CONCLUZIILE AVOCATULUI GENERAL

DOMNUL MICHAL BOBEK

prezentate la 13 ianuarie 2021(1)

Cauza C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

împotriva

Gegevensbeschermingsautoriteit

[cerere de decizie preliminară formulată de Hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia)]

„Cerere de decizie preliminară – Protecția particularilor în ceea ce privește prelucrarea datelor cu caracter personal – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 47 – Regulamentul (UE) 2016/679 – Articolele 55, 56, 58, 60, 61 și 66 – Autorități de supraveghere – Prelucrare transfrontalieră a datelor – Ghișeu unic – Autoritate de supraveghere principală – Autoritate de supraveghere vizată – Abilitare – Competențe – Competența de a iniția proceduri judiciare”

I.      Introducere

1.        Regulamentul general privind protecția datelor(2) (denumit în continuare „RGPD”) permite autorității de supraveghere dintr‑un stat membru să inițieze proceduri judiciare în fața unei instanțe din acest stat pentru o presupusă încălcare a regulamentului menționat în ceea ce privește prelucrarea transfrontalieră a datelor în cazul în care autoritatea respectivă nu este autoritatea de supraveghere principală cu privire la această prelucrare?

2.        Sau noul mecanism al „ghișeului unic”, anunțat ca una dintre inovațiile majore aduse de RGPD, împiedică o astfel de situație să se întâmple? În cazul în care un operator ar trebui să se apere împotriva unei contestații în justiție referitoare la prelucrarea transfrontalieră a datelor introduse de o autoritate de supraveghere în fața unei instanțe din afara locului în care se află sediul principal al operatorului, ar fi această situație „un ghișeu unic prea mult” și, prin urmare, incompatibilă cu noul mecanism din RGPD?

II.    Cadrul legal

A.      Dreptul Uniunii

3.        În preambulul RGPD se menționează printre altele că „Obiectivele și principiile Directivei 95/46/CE rămân solide, dar aceasta nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune [și] insecuritatea juridică” [considerentul (9)]; ar trebui asigurată în întreaga Uniune aplicarea consecventă și omogenă a normelor în materie de protecție a datelor [considerentul (10)]; autoritățile de supraveghere ar trebui să monitorizeze aplicarea normelor și să contribuie la aplicarea consecventă a acestora, pentru a proteja persoanele fizice și pentru a facilita libera circulație a datelor cu caracter personal pe piața internă [considerentul (123)]; în situații care implică prelucrarea transfrontalieră „autoritatea de supraveghere a sediului principal al operatorului sau al persoanei împuternicite de operator ori a sediului unic al operatorului sau al persoanei împuternicite de operator ar trebui să acționeze în calitate de autoritate principală” și această autoritate ar trebui de asemenea să „coopereze cu celelalte autorități vizate” [considerentul (124)].

4.        În temeiul articolului 51 alineatul (1) din RGPD, „[f]iecare stat membru se asigură că una sau mai multe autorități publice independente sunt responsabile de monitorizarea aplicării prezentului regulament, în vederea protejării drepturilor și libertăților fundamentale ale persoanelor fizice în ceea ce privește prelucrarea și în vederea facilitării liberei circulații a datelor cu caracter personal în cadrul Uniunii («autoritatea de supraveghere»)”.

5.        În conformitate cu articolul 55 alineatul (1) din RGPD, „[f]iecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține”.

6.        Articolul 56 din RGPD privește competența autorității de supraveghere principale. Primul alineat al acestei dispoziții prevede:

„Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.”

7.        Articolul 56 alineatele (2)-(5) prevede că, prin derogare de la alineatul (1), „fiecare autoritate de supraveghere este competentă să trateze o plângere depusă în atenția sa sau o eventuală încălcare a prezentului regulament, în cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau afectează în mod semnificativ persoane vizate numai în statul său membru”. Aceste cauze pot fi tratate de autoritatea de supraveghere principală, care acționează în conformitate cu procedura stabilită la articolul 60 din RGPD, sau, „[î]n cazul în care autoritatea de supraveghere principală decide să nu trateze cazul”, de autoritatea de supraveghere locală, care acționează în conformitate cu articolele 61 și 62 din RGPD.

8.        Articolul 56 alineatul (6) prevede că „[a]utoritatea de supraveghere principală este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră efectuată de respectivul operator sau de respectiva persoană împuternicită de operator”.

9.        Articolul 58 alineatul (5) din RGPD, privind competențele autorităților de supraveghere, prevede:

„Fiecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament.”

10.      Capitolul VII din RGPD, intitulat „Cooperare și coerență”, include articolele 60-76. Articolul 60, intitulat „Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”, stabilește procedura detaliată care trebuie urmată de autoritățile de supraveghere principale atunci când se ocupă de prelucrarea transfrontalieră a datelor.

11.      La rândul rău, articolul 61 alineatul (2) din RGPD, privind asistența reciprocă, impune ca fiecare autoritate de supraveghere să „ia toate măsurile corespunzătoare necesare pentru a răspunde unei cereri a unei alte autorități de supraveghere, fără întârzieri nejustificate și cel târziu în termen de o lună de la data primirii cererii”. Articolul 61 alineatul (8) din RGPD prevede că în cazul în care o autoritate de supraveghere nu furnizează informațiile solicitate, autoritatea de supraveghere solicitantă poate adopta o măsură provizorie pe teritoriul propriului stat membru, fiind prezumată necesitatea urgentă de a acționa în temeiul articolului 66 alineatul (1).

12.      Articolul 65 alineatul (1) litera (a) din RGPD, intitulat „Soluționarea litigiilor de către comitet”, prevede că, pentru a asigura aplicarea corectă și coerentă a regulamentului în cazuri individuale, Comitetul European pentru Protecția Datelor (denumit în continuare „comitetul”) adoptă o decizie obligatorie printre altele atunci când o autoritate de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a autorității principale sau autoritatea principală a respins o astfel de obiecție ca nefiind relevantă sau motivată.

13.      Articolul 66 alineatul (1), referitor la procedura de urgență, prevede că, în circumstanțe excepționale, atunci când o autoritate de supraveghere vizată consideră că există o necesitate urgentă de a acționa în scopul protejării drepturilor și libertăților persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenței, „să adopte de îndată măsuri provizorii menite să producă efecte juridice pe propriul său teritoriu, cu o perioadă de valabilitate determinată, care să nu depășească trei luni”.

14.      Capitolul VIII din RGPD, intitulat „Căi de atac, răspundere și sancțiuni”, include articolele 77-84. Articolul 77 alineatul (1) acordă fiecărei persoane vizate dreptul de a depune o plângere la o autoritate de supraveghere în cauză cu privire la posibile încălcări ale reglementării referitoare la prelucrarea datelor cu caracter personal care o vizează „în special în statul membru în care își are reședința obișnuită, în care se află locul său de muncă sau în care a avut loc presupusa încălcare”. Articolul 78 alineatele (1) și (2) din RGPD acordă fiecărei persoane fizice sau juridice dreptul la o cale de atac judiciară eficientă printre altele împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care vizează persoana respectivă și a autorității de supraveghere care nu tratează o plângere.

B.      Dreptul intern

15.      Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Legea din 8 decembrie 1992 de protejare a confidențialității cu privire la prelucrarea datelor cu caracter personal, denumită în continuare „WVP”), astfel cum a fost modificată, a transpus Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(3). Prin această lege s-a înființat printre altele Comisia pentru Viața Privată belgiană. În temeiul articolului 32 alineatul (3) din această lege, „fără a aduce atingere competenței instanțelor de drept comun pentru aplicarea principiilor generale de protecție a confidențialității, președintele [Comisiei pentru Viața Privată] poate sesiza instanța de fond cu privire la orice litigiu privind aplicarea prezentei legi și a măsurilor de punere în aplicare a acesteia”.

16.      În temeiul articolului 3 din Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Legea din 3 decembrie 2017 de instituire a Autorității pentru Protecția Datelor, denumită în continuare „Legea GBA”), care a intrat în vigoare la 25 mai 2018, a fost înființată o Autoritate pentru Protecția Datelor (denumită în continuare „GBA”), care să succeadă Comisiei pentru Viața Privată. În conformitate cu articolul 6 din această lege, GBA „are competența de a sesiza autoritățile judiciare cu privire la orice încălcare a principiilor fundamentale ale protecției datelor cu caracter personal în cadrul prezentei legi și al legilor care conțin dispoziții privind protecția prelucrării datelor cu caracter personal și, dacă este cazul, de a intenta acțiuni în justiție pentru aplicarea acestor principii fundamentale”.

17.      Legea GBA nu includea nicio dispoziție specifică cu privire la procedurile judiciare inițiate în temeiul articolului 32 alineatul (3) din WVP, care încă erau în vigoare la 25 mai 2018.

18.      WVP a fost abrogată de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Legea din 30 iulie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal). Această lege transpune dispozițiile din RGPD care impun sau permit statelor membre să adopte norme mai detaliate în plus față de normele comune.

III. Situația de fapt, procedurile interne și întrebările preliminare

19.      La 11 septembrie 2015, președintele Comisiei pentru Viața Privată din Belgia, care a devenit ulterior GBA, a introdus o acțiune împotriva Facebook Inc., Facebook Ireland Ltd și Facebook Belgium BVBA (denumite în continuare împreună „Facebook”), în fața Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunalul de Primă Instanță Neerlandofon din Bruxelles, Belgia). Aceste proceduri se referă la pretinse încălcări de către Facebook ale legislațiilor privind protecția datelor, constând printre altele în colectarea și utilizarea ilegale de informații cu privire la comportamentul de navigare al utilizatorilor de internet din Belgia prin intermediul unor tehnologii precum „cookies”, „social plugins” („extensii pentru social media”) și „pixeli”.

20.      În esență, GBA susține că Facebook folosește diverse tehnologii pentru a monitoriza și urmări persoanele atunci când navighează de la un site la altul, folosește apoi informațiile colectate pentru profilarea comportamentului lor de navigare și, pe baza acestuia, le prezintă publicitate orientată, fără a informa în mod adecvat persoanele în cauză sau fără a obține consimțământul valabil din partea acestora. GBA susține că Facebook aplică aceste practici indiferent dacă persoana în cauză s‑a înregistrat sau nu în rețeaua socială Facebook.

21.      GBA a solicitat ca Facebook să fie obligată să înceteze, cu privire la orice utilizator de internet stabilit pe teritoriul belgian, plasarea, fără consimțământul acestuia, de cookie‑uri care rămân active timp de doi ani pe dispozitivele utilizate de aceste persoane atunci când navighează pe o pagină web în domeniul Facebook.com sau pe site‑ul unei terțe părți, precum și să înceteze colectarea de date, într‑o manieră excesivă, prin intermediul extensiilor pentru social media și a pixelilor de pe site‑urile terțe. În plus, aceasta a solicitat distrugerea tuturor datelor personale obținute prin intermediul cookie‑urilor și al extensiilor pentru social media, legate de fiecare utilizator de internet stabilit pe teritoriul belgian.

22.      Printr‑o ordonanță provizorie din 9 noiembrie 2015, președintele Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunalul de Primă Instanță Neerlandofon din Bruxelles) a constatat că avea competența de a soluționa cauza și că acțiunea era admisibilă cu privire la toate cele trei pârâte. Instanța respectivă a dispus de asemenea în mod provizoriu ca pârâtele să înceteze anumite activități cu privire la utilizatorii de internet aflați pe teritoriul belgian.

23.      La 2 martie 2016, Facebook a declarat apel împotriva acestei ordonanțe în fața Hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia). Prin hotărârea din 29 iunie 2016, instanța respectivă a modificat ordonanța din primă instanță. În special, această instanță a decis că nu avea competență în ceea ce privește acțiunile introduse împotriva Facebook Inc. și Facebook Ireland Ltd, în schimb avea competență în ceea ce privește acțiunea introdusă împotriva Facebook Belgium BVBA. Procedura principală a devenit astfel limitată la acțiunile împotriva Facebook Belgium. Instanța respectivă a declarat de asemenea că nu există urgență.

24.      Înțelegem că în prezent cauza pendinte în fața Hof van beroep te Brussel (Curtea de Apel din Bruxelles) se referă la apelul împotriva unei decizii pe fond subsecvente pronunțate de tribunalul de primă instanță. În cadrul procedurii de apel, Facebook Belgium susține printre altele că, din momentul în care noul mecanism al „ghișeului unic” din RGPD a devenit operațional, GBA și‑a pierdut competența de a continua procedura principală, întrucât aceasta nu este autoritate de supraveghere principală. În ceea ce privește prelucrarea transfrontalieră în cauză, autoritatea de supraveghere principală ar fi Comisia pentru Protecția Datelor irlandeză. Principalul sediu al operatorului în Uniunea Europeană este în Irlanda (Facebook Ireland Ltd).

25.      În acest context, Hof van beroep te Brussel (Curtea de Apel din Bruxelles) a decis să suspende judecarea cauzei și să adreseze Curții de Justiție următoarele întrebări preliminare:

„1)      Articolul [55 alineatul (1)], articolele 56-58 și 60-66 din [RGPD] coroborate cu articolele 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene trebuie interpretate în sensul că o autoritate de supraveghere care, în temeiul legislației naționale adoptate în aplicarea articolului [58 alineatul (5)] din acest regulament, are competența de a introduce, la o instanță din statul său membru, o acțiune în justiție împotriva încălcărilor acestui regulament nu poate exercita această competență în ceea ce privește o prelucrare transfrontalieră dacă ea nu este autoritatea de supraveghere principală pentru această prelucrare transfrontalieră?

2)      Răspunsul la această întrebare este diferit în cazul în care operatorul acestei prelucrări transfrontaliere nu are sediul principal în respectivul stat membru, însă are un alt sediu în acel stat?

3)      Răspunsul la această întrebare este diferit în cazul în care autoritatea națională de supraveghere introduce acțiunea în justiție împotriva sediului principal al operatorului sau împotriva sediului său din propriul stat membru?

4)      Răspunsul la această întrebare este diferit în cazul în care autoritatea națională de supraveghere a introdus deja acțiunea în justiție înainte de data la care acest regulament a intrat în vigoare (25 mai 2018)?

5)      În cazul unui răspuns afirmativ la prima întrebare, articolul [58 alineatul (5)] din RGPD are efect direct, astfel încât o autoritate națională de supraveghere se poate baza pe articolul menționat pentru a iniția sau a continua o procedură judiciară împotriva unor părți private, chiar dacă articolul [58 alineatul (5)] din RGPD nu este transpus în mod specific în legislația statelor membre, deși acest lucru este obligatoriu?

6)      În cazul unui răspuns afirmativ la întrebările precedente, rezultatul acestor proceduri ar putea împiedica o constatare contrară a autorității de supraveghere principale, în cazul în care autoritatea de supraveghere principală anchetează aceleași activități de prelucrare transfrontalieră sau activități similare, în conformitate cu mecanismul prevăzut la articolele 56 și 60 din RGPD?”

