Cătălin-Andrei POPESCU

În cauza C‑333/22,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Cour d’appel de Bruxelles (Curtea de Apel din Bruxelles, Belgia), prin decizia din 9 mai 2022, primită de Curte la 20 mai 2022, în procedura

Ligue des droits humains ASBL,

BA

împotriva

Organe de contrôle de l’information policière,

CURTEA (Camera a cincea),

pronunță prezenta

Hotărâre

Cererea de decizie preliminară privește, pe de o parte, interpretarea art. 8 alin. (3) și a art. 47 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) și, pe de altă parte, validitatea, în raport cu dispozițiile sus‑menționate ale cartei, a art. 17 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului.

Această cerere a fost formulată în cadrul unui litigiu între Ligue des droits humains ASBL și BA, pe de o parte, și Organe de contrôle de l’information policière (Organismul de Supraveghere a Informațiilor Polițienești, Belgia, denumit în continuare „OSIP”), pe de altă parte, în legătură cu exercitarea, prin intermediul acestui organism, a drepturilor lui BA referitoare la datele cu caracter personal care îl privesc, prelucrate de serviciile de poliție belgiene și în temeiul cărora Autorité nationale de sécurité (Autoritatea Națională de Securitate, Belgia) a respins o cerere de autorizare de securitate formulată de această persoană.

Cadrul juridic

Dreptul Uniunii

Art. 1 din această directivă, intitulat „Obiect și obiective”, prevede la alin. (1) și (2):

„(1) Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.

(2) În conformitate cu prezenta directivă, statele membre:

(a) protejează drepturile și libertățile fundamentale ale persoanelor fizice, în special dreptul acestora la protecția datelor cu caracter personal și

(b) se asigură că schimbul de date cu caracter personal de către autoritățile competente în cadrul Uniunii, în cazul în care schimbul respectiv de informații este impus de dreptul Uniunii sau de dreptul intern, nu este limitat sau interzis din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal.”

Directiva menționată conține un capitol III, intitulat „Drepturile persoanei vizate”, care cuprinde printre altele art. 13-17. Art. 13, intitulat „Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia”, prevede la alin. (1) obligația statelor membre de a garanta că operatorul pune la dispoziția persoanei vizate anumite informații minime, cum ar fi printre altele identitatea și datele de contact ale operatorului. În plus, acesta enumeră, la alin. (2), informațiile suplimentare pe care statele membre trebuie să îi impună prin lege operatorului să le comunice persoanei vizate, pentru a-i permite acesteia exercitarea drepturilor sale. La alin. (3) și (4), acesta prevede:

„(3) Statele membre pot adopta măsuri legislative de amânare, restricționare sau omitere a furnizării de informații persoanei vizate în conformitate cu alineatul (2) în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într‑o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei fizice, pentru:

(a) evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c) protejarea securității publice;

(d) protejarea securității naționale;

(e) protejarea drepturilor și libertăților celorlalți.

(4) Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența oricăreia dintre literele de la alineatul (3).”

Art. 14 din aceeași directivă, intitulat „Dreptul de acces al persoanei vizate”, are următorul cuprins:

„Sub rezerva articolului 15, statele membre garantează dreptul persoanei vizate de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații […]”

Potrivit art. 15 din Directiva 2016/680, intitulat „Limitarea dreptului de acces”:

„(1) Statele membre pot adopta măsuri legislative care limitează, integral sau parțial, dreptul de acces al persoanei vizate în măsura și atât timp o astfel de limitare, parțială sau totală, constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama de drepturile fundamentale și de interesele legitime ale respectivei persoane fizice, pentru:

(a) evitarea obstrucționării cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c) protejarea securității publice;

(d) protejarea securității naționale;

(e) protejarea drepturilor și libertăților celorlalți.

(2) Statele membre pot adopta măsuri legislative pentru a stabili categoriile de prelucrare care pot intra, integral sau parțial, sub incidența literelor (a)-(e) de la alineatul (1).

