Cauza C‑319/20
Meta Platforms Ireland Limited, fostă Facebook Ireland Limited
împotriva
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V
(cerere de decizie preliminară formulată de Bundesgerichtshof)
Hotărârea Curții (Camera a treia) din 28 aprilie 2022
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 80 – Reprezentarea persoanelor vizate de către o asociație fără scop lucrativ – Acțiune în reprezentare introdusă de o asociație pentru apărarea intereselor consumatorilor în lipsa unui mandat și independent de încălcarea unor drepturi concrete ale unei persoane vizate – Acțiune întemeiată pe interdicția practicilor comerciale neloiale, încălcarea unei legi în materie de protecție a consumatorilor sau interdicția utilizării unor condiții generale nule”
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Reprezentarea persoanelor vizate – Calitate procesuală activă – Asociație pentru apărarea intereselor consumatorilor – Acțiune în reprezentare introdusă de această asociație în lipsa unui mandat și independent de încălcarea unor drepturi concrete ale unei persoane vizate – Acțiune întemeiată pe încălcarea normelor referitoare la protecția consumatorilor sau la combaterea practicilor comerciale neloiale – Admisibilitate – Condiție
[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 80 alin. (2)]
(a se vedea punctele 57-60, 63-79 și 83 și dispozitivul)
Rezumat
Meta Platforms Ireland administrează oferta de servicii a rețelei sociale online Facebook și este operator de date cu caracter personal ale utilizatorilor acestei rețele în Uniune. Platforma Internet Facebook conține la adresa de internet www.facebook.de un spațiu numit „App‑Zentrum” (Centrul de aplicații), în care Meta Platforms Ireland pune la dispoziția utilizatorilor jocuri gratuite furnizate de terți. La consultarea unora dintre aceste jocuri, utilizatorul este avertizat că utilizarea aplicației în cauză permite societății care a furnizat jocurile să obțină o serie de date cu caracter personal și o autorizează să facă publice, în numele său, anumite date. Prin utilizarea aplicației, el acceptă condițiile generale ale acesteia și politica în materie de protecție a datelor. În plus, în ceea ce privește un anumit joc, utilizatorul este informat că aplicația poate publica fotografii și alte informații în numele său.
Uniunea federală germană a organizațiilor și a asociațiilor de consumatori(1) aprecia că informațiile furnizate de jocurile în cauză în Centrul de aplicații erau neloiale. Prin urmare, ca organism care dispune de calitate procesuală activă pentru a solicita încetarea încălcării legislației în materie de protecție a consumatorilor(2), Uniunea federală a introdus o acțiune în încetare împotriva Meta Platforms Ireland. Această acțiune a fost introdusă în lipsa unei încălcări concrete a dreptului la protecția datelor unei persoane vizate și a unui mandat din partea unei astfel de persoane. Decizia de admitere a acestei acțiuni a făcut obiectul unui apel declarat de Meta Platforms Ireland, care, după respingerea acestui apel, a introdus recurs la Bundesgerichtshof (Curtea Federală de Justiție, Germania). Având îndoieli cu privire la admisibilitatea acțiunii Uniunii federale, în special cu privire la calitatea sa procesuală activă împotriva Meta Platforms Ireland, această instanță a sesizat Curtea.
Prin hotărârea sa, Curtea statuează că articolul 80 alineatul (2) din Regulamentul general privind protecția datelor(3) nu se opune ca o asociație pentru apărarea intereselor consumatorilor să poată să acționeze în justiție, în lipsa unei mandat care i‑a fost conferit în acest sens și independent de încălcarea unor drepturi concrete ale persoanelor vizate, împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, invocând încălcarea interdicției practicilor comerciale neloiale, a unei legi privind protecția consumatorilor sau a interdicției utilizării unor condiții generale nule. O astfel de acțiune este posibilă întrucât prelucrarea datelor în cauză poate afecta drepturile conferite de RGPD unor persoane fizice identificate sau identificabile.