26.      Au depus observații scrise Facebook, GBA, guvernele belgian, ceh, italian, polonez, portughez și finlandez, precum și Comisia Europeană. Facebook, GBA și Comisia au prezentat de asemenea pledoarii în ședința din 5 octombrie 2020.

IV.    Analiză

27.      Pe scurt, problema‑cheie care a apărut în procedura principală este dacă GBA poate continua procedurile judiciare împotriva Facebook Belgium cu privire la prelucrarea transfrontalieră a datelor cu caracter personal care a avut loc după ce RGPD a devenit aplicabil, având în vedere că entitatea care prelucrează datele este Facebook Ireland Ltd.

28.      Pentru a aborda această problemă, este necesar să se evalueze domeniul de aplicare și funcționarea a ceea ce însuși RGPD denumește, în considerentul (127), mecanismul „ghișeului unic”. Mecanismul respectiv constă într‑un set de norme care dau naștere, în cazul prelucrării transfrontaliere a datelor, unui punct central de aplicare prin intermediul unei autorități de supraveghere principale (denumită în continuare „autoritate de supraveghere principală”), care face parte din sistemul de proceduri privind cooperarea și coerența împreună cu autoritățile de supraveghere vizate (denumite în continuare „autorități de supraveghere vizate”), menit să asigure implicarea tuturor autorităților de supraveghere interesate.

29.      În temeiul articolului 56 alineatul (1) din RGPD o autoritate de supraveghere acționează în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de operatori și de persoane împuternicite care au sediul principal sau sediul unic pe teritoriul său. În temeiul articolului 4 punctul (22) din RGPD, o autoritate de supraveghere acționează în calitate de autoritate de supraveghere vizată în cazul în care este îndeplinită una dintre următoarele condiții alternative: „(a) operatorul sau persoana împuternicită de operator este stabilită pe teritoriul statului membru al autorității de supraveghere respective; (b) persoanele vizate care au reședința în statul membru în care se află autoritatea de supraveghere respectivă sunt afectate în mod semnificativ sau sunt susceptibile de a fi afectate în mod semnificativ de prelucrare sau (c) la autoritatea de supraveghere respectivă a fost depusă o plângere”.

30.      Înainte de a aborda fondul întrebărilor adresate, sunt necesare câteva observații preliminare (A). Vom trece apoi la examinarea aspectelor juridice ridicate de instanța de trimitere. Ne vom concentra în special pe prima întrebare preliminară, întrucât această întrebare se află în centrul litigiului în fața instanței de trimitere (B). În continuare, vom aborda doar pe scurt celelalte întrebări adresate, având în vedere că, dacă răspunsul la prima întrebare este cel propus în prezentele concluzii, un răspuns la celelalte întrebări devine fie inutil, fie destul de simplu (C).

A.      Observații preliminare

31.      De la bun început, observăm că există anumite elemente în procedura principală pe care avem dificultăți în a le înțelege pe deplin.

32.      În primul rând, trebuie să recunoaștem că nu ne este pe deplin evidentă relevanța întrebărilor adresate în cadrul procedurii principale, având în vedere că, dintre părțile împotriva cărora GBA a introdus acțiunea, se pare că numai Facebook Belgium încă are calitatea de pârâtă în procedura principală(4). Rezultă din dosarul aflat la dispoziția Curții că această societate nu este nici „sediul principal” al operatorului în sensul articolului 4 punctul 16 din RGPD și, întrucât pare a fi un sediu al aceleiași întreprinderi, nu ar fi nici un posibil „operator asociat” în sensul articolului 26 din RGPD(5).

33.      Cu toate acestea, întrebările preliminare se bucură de o prezumție de relevanță. Ca atare, Curtea refuză să se pronunțe numai în circumstanțe limitate, în special atunci când nu sunt îndeplinite cerințele de la articolul 94 din Regulamentul de procedură al Curții de Justiție sau când este evident că interpretarea dreptului Uniunii în cauză nu are nicio legătură cu situația de fapt sau în cazul în care întrebările sunt (în întregime) ipotetice(6). Prezenta cauză nu este, în opinia noastră, un astfel de caz. „Cine este cine” și „cine poate fi anchetat pentru ce anume” nu este doar o apreciere de fapt care cade în ultimă instanță în sarcina instanței naționale, ci este și, într‑un fel, unul dintre aspectele întrebărilor adresate Curții.

34.      În al doilea rând, nici aspectul temporal al procedurii principale nu este pe deplin ușor de înțeles. Acțiunea a fost inițiată în timp ce Directiva 95/46 era în vigoare. Aceasta a fost menținută atunci când a intrat în vigoare RGPD. Cu toate acestea, se pare că procedurile se referă în prezent numai la o conduită care are loc după ce a devenit aplicabil noul cadru juridic. Se pune într‑adevăr problema dacă continuarea procedurii de către GBA este conformă cu prevederile RGPD, element ridicat de cea de a patra întrebare. Totuși, aceste întrebări ar fi relevante în procedura principală numai dacă o autoritate națională ar încerca să finalizeze proceduri în curs de desfășurare cu privire la presupuse încălcări anterioare momentului în care noul cadru juridic a devenit aplicabil. Cu toate acestea, dacă procedurile aflate în desfășurare s‑ar referi în acest moment numai la presupuse ilegalități care au avut loc după data la care RGPD a devenit aplicabil, posibil coroborate cu solicitarea (potențială în mod necesar) a interzicerii judiciare a acestor practici, nu este ușor de înțeles motivul pentru care GBA, în măsura în care se consideră competentă să intervină, nu a încheiat procedura în desfășurare și nu a procedat în conformitate cu dispozițiile relevante din RGPD.

35.      În al treilea rând, GBA a făcut referire în ședință la un schimb pe care l‑a avut cu autoritatea de supraveghere irlandeză și comitetul cu privire la una dintre tehnologiile utilizate de Facebook pentru a colecta date (cookie‑uri). S‑a afirmat că cele două autorități de supraveghere nu au fost de acord cu privire la faptul dacă această tehnologie se încadrează de fapt în domeniul de aplicare ratione materiae al RGPD.

36.      În această privință și în ceea ce privește prezenta cauză, ar trebui să subliniem că anumite activități de prelucrare a datelor se pot încadra într‑adevăr în domeniul material de aplicare al mai multor instrumente legislative ale Uniunii, caz în care toate aceste instrumente sunt aplicabile concomitent, cu excepția cazului în care se prevede altfel(7). Cu toate acestea, în alte cazuri, de exemplu în cazul în care activitățile de prelucrare nu implică date cu caracter personal în sensul articolului 4 alineatul (1) din RGPD, regulamentul în mod evident nu este aplicabil.

37.      În consecință, în cazul în care pretinsul caracter ilegal al unor tipuri de prelucrări de date rezultă din alte dispoziții de drept (al Uniunii sau național), procedurile și mecanismele stabilite în RGPD nu intră în joc. RGPD nu poate fi utilizat ca o poartă de acces pentru a introduce în mecanismul „ghișeului unic” forme de conduită care, deși implică anumite fluxuri de date sau chiar prelucrare, nu aduc atingere niciunei obligații prevăzute în acesta.

38.      Pentru a stabili dacă un caz se încadrează sau nu în domeniul de aplicare ratione materiae al RGPD, o instanță națională, inclusiv orice instanță de trimitere, trebuie să solicite informații cu privire la sursa exactă a obligației legale care îi revine unui operator economic despre care se pretinde că ar fi fost încălcată de acesta din urmă. În cazul în care sursa acestei obligații nu este RGPD, nici procedurile prevăzute de acest instrument, legate de domeniul material de aplicare al acestuia, nu sunt în mod logic aplicabile.

B.      Prima întrebare

39.      Prin intermediul primei întrebări, instanța de trimitere solicită în esență să se stabilească dacă dispozițiile din RGPD, interpretate în lumina articolelor 7, 8 și 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), permit autorității de supraveghere dintr‑un stat membru să introducă o acțiune în justiție în fața unei instanțe din acest stat pentru o pretinsă încălcare a RGPD în ceea ce privește o prelucrare transfrontalieră a datelor, chiar dacă această autoritate nu este „autoritatea de supraveghere principală”.

40.      În această privință, GBA și guvernele belgian, italian, polonez și portughez sugerează Curții să răspundă în mod afirmativ, în timp ce Facebook și guvernele ceh și finlandez, precum și Comisia adoptă poziția opusă.

41.      În secțiunea care urmează, vom explica de ce nu considerăm convingătoare interpretarea RGPD propusă de GBA și de guvernele belgian, italian, polonez și portughez: atât o interpretare literală și sistematică (1), cât și una teleologică și istorică (2) a RGPD merg în mod clar în direcția opusă. În plus, nici o interpretare a regulamentului bazată pe cartă (3), nici presupuse riscuri ale unei posibile subaplicări a RGPD (4) nu sunt de natură să pună la îndoială ceea ce, în opinia noastră, este interpretarea corectă a RGPD, cu siguranță nu în prezent.

42.      Acestea fiind spuse, consecințele acestei interpretări specifice a regulamentului nu sunt, în opinia noastră, la fel de extreme ca cele sugerate de Facebook, de guvernele ceh și finlandez și de Comisie. În consecință, vom explica de ce răspunsul care trebuie dat instanței de trimitere ar trebui să se afle la mijloc între cele două poziții invocate în cadrul acestei proceduri: autoritatea de supraveghere a unui stat membru este îndreptățită să introducă o acțiune în fața unei instanțe din acest stat pentru o presupusă încălcare a RGPD în ceea ce privește prelucrarea transfrontalieră a datelor, în pofida faptului că nu este autoritatea de supraveghere principală, cu condiția să facă acest lucru în situațiile și conform procedurilor stabilite în RGPD (5).

1.      O interpretare literală și sistematică a RGPD

43.      În primul rând, considerăm că modul de redactare a dispozițiilor relevante, în special atunci când sunt interpretate în contextul lor, susține interpretarea RGPD potrivit căreia autoritatea de supraveghere principală are competență generală în materie de prelucrare transfrontalieră și, implicit, autoritățile de supraveghere vizate se bucură de o competență limitată de a acționa în această privință.

44.      Articolul 56 alineatul (1) din RGPD prevede că „autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60”(8). În conformitate cu articolul 56 alineatul (6) din RGPD, „[a]utoritatea de supraveghere principală este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră efectuată de respectivul operator sau de respectiva persoană împuternicită de operator”(9). Considerentul (124) este în acord cu aceste dispoziții, afirmând în esență că, în cazul prelucrării transfrontaliere, „autoritatea de supraveghere a sediului principal al operatorului sau al persoanei împuternicite de operator ori a sediului unic al operatorului sau al persoanei împuternicite de operator ar trebui să acționeze în calitate de autoritate principală”(10).

45.      Competența generală a autorității de supraveghere principale în ceea ce privește prelucrarea transfrontalieră a datelor este confirmată și de faptul că situațiile în care competența cu privire la prelucrarea transfrontalieră este acordată altor autorități de supraveghere sunt descrise ca excepții de la regula generală. În special, articolul 55 alineatul (2) din RGPD exclude competența autorității de supraveghere principale cu privire la anumite prelucrări de date „efectuat[e] de autorități publice”. În plus, articolul 56 alineatul (2) din RGPD prevede că, prin derogare de la principiul potrivit căruia competența aparține autorității de supraveghere principale, „fiecare autoritate de supraveghere este competentă să trateze o plângere depusă în atenția sa sau o eventuală încălcare a prezentului regulament, în cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau afectează în mod semnificativ persoane vizate numai în statul său membru”.

46.      În plus, articolul 66 din RGPD, referitor la „procedura de urgență”, împuternicește fiecare autoritate de supraveghere vizată, „[î]n circumstanțe excepționale”, atunci când există o necesitate urgentă de a acționa în scopul protejării drepturilor și libertăților persoanelor vizate, să adopte de îndată măsuri provizorii menite să producă efecte juridice pe propriul său teritoriu, cu o perioadă de valabilitate determinată, care să nu depășească trei luni, „prin derogare” de la mecanismul pentru asigurarea cooperării și coerenței menționat la articolele 60, 63, 64 și 65 din RGPD.

47.      În consecință, considerăm că rezultă în mod destul de clar din textul RGPD că, în ceea ce privește prelucrarea transfrontalieră, competența autorității de supraveghere principale este regula, iar competența altor autorități de supraveghere este excepția(11).

48.      Cu toate acestea, GBA și anumite guverne contestă această interpretare a RGPD. În opinia acestora, textul dispozițiilor relevante sugerează un drept (aproape nelimitat) al oricărei autorități de supraveghere de a iniția proceduri judiciare împotriva posibilelor încălcări care afectează teritoriile acestora, indiferent dacă prelucrarea are caracter transfrontalier prin natura sa. Acestea se bazează în principal pe două argumente.

49.      În primul rând, acestea susțin că expresia „[f]ără a aduce atingere articolului 55”, cu care începe articolul 56 alineatul (1), înseamnă că competența acordată de această din urmă dispoziție autorității de supraveghere principale nu poate afecta sau limita competențele atribuite de dispoziția anterioară fiecărei autorități de supraveghere, inclusiv cea de a iniția proceduri judiciare.

50.      Nu considerăm convingător acest argument.

51.      Articolul 55 alineatul (1) stabilește principiul conform căruia fiecare autoritate de supraveghere „are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține”. Aceste sarcini sunt enumerate ulterior la articolul 57 din RGPD. Competențele sunt enumerate la articolul 58 din acesta. Printre sarcinile atribuite se numără în special aceea de a monitoriza și a asigura aplicarea RGPD [articolul 57 alineatul (1) litera (a)]. În temeiul articolului 58, autorităților de supraveghere le sunt acordate diverse competențe de investigare [alineatul (1)], corective [alineatul (2)], de autorizare și de consiliere [alineatul (3)], precum și competența de a iniția proceduri judiciare [alineatul (5)].

52.      În esență, aceste dispoziții, la care face referire în mod implicit articolul 55, cuprind toate sarcinile și competențele conferite autorităților de supraveghere în temeiul RGPD. Dacă s‑ar urma interpretarea propusă de GBA și de anumite guverne, nu ar mai rămâne practic nimic pentru competența generală a autorității de supraveghere principale, privând astfel articolul 56 de orice semnificație. Autoritatea de supraveghere principală nu ar fi nici „singurul” interlocutor și nici nu ar „conduce” celelalte autorități de supraveghere. Rolul său ar fi, fără îndoială, redus la cel al unui „punct de informare”, fără o misiune clar definită.

53.      Importanța rolului acordat autorității de supraveghere principale și implicit mecanismului ghișeului unic devine și mai clară atunci când dispozițiile respective sunt interpretate coroborat și contextual.

