CONCLUZIILE AVOCATULUI GENERAL

DÁMASO RUIZ‑JARABO COLOMER

prezentate la 22 decembrie 20081(1)

Cauza C‑553/07

College van burgemeester en wethouders van Rotterdam

împotriva

M. E. E. Rijkeboer

[cerere de pronunțare a unei hotărâri preliminare formulată de Raad van State (Țările de Jos)]

„Protecția datelor – Drepturi fundamentale – Directiva 95/46/CE – Drept de acces la datele cu caracter personal – Ștergere – Comunicare către terți – Termen de exercitare a dreptului de acces – Principiul proporționalității”





I –    Introducere

1.        Raad van State (Consiliul de Stat din Țările de Jos) a adresat Curții o întrebare preliminară referitoare la interpretarea articolelor 6 și 12 din Directiva 95/46/CE privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(2). Trimiterea se efectuează într‑un context delicat: ștergerea unor informații personale aflate în posesia unei autorități locale, care au fost transmise unor terți, și dreptul corespunzător de acces la datele referitoare la prelucrarea acestor informații personale.

2.        În principiu, distrugerea datelor reprezintă o acțiune protecționistă. Totuși, aceasta poate conduce la consecințe diferite, întrucât, odată cu sistemele de evidență, dispare și orice urmă a modului în care acestea au fost folosite. Astfel, un particular care aparent este protejat, poate fi totuși prejudiciat întrucât nu va cunoaște niciodată cum au fost folosite datele sale personale de către posesorul acestora(3).

3.        Pe baza acestei dezbateri, Curtea trebuie să examineze dacă termenul de ștergere a datelor acționează ca limită temporală a dreptului de acces la informațiile referitoare la prelucrarea acestora. În caz afirmativ, trebuie să se determine dacă o perioadă de un an este suficientă și proporțională pentru garantarea drepturilor prevăzute de Directiva 95/46.

II – Situația de fapt

4.        În decizia de trimitere se arată că domnul Rijkeboer a solicitat de la College van burgemeester en wethouders van Rotterdam (Primăria Rotterdam, denumită în continuare „Colegiul”) o listă, pe baza arhivelor deținute de administrația locală, a comunicărilor de informații care îl priveau efectuate în ultimii doi ani către terțe persoane. Prin deciziile din 27 și 29 noiembrie 2005, Colegiul a respins în parte cererea domnului Rijkeboer, furnizându‑i numai datele referitoare la anul anterior. Nefiind de acord cu aceste decizii ale administrației locale, domnul Rijkeboer a introdus o contestație, care a fost de asemenea respinsă la 13 februarie 2006.

5.        După epuizarea căilor de atac administrative, Rechtbank Rotterdam (Tribunalul din Rotterdam) a admis acțiunea formulată de domnul Rijkeboer. Prin hotărârea din 17 noiembrie 2006, Rechtbank Rotterdam a anulat decizia administrativă prin care unele cereri ale solicitantului fuseseră respinse și a obligat Colegiul să adopte o nouă decizie.

6.        La 28 decembrie 2006, Colegiul a declarat apel la Secția de contencios administrativ a Raad van State, organ care, prin hotărârea din 5 decembrie 2007, a suspendat judecarea cauzei principale și a adresat Curții o întrebare preliminară.

III – Cadrul normativ

A –    Cadrul juridic comunitar

7.        Articolul 6 alineatele (1) și (2) UE proclamă că Uniunea respectă drepturile fundamentale în următorii termeni:

Articolul 6

(1)      Uniunea se întemeiază pe principiile libertății, democrației, respectării drepturilor omului și a libertăților fundamentale, precum și ale statului de drept, principii care sunt comune statelor membre.

(2)      Uniunea respectă drepturile fundamentale, astfel cum sunt acestea garantate de Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, semnată la Roma la 4 noiembrie 1950, precum și astfel cum rezultă acestea din tradițiile constituționale comune ale statelor membre, ca principii generale ale dreptului comunitar.”

8.        Dreptul fundamental la respectarea vieții private, ca principiu general de drept comunitar, și‑a găsit expresia normativă în Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Acest act normativ, ale cărui principii au fost codificate în articolul 8 din Carta drepturilor fundamentale a Uniunii Europene, definește noțiunea „date” și prevede ștergerea acestora după o anumită perioadă de prelucrare. Articolul 2 litera (a) și articolul 6 din directiva menționată prevăd:

Articolul 2

[…]

(a)      «date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

[…]

Articolul 6

(1)      Statele membre stabilesc că datele cu caracter personal trebuie să fie:

[…]

(e)      păstrate într‑o formă care permite identificarea persoanelor vizate o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate sau pentru care vor fi prelucrate ulterior. Statele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice.

[...]”.

9.        Pentru asigurarea transparenței prelucrării datelor, articolele 10 și 11 din Directiva 95/46 prevăd obligații de informare a persoanei vizate, care diferă în funcție de împrejurarea dacă datele au fost sau nu au fost colectate de la acea persoană. Operatorul care are responsabilitatea administrării sistemelor de evidență are, printre altele, următoarele obligații:

Articolul 10      

Informațiile în cazurile de colectare a datelor de la persoana vizată

Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)      identitatea operatorului și, dacă este cazul, a reprezentantului;

(b)      scopul prelucrării căreia îi sunt destinate datele;

(c)      orice alte informații suplimentare, cum ar fi:

–        destinatarii sau categoriile de destinatari ai datelor;

–        dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

–        existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

Articolul 11

Informații în cazul în care datele nu au fost obținute de la persoana vizată

(1)      Atunci când datele nu au fost colectate de la persoana vizată, statele membre prevăd obligativitatea ca operatorul sau reprezentantul său, în momentul înregistrării datelor cu caracter personal sau, dacă se are în vedere o comunicare a datelor către terți, nu mai târziu de data la care datele sunt comunicate prima oară, de a furniza persoanei vizate cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana vizată este deja informată cu privire la aceste date:

(a)      identitatea operatorului și, dacă este cazul, a reprezentantului său;

(b)      scopurile prelucrării;

(c)      orice alte informații suplimentare, cum ar fi:

–        categoriile de date în cauză;

–        destinatarii sau categoriile de destinatari ai datelor;

–        existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal;

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

[…]”

10.      Persoanele vizate de aceste date pot veghea la utilizarea corespunzătoare a acestora prin exercitarea așa‑numitului „drept de acces”, ale cărei caracteristici principale sunt definite la articolul 12 din Directiva 95/46. Pentru soluționarea prezentei cauze, prezintă relevanță prima dintre ipotezele prevăzute de acest articol:

Articolul 12

Dreptul de acces

Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:

(a)      fără constrângere, la intervale rezonabile și fără întârzieri sau cheltuieli excesive:

–      confirmarea că datele care o privesc sunt sau nu sunt prelucrate, precum și informații referitoare la scopul prelucrării, categoriile de date avute în vedere și destinatarii sau categoriile de destinatari cărora le sunt comunicate datele;

–      comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor;

–      informații cu privire la principiile de funcționare a mecanismului prin care se efectuează prelucrarea automată a datelor care o privesc, cel puțin în cazul deciziilor automatizate prevăzute la articolul 15 alineatul (1).

[…]”

11.      În situațiile enumerate la articolul 13 din Directiva 95/46, statele membre pot restrânge obligația de ștergere a datelor, precum și dreptul de acces:

Articolul 13

(1)   Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:

(a)      securitatea statului;

(b)      apărarea;

(c)      siguranța publică;

(d)      prevenirea, investigarea, detectarea și punerea sub urmărire a infracțiunilor sau a încălcării eticii în cazul profesiunilor reglementate;

(e)      un interes economic sau financiar important al unui stat membru sau al Uniunii Europene, inclusiv în domeniile monetar, bugetar și fiscal;

(f)      o funcție de monitorizare, inspecție sau de reglementare legată, chiar și ocazional, de exercitarea autorității publice în cazurile menționate la literele (c), (d) și (e);

(g)      protecția persoanei vizate sau a drepturilor și libertăților altora.

