Cauza T‑557/20
Comitetul unic de rezoluție (SRB)
împotriva
Autorității Europene pentru Protecția Datelor (AEPD)
Hotărârea Tribunalului (Camera a opta extinsă) din 26 aprilie 2023
„Protecția datelor cu caracter personal – Procedură de plată a unei compensații acționarilor și creditorilor în urma rezoluției unei instituții bancare – Decizia AEPD de constatare a încălcării de către SRB a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal – Articolul 15 alineatul (1) litera (d) din Regulamentul (UE) 2018/1725 – Noțiunea de «date cu caracter personal» – Articolul 3 punctul 1 din Regulamentul 2018/1725 – Dreptul de acces la dosar”
1. Acțiune în anulare – Acte supuse căilor de atac – Noțiune – Acte care produc efecte juridice obligatorii – Acte care modifică situația juridică a reclamantului – Decizie revizuită a Autorității Europene pentru Protecția Datelor (AEPD) de constatare a unei încălcări de către Comitetul unic de rezoluție (SRB) a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal – Includere
[art. 263 TFUE; Regulamentul 2018/1725 al Parlamentului European și al Consiliului, art. 15 alin. (1) lit. (d)]
(a se vedea punctele 44-46 și 50-54)
2. Instituțiile Uniunii Europene – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2018/1725 – Noțiunea de date cu caracter personal – Orice informație privind o persoană fizică identificată sau identificabilă – Procedură referitoare la dreptul de a fi ascultat lansată de Comitetul unic de rezoluție (SRB) în urma adoptării măsurilor de rezoluție a unei instituții bancare – Comentarii formulate în fața SRB de acționarii și creditorii afectați de aceste măsuri – Comentarii transmise de SRB unui terț independent în scopul evaluării – Decizie a Autorității Europene pentru Protecția Datelor (AEPD) prin care se constată încălcarea de către SBR a obligațiilor sale referitoare la prelucrarea datelor acestor acționari și creditori – Lipsa examinării de către AEPD a conținutului, a finalității și a efectelor comentariilor – Lipsa determinării de către AEPD a posibilității terțului independent de a dispune de mijloace legale și realizabile în practică care să permită accesul la informațiile suplimentare necesare pentru reidentificarea autorilor comentariilor transmise – Anularea deciziei AEPD
[Regulamentul nr. 806/2014 al Parlamentului European și al Consiliului, art. 20 alin. (16), și Regulamentul 2018/1725 al Parlamentului European și al Consiliului, art. 3 pct. 1]
(a se vedea punctele 64-75, 94-98 și 100-106)
Rezumat
În iunie 2017, Comitetul unic de rezoluție (SRB) a adoptat o schemă de rezoluție în privința Banco Popular Español SA, o instituție bancară, în temeiul Regulamentului nr. 806/2014(1). Pentru a stabili dacă acționarii și creditorii afectați de măsura de rezoluție ar fi beneficiat de un tratament mai bun dacă această instituție ar fi făcut obiectul unei proceduri obișnuite de insolvență, regulamentul respectiv impune intervenția unui terț independent pentru a efectua o evaluare a diferenței de tratament(2). Cabinetul Deloitte a fost însărcinat de SRB cu această evaluare.
După efectuarea acestei evaluări, SRB a adoptat o decizie preliminară privind necesitatea de a acorda sau nu compensații acționarilor și creditorilor afectați și a lansat o procedură referitoare la dreptul de a fi audiat pentru a‑i permite să adopte o decizie finală(3). În cursul acestei proceduri, împărțită în două faze, acționarii și creditorii afectați au fost invitați, într‑o primă etapă, să își exprime interesul de a‑și exercita dreptul de a fi ascultați utilizând un formular de înregistrare online și să furnizeze documentele justificative în sprijinul drepturilor lor (faza de înscriere). Într‑o a doua fază, acționarii și creditorii afectați al căror statut fusese verificat de SRB puteau prezenta comentarii scrise cu privire la decizia preliminară a SRB și la evaluare (faza de consultare). La data deschiderii fazei de înscriere, SRB a publicat pe pagina de internet de înscriere în procedura referitoare la dreptul de a fi ascultat o declarație de confidențialitate privind prelucrarea datelor cu caracter personal în cadrul acestei proceduri.