54.      Preeminența acordată articolului 56 în cadrul schemei RGPD este un prim indiciu în acest sens. Articolul 56 este a doua dispoziție care apare în secțiunea relevantă a RGPD (capitolul VI, „Autorități de supraveghere independente”; secțiunea 2, „Abilitări, sarcini și competențe”) și vine imediat după dispoziția generală privind „[c]ompetența” și înainte de celelalte dispoziții generale privind „[s]arcini” și „[c]ompetențe”. În consecință, legiuitorul Uniunii a decis să sublinieze caracterul central al competenței autorității de supraveghere principale chiar înainte de a detalia sarcinile și competențele specifice tuturor autorităților de supraveghere.

55.      La un nivel mai profund, semnificația rolului autorității de supraveghere principale este confirmată și de dispozițiile incluse în capitolul VII din RGPD (intitulat „Cooperare și coerență”), care stabilește diferitele proceduri și mecanisme pe care autoritățile de supraveghere trebuie să le urmeze pentru a asigura aplicarea coerentă a RGPD. În special, articolul 60, cu care începe capitolul și la care face referire articolul 56 alineatul (1), stabilește procedura de „[c]ooperar[e] dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”.

56.      Este clar că aceasta este menită să fie procedura care trebuie urmată atunci când este necesară o acțiune de punere în aplicare împotriva procesării transfrontaliere. Această procedură, la fel precum celelalte proceduri prevăzute în capitolul VII din RGPD, nu este opțională. Termenii imperativi prevăzuți în special la articolul 51 alineatul (2) și la articolul 63 din RGPD indică fără echivoc că autoritățile de supraveghere trebuie să coopereze și trebuie să facă acest lucru prin utilizarea (obligatorie) a procedurilor și mecanismelor stabilite în acest scop.

57.      În consecință, expresia „[f]ără a aduce atingere articolului 55”, conținută în articolul 56 alineatul (1), are un sens diferit de cel sugerat de GBA. În opinia noastră, această expresie, în contextul în care este plasată, înseamnă pur și simplu faptul că, chiar dacă autoritatea de supraveghere principală este competentă pentru un caz individual care implică prelucrarea transfrontalieră în conformitate cu articolul 56 din RGPD, toate autoritățile de supraveghere își păstrează în mod firesc competențele generale atribuite în temeiul articolului 55 (și al articolului 58) din RGPD.

58.      În conformitate cu articolul 55 alineatul (1) din RGPD, statele membre trebuie să permită autorității de supraveghere să îndeplinească sarcinile și să exercite competențele stabilite în regulament. Astfel, această dispoziție conferă oricărei autorități de supraveghere o competență (sau abilitare) generală de a acționa pe propriul teritoriu, iar acest lucru este adevărat indiferent („[f]ără a aduce atingere”) de faptul dacă prelucrarea are sau nu caracter transfrontalier prin natura sa și, în primul caz, de faptul dacă autoritatea în cauză acționează în calitate de autoritate de supraveghere principală sau autoritate de supraveghere vizată(12). Cu toate acestea, articolul 55 din RGPD nu reglementează situațiile și modul în care această competență de a acționa va fi exercitată într‑un caz individual. Într‑adevăr, aceste aspecte sunt reglementate de alte dispoziții din RGPD, în special de cele incluse în capitolul VII din acesta. Potrivit acestor dispoziții, faptul dacă o autoritate de supraveghere poate exercita competența generală de a acționa și modul în care face acest lucru depind printre altele de faptul dacă, în raport cu un anumit operator sau persoană împuternicită de operator, autoritatea respectivă este autoritatea de supraveghere principală sau autoritatea de supraveghere vizată(13).

59.      În consecință, în această privință și în ceea ce privește rezultatul, împărtășim punctul de vedere al Comitetului, care, într‑un aviz recent, făcea referire la articolul 56 alineatul (1) din RGPD drept o „normă imperativă” și „lex specialis”: această dispoziție „are prioritate [față de norma generală de la articolul 55 din RGPD] ori de câte ori apare o situație de prelucrare care îndeplinește condițiile specificate în aceasta”(14).

60.      În consecință, considerăm că GBA și anumite guverne interpretează în mod eronat articolul 55 și articolul 56 alineatul (1) din RGPD. Aceste interveniente scot din context prima teză de la articolul 56 alineatul (1), pentru a inversa relația dintre regulă și excepție. Acest lucru conduce la diluarea conținutului prescriptiv al mai multor dispoziții din RGPD și împiedică obiectivul, subliniat printre altele în considerentul (10) al acestuia, de a asigura o aplicare mai consecventă și omogenă a normelor în materie de protecție a datelor. Aceasta ar însemna în esență o revenire la regimul anterior al Directivei 95/46.

61.      În al doilea rând, GBA și anumite guverne susțin că rezultă din chiar modul de redactare a articolului 58 alineatul (5) din RGPD că toate autoritățile de supraveghere trebuie să poată iniția proceduri judiciare împotriva oricărei potențiale încălcări a normelor în materie de protecție a datelor care afectează teritoriul lor, indiferent de natura (locală sau transfrontalieră a) prelucrării. Consecința este – în opinia acestora – aceea că, chiar dacă mecanismul ghișeului unic ar fi interpretat în sensul de a limita competențele altor autorități de supraveghere în ceea ce privește prelucrarea transfrontalieră, aceste limite privesc doar acțiuni administrative, și nu proceduri judiciare.

62.      Și acest al doilea argument este, în opinia noastră, nesustenabil. Acesta se încadrează în același „păcat” al argumentului anterior: interpretarea unei dispoziții specifice din RGPD în „izolare clinică” față de restul regulamentului, concomitent cu acordarea unei importanțe prea mari acesteia.

63.      Articolul 58 alineatul (5) din RGPD prevede: „[f]iecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament”.

64.      Această dispoziție impune statelor membre, pe de o parte, să permită autorităților de supraveghere să mențină relații strânse cu autoritățile judiciare (inclusiv eventual cu autoritățile penale) și, pe de altă parte, să acorde autorităților de supraveghere calitate procesuală (nu doar pasivă, ci și activă) pentru a introduce acțiuni în fața instanțelor lor judecătorești naționale. Cu alte cuvinte, autoritățile de supraveghere ar trebui, în principiu, să mențină legătura cu autoritățile judiciare și, dacă este necesar, să inițieze proceduri judiciare. Înțelegem că o astfel de dispoziție expresă a fost considerată necesară de legiuitorul Uniunii întrucât, în pofida textului articolului 28 alineatul (3) din Directiva 95/46(15), au existat diferențe semnificative între legislațiile statelor membre cu privire la această chestiune, care la rândul lor au creat probleme de subaplicare(16). Prezenta cauză, inițiată în perioada în care directiva respectivă era încă în vigoare, oferă un exemplu în acest sens: cauza a ridicat, în temeiul legislației naționale, probleme referitoare la calitatea procesuală a Comisiei pentru Viața Privată și la caracterul adecvat al temeiului juridic pentru acțiunea introdusă de președintele acesteia.

65.      Cu toate acestea, în mod similar cu ceea ce s‑a menționat deja mai sus(17), articolul 58 alineatul (5) din RGPD stabilește competențe care urmează să fie acordate tuturor autorităților de supraveghere, fără excepție în această etapă, indiferent (sau înainte) de determinarea, într‑un caz individual, a faptului dacă autoritatea respectivă ar fi autoritatea de supraveghere principală competentă ori autoritatea de supraveghere vizată sau poate o autoritate care nu este vizată. Articolul 58 alineatul (5) din RGPD nu reglementează situațiile și modul în care trebuie exercitată această competență de a iniția proceduri judiciare. Acesta este probabil și motivul pentru care această dispoziție include expresia „după caz”. Acesta este obiectul altor dispoziții din RGPD.

66.      În plus, nici textul, nici structura articolului 58 din RGPD nu sugerează că se poate face o distincție, astfel cum susține GBA, între competențele administrative ale autorităților (care ar face obiectul constrângerilor care decurg din mecanismul ghișeului unic) și competența de a iniția proceduri judiciare (care nu ar face obiectul acestor constrângeri). Această dispoziție enumeră, alineat după alineat, diferitele competențe care trebuie acordate autorităților de supraveghere, grupându‑le în funcție de scop (de investigare, corectivă, de consiliere și așa mai departe). Modul de redactare a acestor alineate este destul de similar, afirmând în esență că fiecare autoritate de supraveghere va deține competențele stabilite în cadrul acestora.

67.      În consecință, nu vedem niciun temei pentru a interpreta articolul 58 alineatul (5) în mod diferit de alineatele (1)-(3) ale aceleiași dispoziții. Dintre cele două interpretări, numai una poate fi adevărată: fie fiecare autoritate de supraveghere beneficiază de toate aceste competențe, nelimitate de mecanismul ghișeului unic, fie toate aceste competențe trebuie exercitate în conformitate cu procedurile și în limitele stabilite în regulament.

68.      Pentru motivele explicate la punctele 51 și 52 de mai sus, ipoteza anterioară nu poate fi confirmată. De fapt, atunci când articolul 58 din RGPD este interpretat în contextul său, devine clar că mai degrabă opusul a ceea ce susțin GBA și unele guverne este de fapt adevărat.

69.      Într‑adevăr, fiecare autoritate de supraveghere trebuie să contribuie la aplicarea corectă și coerentă a regulamentului. În acest scop, fiecare autoritate de supraveghere, indiferent de rolul său de autoritate de supraveghere principală sau de autoritate de supraveghere vizată într‑un caz specific, trebuie, de exemplu, să examineze plângerile depuse în fața sa și să facă acest lucru cu diligența necesară(18). De fapt, chiar și în cazul în care presupusele încălcări se referă la prelucrarea transfrontalieră și o autoritate nu este autoritatea de supraveghere principală, alte autorități de supraveghere ar trebui să poată examina problema pentru a oferi o contribuție semnificativă atunci când sunt solicitate să facă acest lucru în cadrul mecanismelor de cooperare și coerență(19) sau să poată adopta măsuri urgente. Cu toate acestea, revine ulterior autorității de supraveghere principale competența generală de a adopta decizii obligatorii pentru aplicarea RGPD cu privire la operator sau la persoana împuternicită de operator(20). În special, astfel cum rezultă din hotărârea recentă pronunțată în cauza Facebook Ireland și Schrems, revine „autorit[ății] național[e] de supraveghere competent[e] […] dacă este cazul, să introducă o cale de atac în fața instanțelor naționale”(21). În consecință, sugestia conform căreia autoritățile de supraveghere ar putea ignora mecanismele de coerență și cooperare atunci când doresc să inițieze proceduri judiciare nu poate fi conciliată cu textul RGPD și cu jurisprudența Curții.

70.      În plus, dintr‑o perspectivă mai practică, ar fi ilogic să se interzică unei autorități să deschidă o procedură administrativă, pentru a dezbate presupusa încălcare a normelor în materie de protecție a datelor cu operatorii în cauză, dar să se permită aceleiași autorități să inițieze de îndată proceduri judiciare în fața unei instanțe cu privire la aceeași chestiune. Litigiile sunt adesea un instrument de ultimă instanță, la care este probabil ca o autoritate să apeleze atunci când o problemă nu poate fi tratată eficient prin intermediul discuțiilor (formale sau informale) și prin luarea deciziilor la nivel administrativ.

71.      Distincția sugerată de DPA, care nu ar permite unei autorități de supraveghere să investigheze (administrativ), să pregătească, să proceseze și să decidă, dar i‑ar permite imediat să inițieze o procedură judiciară în fața unei instanțe, se apropie periculos de a transforma autoritățile administrative în personaje destul de discutabile de western‑uri, care mai întâi trag și (poate) mai târziu vorbesc, dacă se întâmplă să mai vorbească („când trebuie să tragi, trage; nu vorbi”(22)). Nu suntem siguri că acesta ar fi un mod rezonabil sau adecvat pentru ca autoritățile administrative să gestioneze presupuse încălcări ale normelor în materie de protecție a datelor.

72.      În plus și mai important, faptul de a permite autorităților de supraveghere să sesizeze în mod liber instanțele lor naționale atunci când nu își pot utiliza competențele administrative fără a trece prin mecanismele de cooperare și coerență prevăzute în regulament ar deschide calea pentru o eludare facilă a acestor mecanisme. În special, în caz de dezacord cu privire la un proiect de decizie, atât autoritatea de supraveghere principală, cât și (fiecare dintre) autoritățile de supraveghere vizate ar putea „lua situația în propriile mâini” și ar putea iniția proceduri judiciare în fața instanțelor naționale, eludând astfel procedura prevăzută la articolul 60 alineatul (4) și la articolul 65 din RGPD.

73.      La rândul său, acest lucru ar lipsi de sens una dintre principalele funcții ale comitetului, un organism înființat de RGPD, alcătuit din șeful unei autorități de supraveghere din fiecare stat membru și din Autoritatea Europeană pentru Protecția Datelor(23). Una dintre sarcinile comitetului este tocmai aceea de a monitoriza și a asigura aplicarea corectă a RGPD în cazurile în care apare un dezacord între diferitele autorități de supraveghere(24). În aceste cazuri, comitetul acționează ca un forum de soluționare a litigiilor și ca organ de luare a deciziilor. Dacă ar fi urmată interpretarea apărată de GBA și de unele guverne, mecanismul prevăzut la articolul 65 din RGPD ar putea fi complet marginalizat: fiecare autoritate ar putea merge pe calea sa, eludând comitetul.

74.      Situația care decurge de aici pare să fie opusul a ceea ce a intenționat să realizeze legiuitorul Uniunii prin intermediul noului sistem, după cum se va explica în secțiunea următoare.

2.      O interpretare teleologică și istorică a RGPD

75.      Astfel cum rezultă din considerentul (9) al RGPD, legiuitorul Uniunii a considerat că, în timp ce „[o]biectivele și principiile Directivei 95/46/CE [au] răm[as] solide”, acest instrument „nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune, insecuritatea juridică sau percepția publică larg răspândită conform căreia există riscuri semnificative pentru protecția persoanelor fizice”.

76.      Necesitatea asigurării coerenței a devenit astfel „numele jocului” al instrumentului juridic destinat înlocuirii Directivei 95/46. Acest obiectiv a fost considerat important dintr‑o perspectivă dublă: pe de o parte, pentru a se asigura un nivel omogen și înalt de protecție a persoanelor fizice și, pe de altă parte, pentru a elimina obstacolele din calea fluxurilor de date cu caracter personal în cadrul Uniunii, oferind securitate juridică și transparență pentru operatorii economici(25).