[…]”

B –    Cadrul juridic național

12.      Directiva 95/46 a fost transpusă în ordinea juridică olandeză prin intermediul unui act normativ general, Legea privind protecția datelor cu caracter personal (Wet bescherming persoonsgegevens). În prezenta procedură preliminară, această lege prezintă un caracter subsidiar, întrucât autoritățile locale sunt supuse unui regim juridic special care este reglementat prin Legea privind datele personale deținute de administrațiile comunale (Wet gemeentelijke basisadministratie persoonsgegevens). Articolul 103 alineatul 1 din această lege prevede condițiile în care un particular poate avea acces la informațiile privind prelucrarea datelor care îl privesc:

Articolul 103

1.      College van burgemeester en wethouders comunică în scris persoanei interesate într‑un termen de patru săptămâni, la cererea acesteia, datele care o privesc și care provin de la administrația comunală care au fost comunicate unui solicitant sau unui terț în cursul anului anterior cererii.

[…]”

IV – Întrebarea preliminară

13.      La 12 decembrie 2007, grefa Curții a primit cererea de pronunțare a unei hotărâri preliminare introdusă de Raad van State, care formulează următoarea întrebare:

„Este compatibilă cu articolul 12 teza introductivă și litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, interpretat în coroborare cu articolul 6 alineatul (1) litera (e) din această directivă și cu principiul proporționalității, limitarea, prevăzută prin lege, a comunicării datelor la anul care precedă cererea în cauză?”

14.      Au depus observații în termenul prevăzut la articolul 23 din Statutul Curții Colegiul, guvernele olandez, al Regatului Unit, elen, ceh și spaniol, precum și Comisia Comunităților Europene.

15.      În ședința organizată la 20 noiembrie 2008 au compărut pentru a prezenta observații orale reprezentanții Colegiului și ai domnului Rijkeboer, precum și agenții guvernelor olandez, ceh, spaniol și al Regatului Unit, precum și al Comisiei.

V –    Delimitarea întrebării care face obiectul dezbaterii

16.      Prezenta cauză ridică mai multe probleme care prezintă o certă complexitate conceptuală. În esență, se urmărește să se stabilească dacă poate exista un termen specific pentru ștergerea informațiilor referitoare la prelucrarea datelor cu caracter personal. Odată șterse aceste date, în conformitate cu Directiva 95/46, ușa dreptului de acces se închide, întrucât nu se poate solicita o informație care nu mai există. În consecință, dezbaterea se orientează în jurul unei restricții a unui drept care este de asemenea expres prevăzut în Directiva 95/46. Această tensiune care există între ștergerea datelor și dreptul de acces la acestea dezvăluie un conflict intern în cadrul actului normativ menționat, asupra căruia Curtea trebuie să se pronunțe.

17.      Prin urmare, trebuie să se examineze dacă datele referitoare la prelucrare beneficiază sau pot beneficia de un regim identic cu acela al datelor cu caracter personal. De asemenea, trebuie să se stabilească dacă termenul de ștergere trebuie să acționeze, în orice situație, ca limită a dreptului de acces. Aceste probleme trebuie să fie soluționate într‑un cadru de fapt și normativ relativ confuz, întrucât Raad van State nu a indicat dacă termenul prevăzut pentru ștergerea datelor referitoare la prelucrare este identic cu cel prevăzut pentru ștergerea datelor cu caracter personal sau mai mic decât acesta. Prin urmare, trebuie examinate ambele ipoteze, pentru a se putea furniza un răspuns util instanței de trimitere.

VI – Dezbatere prealabilă: evaluarea comparativă a intereselor în lumina drepturilor fundamentale ale Uniunii

A –    Dreptul fundamental la protecția vieții private și dezvoltarea acestuia la nivel comunitar

18.      În conformitate cu prevederile cartei sale constituționale(4), Uniunea Europeană se întemeiază pe drepturile fundamentale, a căror respectare este asigurată de Curte(5). După mai multe decenii de evoluție jurisprudențială, care a început cu Hotărârile Stauder(6) și Internationale Handelsgeselschaft(7), statele membre au recunoscut pe deplin caracterul structural al acestor drepturi, adoptând articolul F din Actul Unic European, care a devenit ulterior articolul 6 UE. Acest articol prevede că Uniunea respectă drepturile fundamentale, astfel cum sunt acestea garantate de Convenția europeană pentru apărarea drepturilor omului (denumită în continuare „CEDO”)(8), precum și astfel cum rezultă acestea din tradițiile constituționale comune ale statelor membre.

19.      Dreptul la protecția vieții private face parte din aceste tradiții. Începând cu Hotărârea Stauder(9), jurisprudența a recunoscut că protecția vieții private face parte din principiile generale ale dreptului comunitar. Inițial, aceasta s‑a realizat în contextul examinării de către Curte a obligațiilor de comunicare a unor date, precum numele(10) sau informații medicale(11), în legătură cu punerea în aplicare a acestui drept atât la nivel național(12), cât și la nivel comunitar(13). La puțin timp după aceea, în cursul anilor '90, Curtea a stabilit incidența acestui drept în domeniul vieții private(14) și de familie(15).

20.      Anul 1995 a constituit un moment de răscruce, odată cu adoptarea Directivei 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Jurisprudența Curții în materie, care până atunci era contradictorie și folosea o abordare de la caz la caz, a dobândit astfel o bază mai solidă pentru a-și putea fundamenta hotărârile, întrucât directiva delimitează în mod detaliat obiectul(16), subiectele(17) și eventualele căi de atac de care dispune o persoană atunci când circulă informații care o privesc(18). Considerentul (10) al Directivei 95/46 materializează vocația acesteia de instrument de protecție a drepturilor fundamentale, astfel cum sunt recunoscute de CEDO și de principiile generale ale dreptului comunitar(19). Prin Hotărârea Österreichischer Rundfunk și alții s‑a confirmat că, deși Directiva 95/46 are ca obiectiv asigurarea liberei circulații a datelor, aceasta prezintă și un important aspect de protecție a drepturilor fundamentale(20).

21.      În rezumat, Directiva 95/46 dezvoltă dreptul fundamental la protecția vieții private, în dimensiunea acestuia referitoare la prelucrarea automată a datelor cu caracter personal(21).

22.      Ca dovadă a acestei voințe de codificare, este suficient să se facă trimitere la articolul 8 din Carta drepturilor fundamentale a Uniunii Europene(22), dedicat „protecției datelor cu caracter personal” și care consacră un drept la protecția vieții private, precum și un drept de prelucrare corectă a datelor, recunoscând de asemenea dreptul de acces la date și dreptul de a obține rectificarea lor. În pofida precauției cu care poate fi invocată carta(23), este dificil ca dispozițiile acesteia să fie ignorate și să se nege faptul că aceste elemente de drept fac parte din tradițiile constituționale comune ale statelor membre(24). Această apreciere este susținută și de faptul că au trecut mai mult de zece ani de la adoptarea Directivei 95/46, perioadă în care s‑a realizat o armonizare eficace în acest domeniu(25).

23.      Articolul 8 din cartă scoate în evidență două aspecte relevante pentru acțiunea principală. Aceste două aspecte se regăsesc în articolele 6 și 12 din Directiva 95/46. Este vorba, pe de o parte, despre obligația de ștergere a datelor după o perioadă nu mai lungă decât este necesar în vederea atingerii scopurilor urmărite prin colectarea lor [articolul 6 alineatul (1) litera (e)] și, pe de altă parte, despre dreptul de acces fără constrângere la informații cu privire la destinatarii cărora le‑au fost comunicate datele [articolul 12 litera (a)]. Întrucât carta reia aceste aspecte și le integrează în „esența” dreptului fundamental la protecția vieții private, întrebarea preliminară adresată de Raad van State impune o evaluare comparativă a intereselor pentru a se ajunge la un răspuns rațional care să așeze aceste dispoziții în cadrul constituțional adecvat(26).

24.      În prealabil, în cadrul descrierii cheilor de interpretare a Directivei 95/46, trebuie ca aceasta să fie studiată din punct de vedere teleologic în vederea identificării interesului dominant.

B –    Dreptul fundamental la protecția vieții private și tensiunile interne ale acestuia

25.      Prezenta cauză nu se referă la două drepturi fundamentale, ci la două aspecte ale aceluiași drept. Spre deosebire de ceea ce s‑a întâmplat în cazurile în care, de exemplu, dreptul la demnitate și libertatea de informare sau dreptul la protecția vieții private și dreptul de proprietate intrau în conflict, speța de față se referă la două obligații ale autorităților publice: aceea de a prevedea termene pentru ștergerea sistemelor de evidență care conțin date cu caracter personal și aceea de a garanta accesul persoanelor vizate la asemenea date. Această particularitate diferențiază situația domnului Rijkeboer de alte situații în privința cărora Curtea s‑a pronunțat deja, precum cauzele Lindqvist(27) sau Promusicae(28), în care protecția vieții private intra în conflict cu dreptul la libertatea credinței religioase și, respectiv, cu dreptul de proprietate(29). În schimb, speța de față privește un singur drept care prezintă un conflict intern, împărțit între două aspecte care îl transformă într‑un fel de Dr. Jeckyl și Mr. Hyde, întrucât, astfel cum vom arăta mai jos, generozitatea și cruzimea rece și calculată conviețuiesc în interiorul acestuia.

