în scopul de a‑i perturba acesteia liniștea sau pe cea a altor persoane ori pentru a‑i afecta onoarea sau reputația se pedepsește cu închisoarea de un an și cu amendă de 15 000 EUR. Aceleași pedepse se aplică și în cazul în care infracțiunea este săvârșită pe o rețea publică de comunicare online. În cazul în care astfel de acte sunt săvârșite de soțul victimei sau de persoana cu care locuiește victima ori de partenerul care a încheiat cu victima un pacte civil de solidarité (parteneriat civil), acestea se pedepsesc cu închisoarea de până la doi ani și cu o amendă în valoare de 30 000 EUR”. Articolul 1028A subsecțiunea (a) alineatul (1) din titlul 18 al Codului penal al SUA prevede infracțiunea federală americană de furt de identitate în formă agravată. Acest articol prevede că „[o]rice persoană care, în timpul și în legătură cu orice infracțiune enumerată la subsecțiunea (c), transferă, deține sau utilizează cu intenție și fără a deține o autorizație legală, un mijloc de identificare a unei alte persoane, este condamnat, în plus față de pedeapsa prevăzută pentru o astfel de infracțiune, la pedeapsa închisorii de 2 ani”. A se vedea și articolul 1028 subsecțiunea (a) alineatul (7) din titlul 18 al Codului penal al SUA, care prevede infracțiunea federală americană de furt de identitate.

35      Și pierderea controlului asupra datelor cu caracter personal furate care rezultă ca urmare a acestuia.

36      Furtul de identitate impune obligația ca infractorul să reprezinte abuziv persoana vizată, prin însușirea, de exemplu, a calității persoanei vizate sau prin prezentarea ca fiind persoana vizată.

37      Contrar celor susținute de SO, astfel cum acestea sunt prezentate la punctul 18 din prezentele concluzii, în lipsa oricărei utilizări (abuzive) a datelor furate sau în lipsa adoptării unor măsuri concrete în acest scop, natura și amploarea acestor date nu dau naștere prezumției de existență a unui furt de identitate.

38      În ceea ce privește anumite exemple de furt de identitate, a se vedea Agenția Uniunii Europene pentru Securitate Cibernetică, Furtul de identitate – Raportul ENISA privind peisajul amenințărilor – ianuarie 2019-aprilie 2020, disponibil la adresa de internet: https://www.enisa.europa.eu/publications/enisa‑threat‑landscape-2020-identity‑theft; secțiunea 7.1 din Orientările din 2021, disponibile la adresa de internet: https://edpb_guidelines_012021_pdbnotification_adopted_ro.pdf(europa.eu), precum și Comitetul european pentru protecția datelor, Guidelines 01/2022 on data subject rights – Right of access – Version 1.0 – adoptate la 18 ianuarie 2022, punctul 105, disponibile la adresa de internet: https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right‑of‑access_0.pdf

39      În cazul în care sunt îndeplinite cele trei condiții descrise la punctul 24 din prezentele concluzii.

40      În concluziile pe care le‑a prezentat în cauza Österreichische Post (Prejudiciu moral legat de prelucrarea datelor cu caracter personal) (C‑300/21, EU:C:2022:756, punctele 98 și 99), avocatul general Campos Sánchez‑Bordona a arătat că exemplele de risc sau de prejudicii enumerate în considerentele (75) și (85) ale RGPD pot fi „semnificative” sau pot avea un „caracter mai grav”. În practică, existența unui furt sau fraude de identitate va contribui la stabilirea existenței prejudiciului.

41      Acest lucru reiese din faptul că noțiunea „furt sau fraudă de identitate” prevăzută în considerentele (75) și (85) ale RGPD apare alături de alte exemple de risc sau de prejudicii cum ar fi „discriminarea”, „pierderea financiară” și „compromiterea reputației”.