77.      Ar trebui subliniat ultimul aspect. În temeiul Directivei 95/46, operatorii economici activi în întreaga Uniune Europeană erau solicitați să respecte diferitele seturi de norme naționale de transpunere a directivei și să relaționeze, în același timp, cu toate autoritățile naționale de protecție a datelor. Această situație a fost nu numai costisitoare, împovărătoare și consumatoare de timp pentru operatorii economici, ci și o sursă inevitabilă de incertitudine și conflicte pentru acești operatori și clienții lor(26).

78.      Limitele sistemului instituit în temeiul Directivei 95/46 au devenit evidente și într‑o serie de hotărâri ale Curții. În Hotărârea Weltimmo, Curtea a considerat că competențele autorităților de protecție a datelor erau strict limitate de principiul teritorialității: aceste autorități puteau acționa împotriva încălcărilor care aveau loc numai pe teritoriul lor, urmând ca în toate celelalte cazuri să solicite autorităților din celelalte state membre să intervină(27). În Hotărârea Wirtschaftsakademie Schleswig‑Holstein, Curtea a statuat că, în cazul prelucrării transfrontaliere, fiecare autoritate de protecție a datelor își poate exercita competențele cu privire la o entitate stabilită pe teritoriul său, independent de opiniile și acțiunile autorității de protecție a datelor din statul membru în care are sediul entitatea responsabilă cu prelucrarea respectivă(28).

79.      Cu toate acestea, în lumea virtuală a prelucrării datelor, împărțirea competenței diferitelor autorități pe linii teritoriale este adesea problematică(29). În plus, lipsa unor mecanisme clare de coordonare între autoritățile naționale a fost o sursă de incoerențe și incertitudine.

80.      Introducerea mecanismului ghișeului unic, cu rolul semnificativ acordat autorității de supraveghere principale și mecanismelor de cooperare instituite pentru a implica alte autorități de supraveghere, a fost menită astfel să rezolve chiar aceste probleme(30). În Hotărârea Google (Întinderea teritorială a dezindexării), Curtea a subliniat importanța mecanismelor de cooperare și coerență pentru aplicarea corectă și coerentă a RGPD și caracterul obligatoriu al acestora(31). Mai recent, în Hotărârea Facebook Ireland și Schrems, avocatul general Saugmandsgaard Øe a subliniat de asemenea că mecanismele de cooperare și coerență prevăzute în capitolul VII din RGPD sunt concepute pentru a evita riscul ca diferite autorități de supraveghere să adopte abordări diferite în ceea ce privește prelucrarea transfrontalieră(32).

81.      Este adevărat că, astfel cum subliniază GBA, pe parcursul procesului legislativ, atât Consiliul, cât și Parlamentul au încercat să limiteze competența autorității de supraveghere principale, astfel cum a prevăzut inițial Comisia. Cu toate acestea, modificările introduse în cele din urmă în textul final al RGPD nu ridică îndoieli cu privire la interpretarea regulamentului ilustrată mai sus, ci mai degrabă o confirmă.

82.      Conform propunerii inițiale a Comisiei, mecanismul ghișeului unic implica faptul că, în ceea ce privește prelucrarea transfrontalieră, o singură autoritate de supraveghere (autoritatea de supraveghere principală) trebuia să fie responsabilă cu monitorizarea activităților operatorului sau ale persoanei împuternicite de operator în întreaga Uniune Europeană și cu luarea deciziilor conexe(33). Această propunere a dat naștere totuși unor discuții în cadrul Consiliului și al Parlamentului.

83.      În cele din urmă, Consiliul a convenit asupra unui text pe baza unei propuneri depuse de Președinție(34). Această propunere nu a pus în discuție în niciun caz mecanismul ghișeului unic ca atare, cu privire la care Consiliul a menționat că este „unul dintre pilonii centrali” ai noului cadru juridic(35). Propunerea Președinției a condus în cele din urmă la două seturi de amendamente destul de specifice.

84.      În primul rând, Consiliul a dorit să introducă anumite excepții de la competența generală a autorității de supraveghere principale: cu privire la prelucrarea efectuată de autoritățile publice și cu privire la situațiile locale. Astfel, Consiliul a propus introducerea a două dispoziții care nu figurau în propunerea Comisiei(36) și care sunt în prezent articolul 55 alineatul (2) și articolul 56 alineatul (2) din RGPD(37).

85.      În al doilea rând, Consiliul a intenționat să atenueze rolul și competența autorității de supraveghere principale, făcând ca procedura să fie mai inclusivă. Textul propunerii Comisiei a fost considerat oarecum ambiguu cu privire la acest punct și de natură să dea naștere unei competențe exclusive a autorității de supraveghere principale cu privire la prelucrarea transfrontalieră a datelor. Astfel, au fost introduse în text unele corecții pentru a spori „proximitatea” între persoanele vizate și autoritățile de supraveghere(38). Printre altele, a crescut semnificativ implicarea altor autorități de supraveghere în procesul de luare a deciziilor.

86.      La rândul său, Parlamentul European a susținut de asemenea crearea mecanismului ghișeului unic, cu un rol sporit pentru autoritatea de supraveghere principală, dar a propus consolidarea sistemului de cooperare între autoritățile de supraveghere. Atât expunerea de motive la proiectul de raport al Parlamentului(39), cât și Rezoluția legislativă a Parlamentului European din 12 martie 2014(40) sunt destul de clare în această privință.

87.      În esență, odată cu intervenția Consiliului și a Parlamentului, mecanismul ghișeului unic, care anterior se orienta puternic către autoritatea de supraveghere principală, a fost transformat într‑un mecanism mai echilibrat cu doi piloni: este păstrat rolul principal al autorității de supraveghere principale în ceea ce privește prelucrarea transfrontalieră, dar acesta este însoțit în prezent de un rol sporit pentru celelalte autorități de supraveghere care participă activ la proces prin intermediul mecanismelor de cooperare și coerență, comitetului fiindu‑i acordat rolul de arbitru și de ghid în caz de dezacord.

88.      În consecință, o interpretare teleologică și istorică a RGPD confirmă importanța mecanismului ghișeului unic și, în consecință, competența generală a autorității de supraveghere principale în ceea ce privește prelucrarea transfrontalieră a datelor. Interpretarea dispozițiilor din RGPD propusă de GBA și de anumite guverne nu poate fi conciliată cu intenția legiuitorului Uniunii, astfel cum poate fi dedusă aceasta din preambulul și din prevederile regulamentului, precum și din lucrările pregătitoare.

89.      Astfel, concluzionăm că o abordare textuală, contextuală, teleologică și istorică în ceea ce privește interpretarea dispozițiilor relevante din RGPD confirmă faptul că autoritățile de supraveghere sunt obligate să respecte normele de competență și cele privind mecanismele și procedurile de cooperare și coerență stabilite în regulament. Atunci când se confruntă cu prelucrarea transfrontalieră, autoritățile respective trebuie să acționeze în cadrul stabilit de RGPD.

90.      Cu toate acestea, GBA și anumite guverne au prezentat două seturi suplimentare de argumente care, în opinia acestora, pledează în favoarea consolidării competențelor tuturor autorităților de supraveghere de a acționa unilateral, chiar și în ceea ce privește prelucrarea transfrontalieră. În secțiunile următoare, vom explica de ce aceste argumente nu ar trebui să repună în discuție interpretarea RGPD pe care am sugerat‑o mai sus, cu siguranță nu în acest moment.

3.      O interpretare bazată pe cartă a RGPD

91.      GBA susține opinia potrivit căreia este necesară o competență neîngrădită a autorităților de supraveghere de a iniția proceduri judiciare împotriva operatorilor și a persoanelor împuternicite de operatori, inclusiv în cazul în care prelucrarea este transfrontalieră prin natura sa, pentru a asigura conformitatea cu articolele 7, 8 și 47 din cartă. Se pare că există două preocupări principale care stau la baza argumentelor GBA cu privire la această chestiune, deși niciuna dintre aceste preocupări nu a fost pe deplin articulată în observațiile sale(41).

92.      Prima preocupare a GBA pare legată de reducerea numărului de autorități care pot acționa în raport cu o anumită conduită. Se pare că există o presupunere tăcută în această propunere, și anume că un nivel ridicat de protecție necesită o multitudine de autorități care pot impune respectarea RGPD, chiar și acționând în paralel. În termeni simpli, cu cât sunt mai multe autoritățile care sunt implicate, cu atât este mai mare nivelul de protecție.

93.      Nu considerăm că aceasta este în mod necesar situația, cel puțin în ceea ce privește nivelul de protecție.

94.      Este adevărat că, astfel cum a afirmat Curtea, legislația Uniunii privind protecția datelor, interpretată în lumina articolelor 7 și 8 din cartă, urmărește să asigure un nivel ridicat de protecție printre altele a dreptului fundamental la respectarea vieții private în ceea ce privește prelucrarea datelor cu caracter personal(42).

95.      Cu toate acestea, legiuitorul Uniunii a considerat că pentru a asigura un „nivel ridicat de protecție a persoanelor fizice” este necesar un „cadru solid și mai coerent în materie de protecție a datelor”(43). În acest scop, cadrul stabilit de RGPD este menit să asigure coerența la toate nivelurile: pentru persoanele fizice, pentru operatorii economici, pentru operatori și persoanele împuternicite de operatori, precum și pentru autoritățile de supraveghere(44). Cu privire la acestea din urmă, RGPD urmărește, astfel cum se confirmă în considerentul (116), să promoveze o „cooperare mai strânsă” între ele(45).

96.      În consecință, spre deosebire de ceea ce a susținut GBA, urmărirea unui nivel ridicat de protecție a drepturilor și libertăților persoanelor vizate este, în ochii legiuitorului Uniunii, pe deplin în concordanță cu funcționarea mecanismului ghișeului unic ilustrată mai sus. Permițând o abordare mai coerentă, eficientă și transparentă în această privință, mecanismele de cooperare și coerență stabilite în RGPD ar trebui să contribuie la o subliniere mai puternică a promovării și protejării mai puternice ale drepturilor consacrate printre altele la articolele 7 și 8 din cartă.

97.      Cu alte cuvinte, un nivel coerent și uniform de protecție cu siguranță nu exclude faptul ca această protecție să fie plasată la un nivel ridicat. Întrebarea este pur și simplu aceea de a ști unde trebuie plasat acest etalon uniform. La urma urmei, este îndoielnic faptul că coexistența mai multor acțiuni care nu au legătură între ele și posibil contradictorii ale autorităților de supraveghere ar promova cu adevărat scopul de a asigura un nivel ridicat de protecție a drepturilor indivizilor. S‑ar putea considera că servesc mai bine acest scop coerența și claritatea, asigurate de autoritățile de supraveghere care acționează în mod concertat.

98.      Cea de a doua preocupare exprimată de GBA ridică probleme de proximitate între particularii care depun o plângere și autoritățile care vor lua măsuri în cele din urmă ca răspuns la această plângere. Întrebarea este în esență dacă particularii pot iniția în mod efectiv proceduri împotriva acțiunii sau inacțiunii autorităților de supraveghere în raport cu plângerile lor.

99.      Într‑adevăr, articolul 78 din RGPD confirmă dreptul persoanelor fizice sau juridice la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere. În plus, pentru a fi în concordanță cu articolul 47 din cartă, căile de atac prevăzute în RGPD nu pot impune persoanelor vizate să respecte reguli detaliate care, având în vedere statutul lor de persoane fizice, pot afecta în mod disproporționat dreptul acestora de a introduce o cale de atac (de exemplu prin creșterea costurilor sau întârzierea acțiunii)(46).

100. Cu toate acestea, niciunul dintre argumentele (destul de vagi) prezentate de fiecare parte cu privire la acest punct nu explică în mod clar motivul pentru care interpretarea RGPD prezentată de Facebook, de guvernele ceh și finlandez și de Comisie ar intra în conflict cu articolul 47 din cartă.

101. Pentru început, RGPD prevede în mod expres dreptul persoanelor vizate de a iniția proceduri atât împotriva operatorilor și a persoanelor împuternicite de operatori, cât și împotriva autorităților de supraveghere. În consecință, din punct de vedere structural, nu este evident motivul pentru care RGPD nu ar respecta articolul 47 din cartă.

102. În ceea ce privește dreptul persoanelor vizate de a iniția proceduri judiciare împotriva operatorilor și persoanelor împuternicite de operatori, acestea pot alege să înceapă procedurile în fața instanțelor din statele membre în care operatorul sau persoana împuternicită de operator are sediul sau în care au reședința persoanele vizate(47). Această regulă pare destul de favorabilă sau cel puțin lipsită de probleme pentru persoanele vizate(48).

103. În ceea ce privește dreptul persoanelor vizate de a iniția proceduri împotriva autorităților de supraveghere, situația este mai complexă. Pentru început, persoanele vizate au dreptul să conteste atât acțiunile, cât și inacțiunea autorităților de supraveghere. În special, acestea pot acționa împotriva oricărei autorități de supraveghere care „nu reacționează la o plângere, respinge sau refuză parțial sau total o plângere sau nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate”(49).

104. Cu toate acestea, acțiunile împotriva autorităților de supraveghere trebuie, spre deosebire de acțiunile împotriva operatorilor și persoanelor împuternicite de operatori, să fie introduse în fața instanțelor din statul membru în care este stabilită autoritatea de supraveghere(50). Chiar dacă această regulă poate părea mai puțin favorabilă persoanelor fizice, trebuie avut în vedere faptul că, în conformitate cu articolul 60 alineatele (8) și (9) din RGPD, în cazul în care o plângere depusă de o persoană vizată este refuzată sau respinsă în totalitate sau parțial, decizia relevantă este adoptată și notificată persoanei vizate de către autoritatea de supraveghere la care aceasta a depus plângerea. Acest lucru este valabil indiferent dacă autoritatea respectivă este sau nu autoritatea de supraveghere principală, permițând astfel (după caz) persoanei vizate să inițieze proceduri în propriul stat membru.

105. Aceste mecanisme de transfer al competenței de adoptare a deciziilor și, după caz, de adoptare a unor decizii pe două niveluri (autoritatea de supraveghere principală în raport cu operatorul sau cu persoana împuternicită de operator și autoritatea locală în raport cu reclamantul) par menite în mod special să evite ca persoanele vizate să fie nevoite să „facă turul” sălilor de judecată din Uniunea Europeană pentru a iniția proceduri judiciare împotriva autorităților de supraveghere inactive.