26.      Păstrarea datelor de către operatorii responsabili cu prelucrarea acestora este o sarcină limitată în timp, întrucât Directiva 95/46 prevede că aceasta nu poate depăși perioada necesară în vederea atingerii scopurilor urmărite sau pentru care vor fi prelucrate ulterior. Această cerință este prevăzută în termeni stricți la articolul 6, care lasă în sarcina statelor membre obligația de a determina termenele pertinente în funcție de sectoarele vizate și de scopurile care se găsesc la baza creării și ștergerii ulterioare a sistemelor de evidență. În pofida flexibilității pe care această dispoziție o conferă fiecărei ordini juridice naționale, articolul 13 din Directiva 95/46 prevede excepții de la acest principiu, autorizând o păstrare mai îndelungată decât cea normală atunci când interese generale precum securitatea statului, combaterea criminalității sau cercetarea științifică impun aceasta.

27.      Considerentele Directivei 95/46, care nu menționează această împrejurare, nu acordă o importanță specială limitelor păstrării datelor. Astfel, numai articolele 6 și 12 se referă la această obligație și, având în vedere libertatea de apreciere generoasă pe care Directiva 95/46 o lasă statelor membre, considerăm că legiuitorul comunitar nu s‑a concentrat asupra acestei probleme, astfel cum rezultă din comparația dintre normele care reglementează această materie și normele referitoare la dreptul de acces(30).

28.      Posibilitatea persoanei vizate de a manipula datele care o privesc și de a solicita rectificarea, ștergerea sau blocarea acestora constituie unul dintre aspectele esențiale ale Directivei 95/46. Considerentele (38) și (40) ale directivei menționate ilustrează această idee, nu numai deoarece confirmă importanța dreptului de acces, ci și datorită legăturii implicite între informațiile de care dispune persoana vizată și prelucrarea datelor care o privesc. Astfel, pentru ca drepturile prevăzute la articolul 12 să fie viabile, trebuie să se țină seama de o serie de principii fundamentale, întrucât, în caz contrar, garanțiile prevăzute de această dispoziție ar fi lipsite de conținut. Această teză reiese cu claritate din considerentul (41), atunci când se arată că „orice persoană trebuie să poată beneficia de dreptul de acces la datele cu caracter personal care fac obiectul prelucrării, pentru a se asigura în special de exactitatea datelor și de legalitatea prelucrării acestora”(31). În această privință, așa‑numitele „principii referitoare la calitatea datelor”, enunțate în secțiunea 1 din capitolul II din Directiva 95/46, își dobândesc întregul înțeles. Printre aceste principii figurează și obligația de păstrare a datelor pentru o perioadă „nu mai lungă decât este necesar în vederea atingerii scopurilor pentru care au fost colectate”. Obligația de ștergere a sistemelor de evidență are legătură cu aceea de prelucrare a datelor „în mod corect și legal” și cu aceea de a garanta calitatea acesteia pentru a fi adecvată, pertinentă, neexcesivă și exactă(32).

C –    Caracterul accesoriu al articolului 6 față de articolul 12 din Directiva 95/46

29.      Suntem conștienți de dificultatea pe care o presupune identificarea unui raport de prioritate între articolele 6 și 12 din Directiva 95/46. Există motive puternice pentru a considera că ștergerea datelor este cheia sistemului instituit prin Directiva 95/46, care conferă un drept de acces ce permite persoanelor vizate să controleze respectarea obligațiilor de ștergere. În aceeași ordine de idei, dreptul la protecție este materializat la articolul 12, întrucât accesul constituie veritabila dimensiune subiectivă a directivei care, în general, permite particularilor să reacționeze pentru apărarea intereselor lor.

30.      În acest context, nu putem să rezistăm tentației de a aminti vechea dilemă referitoare la ou și la găină. Care a apărut prima dată? Putem să trăim cu această întrebare pentru totdeauna și să admitem că nu va primi niciodată vreun răspuns, întrucât cele două noțiuni constituie realități eterne, astfel cum scria Aristotel(33)?

31.      Spre deosebire de filosof, instanțele judecătorești nu beneficiază de libertatea de gândire a acestuia și trebuie să se străduiască să dea un răspuns, chiar dacă nu este întotdeauna vorba despre răspunsul cel mai just. Prin urmare, astfel cum există cercetători care au adoptat o poziție în legătură cu eterna controversă a oului și a găinii(34), ne propunem să prezentăm o soluție pentru conflictul dintre articolele 6 și 12 din Directiva 95/46.

32.      Din considerațiile prezentate la punctele 29-35 din aceste concluzii, deducem că, în Directiva 95/46, ștergerea datelor este subordonată dreptului de acces. Dispozițiile directivei conferă un drept care ia naștere odată cu realizarea sistemului de evidență și dispare odată cu ștergerea acestuia. În consecință, ștergerea datelor nu constituie decât un moment în cursul existenței dreptului de acces. Articolul 12 condiționează și justifică această caracteristică.

33.      Dacă aprofundăm această reflecție, ajungem la concluzia că dreptul de acces urmărește ca persoana vizată să ia cunoștință de informații care o privesc. În plus, aprofundăm și mai mult această reflecție dacă ne întrebăm cu privire la finalitatea investigărilor acestei persoane. În numeroase cazuri, titularul dreptului dorește să verifice legalitatea prelucrării datelor care îl privesc. Directiva 95/46 impune operatorilor responsabili de prelucrarea datelor anumite principii de exercitare a activităților lor, însă în același timp își concentrează eforturile pe mecanismele de protecție, printre care figurează dreptul de acces, ca mijloace care permit persoanei vizate să vegheze la respectarea legii și să determine respectarea ei.

34.      Astfel, articolul 12, ca axă centrală a sistemului de garanții instituit prin Directiva 95/46, ar fi lipsit de logică în cazul în care posesorii unor date referitoare la terți nu ar fi supuși niciunei reguli. Astfel cum Comisia a arătat în mod întemeiat în ședință, dreptul de acces a fost instituit tocmai datorită faptului că există principii referitoare la prelucrarea datelor (articolul 6)(35), acest drept fiind un pilon fundamental al acestei directive, astfel cum rezultă de la articolul 12 din aceasta, care folosește expresia „fără constrângere”(36). Având în vedere caracterul protector al Directivei 95/46, care se concentrează pe apărarea persoanelor vizate, devine evident că obligația referitoare la păstrarea datelor este auxiliară în raport cu dreptul de acces. Puternica înclinație subiectivă a directivei și obiectivul acesteia de protecție a drepturilor fundamentale (în speță, dreptul la protecția vieții private), întăresc această idee și plasează interesele care stau la baza articolului 6 la un nivel normativ inferior.

35.      Acest argument este confirmat de structura articolului 8 din Carta drepturilor fundamentale a Uniunii Europene, a cărei valoare interpretativă este neîndoielnică(37) și în care dreptul de acces este abordat la alineatul (1). Apoi, alineatul (2) al acestui articol enumeră principiile referitoare la prelucrarea datelor, însă în temeiul unei ordini ierarhice în care dreptul persoanei vizate este prioritar în raport cu responsabilitățile utilizatorului datelor.

36.      Având drept premisă această perspectivă și atrăgând Curții atenția asupra dimensiunii subiective a Directivei 95/46, în cadrul căreia articolul 12 prezintă o autoritate specială în raport cu articolul 6, vom examina în continuare întrebarea formulată de Raad van State.

VII – Datele cu caracter personal și datele referitoare la prelucrare

37.      În conformitate cu cele arătate la punctele 16 și 17 din prezentele concluzii, trebuie să fie examinate separat două ipoteze, a căror aplicare depinde de împrejurările din fiecare caz în parte, analizând legalitatea termenului, pe de o parte, atunci când este mai scurt decât cel prevăzut pentru datele principale și, pe de altă parte, atunci când termenul prevăzut pentru accesul la datele referitoare la prelucrare este identic cu cel referitor la datele principale. În prima ipoteză, trebuie să se stabilească dacă directiva admite această separație între tipurile de acces, întemeiată pe natura datelor solicitate. În a doua ipoteză, se ridică problema posibilității accesului la date după ștergerea acestora.