Aprecierea Curții
Mai întâi, Curtea amintește că, deși RGPD(4) urmărește să asigure o armonizare în principiu completă a legislațiilor naționale referitoare la protecția datelor cu caracter personal, articolul 80 alineatul (2) din acest regulament face parte din dispozițiile care lasă o marjă de apreciere statelor membre în ceea ce privește punerea sa în aplicare(5). Prin urmare, pentru a se putea exercita acțiunea în reprezentare fără mandat în materie de protecție a datelor cu caracter personal prevăzută la această dispoziție, statele membre trebuie să beneficieze de posibilitatea care le este oferită de aceasta de a prevedea în dreptul lor național această modalitate de reprezentare a persoanelor vizate. Totuși, atunci când exercită această posibilitate, statele membre trebuie să își utilizeze marja de apreciere în condițiile și în limitele prevăzute de RGPD și să legifereze fără să aducă atingere conținutului și obiectivelor acestui regulament.
În continuare, Curtea subliniază că, deschizând statelor membre posibilitatea de a prevedea un mecanism de acțiune în reprezentare împotriva autorului prezumat al unei atingeri aduse protecției datelor cu caracter personal, articolul 80 alineatul (2) din RGPD prevede un anumit număr de cerințe care trebuie respectate. Astfel, în primul rând, calitatea procesuală activă este recunoscută unui organism, unei organizații sau unei asociații care îndeplinește criteriile enumerate de RGPD(6). Poate intra sub incidența acestei noțiuni o asociație pentru apărarea intereselor consumatorilor, precum Uniunea federală, care urmărește un obiectiv de interes public ce constă în a asigura drepturile și libertățile persoanelor vizate în calitatea lor de consumatori, din moment ce realizarea unui astfel de obiectiv poate fi conexă protecției datelor cu caracter personal ale acestora din urmă. În al doilea rând, exercitarea acțiunii în reprezentare menționate presupune ca entitatea în discuție, independent de orice mandat care i‑a fost încredințat, să considere că drepturile conferite de RGPD unei persoane vizate au fost încălcate ca urmare a prelucrării datelor sale cu caracter personal.
Astfel, pe de o parte, exercitarea unei acțiuni în reprezentare(7) nu impune identificarea individuală prealabilă de către entitatea în cauză a persoanei în mod specific vizate de o prelucrare a datelor pretins contrară dispozițiilor RGPD. În acest scop, desemnarea unei categorii sau a unui grup de persoane afectate de o asemenea prelucrare poate fi în egală măsură suficientă(8).
Pe de altă parte, exercitarea unei atari acțiuni nu impune existența unei încălcări concrete ale drepturilor conferite de RGPD unei persoane. Într‑adevăr, pentru a recunoaște calitatea procesuală activă a unei entități, este suficient să se susțină că prelucrarea datelor în cauză poate afecta drepturile conferite unor persoane fizice identificate sau identificabile de regulamentul respectiv, fără să fie necesar să se dovedească un prejudiciu real suferit de persoana vizată, într‑o situație determinată, prin atingerea adusă drepturilor sale. Prin urmare, având în vedere obiectivul urmărit de RGPD, faptul de a abilita asociații pentru apărarea intereselor consumatorilor, precum Uniunea federală, să introducă, printr‑un mecanism de acțiune în reprezentare, acțiuni în încetarea prelucrărilor contrare dispozițiilor RGPD, independent de încălcarea drepturilor unei persoane afectate la nivel individual și concret de această încălcare, contribuie în mod incontestabil la consolidarea drepturilor persoanelor vizate și la realizarea unui nivel ridicat de protecție pentru acestea.
În sfârșit, Curtea precizează că încălcarea unei norme privind protecția datelor cu caracter personal poate determina simultan încălcarea unor norme privind protecția consumatorilor sau practicile comerciale neloiale. Astfel, RGPD(9) permite statelor membre să exercite posibilitatea de a prevedea că asociațiile pentru apărarea intereselor consumatorilor sunt abilitate să acționeze împotriva încălcării drepturilor prevăzute de RGPD prin intermediul unor norme având ca obiect protecția consumatorilor sau combaterea practicilor comerciale neloiale.