106. Cu toate acestea, recunoaștem că o astfel de soluție poate duce la o serie de întrebări practice. Care va fi conținutul exact al fiecăreia dintre aceste decizii? Conținutul respectiv ar fi identic(51) sau diferit? O persoană vizată ar avea posibilitatea să conteste toate aspectele despre care aceasta consideră că au legătură cu cazul său, chiar și cele care fac parte efectiv din decizia autorității de supraveghere principale? Sau decizia autorității de supraveghere la care persoana vizată a depus o plângere ar fi în mare parte o „coajă goală”, care soluționează pur și simplu reclamația individuală într‑un mod formal, în timp ce conținutul real se găsește în decizia autorității de supraveghere principale? În acest caz, persoana vizată, pentru a avea acces la o „cale de atac judiciară eficientă” în sensul articolului 78 din RGPD și al articolului 47 din cartă, ar trebui în orice caz să introducă o acțiune în justiție în fața instanțelor statului membru în care se află sediul autorității de supraveghere principale? Cum ar funcționa normele de acces la o cale de atac judiciară eficientă în ceea ce privește controlul judiciar al oricăror decizii de bază, fie la nivel orizontal (în rândul autorităților de supraveghere care acționează în comun), fie la nivel vertical (în ceea ce privește controlul judiciar al unui aviz sau al unei decizii a comitetului în cadrul mecanismului de coerență care precedă și care probabil determină în mod efectiv decizia finală a unei autorități de supraveghere)(52)?

107. Nu lipsesc potențialele probleme spinoase. Experiența practică ar putea, într‑o zi, să dezvăluie probleme autentice în ceea ce privește calitatea sau chiar nivelul de protecție juridică inerent noului sistem. Cu toate acestea, în prezent, orice astfel de probleme rămân la nivel de conjectură. În acest stadiu și cu siguranță în cadrul acestei proceduri, nu au fost prezentate Curții elemente care să indice probleme reale în această privință.

4.      O posibilă subaplicare a RGPD

108. GBA susține în esență că aplicarea RGPD în situații transfrontaliere nu poate fi lăsată aproape exclusiv în sarcina autorității de supraveghere principale și a persoanelor vizate care ar putea fi afectate de prelucrare. Rolul fiecărei autorități de supraveghere este acela de a acționa pentru a proteja drepturile persoanelor care pot fi afectate de prelucrarea datelor. În special, o autoritate de supraveghere nu își poate îndeplini în mod corespunzător misiunea dacă de fiecare dată decizia de a introduce o acțiune împotriva unei presupuse încălcări și modul în care să se efectueze acest lucru sunt lăsate la latitudinea unei alte autorități.

109. În opinia noastră, acest argument reprezintă în esență o provocare directă la adresa noului mecanism de cooperare introdus de RGPD. Răspunsul nostru la acesta este formulat în două straturi: pe de o parte, în ceea ce privește stratul legislației existente, s‑ar putea spune că RGPD conține mecanisme menite să evite astfel de scenarii. Pe de altă parte, în ceea ce privește funcționarea autentică și efectele noilor sisteme, astfel de temeri sunt, în acest stadiu, premature și ipotetice.

110. În primul rând, ar trebui clarificat de la bun început că faptul că o autoritate de supraveghere nu este autoritatea de supraveghere principală în ceea ce privește un anumit operator sau persoana împuternicită de operator nu implică în niciun caz, astfel cum susține GBA, că încălcările RGPD care determină o infracțiune nu pot fi urmărite penal în mod corespunzător. Competența de a „a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament”, prevăzută la articolul 58 alineatul (5), include în mod evident competența de a menține legătura cu autoritățile penale, precum parchetul. Această competență este în concordanță cu sarcina autorităților de supraveghere de a monitoriza și impune aplicarea RGPD pe teritoriul lor și nu afectează funcționarea efectivă a mecanismelor de cooperare și coerență stabilite în capitolul VII din RGPD. În această privință, nu este nevoie să subliniem că, deși aceste mecanisme sunt obligatorii pentru autoritățile de supraveghere, ele nu se aplică altor autorități din statele membre, în special celor însărcinate cu urmărirea penală a infracțiunilor.

111. În al doilea rând și mai important, atunci când sistemul instituit de RGPD este respectat în întregime, este destul de clar că autoritatea de supraveghere principală nu este singura care aplică RGPD în situații transfrontaliere. Autoritatea de supraveghere principală este mai degrabă un primus inter pares. În general, o autoritate de supraveghere principală va putea acționa (administrativ sau judiciar) numai cu acordul autorităților de supraveghere vizate. În cadrul procedurii prevăzute la articolul 60 din RGPD, autoritatea de supraveghere principală este obligată să caute consensul(53). Aceasta nu poate ignora punctele de vedere ale autorităților de supraveghere vizate. Nu numai că autoritatea de supraveghere principală este obligată să „țin[ă] seama în mod corespunzător” de aceste opinii, dar orice obiecție formală exprimată de o autoritate de supraveghere vizată are ca efect blocarea temporară a adoptării proiectului de decizie al autorității de supraveghere principale. În cele din urmă, orice divergență persistentă de opinii între autorități este soluționată de un anumit organism (comitetul) compus din reprezentanții tuturor autorităților de supraveghere din Uniune. În consecință, poziția autorității de supraveghere principale în această privință nu este mai puternică decât cea a oricărei alte autorități(54).

112. Astfel cum a afirmat fostul reprezentant al Autorității Europene pentru Protecția Datelor, domnul P. Hustinx, în cadrul regimului RGPD, rolul unei autorități de supraveghere principale „nu ar trebui privit ca o competență exclusivă, ci ca un mod structurat de cooperare cu alte autorități de supraveghere competente la nivel local”(55). RGPD prevede responsabilitatea comună de a monitoriza aplicarea sa și de a asigura aplicarea coerentă a acestuia. În acest scop, autorităților de supraveghere li se atribuie sarcini și sunt înzestrate cu anumite competențe; li se acordă unele drepturi, dar sunt împovărate și cu unele îndatoriri. Printre aceste îndatoriri se numără în special obligația de a urma anumite proceduri și mecanisme menite să asigure coerența. Dorința unei autorități de a adopta o abordare individuală(56) în ceea ce privește aplicarea (judiciară) a RGPD, fără a coopera cu celelalte autorități, nu poate fi conciliată nici cu litera, nici cu spiritul acestui regulament.

113. Astfel cum s‑a menționat la punctele 76 și 77 de mai sus, RGPD este construit pe un echilibru delicat între necesitatea de a asigura un nivel ridicat de protecție a persoanelor fizice și necesitatea îndepărtării obstacolelor din calea circulației datelor cu caracter personal în cadrul Uniunii. Aceste două obiective sunt legate indisolubil, după cum demonstrează în special considerentul (10) și articolul 1 alineatul (1) din RGPD. Prin urmare, autoritățile naționale de supraveghere trebuie să asigure un echilibru echitabil între ele, astfel cum a subliniat în mod constant Curtea începând cu primele sale hotărâri în domeniul protecției datelor(57). Articolul 51 alineatul (1) din RGPD, prin definirea misiunii autorităților de supraveghere, reflectă această abordare(58).

114. În al treilea rând, RGPD prevede nu numai mecanisme pentru a rezolva divergențele cu privire la modul în care urmează să se efectueze punerea în aplicare, și anume arbitrajul între punctele de vedere și opiniile divergente exprimate de autoritățile de supraveghere. Acesta include de asemenea mecanisme de depășire a situațiilor de inerție administrativă. Acestea sunt în special situațiile în care o autoritate de supraveghere principală, din lipsă de expertiză și/sau de personal, sau din orice alt motiv, nu întreprinde nicio acțiune semnificativă pentru a investiga eventualele încălcări ale RGPD și, după caz, pentru a aplica normele acestuia.

115. În principiu, RGPD impune, în cauze referitoare la prelucrarea transfrontalieră, ca autoritatea de supraveghere principală să acționeze cu promptitudine. În special, în temeiul articolului 60 alineatul (3) din RGPD, autoritatea de supraveghere principală trebuie să „comunic[e] fără întârziere informațiile relevante referitoare la această chestiune celorlalte autorități de supraveghere vizate [și să] transmit[ă] fără întârziere un proiect de decizie celorlalte autorități de supraveghere vizate, pentru a obține avizul lor, și ține seama în mod corespunzător de opiniile acestora”(59).

116. În cazul în care o autoritate de supraveghere principală nu respectă această obligație sau, în general, nu acționează atunci când este necesar, se pune întrebarea dacă există vreun remediu juridic pentru autoritățile de supraveghere vizate care sunt dispuse să continue cu o investigație și, eventual, cu măsuri de punere în aplicare(60)? Considerăm că există cel puțin două rute diferite pe care aceste autorități le pot urma, aceste rute neexcluzându‑se reciproc.

117. Pe de o parte, în temeiul articolului 61 alineatele (1) și (2) din RGPD, o autoritate de supraveghere poate solicita altei autorități de supraveghere să furnizeze „informații relevante și asistență pentru a pune în aplicare [RGPD]”(61). Această cerere poate lua forma unei cereri de informații inclusiv „privind desfășurarea unei investigații” sau a altor măsuri de asistență (precum efectuarea de inspecții și investigații sau punerea în aplicare a unor măsuri de cooperare eficace). Orice astfel de cerere trebuie să primească răspuns din partea autorității solicitate „fără întârzieri nejustificate și cel târziu în termen de o lună de la data primirii cererii”.

118. Potrivit articolului 61 alineatele (5) și (8) din RGPD, neîndeplinirea obligației de a răspunde în termen sau refuzul de a se conforma cererii permite autorității solicitante să „adopt[e] o măsură provizorie pe teritoriul propriului stat membru, în conformitate cu articolul 55 alineatul (1)”. În astfel de cazuri, „necesitatea urgentă de a acționa în temeiul articolului 66 alineatul (1) este considerată a fi îndeplinită și necesită o decizie obligatorie urgentă din partea comitetului, în conformitate cu articolul 66 alineatul (2)”(62).

119. Considerăm că acest mecanism poate fi utilizat de asemenea (și probabil este menit să fie utilizat(63)) de către o autoritate de supraveghere vizată în raport cu o autoritate de supraveghere principală. Neîndeplinirea de către o autoritate de supraveghere principală a obligației de a acționa într‑un caz specific de prelucrare transfrontalieră, în pofida unei cereri în acest sens formulate de o autoritate de supraveghere vizată, poate permite acesteia din urmă să adopte măsurile urgente considerate necesare pentru a proteja interesele persoanelor vizate. Într‑adevăr, existența unor împrejurări excepționale care justifică nevoia urgentă de a acționa este presupusă și nu trebuie dovedită.

120. Pe de altă parte, articolul 64 alineatul (2) din RGPD permite oricărei autorități de supraveghere (sau președintelui comitetului sau Comisiei) să „solicit[e] ca orice chestiune de aplicare generală sau care produce efecte în mai mult de un stat membru să fie examinată de comitet în vederea obținerii unui aviz, în special în cazul în care o autoritate de supraveghere competentă nu respectă obligațiile privind asistența reciprocă în conformitate cu articolul 61 […]”(64).

121. Nu este pe deplin clar dacă decizia comitetului ar fi obligatorie din punct de vedere juridic pentru autoritatea de supraveghere principală în cauză(65). Cu toate acestea, în conformitate cu articolul 65 alineatul (1) litera (c) din RGPD, în cazul în care o autoritate de supraveghere competentă nu ține seama de avizul comitetului emis în temeiul articolului 64, orice autoritate de supraveghere vizată (sau Comisia) poate comunica chestiunea comitetului și poate iniția astfel procedura de soluționare a litigiilor prevăzută în acest scop. Această din urmă procedură ar conduce, în cele din urmă, la o decizie obligatorie(66).

122. Acestea fiind spuse, trebuie să se recunoască faptul că cele două mecanisme ilustrate mai sus (pe de o parte, articolele 61 și 66 din RGPD și, pe de altă parte, articolele 64 și 65 din RGPD) sunt oarecum anevoioase. Funcționarea lor efectivă nu este întotdeauna foarte clară. În consecință, dacă pe hârtie dispozițiile menționate mai sus par potrivite pentru a evita aceste probleme, numai aplicarea viitoare a acestor dispoziții va spune dacă, în practică, acestea se pot dovedi a fi „tigri de hârtie”.

123. Acest lucru ne conduce înapoi la cel de al doilea strat al argumentului invocat în legătură cu subaplicarea și cu natura sa destul de ipotetică și nefondată, cu siguranță în prezent. Trebuie să recunoaștem că, din punctul nostru de vedere, dacă s‑ar materializa pericolele referitoare la subaplicarea RGPD sugerată de GBA și de alți intervenienți, întregul sistem ar fi pregătit pentru o revizuire majoră.

124. Dintr‑un punct de vedere structural, aceasta ar putea fi într‑adevăr situația în cazul în care noua structură ar duce la „cuiburi” de reglementare pentru anumiți operatori care, după ce și‑au ales ei înșiși autoritatea de reglementare națională, plasându‑și, în consecință, principalul sediu în Uniune, ar deveni nu monitorizați, ci mai degrabă protejați de fapt față de celelalte organisme de reglementare de o anumită autoritate de supraveghere principală. Sunt puțini cei care nu ar fi de acord că concurența în materie de reglementare sub forma unei uniformizări la nivel inferior între statele membre ar fi la fel de nesănătoasă și de periculoasă precum incoerența în materie de reglementare: tipul de lipsă de coordonare și coerență caracteristic proiectului anterior. Regimurile de reglementare a rețelelor ar putea fi capabile să prevină incoerența și divergența prin încurajarea consensului și cooperării. Cu toate acestea, prețul pentru consens tinde să fie blocarea autorităților active, în special într‑un sistem în care este necesară o concertare sporită pentru a lua orice decizie. În cadrul acestor sisteme, responsabilitatea colectivă poate conduce la iresponsabilitate colectivă și, în cele din urmă, la inerție.

125. Cu toate acestea, în ceea ce privește orice astfel de pericole, cadrul legal instituit de RGPD este încă la început. Nu este ușor de prezis – în special pentru o instanță, în contextul unei proceduri unice sau într‑adevăr mai degrabă singulare – modul în care vor funcționa în practică mecanismele stabilite prin regulamentul respectiv și cât de eficiente vor fi acestea. Într‑un astfel de cadru, în mod similar cu problemele potențiale legate de protecția drepturilor fundamentale și interpretării conforme cu carta(67), se recomandă prudență.

126. În opinia noastră, ar fi o idee proastă pentru Curte să modifice în mod semnificativ acest cadru, care este produsul (delicat și atent elaborat) al unui proces legislativ lung și intens, prin interpretarea unor propoziții individuale scoase din context și, în această etapă, pe bază de ipoteze și speculații. Acest lucru este cu atât mai adevărat dacă interpretarea propusă de unele părți este pur și simplu aceea de a citi anumite elemente‑cheie în afara cadrului regulamentului și, prin urmare, a reveni de facto la vechiul sistem în temeiul Directivei 95/46, care, în ceea ce privește dimensiunea sa instituțională, a fost respins în mod expres și clar de către legiuitorul Uniunii.