38.      În vederea soluționării riguroase a întrebării formulate de Raad van State, este absolut necesar să se stabilească în prealabil dacă termenele de ștergere trebuie să se aplice în mod colectiv în privința tuturor datelor, inclusiv în privința celor referitoare la prelucrare, sau dacă se poate efectua o diferențiere în funcție de tipurile de informații personale. Este o divergență esențială care derivă din obiectivele urmărite de fiecare categorie de informație.

39.      Guvernul elen, precum și guvernul ceh au subliniat în ședință că fiecare categorie de date urmărește obiective diferite. În continuare, este necesar să se explice avantajele și inconvenientele acestui raționament, precum și consecințele sale asupra cauzei de față.

40.      Ștergerea datelor cu caracter personal urmărește protejarea persoanei vizate întrucât, prin ștergerea informațiilor, dispare orice risc de prelucrare ilegală. Împrejurarea că prin articolul 6 din Directiva 95/46 nu se stabilește un termen are o anumită logică, întrucât fiecare sistem de evidență servește propriilor obiective, iar, potrivit principiului subsidiarității, legiuitorul național se găsește în cea mai bună poziție pentru a decide timpul de care dispun operatorii înainte de ștergerea datelor. Cu toate acestea, ștergerea datelor referitoare la prelucrare răspunde unor obiective diferite, întrucât nu protejează persoana vizată, aceasta pierzând urma informațiilor fără a putea exercita dreptul de acces, deoarece datele pertinente nu se mai află în posesia operatorului. Această ștergere a datelor este în beneficiul terților care au primit datele, ale căror identitate și intenții sunt de asemenea șterse.

41.      Această abordare pune accentul pe dificultățile conceptuale latente în prezenta cauză. Este evident că se poate realiza o diferențiere între ștergerea datelor și ștergerea datelor referitoare la prelucrare(38). Drepturile afectate sunt diferite, la fel cum sunt diferite funcțiile autonome, în conformitate cu Directiva 95/46. Însă un asemenea raționament, dacă este împins la extrem, presupune consecințe nedorite. În primul rând, inegalitatea dintre cele două categorii de date este lipsită de temei textual în Directiva 95/46, întrucât articolul 6 se referă la ștergerea datelor in totum, pe când articolul 12 enumeră diferitele categorii de informații pentru a‑i da dreptului de acces un conținut, iar nu dintr‑un obiectiv de diferențiere(39). În al doilea rând, în cadrul unei interpretări largi, dreptul de acces este conceput pentru a fi exercitat „fără constrângere”. Astfel cum vom arăta mai jos, este posibil să se delimiteze gradul de protecție a acestui drept în funcție de împrejurări, însă modul de redactare a articolului 12 exclude existența unor drepturi de acces de prima mână sau de a doua mână. În al treilea rând, astfel cum au subliniat Comisia, Regatul Spaniei și Regatul Unit în ședință, cele două categorii de date fac parte dintr‑o unitate tehnologică, sunt în mod obișnuit prelucrate în aceleași sisteme de evidență, iar gestionarea lor comună nu implică o sarcină foarte importantă pentru operatori.

42.      Prin urmare, respingem teoria potrivit căreia datele referitoare la prelucrare ar avea o existență și un regim juridic proprii. Informațiile referitoare la prelucrare au legătură cu datele cu caracter personal care fac obiectul prelucrării, întrucât explică modul și condițiile manipulării lor, ceea ce ne determină să apărăm ideea potrivit căreia aceste date constituie o parte esențială a definiției comunitare a noțiunii „date”, în sensul articolului 2 litera (a) din Directiva 95/46. Pentru a da un răspuns util instanței de trimitere, trebuie ca această afirmație să fie nuanțată în lumina celor două ipoteze pe care le‑am evocat la punctele 16 și 17 din prezentele concluzii.

VIII – Prima ipoteză: termen mai scurt de ștergere a datelor privind prelucrarea

43.      Întrebarea adresată de Raad van State pare să se refere la această ipoteză: legislația olandeză prevede un termen de păstrare mai lung pentru datele cu caracter personal, însă stabilește un termen mai scurt, de un an, pentru ștergerea datelor referitoare la prelucrare. Cu toate acestea, prin decizia de trimitere nu se dau detalii cu privire la datele în discuție în acțiunea principală și, în consecință, ne asumăm riscul de a avansa acest prim răspuns luând în considerare ipoteza menționată.

44.      Pentru motivele expuse la punctele 37 și 42 din prezentele concluzii, considerăm că Directiva 95/46 nu a consacrat o distincție între datele cu caracter personal și datele referitoare la prelucrare. Conștienți de problemele de stocare pe care le‑ar implica acceptarea acestei abordări, considerăm că termenul de ștergere prevăzut la articolul 6 din Directiva 95/46 este același pentru ambele categorii de date. Deși obiectivul ștergerii este diferit în funcție de categoria de date, ne este dificil să concepem regimuri diferite, întemeiate pe o separare atât de artificială, cu atât mai mult, cu cât în discuție este un drept fundamental.

45.      Astfel cum am arătat la punctele 29-35 din prezentele concluzii, textul directivei acordă prioritate dreptului de acces, căruia îi sunt subordonate obligațiile de ștergere. Pentru îndeplinirea acestui obiectiv, atât datele cu caracter personal, cât și datele referitoare la prelucrare sunt mai bine protejate dacă sunt păstrate pentru o perioadă identică.

46.      Durata de păstrare apare ca fiind lungă în anumite cazuri, însă este justificată de interesul general, care poate de asemenea să fie invocat pentru prelungirea duratei de viață a datelor referitoare la prelucrare. Atunci când păstrarea devine excesiv de lungă ca urmare a utilizării unor sisteme de evidență în scopuri istorice, statistice sau științifice, Directiva 95/46 impune statelor membre obligația de a adopta măsuri specifice care adaptează folosirea acestor sisteme de evidență la împrejurările care justifică păstrarea prelungită a acestora(40). Prin urmare, este necesar să se stabilească alte măsuri care să garanteze că persoanele vizate sunt protejate, dar care să fie adaptate utilizărilor în scopuri istorice sau culturale prevăzute la articolul 6 litera (e) din Directiva 95/46.

47.      În plus, astfel cum semnalează Colegiul în observațiile scrise, pe care le‑a confirmat în ședință, există alte restricții ale acestei obligații de păstrare a datelor referitoare la prelucrare pentru o durată identică cu cea aplicabilă datelor cu caracter personal. Exemplul prezentat de Colegiu îl considerăm decisiv, întrucât se referă la protecția informațiilor cu privire la terți care, la rândul lor, beneficiază de protecția oferită de Directiva 95/46, ceea ce nu presupune că persoana vizată inițial de informațiile transferate trebuie privată în totalitate de drepturile sale. Această restricție implică, exclusiv în ceea ce privește datele cu caracter personal ale terților, că persoana vizată inițial este supusă acelorași limitări ca orice alt destinatar, în sensul Directivei 95/46.

48.      Prin urmare, dacă datele cu caracter personal și datele referitoare la prelucrare sunt supuse unui termen de ștergere comun, nu este necesar să se aprecieze proporționalitatea termenului de un an prevăzut de legislația olandeză. Dacă durata de păstrare a datelor cu caracter personal este mai lungă decât aceea a datelor referitoare la prelucrare, răspunsul la întrebarea preliminară s‑ar termina în acest stadiu.

49.      În cazul în care contextul normativ al cauzei ar fi diferit, soluția dată trimiterii preliminare ar fi de asemenea diferită, în măsura în care ar exista o coincidență între termene, iar persoana vizată ar solicita accesul la o informație ștearsă anterior cererii sale de acces.

IX – A doua ipoteză: un termen comun de ștergere pentru ambele categorii de date

A –    Modul de redactare a articolului 12 din Directiva 95/46

50.      Regatul Spaniei, Republica Cehă și Regatul Țărilor de Jos susțin că articolul 12 ar stabili o legătură între accesul la date și ștergerea lor prevăzută la articolul 6, având în vedere modul de redactare a articolului 12 litera (a) a doua liniuță. Prin această dispoziție, statele membre ar fi obligate să garanteze dreptul de a obține de la operator „comunicarea într‑o formă inteligibilă a datelor care fac obiectul prelucrării și a altor informații disponibile cu privire la originea datelor”. Din modul de redactare a acestei dispoziții ar rezulta că Directiva 95/46 limitează dreptul de acces la datele prelucrate, excluzându‑l, prin urmare, în cazul în care cererea de acces se formulează după terminarea prelucrării, cu alte cuvinte după ștergerea acestor date. Această interpretare ar fi susținută de compararea diferitelor versiuni lingvistice, care variază în ceea ce privește intensitatea cu care se referă la caracterul temporar sau fix al dreptului de acces.