Datele colectate în faza de înscriere erau accesibile unui număr limitat de membri ai personalului SRB însărcinați cu prelucrarea acestor date pentru a stabili eligibilitatea participanților. Aceste date nu erau vizibile pentru membrii personalului SRB însărcinați cu prelucrarea comentariilor primite în faza de consultare, în cursul căreia aceștia au primit numai comentarii identificate prin referire la un cod alfanumeric atribuit fiecărui comentariu prezentat prin intermediul formularului.
După agregarea, filtrarea automată și clasificarea comentariilor, SRB a transmis Deloitte, pentru evaluare, comentariile referitoare la evaluarea efectuată. Comentariile transferate Deloitte erau numai cele primite în faza de consultare și aveau un cod alfanumeric. Prin intermediul acestui cod, SRB era singurul care putea asocia comentariile cu datele primite în faza de înscriere. Deloitte nu avea și nu are nici în prezent acces la baza de date colectate în faza de înscriere.
În acest context, dat fiind că declarația de confidențialitate privind prelucrarea datelor cu caracter personal publicată de SRB nu conținea nicio mențiune cu privire la transmiterea către terți a datelor colectate prin intermediul formularului, acționarii și creditorii afectați (denumiți în continuare „reclamanții”) au transmis, în temeiul Regulamentului 2018/1725(4), cinci plângeri Autorității Europene pentru Protecția Datelor (AEPD). Aceștia au invocat o încălcare de către SRB a obligațiilor sale de informare referitoare la prelucrarea datelor cu caracter personal în temeiul acestui regulament(5).
AEPD a adoptat o decizie inițială care, în urma unei cereri de reexaminare din partea SRB, a fost abrogată și înlocuită printr‑o decizie revizuită în care AEPD a considerat că SRB a încălcat o dispoziție a acestui regulament întrucât nu i‑a informat pe reclamanți, în declarația de confidențialitate, cu privire la posibilitatea ca datele lor cu caracter personal să fie comunicate Deloitte. În aceste condiții, SRB a introdus la Tribunal o acțiune având ca obiect în special anularea acestei decizii revizuite a AEPD.
Statuând în cameră extinsă, Tribunalul admite această acțiune a SRB și anulează decizia revizuită a AEPD, clarificând noțiunea de date cu caracter personal în raport cu Hotărârile Nowak(6) și Breyer(7) pronunțate de Curte.
Aprecierea Tribunalului
În hotărârea sa, Tribunalul aduce precizări cu privire la noțiunea de date cu caracter personal, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725, definită ca fiind „orice informație privind o persoană fizică identificată sau identificabilă”. Pentru ca o informație să constituie o dată cu caracter personal, sunt necesare astfel două condiții cumulative: pe de o parte, ca informația „să privească” o persoană fizică și, pe de altă parte, ca această persoană să fie „identificată sau identificabilă”.
În primul rând, Tribunalul examinează dacă AEPD a putut aprecia în mod întemeiat că informațiile transmise Deloitte „privesc” o persoană fizică în sensul acestei dispoziții.
Cu titlu introductiv, Tribunalul constată că, în decizia revizuită, AEPD a calificat drept „date cu caracter personal” ansamblul comentariilor formulate de acționarii și de creditorii afectați în cadrul fazei de consultare și nu și‑a limitat aprecierea numai la informațiile transmise Deloitte. Or, în măsura în care încălcarea de către SRB a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal în temeiul Regulamentului 2018/1725, constatată în decizia revizuită, privea numai faptul că SRB nu a menționat, în declarația de confidențialitate, că Deloitte ar fi destinatarul potențial al anumitor date, Tribunalul consideră că trebuie limitată examinarea la aspectul dacă informațiile transmise Deloitte erau date cu caracter personal în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
În acest cadru, Tribunalul amintește obiectivul legiuitorului Uniunii de a atribui un sens larg noțiunii de dată cu caracter personal, care nu este restrânsă la informațiile sensibile sau de ordin privat, ci înglobează potențial orice tip de informații, atât obiective, cât și subiective, precum opiniile sau aprecierile, cu condiția ca acestea să privească persoana în cauză.