127. Această intenție legislativă suficient de clară, demonstrată, astfel cum rezultă din secțiunile anterioare din prezentele concluzii, atât în textul și structura RGPD, precum și în intenția legislativă documentată, oferă de asemenea un răspuns la alte potențiale preocupări structurale, precum cele referitoare la echilibrul adecvat între aplicarea la nivel public și privat a normelor de protecție a datelor și a RGPD. Are sens să se limiteze aplicarea la nivel public la o singură autoritate și, prin urmare, la un singur stat membru, a cărui implementare va avea loc numai după o procedură administrativă îndelungată și anevoioasă, în timp ce aplicarea la nivel privat a acelorași norme este de natură să se realizeze în practică mai repede și în fața instanțelor (civile) din toate statele membre? Ar trebui ca autoritățile naționale de supraveghere să aibă un acces mai redus la instanțe decât orice consumator particular? Nu vor ajunge cele mai multe cazuri de protecție a datelor în fața instanțelor naționale (și, posibil, în fața Curții de Justiție prin intermediul unei decizii preliminare), introduse direct de justițiabilii particulari, ocolind complet autoritățile naționale de reglementare înființate în acest scop, întrucât autoritățile naționale de reglementare respective sunt încă în proces de cooperare și coordonare a pozițiilor lor? În cadrul unui astfel de regim, nu există pericolul ca aplicarea la nivel privat să o înlocuiască în totalitate pe cea la nivel public?

128. Oricare ar fi răspunsul, legiuitorul Uniunii a făcut o alegere instituțională și structurală clară și, în opinia noastră, nu există nicio îndoială cu privire la ceea ce a intenționat să realizeze. În astfel de împrejurări, pentru a ne exprima metaforic, ar trebui să i se acorde copilului beneficiul îndoielii, cel puțin pentru moment. Cu toate acestea, dacă aceasta ar dăuna copilului – fapt care ar trebui demonstrat de fapte și argumente solide –, atunci nu considerăm că Curtea ar închide ochii în fața oricărei lacune care ar putea apărea astfel în protecția drepturilor fundamentale garantate de cartă și în aplicarea lor efectivă de către autoritățile de reglementare competente. Problema dacă aceasta ar fi totuși o problemă pentru o interpretare conformă cu carta a dispozițiilor de drept secundar sau o problemă de validitate a dispozițiilor relevante sau chiar a unor secțiuni dintr‑un instrument de drept secundar este o întrebare pentru o cauză viitoare.

5.      Concluzie intermediară

129. Toate elementele de interpretare subliniate indică astfel unul și același rezultat: autoritatea de supraveghere principală are o competență generală în ceea ce privește prelucrarea transfrontalieră. Toate autoritățile de supraveghere (indiferent de rolul lor de autoritate de supraveghere principală sau de autoritate de supraveghere vizată) trebuie să acționeze, în special în cazul prelucrării transfrontaliere, în conformitate cu procedurile și mecanismele stabilite în RGPD.

130. Acestea fiind spuse, rezultă că unei autorități de supraveghere care nu este autoritatea de supraveghere principală îi este întotdeauna interzis, ca o chestiune de principiu, să introducă acțiuni în fața instanțelor naționale împotriva unui operator sau a unei persoane împuternicite de operator atunci când prelucrarea este transfrontalieră prin natura sa?

131. Nu, nu este cazul.

132. În primul rând, autoritățile de supraveghere pot sesiza în mod normal o instanță națională atunci când acționează în afara domeniului material de aplicare a RGPD, cu condiția ca acest lucru să fie permis în temeiul dreptului național și să nu fie interzis de dreptul Uniunii, de exemplu întrucât prelucrarea nu implică date cu caracter personal sau deoarece prelucrarea datelor cu caracter personal se efectuează în contextul activităților menționate la articolul 2 alineatul (2) din RGPD(68).

133. În al doilea rând, în pofida caracterului transfrontalier al prelucrării, în situațiile prevăzute la articolul 55 alineatul (2) din RGPD (prelucrarea efectuată de autorități publice, dar și orice prelucrare efectuată în interes public sau în exercitarea autorității oficiale), competența de reglementare revine în continuare autorității locale de supraveghere, care include în mod firesc de asemenea, în măsura în care este necesar, capacitatea de a iniția o procedură judiciară în fața unei instanțe.

134. În al treilea rând, există cazuri în care, în pofida prelucrării transfrontaliere a datelor cu caracter personal care intră în sfera RGPD, nicio autoritate de supraveghere nu trebuie să acționeze în calitate de autoritate de supraveghere principală. Întrucât mecanismul de cooperare și coerență stabilit în RGPD se aplică numai operatorilor cu unul sau mai multe sedii în Uniunea Europeană, nu există autoritate de supraveghere principală în ceea ce privește prelucrarea transfrontalieră efectuată de operatorii care nu au un sediu în Uniunea Europeană. Aceasta înseamnă că operatorii care nu au niciun sediu în Uniune trebuie să interacționeze cu autoritățile locale de supraveghere din fiecare stat membru în care activează(69).

135. În al patrulea rând, orice autoritate de supraveghere poate adopta măsuri urgente atunci când sunt îndeplinite condițiile corespunzătoare. În plus, există situații în care se presupune urgența măsurilor. Acest lucru se poate întâmpla, de exemplu, în cazurile în care o autoritate de supraveghere vizată este potențial confruntată cu o inerție persistentă din partea autorității de supraveghere principale responsabile. Întrucât articolul 66 alineatul (1) din RGPD prevede eliminarea totală a mecanismului de coerență, este corect să presupunem că, într‑o astfel de situație excepțională, întreaga gamă de competențe conferite unei autorități de supraveghere (care în împrejurări obișnuite nu trebuie exercitate, întrucât exercitarea este blocată de normele speciale privind competența în materie de prelucrare transfrontalieră ale unei autorități de supraveghere principale) este reactivată și poate fi exercitată temporar. În consecință, aceasta include în mod firesc competența de a iniția proceduri judiciare în conformitate cu articolul 58 alineatul (5) din RGPD.

136. În final, în al cincilea rând, din motive de exhaustivitate, se poate observa că este de asemenea posibil ca o autoritate de supraveghere care a notificat autoritatea de supraveghere principală să dobândească (sau mai degrabă să își păstreze) competența de a sesiza instanța în cazul în care autoritatea de supraveghere principală „decide să nu trateze cazul” în conformitate cu articolul 56 alineatul (5) din RGPD. La prima vedere, această din urmă dispoziție ar putea foarte bine să faciliteze un acord real între ambele autorități de supraveghere cu privire la aceea dintre ele care este mai bine plasată pentru a trata cazul.

137. În concluzie, dispozițiile din RGPD nu includ nicio interdicție generală ca alte autorități de supraveghere, în special autoritățile de supraveghere vizate, să inițieze proceduri judiciare împotriva potențialelor încălcări ale normelor în materie de protecție a datelor. Dimpotrivă, diferite situații în care acestea sunt împuternicite să facă acest lucru sunt prevăzute în mod expres în RGPD sau rezultă în mod implicit din acesta(70).

138. Cu toate acestea, în general, este extrem de important ca, în cazul în care se aplică procedurile și mecanismele prevăzute în RGPD (în special cele din capitolele VI și VII din acesta), atât autoritatea de supraveghere principală, cât și autoritățile de supraveghere vizate să le respecte în mod corespunzător. Normele din RGPD sunt foarte clare în sensul că niciuna dintre aceste autorități nu trebuie să acționeze în afara sau fără a ține seama de cadrul juridic respectiv.

139. Acestea fiind spuse, faptul dacă GBA a respectat sau nu aceste proceduri și mecanisme în prezenta cauză – o chestiune care a dat naștere unor dezbateri în ședință, dar rămâne oarecum neclară având în vedere contextul procedural special al prezentei cauze(71) – trebuie, cu toate acestea, verificat de instanța de trimitere.

140. În consecință, răspunsul la prima întrebare trebuie să fie că dispozițiile din RGPD permit autorității de supraveghere dintr‑un stat membru să inițieze proceduri judiciare în fața unei instanțe din acest stat pentru o presupusă încălcare a RGPD în ceea ce privește prelucrarea transfrontalieră a datelor, în pofida faptului că aceasta nu este autoritatea de supraveghere principală, cu condiția să procedeze astfel în situațiile și în conformitate cu procedurile prevăzute în RGPD.

C.      Celelalte întrebări preliminare

1.      Cea de a doua întrebare

141. Prin intermediul celei de a doua întrebări, instanța de trimitere solicită să se stabilească dacă răspunsul la prima întrebare ar fi diferit în cazul în care operatorul acestei prelucrări transfrontaliere nu are sediul principal în respectivul stat membru, însă are un alt sediu în acel stat.

142. Având în vedere răspunsul propus la prima întrebare, răspunsul care trebuie dat la cea de a doua întrebare este destul de clar: în principiu, nu, cu condiția ca „sediul principal” în sensul articolului 4 punctul (16) din RGPD să se afle într‑adevăr într‑un alt stat membru.

143. Faptul că un operator are un sediu secundar într‑un stat membru nu afectează în principiu capacitatea autorității de supraveghere locale de a iniția proceduri judiciare în legătură cu o anumită situație de prelucrare transfrontalieră, în conformitate cu articolul 58 alineatul (5) din RGPD. Cu alte cuvinte, în cazul prelucrării transfrontaliere a datelor, domeniul de aplicare al competențelor acordate unei autorități de supraveghere și modul în care aceste competențe ar trebui exercitate nu depind în general de faptul dacă operatorul sau persoana împuternicită de operator care are sediul principal într‑un alt stat membru are de asemenea un sediu în statul membru al autorității respective.

144. Cu toate acestea, în mod similar cu cele menționate mai sus(72), ca element preliminar al acestei concluzii, o instanță națională trebuie să verifice mai întâi care sediu este de fapt sediul principal în scopul unei anumite operațiuni de prelucrare. În această privință, articolul 4 punctul (16) litera (a) din RGPD adoptă o înțelegere dinamică(73) a ceea ce se consideră a fi sediul principal, care nu trebuie să coincidă în mod necesar cu structura corporativă statică a unei întreprinderi.

145. În plus, faptul că operatorul sau persoana împuternicită de operator are un sediu (secundar) pe teritoriul autorității de supraveghere înseamnă că autoritatea respectivă este o autoritate de supraveghere vizată în sensul articolului 4 punctul (22) din RGPD. Autorităților de supraveghere vizate li se conferă competențe semnificative în contextul procedurilor prevăzute în capitolul VII din RGPD(74).

146. În plus, articolul 56 alineatul (2) din RGPD prevede o excepție de la competența generală a autorității de supraveghere principale în ceea ce privește prelucrarea transfrontalieră: „fiecare autoritate de supraveghere este competentă să trateze o plângere depusă în atenția sa sau o eventuală încălcare a [RGPD], în cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau afectează în mod semnificativ persoane vizate numai în statul său membru”. Această competență trebuie exercitată, la rândul său, în conformitate cu procedura prevăzută la alineatele (3)-(5) ale aceleiași dispoziții(75).

2.      Cea de a treia întrebare

147. Prin intermediul celei de a treia întrebări, instanța de trimitere solicită să se stabilească dacă răspunsul la prima întrebare ar fi diferit în cazul în care autoritatea națională de supraveghere introduce acțiunea în justiție împotriva sediului principal al operatorului sau împotriva sediului situat în propriul său stat membru.

148. Având în vedere răspunsul propus la prima întrebare și în măsura în care cea de a treia întrebare nu se suprapune de fapt cu cea de a doua întrebare, cea de a treia întrebare trebuie să primească de asemenea un răspuns negativ.

149. Din nou, cu condiția să se fi clarificat într‑adevăr din punctul de vedere al situației factuale dintr‑o cauză că sediul principal pentru o anumită operațiune de prelucrare în temeiul articolului 4 punctul (16) din RGPD se află de fapt într‑un alt stat membru, autoritatea națională de supraveghere din statul membru în care se află un sediu al operatorului nu este autoritatea de supraveghere principală, dar ar putea deveni o autoritate de supraveghere vizată. Însă, în cadrul acestei evaluări, competența de a acționa a autorității de supraveghere nu depinde de faptul dacă procedura judiciară este intentată împotriva sediului principal al operatorului sau împotriva sediului din propriul stat membru(76).

150. Din motive de exhaustivitate, s‑ar putea adăuga că articolul 58 alineatul (5) din RGPD este formulat în termeni generali și nu specifică entitățile împotriva cărora ar trebui sau ar putea acționa autoritățile de supraveghere. Acest lucru a condus la o discuție interesantă în observațiile unora dintre părți cu privire la o problemă care, în opinia noastră, deși nu este lipsită de importanță, nu este necesar să fie abordată de Curte în prezenta cauză. Problema este dacă autoritățile de supraveghere, cu condiția să fie într‑adevăr competente să facă acest lucru în conformitate cu normele din RGPD, pot să acționeze numai împotriva sediului/sediilor operatorului sau ale persoanei împuternicite de operator aflate pe teritoriul lor sau dacă pot acționa și împotriva sediilor situate în străinătate?

151. Pe de o parte, guvernele belgian, italian și polonez subliniază că articolul 55 alineatul (1) din RGPD limitează competența teritorială a fiecărei autorități de supraveghere la propriul său teritoriu. Acestea deduc de aici că autoritățile de supraveghere pot acționa numai împotriva sediilor locale.

152. Cu toate acestea, în opinia noastră, textul nu este atât de clar: acesta se referă la exercitarea competențelor conferite de regulament „pe teritoriul statului membru de care aparține”. Nu interpretăm această dispoziție în sensul în care exclude în mod necesar o acțiune împotriva unui sediu situat într‑un alt stat membru. Elementul de teritorialitate inclus la articolul 55 alineatul (1) din RGPD, interpretat în lumina domeniului de aplicare generală a RGPD de la articolul 1 alineatul (1) și articolul 3 din acesta, care declanșează competența unei autorități de supraveghere într‑un anumit caz, se referă la efectele prelucrării datelor pe teritoriul unui stat membru. Acest element nu funcționează ca o limită a acțiunilor împotriva operatorilor sau persoanelor împuternicite de operatori cu sediul în afara frontierelor naționale.

153. Pe de altă parte, GBA sugerează că fiecare autoritate are competența de a acționa împotriva tuturor încălcărilor RGPD care au loc pe teritoriul său, indiferent dacă operatorul sau persoana împuternicită de operator are un sediu pe teritoriul său. Aceasta înseamnă că o autoritate ar trebui de asemenea să poată iniția proceduri judiciare împotriva sediilor situate în străinătate. În acest sens, GBA face trimitere la hotărârea Curții pronunțată în cauza Wirtschaftsakademie Schleswig‑Holstein(77). În această hotărâre, Curtea a constatat că articolele 4 și 28 din Directiva 95/46 permiteau autorității de supraveghere dintr‑un stat membru să își exercite competența de a iniția proceduri judiciare cu privire la un sediu al întreprinderii respective situat pe teritoriul statului membru respectiv. Acesta a fost cazul, chiar dacă sediul respectiv era responsabil numai pentru vânzarea de spațiu publicitar și alte activități de marketing pe teritoriul statului membru respectiv, în timp ce responsabilitatea exclusivă pentru colectarea și prelucrarea datelor cu caracter personal aparținea, pentru întreg teritoriul Uniunii, unui sediu situat într‑un alt stat membru.