51.      Acest argument nu este convingător întrucât, chiar dacă versiunea engleză se referă la date „undergoing processing”(41), versiunea spaniolă („datos objeto de los tratamientos”) conține o nuanță mai ambiguă. Recunoaștem că o interpretare strictă a acestei dispoziții ar fi mai coerentă cu obligația de ștergere consacrată la articolul 6. Cu toate acestea, nu credem că o confruntare a versiunilor lingvistice conduce la o concluzie determinantă, cu atât mai mult cu cât există motive, pe care le vom expune în continuare, pentru a face abstracție de interpretarea gramaticală a articolului 12(42).

52.      Nu achiesăm nici la poziția exprimată de Regatul Spaniei, potrivit căreia ar trebui să existe încă o excepție de la articolul 12, în plus față de cele prevăzute la articolul 13 din Directiva 95/46(43). După ce a admis că accesul la datele în curs de prelucrare ar fi restrâns, guvernul spaniol consideră că o restricție cu caracter tacit, al cărei conținut rezultă din obligația menționată anterior și prevăzută la articolul 6 din Directiva 95/46, s‑ar adăuga la cele prevăzute la articolul 13 din aceasta. O asemenea explicație nu ne convinge și fundamentează în mod semnificativ teza pe care pretinde să o combată: dacă articolul 13 cuprinde excepțiile de la un drept de acces larg, acestea trebuie să facă obiectul unei interpretări stricte. Întrucât o excepție „generoasă” de la aceste restricții nu este acceptabilă, ar fi cu atât mai intolerabil să se creeze alte categorii ex novo.

53.      În rezumat, modul de redactare a dispozițiilor Directivei 95/46 ne determină să respingem o apreciere simplistă a dreptului de acces. Aceste motive nu conduc la o concepție unitară a termenului, întrucât, în temeiul ierarhiei interne a Directivei 95/46, dreptul de acces primează față de obligația de ștergere. Ștergerea unui sistem de evidență constituie, așadar, o limită a accesului care nu este legală decât cu condiția respectării anumitor garanții. Cu alte cuvinte, este posibil să se condiționeze exercitarea dreptului de acces (de exemplu, prin stabilirea unui termen) în măsura în care persoana vizată este protejată prin alte mijloace. Dacă nu s‑ar întâmpla astfel, ar exista termene de ștergere a datelor care s‑ar dovedi nelegale, întrucât ar paraliza dreptul de acces, ceea ce nu înseamnă totuși că este necesar să se efectueze o diferențiere între informații, iar operatorii să fie obligați să păstreze pentru totdeauna datele referitoare la prelucrare. Dimpotrivă, aceasta presupune că termenul de ștergere a datelor trebuie să fie prelungit în așa fel încât accesul să fie garantat.

54.      În consecință, considerăm că și termenul de ștergere constituie o restricție a dreptului prevăzut la articolul 12 din Directiva 95/46. Totuși, acest termen încalcă directiva atunci când împiedică în mod excesiv atingerea obiectivelor pe care aceasta le urmărește.

B –    O excepție de la regulă: informarea persoanei vizate

55.      Pentru motivele arătate mai sus, considerăm că termenul de ștergere a datelor constituie o restricție a exercitării dreptului de acces, deși există împrejurări în care se creează o discrepanță între termenele referitoare la ștergere și la acces. Prin folosirea termenului „discrepanță”, ne referim la posibilitatea ca durata să fie proporțională pentru ștergere și disproporțională pentru acces sau viceversa. Suntem conștienți cu privire la complicațiile practice care rezultă din această abordare, însă o asemenea consecință se poate produce într‑un context foarte particular, atunci când persoana vizată nu a fost informată în mod suficient cu privire la drepturile sale.

56.      O asemenea consecință se produce dacă, astfel cum au susținut Republica Elenă și Comisia, se identifică un deficit de informare care produce un prejudiciu persoanei vizate. Pentru a explica acest aspect, trebuie amintit că articolele 10 și 11 din Directiva 95/46 prevăd obligația de a‑i notifica persoanei vizate și de a‑i solicita acesteia o serie de informații și/sau autorizații, printre care figurează informațiile referitoare la comunicarea de date către terți. Această obligație este formulată în termeni vagi, care lasă o mare libertate de apreciere fiecărui stat membru. Modul în care fiecare ordine juridică națională configurează aceste obligații condiționează răspunsul într‑o cauză precum cea de față. Nimic nu se opune ca o persoană care nu a fost informată, anterior comunicării, cu privire la identitatea destinatarului datelor sau la termenele de exercitare a dreptului de acces să beneficieze de un grad ridicat de protecție(44). Acest corolar respectă caracterul prioritar pe care directiva îl atribuie dreptului subiectiv al persoanei vizate, a cărui limitare trebuie să se efectueze în așa fel încât, odată realizată ștergerea datelor, exercitarea sa să fie garantată.

57.      În anumite cazuri, dacă se aplică această teorie, procesul se soluționează printr‑o hotărâre imposibil de executat. În cazul în care Colegiul a distrus din oficiu toate datele referitoare la domnul Rijkeboer anterioare anului precedent, contestația acestuia ar putea să nu aibă niciun rezultat. Este evident că administrația locală din Rotterdam nu este în măsură să dea ceva ce nu mai posedă. Este posibil ca acest inconvenient să afecteze și alte ordini juridice naționale, deși numai pentru o perioadă limitată, care corespunde duratei necesare adaptării legislației neconforme la dreptul comunitar. Însă, în acest interval, persoana afectată continuă să aibă la dispoziție o altă cale de atac, aceea referitoare la răspunderea patrimonială a statului pentru nerespectarea obligațiilor comunitare. În cazul inexistenței unei executări care să satisfacă pe deplin particularul, aceste norme permit cel puțin o despăgubire pecuniară, a cărei recunoaștere cade în sarcina instanțelor naționale(45).

58.      În definitiv, pentru a folosi o expresie americană, prezenta cauză trebuie soluționată păstrând un „hard look” asupra proporționalității(46), în situația în care Raad van State constată existența unui deficit de informare în cauza principală. În această ipoteză, este indispensabil ca termenul de ștergere a datelor să nu opereze în mod automat ca barieră în calea dreptului de acces. Controlul proporționalității trebuie să fie efectuat la gradul de protecție maximă al acestuia, ceea ce ar face dificilă acceptarea unui termen atât de scurt ca acela de un an.

59.      În aceste împrejurări, ne alăturăm acelora care concep ștergerea datelor și accesul la acestea ca elemente ale uneia și aceleiași realități, care sunt, așadar, unite la nivelul configurației termenelor lor. Ștergerea datelor prevăzută la articolul 6 din Directiva 95/46 privește toate informațiile, inclusiv pe acelea referitoare la comunicarea către terți. În consecință, limita temporală pentru ștergere funcționează, în mod indirect, și ca termen pentru determinarea duratei dreptului de acces. Faptul de a proceda la o diferențiere între categoriile de date din perspectiva accesului ar presupune să se creeze o diferență care nu există în Directiva 95/46 și care, în plus, nu prezintă o eficacitate practică evidentă(47).

60.      Sunt posibile excepții de la această teză, în situația în care există un deficit de transparență cu ocazia informării persoanei afectate cu privire la drepturile pe care le are. În această situație, termenul de ștergere a datelor trebuie să fie prelungit în vederea protejării dreptului de acces.

C –    Termenul de un an și principiul proporționalității

61.      Legislația olandeză prevede un regim specific pentru prelucrarea datelor cu caracter personal realizată de administrațiile locale, din care iese în evidență, în ceea ce privește problema care ne preocupă în acest caz, termenul general de un an pentru ștergerea datelor. Am expus deja motivele pentru care această perioadă trebuie să fie examinată atât în conformitate cu articolul 6, cât și cu articolul 12 din Directiva 95/46. În această etapă, trebuie să se analizeze dacă acest termen este compatibil cu principiul proporționalității, a cărui aplicabilitate constituie o condiție ce rezultă din articolele menționate, întrucât ambele conferă sens unui drept fundamental.