(3) În cazurile prevăzute la alineatele (1) și (2), statele membre garantează că operatorul informează în scris persoana vizată, fără întârzieri nejustificate, cu privire la refuzarea sau limitarea accesului și la motivele refuzului sau ale limitării. Astfel de informații pot fi omise atunci când furnizarea lor ar contraveni unuia dintre scopurile de la alineatul (1). Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

(4) Statele membre garantează că operatorul justifică motivele de fapt și de drept pe care se întemeiază decizia. Aceste informații se pun la dispoziția autorităților de supraveghere.”

Art. 16 din această directivă, intitulat „Dreptul la rectificarea sau la ștergerea datelor cu caracter personal și la restricționarea prelucrării”, prevede:

„(1) Statele membre garantează persoanei vizate dreptul de a obține de la operator, fără întârzieri nejustificate, rectificarea datelor cu caracter personal inexacte care o privesc. Ținându‑se seama de scopurile prelucrării, statele membre garantează persoanei vizate dreptul de a obține completarea datelor cu caracter personal care sunt incomplete […].

(2) Statele membre impun operatorului obligația de a șterge datele cu caracter personal fără întârzieri nejustificate și garantează persoanei vizate dreptul de a obține de la operator ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, în cazul în care prelucrarea încalcă dispozițiile adoptate în temeiul articolului 4, 8 sau 10, sau în cazul în care datele cu caracter personal trebuie șterse pentru îndeplinirea unei obligații legale care îi revine operatorului.

(3) În loc de ștergere, operatorul restricționează prelucrarea datelor cu caracter personal în cazul în care:

(a) exactitatea datelor cu caracter personal este contestată de persoana vizată, iar exactitatea sau inexactitatea datelor respective nu poate fi stabilită cu certitudine sau

(b) datele cu caracter personal trebuie să fie păstrate ca mijloace de probă.

[…]

(4) Statele [membre] garantează că operatorul informează în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor cu caracter personal sau de restricționare a prelucrării și cu privire la motivele refuzului. Statele membre pot adopta măsuri legislative care restricționează, integral sau parțial, obligația de a furniza astfel de informații în măsura în care o astfel de restricționare a prelucrării constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate pentru:

(a) a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice;

(b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor;

(c) a proteja securitatea publică;

(d) a proteja securitatea națională;

(e) a proteja drepturile și libertățile celorlalți.

Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a introduce o cale de atac judiciară.

[…]”

Art. 17 din directiva menționată, intitulat „Exercitarea drepturilor de către persoana vizată și verificarea de către autoritatea de supraveghere”, prevede:

„(1) În cazurile menționate la articolul 13 alineatul (3), la articolul 15 alineatul (3) și la articolul 16 alineatul (4), statele membre adoptă măsuri prin care se prevede că drepturile persoanei vizate pot fi, de asemenea, exercitate prin intermediul autorității de supraveghere competente.

(2) Statele membre garantează că operatorul informează persoana vizată cu privire la posibilitatea de a‑și exercita drepturile prin intermediul autorității de supraveghere în temeiul alineatului (1).

(3) Atunci când este exercitat dreptul menționat la alineatul (1), autoritatea de supraveghere informează persoana vizată cel puțin că au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere. Autoritatea de supraveghere informează, de asemenea, persoana vizată în legătură cu dreptul acesteia de a introduce o cale de atac.”

Art. 42 din directiva în cauză, intitulat „Independență”, prevede la alin. (1):

„Fiecare stat membru garantează că autoritatea sa de supraveghere beneficiază de independență deplină în îndeplinirea sarcinilor și exercitarea competențelor care îi revin în conformitate cu prezenta directivă.”