154. GBA susține în mod corect că, în măsura în care RGPD include în această privință dispoziții similare cu cele din Directiva 95/46(78), principiile stabilite de Curte în Hotărârea Wirtschaftsakademie Schleswig‑Holstein trebuie să fie de asemenea valabile, mutatis mutandis, în ceea ce privește RGPD. Cu toate acestea, hotărârea respectivă a explicat numai situația în care un sediu local poate fi acționat în justiție de către autoritate, în pofida faptului că partea principală a procesării/procesarea este efectuată de către un sediu situat într‑un alt loc din Uniunea Europeană. Această hotărâre, cel puțin în mod expres, nu a confirmat și nici nu a exclus faptul că autoritatea de supraveghere ar putea acționa și împotriva acestui din urmă sediu.

155. Cu toate acestea, considerăm că noul mecanism al ghișeului unic, prin crearea unui punct central de aplicare, implică în mod necesar că o autoritate de supraveghere poate acționa și împotriva sediilor situate în străinătate. Nu suntem siguri că noul sistem ar putea funcționa corect în cazul în care ar exclude posibilitatea ca autoritățile și în special autoritatea de supraveghere principală să acționeze împotriva sediilor situate într‑un alt loc(79).

3.      Cea de a patra întrebare

156. Prin intermediul celei de a patra întrebări, instanța de trimitere solicită să se stabilească dacă răspunsul la prima întrebare ar fi diferit în cazul în care autoritatea națională de supraveghere a inițiat deja acțiunea în justiție înainte de data la care a intrat în vigoare RGPD.

157. De la bun început, trebuie subliniat că în RGPD nu există norme tranzitorii sau alte norme care reglementează statutul procedurilor judiciare aflate în desfășurare în momentul intrării în vigoare a noului cadru normativ.

158. În lumina celor de mai sus, răspunsul la întrebare ar trebui să fie, în opinia noastră, „depinde”.

159. Pe de o parte, în ceea ce privește încălcarea de către operatori sau persoanele împuternicite de operatori a normelor privind protecția datelor care a avut loc înainte de data la care RGPD a devenit aplicabil, considerăm că aceste proceduri pot continua. Nu vedem niciun motiv întemeiat pentru a forța autoritățile să pună capăt acțiunilor în executare care se referă la o conduită anterioară care (se presupune că) era ilegală în momentul în care a fost săvârșită și împotriva căreia (la momentul respectiv) erau competente să acționeze. O altă soluție ar conduce la un fel de amnistie cu privire la anumite încălcări ale legislației privind protecția datelor.

160. Pe de altă parte, situația este diferită în ceea ce privește acțiunile inițiate împotriva încălcărilor care încă nu s‑au concretizat, din moment ce acestea au loc după data la care RGPD a devenit aplicabil(80). În această privință, precum în orice altă situație în care sunt aplicabile norme noi situațiilor care apar în contextul noului regim juridic, noile norme de fond se vor aplica numai situațiilor de fapt survenite după ce noul instrument juridic a devenit aplicabil(81).

161. Revine instanței de trimitere să verifice care dintre cele două scenarii reflectă de fapt starea actuală a procedurii principale(82). În cazul primului scenariu, sugerăm că procedura în desfășurare poate fi continuată, cu siguranță din punctul de vedere al dreptului Uniunii, cu condiția ca aceasta să se limiteze la o posibilă constatare a încălcărilor anterioare. În cazul celui de al doilea scenariu, procedura națională ar trebui întreruptă. Într‑adevăr, noul cadru a instituit un sistem diferit de abilitări și competențe, cu consecința că o autoritate de supraveghere vizată nu poate acționa împotriva încălcărilor care rezultă din prelucrarea transfrontalieră în afara situațiilor specifice și fără să respecte procedurile și mecanismele prevăzute în acest scop.

162. Soluția opusă ar implica o prorogare de facto a sistemului instituit prin Directiva 95/46, în pofida faptului că atât dreptul Uniunii, cât și dreptul național l‑au abrogat și l‑au înlocuit în mod expres cu unul nou. La urma urmei, în cazul în care GBA ar obține într‑adevăr o ordonanță care să interzică Facebook să adopte în viitor (și, apropo, pentru cât timp?) practicile în discuție în litigiul principal, acest lucru nu ar interfera cu competența privind (aceeași) conduită pe care RGPD a acordat‑o, începând cu 25 mai 2018, autorității de supraveghere principale și autorităților de supraveghere vizate, cuplată potențial cu decizii (sau ordonanțe judiciare) contradictorii emanând de la diferite state membre?

4.      Cea de a cincea întrebare

163. Prin intermediul celei de a cincea întrebări, adresată în cazul unui răspuns afirmativ la prima întrebare, instanța de trimitere solicită să se clarifice dacă articolul 58 alineatul (5) din RGPD are efect direct, astfel încât o autoritate națională de supraveghere se poate baza pe acest articol pentru a iniția sau a continua o procedură judiciară împotriva unor părți private, chiar dacă această dispoziție nu a fost transpusă în mod specific în legislația statelor membre.

164. Pentru a reitera, articolul 58 alineatul (5) prevede: „[f]iecare stat membru prevede, pe cale legislativă, faptul că autoritatea sa de supraveghere are competența de a aduce în fața autorităților judiciare cazurile de încălcare a prezentului regulament și, după caz, de a iniția sau de a se implica într‑un alt mod în proceduri judiciare, în scopul de a asigura aplicarea dispozițiilor prezentului regulament”.

165. Facebook și guvernele ceh și portughez subliniază că această dispoziție impune în mod clar statelor membre să întreprindă o acțiune: să instituie dispoziții care să permită autorităților să intenteze proceduri judiciare. Pentru a fi pe deplin operațională, competența de a iniția proceduri poate necesita de asemenea unele norme naționale pentru a determina printre altele instanțele competente, condițiile pentru inițierea unei acțiuni și procedurile care trebuie urmate.

166. Având în vedere răspunsul propus la prima întrebare, nu este într‑adevăr necesar să răspundem la cea de a cincea întrebare. Cu toate acestea, din motive de exhaustivitate, la rândul nostru, nu vedem nicio problemă în a fi de acord cu GBA în sensul în care conținutul prescriptiv al acestei dispoziții specifice de drept al Uniunii este destul de neechivoc și autoexecutoriu. În această privință, trebuie reținut faptul că, în general, o dispoziție de drept al Uniunii are efect direct ori de câte ori, în ceea ce privește obiectul său, este suficient de clară, precisă și necondiționată pentru a putea fi invocată împotriva unei măsuri naționale contradictorii sau în măsura în care dispoziția definește drepturi pe care particularii le pot invoca împotriva statului(83).

167. În afară de faptul că dispoziția este inclusă într‑un regulament (un instrument care, în temeiul articolului 288 TFUE este „obligatoriu în toate elementele sale și se aplică direct în fiecare stat membru”(84)), considerăm că poate fi într‑adevăr extrasă o regulă specifică și direct aplicabilă din articolul 58 alineatul (5) din RGPD. Această regulă este foarte simplă: autoritățile de supraveghere trebuie să aibă calitate procesuală în fața instanțelor naționale; acestora li se conferă capacitatea de a iniția proceduri judiciare în dreptul intern. Acțiunea introdusă în fața unei instanțe naționale nu poate fi declarată inadmisibilă ca urmare a lipsei personalității juridice.

168. Deși suntem de acord cu Facebook și guvernele ceh și portughez în sensul că statele membre pot prevedea norme, condiții sau competențe speciale pentru acțiunile introduse de autoritățile de supraveghere, astfel de norme nu sunt nicidecum necesare pentru ca norma direct aplicabilă în temeiul articolului 58 alineatul (5) din RGPD să fie operațională. În lipsa oricăror norme ad‑hoc introduse de legiuitorul național, normele implicite din codurile de procedură naționale corespunzătoare (fie că este vorba de coduri de procedură administrativă sau, în mod implicit, chiar coduri de procedură civilă) vor fi în mod firesc aplicabile oricăror acțiuni inițiate de autoritățile de supraveghere. Astfel, de exemplu, dacă nu ar exista norme specifice de aplicare privind competența, se poate presupune că ar fi aplicabilă norma generală implicită pe care ne putem aștepta să o găsim în orice cod de procedură (civilă), și anume aceea că instanța competentă în mod implicit este instanța locului în care se află sediul pârâtului, cu excepția cazului în care se prevede altfel.

5.      Cea de a șasea întrebare

169. Prin intermediul celei de a șasea și ultimei întrebări, instanța de trimitere solicită să se stabilească dacă, în cazul în care autoritatea națională de supraveghere este împuternicită să acționeze, rezultatul unei astfel de proceduri împiedică autoritatea de supraveghere principală să ajungă la o concluzie contrară în cazul în care autoritatea de supraveghere principală anchetează aceleași activități de prelucrare transfrontalieră sau activități similare, în conformitate cu mecanismul prevăzut la articolele 56 și 60 din RGPD.

170. Având în vedere răspunsul propus la prima întrebare, nu este necesar să se răspundă la această întrebare.

171. Cu toate acestea, problema ridicată de această întrebare arată încă o dată de ce trebuie să se răspundă la prima întrebare în modul propus mai sus. Dacă ar fi eliminată natura obligatorie a mecanismelor de coerență și cooperare stabilite în RGPD, făcând astfel mecanismul ghișeului unic „opțional” sau în realitate mai degrabă inexistent, coerența întregului sistem ar fi sever afectată. Normele privind competența conținute în prezent în RGPD ar fi în esență înlocuite de o „cursă [în paralel] către prima hotărâre jurisdicțională” a tuturor autorităților de supraveghere. În cele din urmă, oricare dintre acestea care ar „trece mai întâi linia de sosire” a unei hotărâri definitive în cadrul propriei sale competențe ar deveni ulterior autoritatea de supraveghere principală efectivă pentru restul Uniunii Europene, astfel cum implică cea de a șasea întrebare.

V.      Concluzii

172. Propunem Curții să răspundă la întrebările preliminare adresate de Hof van beroep te Brussel (Curtea de Apel din Bruxelles, Belgia) după cum urmează:

–        Dispozițiile Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) permit autorității de supraveghere dintr‑un stat membru să inițieze proceduri judiciare în fața unei instanțe din acel stat pentru o presupusă încălcare a acestui regulament în ceea ce privește prelucrarea transfrontalieră a datelor, în pofida faptului că aceasta nu este autoritatea de supraveghere principală, cu condiția să procedeze astfel în situațiile și în conformitate cu procedurile prevăzute în același regulament;

–        Regulamentul general privind protecția datelor se opune ca o autoritate de supraveghere să continue procedurile judiciare începute înainte de data la care acesta a devenit aplicabil, dar care se referă la o conduită care are loc după această dată;

–        Articolul 58 alineatul (5) din Regulamentul general privind protecția datelor are efect direct, în măsura în care o autoritate națională de supraveghere se poate baza pe acesta pentru a iniția sau continua procedurile judiciare în fața instanțelor naționale, chiar dacă această dispoziție nu a fost transpusă în mod specific în dreptul național.

1      Limba originală: engleza.

2      Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

3      JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10.

4      Pentru motivele prezentate mai sus, a se vedea punctul 23 din prezentele concluzii.

5      În această privință, Curtea a afirmat în mod constant că, în temeiul Directivei 95/46, noțiunea de „operator” trebuia interpretată în sens larg; a se vedea de exemplu, recent, Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629, punctele 65, 66 și 70), și Hotărârea din 10 iulie 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, punctul 66). Nu vedem niciun motiv pentru care același lucru nu ar trebui să fie valabil de asemenea în ceea ce privește RGPD.

6      A se vedea de exemplu Hotărârea din 25 iulie 2018, Confédération paysanne și alții (C‑528/16, EU:C:2018:583, punctele 72 și 73 și jurisprudența citată), sau Hotărârea din 1 octombrie 2019, Blaise și alții (C‑616/17, EU:C:2019:800, punctul 35).

7      De exemplu, în Concluziile noastre prezentate în cauza Fashion ID am explicat motivele pentru care atât normele din Directiva 95/46, în vigoare în momentul respectiv, cât și cele din așa‑numita Directivă privind viața privată și comunicațiile electronice [Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63)] ar putea fi potențial aplicabile într‑o cauză care implică plasarea de cookie‑uri (C‑40/17, EU:C:2018:1039, punctele 111-115). În această privință, în termeni mai generali, a se vedea Comitetul European pentru Protecția Datelor, Avizul nr. 5/2019 privind interacțiunea dintre Directiva privind viața privată și comunicațiile electronice și RGPD, în special în ceea ce privește competența, sarcinile și prerogativele autorităților pentru protecția datelor, din 12 martie 2019. A se vedea de asemenea articolul 29 din Data Protection Working Party, Documentul 02/2013 care oferă îndrumări privind obținerea consimțământului pentru cookie‑uri, 1676/13/EN WP 208, din 2 octombrie 2013.

8      Sublinierea noastră.

9      Sublinierea noastră.

10      Sublinierea noastră.

11      În doctrina juridică, a se vedea Bensoussan, A. (ed.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, ediția a doua, Bruylant, Bruxelles, 2017, p. 363.

12      În mod similar, Hijmans, H., „Comment to Article 56 of the GDPR”, în Kuner, C., Bygrave, L., Docksey, C. (editori), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 921.

13      Printr‑o analogie cu dreptul administrativ general (sau codurile de procedură judiciară), un organism ar putea avea competența (generală) de a acționa în anumite moduri, dar ar putea să nu aibă neapărat competența (ratione materiae, personae, temporis, loci etc.), de a exercita această competență și de a soluționa un caz individual. Astfel, de exemplu, faptul că o instanță penală are competența de a pronunța o hotărâre într‑o procedură penală nu înseamnă neapărat că va avea această competență și în cazul unei anumite infracțiuni săvârșite de o anumită persoană (întrucât aceasta ar putea intra în competența unei alte instanțe).

14      Comitetul European pentru Protecția Datelor, Avizul 8/2019 privind competența unei autorități de supraveghere în cazul modificării circumstanțelor cu privire la sediul principal sau sediul unic, din 9 iulie 2019, punctele 19 și 20.

15      Această dispoziție prevede în partea relevantă: „[f]iecare autoritate este, în special, învestită cu […] competența de a acționa în justiție, în cazul încălcării dispozițiilor de drept intern adoptate în temeiul prezentei directive, sau de a sesiza autoritățile judecătorești asupra acestor încălcări”.