62.      Guvernele Regatului Unit, spaniol și ceh au consacrat tot efortul lor pentru justificarea dificultăților pe care le prezintă garantarea dreptului de acces în cazul în care datele au fost șterse. Tocmai de aceea, ele nu au acordat o atenție specială termenului în discuție. În schimb, în observațiile lor, guvernul elen și Colegiul se referă la implicațiile pe care le are termenul prevăzut de legislația olandeză, din perspectiva Directivei 95/46 și a principiului proporționalității. În opinia Republicii Elene și a Comisiei, această durată se dovedește a fi excesiv de scurtă și, în consecință, incompatibilă cu ordinea juridică comunitară. Colegiul militează în favoarea legalității termenului invocând particularitățile sistemului olandez, care ar compensa caracterul scurt al termenului cu alte prevederi care urmăresc protejarea persoanei vizate.

63.      Înainte de examinarea caracterului proporțional al termenului național, trebuie amintite anumite principii, întrucât Curtea, cu alte ocazii, a examinat termene asemănătoare. Jurisprudența ne dezvăluie o abordare variabilă, care depinde de contextul fiecărei cauze, întrucât Curtea exercită un control mai mult sau mai puțin intens în funcție de împrejurările proprii fiecărei cauze(48). În cazul unei eventuale atingeri aduse drepturilor fundamentale, examinarea termenului pentru exercitarea acestor drepturi trebuie să fie efectuată în mod scrupulos(49). Totuși, acest control depinde de mai mulți factori.

64.      Astfel cum am precizat la punctele 55-60 din prezentele concluzii, trebuie să se examineze nivelul de informare de care beneficiază persoana vizată pe timpul prelucrării datelor. În această privință, pot fi menționate următoarele criterii.

65.      Potrivit articolelor 10 și 11 din directivă, persoana vizată are dreptul de a‑i fi comunicate o serie de informații, printre care identitatea „destinatari[lor] sau categoriile de destinatari ai datelor […] în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor […]”. Cele două articole fac o distincție între informațiile colectate de la persoana vizată însăși și acelea care au altă origine, chiar dacă, în ambele ipoteze, trebuie să fie furnizate informații cu privire la comunicarea datelor către terți.

66.      Legiuitorul național dispune de o libertate de apreciere largă în ceea ce privește punerea în practică a obligațiilor prevăzute la articolele 10 și 11 din Directiva 95/46, însă aceste dispoziții au ca scop informarea persoanei interesate cu privire la faptul că datele care îl privesc au fost comunicate, pentru a‑i da posibilitatea, în cazul în care dorește, să aibă acces la prelucrarea datelor și să controleze conformitatea acesteia cu principiile de la articolul 6 din directiva menționată. Cu toate acestea, informațiile variază în funcție de context, instanța de trimitere având sarcina de a verifica dacă ordinea juridică olandeză, precum și practica corespunzătoare a administrației locale respectă dispozițiile articolelor 10 și 11 din directivă. Trebuie să se examineze dacă domnul Rijkeboer a fost înștiințat cu privire la comunicarea datelor și dacă a fost informat asupra perioadei de un an de care dispunea pentru valorificarea dreptului său de acces. Statele membre nu sunt obligate să notifice termenul, întrucât articolele 10 și 11 nu prevăd această obligație(50). Totuși, în contextul aprecierii duratei sale, este foarte important să se verifice dacă persoana vizată a fost informată cu privire la acest termen. În cazul în care nu a fost informată, este dificil să se admită că o perioadă atât de scurtă de un an este, în lipsa unor explicații suplimentare din partea operatorului, conformă cu principiul proporționalității și, prin urmare, cu Directiva 95/46.

67.      De asemenea, natura informațiilor comunicate prezintă o importanță deosebită întrucât, astfel cum se recunoaște prin directivă, datele care trebuie să fie comunicate pot să includă identitatea destinatarilor, cât și „categoriile de destinatari”. Această a doua opțiune presupune că listele furnizate nu indică întotdeauna cine a avut acces la sistemele de evidență, iar persoana vizată se regăsește, așadar, într‑o situație defavorabilă în cadrul exercitării dreptului de acces. Instanța națională este cea care are sarcina de a determina în ce măsură și în ce termeni operatorii l‑au informat pe domnul Rijkeboer cu privire la destinatarii datelor comunicate. În cadrul acestei examinări, controlul referitor la termen trebuie să fie aprofundat atunci când identitatea terților nu a fost furnizată, întrucât persoana vizată poate avea temerea că prelucrarea nu a fost realizată potrivit principiilor articolului 6 din directivă.

68.      În sfârșit, ar trebui stabilite câteva reguli în ceea ce privește sarcina probei. Domnul Rijkeboer, în calitate de titular al unui drept fundamental, a trebuit să recurgă la acțiunea în justiție pentru a afla modul de prelucrare a datelor sale personale(51). Conformitatea cu Directiva 95/46 depinde de o serie de factori care variază în funcție de împrejurări și care decurg din legea națională însăși și din practica administrației locale. Invocând dreptul său fundamental, domnul Rijkeboer este obligat să utilizeze acțiunea în justiție, însă nu ar trebui să fie obligat să dovedească neregulile ordinii juridice a propriei țări în acest domeniu, întrucât modul de redactare a Directivei 95/46 incită la a considera, astfel cum am arătat la punctele 29-35 din prezentele concluzii, că dreptul de acces prezintă un caracter prioritar, iar orice excepție trebuie să fie examinată cu foarte multă prudență. Astfel, având în vedere dimensiunea subiectivă a normelor comunitare referitoare la protecția datelor, operatorul acestor date are sarcina de a dovedi că practica administrativă și cadrul juridic al prelucrării datelor oferă garanții care justifică un termen atât de scurt precum acela de un an pentru exercitarea dreptului prevăzut la articolul 12 din Directiva 95/46.

69.      În observațiile prezentate în cadrul prezentei proceduri preliminare, Colegiul a furnizat câteva indicii în această privință. Legislația națională instituie un sistem adecvat de control („checks and balances”, potrivit terminologiei utilizate de Colegiu) care armonizează dreptul de acces prevăzând anumite garanții, precum limitarea destinatarilor, urmărirea în cazuri specifice a unor obiective particulare, autorizarea prealabilă a persoanei vizate sau un mecanism de control pus în aplicare de o autoritate independentă. În plus, în conformitate cu susținerile Colegiului, persoana vizată este informată cu privire la termenul de un an, atât personal, cât și în mod colectiv (pe internet și prin intermediul unor avize destinate locuitorilor)(52).

70.      Suntem conștienți de repercusiunile pe care prezenta cauză poate să le aibă pentru operatorii sistemelor de evidență care intră în domeniul de aplicare al Directivei 95/46. Cu toate acestea, caracterul prioritar al protecției persoanei ne determină să conciliem apărarea drepturilor acesteia cu gestionarea eficace a sistemelor de evidență. În consecință, articolele 6 și 12 din Directiva 95/46 ar trebui să fie interpretate în sensul că sunt incompatibile cu termenul de un an prevăzut pentru exercitarea dreptului de acces la datele referitoare la prelucrare dacă:

–        persoana vizată nu a fost informată cu privire la comunicarea datelor care o privesc;

–        sau, deși a fost informată în acest sens, nu a fost informată cu privire la durata termenului;

–        sau, deși a fost informată în acest sens, nu i‑au fost furnizate suficiente detalii cu privire la identitatea destinatarilor.

71.      Întrucât în discuție este un drept fundamental, Colegiul trebuie să dovedească faptul că normele naționale și practica administrativă garantează un nivel adecvat de informare a persoanei vizate, care îi permite să își exercite dreptul de acces fără constrângere.

72.      Raad van State are sarcina ca, în lumina criteriilor prezentate și a elementelor de drept și de fapt expuse atât în cadrul prezentei proceduri preliminare, cât și în cadrul acțiunii principale, să aplice articolele 6 și 12 din Directiva 95/46 în conformitate cu cele indicate de noi la punctele 70 și 71 din prezentele concluzii.

X –    Concluzie

73.      Având în vedere considerațiile care precedă, propunem Curții să răspundă la întrebarea preliminară adresată de Raad van State după cum urmează:

„Informațiile referitoare la prelucrarea datelor, inclusiv cele care se referă la comunicarea acestora către terți, sunt date cu caracter personal, în sensul articolului 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. În vederea garantării efectului util al Directivei 95/46, termenul de ștergere aplicabil datelor referitoare la prelucrare este identic cu cel prevăzut pentru datele cu caracter personal, fără a se aduce atingere drepturilor și obligațiilor pe care directiva respectivă le conferă terților cărora le‑au fost comunicate datele.