În această privință, Tribunalul constată de asemenea că, în Hotărârea sa Nowak citată anterior, Curtea a avut deja ocazia să considere că respectiva condiție este îndeplinită atunci când, ca urmare a conținutului, a finalității sau a efectului său, informația este legată de o anumită persoană. Or, în decizia revizuită, AEPD nu a examinat nici conținutul, nici finalitatea, nici efectul informațiilor transmise Deloitte. Astfel, aceasta s‑a limitat să arate că comentariile prezentate de reclamanți în faza de consultare reflectă opiniile sau punctele lor de vedere și să concluzioneze, numai în acest temei, că ele constituie informații care îi privesc, ceea ce este suficient pentru a le califica drept date cu caracter personal. Desigur, nu se poate exclude posibilitatea ca puncte de vedere personale sau opinii să constituie date cu caracter personal. Cu toate acestea, din Hotărârea Nowak(8) reiese că o asemenea concluzie nu se poate întemeia pe o prezumție precum cea aplicată de AEPD, ci trebuie să se bazeze pe examinarea prin care se urmărește să se stabilească dacă, prin conținutul, prin finalitatea sau prin efectul său, un punct de vedere este legat de o anumită persoană. Rezultă că, întrucât nu a efectuat o asemenea examinare, AEPD nu putea concluziona că informațiile transmise Deloitte constituie informații „privind” o persoană fizică în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
În al doilea rând, Tribunalul examinează aprecierea AEPD referitoare la aspectul dacă informațiile transmise Deloitte priveau o persoană fizică „identificată sau identificabilă” în sensul acestei dispoziții.
În această privință, Tribunalul arată că nu se contestă, pe de o parte, că codul alfanumeric care figura în informațiile transmise Deloitte nu permitea în sine identificarea autorilor comentariilor și, pe de altă parte, că Deloitte nu avea acces la datele de identificare primite în faza de înscriere care să permită asocierea participanților cu comentariile lor datorită codului alfanumeric. AEPD a precizat că informațiile suplimentare necesare pentru a identifica autorii comentariilor constau în codul alfanumeric și în baza de date de identificare. Desigur, având în vedere Hotărârea Breyer citată anterior(9), faptul că informațiile suplimentare necesare pentru a identifica autorii comentariilor primite în faza de consultare nu erau deținute de Deloitte, ci de SRB nu este de natură să excludă a priori că informațiile transmise Deloitte constituiau, pentru aceasta, date cu caracter personal. Cu toate acestea, reiese de asemenea din aceeași hotărâre că, pentru a stabili dacă informațiile transmise Deloitte constituie date cu caracter personal, trebuie să ne plasăm din punctul de vedere al acesteia din urmă pentru a stabili dacă informațiile care i‑au fost transmise privesc „persoane identificabile”.
Prin urmare, în temeiul Hotărârii Breyer citate anterior(10), revenea AEPD sarcina de a examina dacă comentariile transmise Deloitte constituiau, în raport cu aceasta, date cu caracter personal. Astfel, potrivit Tribunalului, AEPD susține în mod eronat că nu era necesar să se examineze dacă autorii informațiilor transmise Deloitte erau reidentificabili de aceasta din urmă sau dacă reidentificarea menționată era posibilă în mod rezonabil. Tribunalul constată că, în decizia revizuită, AEPD a considerat că faptul că SRB deținea informațiile suplimentare care permiteau reidentificarea autorilor comentariilor era suficient pentru a concluziona că informațiile transmise Deloitte erau date cu caracter personal, recunoscând totodată că datele de identificare primite în faza de înscriere nu fuseseră comunicate Deloitte. Astfel, din decizia revizuită reiese că AEPD s‑a limitat să examineze posibilitatea de a reidentifica autorii comentariilor din punctul de vedere al SRB, iar nu al Deloitte. Or, din Hotărârea Breyer citată anterior(11) reiese că revenea AEPD sarcina de a stabili dacă posibilitatea de a combina informațiile care fuseseră transmise Deloitte cu informațiile suplimentare deținute de SRB constituia un mijloc pe care Deloitte îl putea utiliza în mod rezonabil pentru a identifica autorii comentariilor.
Prin urmare, întrucât AEPD nu a cercetat dacă Deloitte dispunea de mijloace legale și realizabile în practică care să îi permită accesul la informațiile suplimentare necesare pentru reidentificarea autorilor comentariilor, AEPD nu putea concluziona că informațiile transmise Deloitte constituiau informații privind o „persoană fizică identificabilă” în sensul articolului 3 punctul 1 din Regulamentul 2018/1725. În consecință, Tribunalul anulează decizia revizuită a AEPD.