16      A se vedea Comisia Europeană, Primul raport privind punerea în aplicare a Directivei privind protecția datelor (95/46/CE) din 15 mai 2003, COM(2003) 265 final, p. 12 și 13, și anexa la acesta, „Analiza și studiul de impact asupra punerii în aplicare în statele membre a Directivei CE 95/46”, p. 40. A se vedea de asemenea Agenția pentru Drepturi Fundamentale a Uniunii Europene, Accesul la căile de atac în materie de protecție a datelor în statele membre ale Uniunii – Raport, 2012, în special p. 20-22.

17      A se vedea mai sus, punctele 51, 57 și 58 din prezentele concluzii.

18      Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650, punctul 63), și Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 109).

19      În unele cazuri, o autoritate de supraveghere vizată are dreptul de a (și, prin urmare, ar trebui să poată) prezenta autorității de supraveghere principale un proiect de decizie: a se vedea articolul 56 alineatele (2)-(4) din RGPD.

20      A se vedea în acest sens considerentul (125) al RGPD.

21      Hotărârea din 16 iulie 2020 (C‑311/18, EU:C:2020:559, punctul 120) (sublinierea noastră). În mod similar, arătând în mod clar că revine autorității de supraveghere competente să reacționeze la o încălcare a Regulamentului general privind protecția datelor și să aleagă mijloacele cele mai adecvate pentru a face acest lucru, a se vedea Concluziile avocatului general Saugmandsgaard Øe prezentate în cauza Facebook Irlanda și Schrems (C‑311/18, EU:C:2019:1145, punctele 147 și 148). A se compara aceste declarații cu Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650, punctul 65), în care Curtea a declarat că, în temeiul Directivei 95/46, (orice) autoritate națională de supraveghere trebuia să aibă competența de a acționa în justiție.

22      Precum se spunea în faimoasa replică din „Cel bun, cel rău, cel urât” (un film din anul 1966 regizat de Sergio Leone, cu Clint Eastwood, Lee Van Cleef și Eli Wallach, produs de Produzioni Europee Associate și United Artists).

23      Articolul 68 din RGPD.

24      A se vedea în special articolul 70 alineatul (1) litera (a) din RGPD.

25      A se vedea Memorandumul explicativ la Propunerea Comisiei de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor), COM(2012) 11 final. A se vedea considerentele (10), (13) și (123) ale RGPD.

26      Cu privire la această problemă, a se vedea în general Giurgiu, A., și Larsen, T., „Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More ‘European’ DPAs as Guardians of Consistency?”, European Data Protection Law Review, 2016, p. 342-352, p. 349, și Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, p. 190-192.

27      Hotărârea din 1 octombrie 2015 (C‑230/14, EU:C:2015:639, punctele 42-60).

28      Hotărârea din 5 iunie 2018 (C‑210/16, EU:C:2018:388, punctele 65-74).

29      A se vedea de exemplu Miglio, A., „The Competence of Supervisory Authorities and the One‑stop‑shop Mechanism”, în EU Law Live – Weekend edition, Nr. 28, 2020, p. 10-14, p. 11.

30      A se vedea Concluziile avocatului general Bot prezentate în cauza Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, punctul 103).

31      Hotărârea din 24 septembrie 2019 (C‑507/17, EU:C:2019:772, punctul 68).

32      C‑311/18, EU:C:2019:1145, punctul 155.

33      A se vedea considerentele (97) și (98) din propunerea Comisiei (a se vedea nota de subsol 25 de mai sus).

34      A se vedea documentele Consiliului 15656/1/14 REV 1 din 28 noiembrie 2014 și 16526/14 din 4 și 5 decembrie 2014, p. 2, 8 și 9.

35      Ibid., p. 1.

36      A se vedea Documentul Consiliului 5419/1/16 REV 1 din 8 aprilie 2016, p. 203-205.

37      A se vedea mai sus punctul 45 din prezentele concluzii.

38      Documentul Consiliului 15656/1/14 REV 1, din 28 noiembrie 2014, p. 2.

39      A se vedea Documentul A7-0402/2013 din 22 noiembrie 2013, care se referea la mecanismul ghișeului unic ca fiind „un pas imens către o aplicare coerentă a legislației privind protecția datelor în întreaga Uniune”.

40      Documentul EP‑PE_TC1-COD(2012)0011 din 12 martie 2014 (a se vedea în special amendamentele 148, 149, 158, 159 și 167).

41      În aceeași ordine de idei, presupunem pur și simplu că aceste dispoziții și drepturi din cartă invocate sunt cele ale persoanelor vizate, pe care autoritatea de supraveghere este chemată să le protejeze, nu faptul că autoritatea de supraveghere în sine ar fi purtătoarea acestor drepturi. Ideea că autoritățile administrative, și anume emanațiile statului, ar fi înzestrate cu drepturi fundamentale (ale omului) pe care s‑ar putea baza împotriva statului (sau mai degrabă una împotriva celeilalte sau, în cazuri de efect direct orizontal, chiar împotriva particularilor) este într‑adevăr destul de singulară. În opinia noastră, răspunsul ar trebui să fie în mod clar negativ, dar recunoaștem că există diferite abordări în statele membre. În orice caz, în contextul prezentei cauze, această problemă poate fi lăsată deoparte fără niciun risc.

42      A se vedea în acest sens Hotărârea din 6 octombrie 2015, Schrems (C‑362/14, EU:C:2015:650, punctul 39).

43      A se vedea considerentele (7), (9) și (10) ale RGPD (sublinierea noastră).

44      A se vedea în acest sens considerentele (10), (11) și (13) ale RGPD.

45      Sublinierea noastră.

46      A se vedea în acest sens Hotărârea din 27 septembrie 2017, Puškár (C‑73/16, EU:C:2017:725, punctele 54-76 și jurisprudența citată).

47      A se vedea articolul 79 și de asemenea considerentul (145) ale RGPD.

48      Ținând seama de asemenea că, în termeni practici, această soluție coincide cu ceea ce ar fi în mod tipic forul (într‑adevăr protector) (actoris) din contractele cu consumatorii în cadrul regimului Regulamentului Bruxelles; a se vedea în general Hotărârea din 25 ianuarie 2018, Schrems (C‑498/16, EU:C:2018:37).

49      A se vedea considerentele (141) și (143) ale RGPD și Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 110).

50      A se vedea considerentul (143) și articolul 78 din RGPD.

51      Pentru o astfel de abordare într‑un alt context de reglementare (descentralizat), a se vedea Concluziile noastre prezentate în cauza Astellas Pharma (C‑557/16, EU:C:2017:957).

52      Cu privire la această din urmă problemă, articolul 78 alineatul (4) menționează că, „[î]n cazul în care acțiunile sunt introduse împotriva unei decizii a unei autorități de supraveghere care a fost precedată de un aviz sau o decizie a comitetului în cadrul mecanismului pentru asigurarea coerenței, autoritatea de supraveghere transmite Curții avizul respectiv sau decizia respectivă”. În termeni practici, este probabil ca aceasta să fie singura cale pentru un control judiciar al deciziilor Consiliului, întrucât, astfel cum confirmă în mod îngrijorător considerentul (143) al RGPD, „[o]rice persoană fizică sau juridică” (prin urmare, inclusiv persoanele vizate) poate, atunci când sunt îndeplinite condițiile prevăzute la articolul 263 TFUE, să conteste o decizie obligatorie a comitetului în fața instanțelor Uniunii. Cu toate acestea, având în vedere interpretarea restrictivă a Curții cu privire la condițiile de dobândire a calității procesuale pentru particulari prevăzute la articolul 263 al patrulea paragraf TFUE, nu este ușor să se identifice situațiile în care s‑ar putea considera că particularii sunt vizați în mod direct de deciziile comitetului, întrucât aceste din urmă decizii vor trebui, în orice caz, „aplicate” situației unei anumite persoane vizate printr‑o decizie ulterioară a autorității de supraveghere principale sau a unei autorități de supraveghere vizate. Într‑o astfel de situație, precum în multe alte domenii ale dreptului Uniunii [în mod critic cu privire la acest aspect, a se vedea Concluziile noastre prezentate în cauza Région de Bruxelles‑Capitale/Comisia (C‑352/19 P, EU:C:2020:588, punctele 137-147)], singura modalitate de a contesta o decizie a comitetului ar fi în cele din urmă printr‑o decizie preliminară în temeiul articolului 267 TFUE, limitată la cazurile în care o instanță națională mai curioasă ar dori să „ridice vălul” propriului control jurisdicțional, plasat asupra acestuia de autoritatea națională de supraveghere sub forma avizului comitetului, „transmis” în conformitate cu articolul 78 alineatul (4) din RGPD.

53      A se vedea în special articolul 60 alineatul (1) din RGPD.

54      Hijmans, H., „Comment to Article 56 of the GDPR”, în Kuner, C., Bygrave, L., Docksey, C. (editori), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 918.

55      Hustinx, P., „EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation”, în Cremona, M. (editor), New Technologies and EU Law, 2017, Oxford University Press, Oxford, p. 123.

56      Pentru această expresie, a se vedea Consiliul, „Dezbatere de orientare asupra mecanismului ghișeului unic”, 10139/14 din 26 mai 2014, p. 4.

57      A se vedea de exemplu Hotărârea din 9 martie 2010, Comisia/Germania (C‑518/07, EU:C:2010:125, punctul 24). Mai recent, a se vedea Hotărârea din 6 octombrie 2015, Schrems C‑362/14, EU:C:2015:650, punctul 42).

58      A se vedea mai sus punctul 4 din prezentele concluzii.

59      Sublinierea noastră.

60      În acest context, am adăuga doar că autoritățile de supraveghere care primesc o plângere, indiferent de poziția lor de autoritate de supraveghere principală sau autoritate de supraveghere vizată, nu au doar obligația de a examina această plângere cu diligența necesară (a se vedea mai sus la punctul 69 din prezentele concluzii), ci au de asemenea obligația de „a asigura respectarea deplină a RGPD” (a se vedea în acest sens Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 112) (sublinierea noastră).

61      Sublinierea noastră.

62      Sublinierea noastră.

63      A se vedea Tosoni, L., „Comment to Article 60 of GDPR”, în Kuner, C., Bygrave, L., Docksey, C. (editori), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 969.

64      Sublinierea noastră.

65      În funcție, astfel cum se precizează la considerentul (138) al RGPD, de tipul de măsură în cauză. Cu toate acestea, în termeni realiști, ar fi destul de surprinzător dacă, chiar în cazul în care nu este în mod oficial obligatoriu în temeiul RGPD, o autoritate de supraveghere principală ar alege să ignore o decizie a comitetului (în special întrucât ceea ce nu este obligatoriu în prima rundă ar putea deveni astfel în runda următoare).

66      În mod similar, mai detaliat, Van Eecke, P., Šimkus, A., „Comment to Article 64”, în Kuner, C., Bygrave, L., Docksey, C. (editori), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 1011.

67      A se vedea mai sus punctele 106 și 107 din prezentele concluzii.

68      A se vedea mai sus punctele 35-38 din prezentele concluzii.

69      A se vedea de asemenea articolul 29 din Grupul de lucru în materie de protecția datelor, Orientările pentru identificarea autorității de supraveghere principale a unui operator sau a unei persoane împuternicite de operator, WP 244 rev.01, din 5 aprilie 2017, p. 10.

70      În plus, nu susținem că exemplele prezentate mai sus sunt o listă exhaustivă. Nu ar putea exista o altă situație în care decizia finală adoptată într‑un anumit caz de prelucrare transfrontalieră, fie printr‑un acord între autoritatea de supraveghere principală și autoritățile de supraveghere vizate, fie în urma unei soluționări a litigiului de către comitet, ar putea însărcina una sau mai multe autorități de supraveghere să efectueze anumite acte de aplicare pe teritoriile lor, inclusiv, de exemplu, prin inițierea de proceduri judiciare?

71      Astfel cum s‑a arătat mai sus, la punctele 31-38 din prezentele concluzii.

72      Mai sus, punctele 32-33 din prezentele concluzii.

73      Astfel cum ar trebui să fie cazul în general pentru orice prelucrare ca atare și pentru definiția operatorului (comun) al acesteia. Controlul efectiv asupra scopurilor și mijloacelor de prelucrare trebuie evaluat în ceea ce privește o anumită operațiune de prelucrare, și nu în termeni abstracți, statici, cu privire la o „prelucrare” nedefinită; a se vedea Hotărârea din 29 iulie 2019, Fashion ID (C‑40/17, EU:C:2019:629, punctele 71-74).

74      A se vedea mai sus punctele 111 și 112 din prezentele concluzii.

75      A se vedea mai sus punctele 45 și 84 din prezentele concluzii.

76      Revenind astfel indirect la problema inițială a semnificației exacte a faptului pentru care un astfel de sediu este de fapt anchetat în statul membru respectiv după ce RGPD a devenit aplicabil, astfel cum s‑a menționat mai sus la punctele 32-34 din prezentele concluzii.

77      Hotărârea din 5 iunie 2018 (C‑210/16, EU:C:2018:388).

78      A se compara în special noul articol 3 alineatul (1) cu vechiul articol 4 alineatul (1) litera (a) și noul articol 58 alineatul (6) cu vechiul articol 28 alineatul (3) a treia liniuță.

79      Cu toate acestea, astfel cum s‑a sugerat mai sus la nota de subsol 70, se poate concepe de asemenea că luarea unor decizii coordonate ar putea conduce la măsuri de punere în aplicare coordonate.

80      A se vedea prin analogie Hotărârea din 14 februarie 2012, Toshiba Corporation și alții (C‑17/10, EU:C:2012:72, în special punctul 60).

81      Pentru o discuție detaliată cu exemple, a se vedea Concluziile noastre prezentate în cauza Nemec (C‑256/15, EU:C:2016:619, punctele 27-44).

82      A se vedea de asemenea mai sus punctul 34 din prezentele concluzii.

83      Mai în detaliu, a se vedea Concluziile noastre prezentate în cauza Klohn (C‑167/17, EU:C:2018:387, punctele 36-46).

84      Chiar dacă, desigur, aplicabilitatea directă nu reprezintă efect direct și aceleași condiții pentru efectul direct se aplică cu privire la dispoziții din regulamente care prevăd sau necesită punerea lor în aplicare; a se vedea de exemplu Hotărârea din 11 ianuarie 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, punctele 26-28), Hotărârea din 28 octombrie 2010, SGS Belgium și alții (C‑367/09, EU:C:2010:648, punctul 33 și următoarele), sau Hotărârea din 14 aprilie 2011, Vlaamse Dierenartsenvereniging și Janssens (C‑42/10, C‑45/10 și C‑57/10, EU:C:2011:253, punctele 48-50).