Articolele 6 și 12 din Directiva 95/46 sunt incompatibile cu termenul de un an prevăzut pentru exercitarea dreptului de acces la datele referitoare la prelucrare dacă:

–        persoana vizată nu a fost informată cu privire la comunicarea datelor care o privesc;

–        sau, deși a fost informată în acest sens, nu a fost informată cu privire la durata termenului;

–        sau, deși a fost informată în acest sens, nu i‑au fost furnizate suficiente detalii cu privire la identitatea destinatarilor.

Operatorul are obligația să dovedească faptul că normele naționale și practica administrativă garantează un nivel adecvat de informare a persoanei interesate, care îi permite să își exercite dreptul de acces fără constrângere.”


1 – Limba originală: spaniola.


2 – Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).


3 – Recuperarea memoriei, la fel ca păstrarea datelor prelucrate în mod licit sau ilicit, reprezintă o muncă delicată. Ștergerea urmelor trecutului trebuie să fie abordată cu precauție, astfel cum arăta Proust atunci când apăra puterea evocatoare a amintirilor, întrucât „[l]ocurile pe care le‑am cunoscut odinioară nu aparțin numai lumii spațiului în care le situăm noi din motive de comoditate. Nu sunt decât o părticică, printre multe altele, din impresiile contigue care ne compuneau viața de atunci; amintirea unei anumite imagini nu reprezintă decât regretul pentru un anumit moment; iar casele, străzile, bulevardele sunt, vai!, la fel de trecătoare ca și anii”. Marcel Proust, À la recherche du temps perdu, Du coté de chez Swann, Ed. Gallimard, La Pléiade, París, 1987, vol. I, p. 419 și 420.


4 – Hotărârea din 23 aprilie 1986, Les Verts/Parlamentul European (294/83, Rec., p. 1339, punctul 23), și Hotărârea din 3 septembrie 2008, Kadi și Al Barakaat International Foundation/Consiliul și Comisia (C‑402/05 P și C 415/05 P, nepublicată încă în Repertoriu, punctul 281).


5 – Hotărârea din 12 noiembrie 1969, Stauder (29/69, Rec., p. 419, punctul 7).


6 – Citată la nota de subsol 5.


7 – Hotărârea din 17 decembrie 1970 (11/70, Rec., p. 1125).


8 – Hotărârea din 14 mai 1974, Nold/Comisia (4/73, Rec., p. 491), și Hotărârea din 15 mai 1986, Johnston (222/84, Rec., p. 1651, punctul 18).


9 – Citată la nota de subsol 5.


10 – Hotărârea din 7 noiembrie 1985, Adams/Comisia (145/83, Rec., p. 3539, punctul 34).


11 – Hotărârea din 7 octombrie 1987, Strack/Comisia (140/86, Rec., p. 3939, punctele 9-11).


12 – Hotărârea din 8 aprilie 1992, Comisia/Germania (C‑62/90, Rec., p. I‑2575, punctul 23).


13 – Hotărârea din 5 octombrie 1994, X/Comisia (C‑404/92 P, Rec., p. I‑4737, punctele 17 și 18).


14 – Hotărârea din 21 septembrie 1989, Hoechst/Comisia (46/87 și 227/88, Rec., p. 2859), și Hotãrârea din 22 octombrie 2002, Roquette Frères (C‑94/00, Rec., p. I‑9011).


15 – Hotărârea din 11 iulie 2002, Carpenter (C‑60/00, Rec., p. I‑6279, punctul 38), și Hotărârea din 25 iulie 2002, MRAX (C‑459/99, Rec., p. I‑6591, punctul 53).


16 – Articolele 1-3 din Directiva 95/46.


17 – Articolul 2 din Directiva 95/46.


18 – Articolele 10-24 din Directiva 95/46.


19 – „[Î]ntrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, cât și în principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în Comunitate.”


20 – Hotărârea din 20 mai 2003 (C‑465/00, C‑138/01 și C‑139/01, Rec., p. I‑4989, punctul 70). În acest sens, avocatul general Tizzano susține, în concluziile prezentate în aceste cauze, că obiectivul primordial al Directivei 95/46 este libera circulație a datelor cu caracter personal, iar nu protecția drepturilor fundamentale. Curtea a respins acest punct de vedere și a consacrat o poziție de protejare a persoanei vizate. Ulterior, această teză a fost ratificată prin Hotărârea din 6 noiembrie 2003, Lindqvist (C‑101/01, Rec., p. I‑12971, punctul 96), în care s‑a declarat că Directiva 95/46 urmărește garantarea liberei circulații a datelor cu caracter personal, asigurând în același timp un înalt nivel de protecție a drepturilor și intereselor persoanelor vizate de asemenea date.


21 – Guichot, E., Datos personales y Administración Pública, Ed. Civitas, Madrid, 2005, p. 43-47.


22 – Instrument proclamat în mod solemn de Parlamentul European, de Consiliu și de Comisie la 7 decembrie 2000 (JO C 364, p. 1 și următoarele).


23 – Document care, chiar dacă nu face parte din ordinea juridică comunitară actualmente în vigoare, produce neîndoielnic efecte în calitate de normă de „soft law”. În ceea ce privește Carta și efectele juridice ale acesteia, facem trimitere la punctele 78 și 79 din Concluziile noastre prezentate la 12 septembrie 2006 în cauza Advocaten voor de Wereld, în care a fost pronunțată Hotărârea din 3 mai 2007 (C‑303/05, Rec., p. I‑3633).


24 – Alonso García, R., The General Provisions of the Charter of Fundamental Rights of the European Union, Harvard Jean Monnet Working Paper nr. 4/02, p. 22 și 23.


25 – Comunicarea Comisiei către Parlamentul European și Consiliu cu privire la continuarea programului de lucru pentru o mai bună punere în aplicare a Directivei privind protecția datelor, care a fost adoptată de Comisie la 7 martie 2007 (COM/2007/87 final, p. 5), confirmă că toate statele membre au transpus Directiva 95/46.


26 – Tehnica evaluării comparative a intereselor este foarte utilizată de Curte în cadrul cauzelor referitoare la drepturile fundamentale. În domeniul protecției datelor, Hotărârea Lindqvist (citată anterior, punctul 82) și Hotărârea din 29 ianuarie 2008, Promusicae (C‑275/06, Rec., p. I‑271, punctul 66) sunt elocvente. Groussot, X., „Commentaire de l’arrêt Promusicae”, Common Market Law Review, nr. 6, vol. 45, 2008, analizează această evaluare comparativă.


27 – Hotărâre citată la nota de subsol 20.


28 – Hotărâre citată la nota de subsol 27.


29 –       În afară de Hotărârile Lindqvist și Promusicae, mai facem trimitere și la Concluziile avocatului general Kokott prezentate la 8 mai 2008 în cauza Satakunnan Markkinapörssi Oy și Satamedia (Hotărârea din 16 decembrie 2008, C‑73/07, nepublicată încă în Repertoriu), unde, la punctele 99-105, se explică modul în care Curtea procedează la evaluarea comparativă în domeniul care ne interesează în speță.


30 – Similar articolului 6 din Directiva 95/46, articolul 12 din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63) prevede de asemenea ștergerea datelor, deși în termeni mai puțin constrângători și la cererea persoanei interesate.


31 – Sublinierea noastră.


32 – Adjective utilizate în articolul 6 alineatul (1) din Directiva 95/46.


33The New Encyclopaedia Britannica, vol. 12, Chicago, Londra, Toronto, Geneva, Sydney, Tokyo, Manila, Seul, 1973, p. 24


34 – Hawking, S., Scurtă istorie a timpului, Éd. Bantam, New York, 1998, p. 193, argumentează în favoarea oului. Această afirmație antrenează evidente consecințe teologice, pe care nu este necesar, în mod evident, să le expunem aici.


35 – Astfel susțin Herrán Ortiz, A. I., El derecho a la intimidad en la nueva Ley Orgánica de protección de datos personales, Ed. Dykinson, Madrid, 2002, p. 153, și Arenas Ramiro, M., El derecho fundamental a la protección de datos personales en Europa, Ed. Tirant lo Blanch, Valencia, 2006, p. 305.


36 – Directiva 95/46 își propune să depășească dispozițiile Convenției nr. 108 a Consiliului Europei din 28 ianuarie 1981 privind protecția persoanelor fizice în ceea ce privește prelucrarea automată a datelor cu caracter personal. Aceasta rezultă din considerentul (11), care prevede că: „principiile protecției drepturilor și libertăților persoanelor, inclusiv a dreptului la viață privată, conținute și în prezenta directivă le precizează și le amplifică pe acelea conținute în Convenția Consiliului Europei din 28 ianuarie 1981 […]” (sublinierea noastră). Dovadă în acest sens stă conținutul actului normativ comunitar care, în privința anumitor chestiuni, depășește Convenția nr. 108, iar aceasta în mod semnificativ în ceea ce privește definiția dreptului de acces. Potrivit Directivei 95/46, acest drept se exercită „fără constrângere”, în timp ce articolul 8 din Convenția nr. 108 se limitează să proclame un drept de acces „la intervale rezonabile”. Reglementarea comunitară are ambiția de a extinde dreptul de acces și tocmai de aceea îl consacră în termeni mult mai generoși decât cei ai Convenției Consiliului Europei, reiterând orientarea spre protecția persoanei a Directivei 95/46.


37 – Hotărârea din 27 iunie 2006, Parlamentul European/Consiliul (C‑540/03, Rec., p. I‑5769, punctul 38), Hotărârea din 13 martie 2007, Unibet (C‑432/05, Rec., p. I‑2271, punctul 37), Hotărârea Advocaten voor de Wereld (citată la nota de subsol 23, punctul 46) și Hotărârea Kadi și Al Barakaat International Foundation/Consiliul și Comisia (citată la nota de subsol 4, punctul 335).


38 Diferențiere apărată de Comisie în observațiile prezentate (punctele 31 și 32).


39 – Articolul 12 din Directiva 95/46, deși enumeră aspecte referitoare la acces, se referă și la alte probleme legate de prelucrare, iar nu de date. Această observație permite să se constate că, în ceea ce privește datele, dreptul de acces este nelimitat. În schimb, prelucrarea reprezintă o problemă diferită, ceea ce demonstrează că redactorii Directivei 95/46 au fost sensibili la dificultățile inerente unei înțelegeri globale a articolului 12.


40 – Articolul 6 alineatul (1) litera (e) aduce o nuanță obligației de ștergere: „[s]tatele membre stabilesc garanțiile corespunzătoare pentru datele cu caracter personal care sunt stocate pe o perioadă mai mare decât cea menționată, în scopuri istorice, statistice sau științifice”. Deși această dispoziție nu este redactată în mod explicit ca o excepție de la obligația de ștergere, directiva scutește de această obligație persoanele care desfășoară activitățile de interes general menționate, chiar dacă dispozițiile europene continuă să fie aplicabile, întrucât acestea din urmă trebuie să se adapteze la particularitățile cercetării istorice, statistice și științifice.


41 Versiunea franceză („sont traitées” sau „sont communiquées”) și versiunea germană („an die Daten übermittelt werden”) coincid cu versiunea engleză.


42 – Spre deosebire de Colegiu, nu considerăm că Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (JO 2001, L 8, p. 1, Ediție specială, 13/vol. 30, p. 142), care prevede obligația stabilirii unui termen de păstrare, poate conduce la o interpretare corectă a articolelor 6 și 12. Acest regulament constituie traducerea legală a Directivei 95/46 în contextul aplicării sale în privința instituțiilor comunitare. Este logic ca conținutul său să fie mai detaliat decât acela al unui instrument de armonizare adresat statelor membre. Menționarea acestui termen, care figurează la articolele 11 și 12 din regulament, nu înseamnă că Directiva 95/46 urmărește un efect contrar pe care îl impune statelor membre. Interpretată în ansamblul său, tăcerea directivei stă mărturie numai pentru libertatea de apreciere de care dispune fiecare ordine juridică națională, ceea ce nu presupune că orice termen este admisibil sau că un asemenea termen poate limita dreptul de acces.


43 Observațiile Regatului Spaniei (punctul 25).


44 – Bainbridge, D., EC Data Protection Directive, Ed. Butterworths, Londra‑Dublin-Edimburg, 1996, p. 139, pledează în favoarea acestei interpretări a articolelor 10 și 11.


45 – Trebuie amintit că articolul 23 alineatul (1) din Directiva 95/46, care este consacrat răspunderii în cazul încălcării dispozițiilor directivei, dispune că „[s]tatele membre prevăd ca orice persoană care a suferit prejudicii ca urmare a unei prelucrări ilegale sau a oricărei acțiuni incompatibile cu dispozițiile de drept intern adoptate în temeiul prezentei directive are dreptul să obțină reparații de la operator pentru prejudiciul suferit”.


46 – Potrivit acestei teorii, o instanță intensifică controlul asupra deciziilor autorităților publice atunci când nu este posibil să se identifice niciun temei solid care să le justifice. Această teorie își găsește originea într‑o hotărâre a Curții Supreme a Statelor Unite ale Americii, SEC împotriva Chenery Corp. [318 U. S. 80 (1943)], care a fost dezvoltată ulterior în Hotărârea Citizens to Preserve Overton Park împotriva Volpe [401 U. S. 402 (1971)]. A se vedea de asemenea Breyer, S. G., Stewart, R. B., Sunstein, C. R., și Vermeule, A., Administrative Law and Regulatory Policy, Ed. Aspen, New York, 2006, p. 349-368. În ceea ce privește „hard look”‑ul în domeniul controlului jurisdicțional comunitar, atât european, cât și național, a se vedea Craig, P., EU Administrative Law, Ed. Oxford University Press, 2006, p. 477-481.


47 – În pofida acestor complicații tehnice, Regatul Unit a subliniat în ședință că există cazuri expres prevăzute de ordinea sa juridică internă în care dreptul de acces la datele referitoare la prelucrare este garantat inclusiv după ștergerea datelor cu caracter personal. Cu toate acestea, agentul guvernului Regatului Unit nu a furnizat mai multe detalii cu privire la acest aspect, deși a insistat cu privire la caracterul excepțional al acestei practici. Prin urmare, adoptăm o poziție prudentă. În plus, considerăm că, dacă Directiva 95/46 ar fi acceptat această ipoteză, ar fi făcut‑o în mod expres.


48 – Hotărârea din 24 martie 1987, McDermott și Cotter (286/85, Rec., p. 1453, punctul 15), Hotărârea din 25 iulie 1991, Emmott (C‑208/90, Rec., p. I‑4269, punctul 18), Hotărârea din 27 octombrie 1993, Steenhorst‑Neerings (C‑338/91, Rec., p. I‑5475, punctul 19), Hotărârea din 6 decembrie 1994, Johnson (C‑410/92, Rec., p. I‑5483, punctul 26), Hotărârile din 15 septembrie 1998, Spac (C‑260/96, Rec., p. I‑4997, punctul 32) și Ansaldo Energia și alții (C‑279/96-C‑281/96, Rec., p. I‑5025, punctele 19-21), și Hotărârea din 24 septembrie 2002, Grundig Italiana (C‑255/00, Rec., p. I‑8003, punctul 37).


49 – Hotărârea din 13 iulie 1989, Wachauf (5/88, Rec., p. 2609, punctele 17-22), Hotărârea din 10 iulie 2003, Booker Aquaculture și Hydro Seafood (C‑20/00 și C‑64/00, Rec., p. I‑7411, punctele 88-93), și Hotărârea din 22 noiembrie 2005, Mangold (C‑144/04, Rec., p. I‑9981, punctul 75), se pronunță asupra controlului regimurilor naționale din perspectiva drepturilor fundamentale comunitare.


50 – Spre deosebire de Regulamentul nr. 45/2001, potrivit căruia, în temeiul articolului 11 alineatul (1) litera (f) punctul (ii) și al articolului 12 alineatul (1) litera (f) punctul (ii), instituțiile sunt obligate să informeze persoana vizată cu privire la termenele de păstrare a datelor.


51 – Deși, contrar altor instrumente de drept privat (precum Directiva 2000/78/CE a Consiliului din 27 noiembrie 2000 de creare a unui cadru general în favoarea egalității de tratament în ceea ce privește încadrarea în muncă și ocuparea forței de muncă, JO L 303, p. 16, Ediție specială, 05/vol. 6, p. 7), Directiva 95/46 nu se pronunță asupra acestei probleme, considerăm că, întrucât în discuție se află drepturi fundamentale, regulile aplicabile în privința sarcinii probei trebuie să fie cele prevăzute de principiile generale ale dreptului comunitar.


52 – Observațiile Colegiului (punctele 65-70).