Art. 46 din Directiva 2016/680, intitulat „Sarcini”, prevede la alin. (1):

„Fiecare stat membru garantează, pe teritoriul său, că autoritatea sa de supraveghere:

(a) monitorizează și asigură respectarea prezentei directive și a măsurilor de punere în aplicare aferente acesteia;

[…]

(f) tratează plângerile depuse de o persoană vizată […], investighează într‑o măsură adecvată obiectul plângerii și informează persoana care a depus plângerea cu privire la evoluția și rezultatul investigației, într‑un termen rezonabil […];

(g) verifică legalitatea prelucrării în conformitate cu articolul 17 și informează persoana vizată, într‑un termen rezonabil, cu privire la rezultatul verificării în temeiul alineatului (3) al articolului respectiv sau la motivele pentru care nu a avut loc verificarea;

[…]”

Potrivit art. 47 din directiva menționată, intitulat „Competențe”:

„(1) Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revin competențe de investigare efective. Respectivele competențe includ, cel puțin, competența de a obține, din partea operatorului și a persoanei împuternicite de operator, accesul la toate datele cu caracter personal care sunt prelucrate și la toate informațiile necesare pentru îndeplinirea sarcinilor sale.

(2) Fiecare stat membru garantează prin lege că autorității sale de supraveghere îi revin competențe corective efective, cum ar fi, de exemplu:

(a) de a emite avertizări în atenția unui operator sau a unei persoane împuternicite de operator cu privire la probabilitatea ca operațiunile de prelucrare preconizate să încalce dispozițiile adoptate în temeiul prezentei directive;

(b) de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile adoptate în temeiul prezentei directive, specificând, după caz, modalitatea și termenul‑limită pentru aceasta, în special dispunând rectificarea sau ștergerea datelor cu caracter personal, sau restricționarea prelucrării, în conformitate cu articolul 16;

(c) de a impune o limitare temporară sau definitivă, inclusiv o interdicție, în ce privește prelucrarea.

[…]

(4) Exercitarea competențelor conferite autorității de supraveghere în temeiul prezentului articol face obiectul unor garanții adecvate, inclusiv căi de atac judiciare eficiente și procese echitabile, prevăzute de dreptul Uniunii și de dreptul intern în conformitate cu carta.

[…]”

Art. 52 din aceeași directivă, intitulat „Dreptul de a depune o plângere la o autoritate de supraveghere”, prevede la alin. (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau judiciare, statele membre garantează oricărei persoane vizate dreptul de a depune o plângere la o singură autoritate de supraveghere, în cazul în care persoana vizată consideră că prelucrarea datelor cu caracter personal care o vizează încalcă dispozițiile adoptate în temeiul prezentei directive.”

Art. 53 din această directivă, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unei autorități de supraveghere”, prevede la alineatul (1):

„Fără a aduce atingere oricăror alte căi de atac administrative sau extrajudiciare, statele membre dispun că o persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară eficientă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.”

Art. 54 din Directiva 2016/680, intitulat „Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator”, are următorul cuprins:

„Fără a aduce atingere vreunei căi de atac administrative sau extrajudiciare disponibile, inclusiv dreptului de a depune o plângere la o autoritate de supraveghere în conformitate cu articolul 52, statele membre garantează persoanei vizate dreptul la exercitarea unei căi de atac judiciare eficiente în cazul în care aceasta consideră că, prin prelucrarea datelor sale cu caracter personal cu nerespectarea dispozițiilor adoptate în temeiul prezentei directive, au fost încălcate drepturile care îi revin în conformitate cu dispozițiile respective.”

Dreptul belgian

Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (Legea privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal) din 30 iulie 2018 (Moniteur belge, 5 septembrie 2018, p. 68616, denumită în continuare „LPD”) transpune, în cadrul titlului său 2, Directiva 2016/680. Drepturile enunțate la articolele 13-16 din această directivă sunt prevăzute în capitolul III din titlul menționat, mai precis la articolele 37-39 din legea amintită.

Art. 42 din LPD prevede:

„Cererea de exercitare a drepturilor prevăzute în prezentul capitol în raport cu serviciile de poliție […] sau cu inspection générale de la police fédérale et de la police locale [(Inspecția Generală a Poliției Federale și a Poliției Locale, Belgia)] este adresată autorității de supraveghere menționate la articolul 71.

În cazurile prevăzute la articolul 37 alineatul 2, la articolul 38 alineatul 2 [și] la articolul 39 alineatul 4 […], autoritatea de supraveghere menționată la articolul 71 informează persoana vizată doar că au fost realizate verificările necesare.

Fără a aduce atingere dispozițiilor prevăzute la alineatul 2, autoritatea de supraveghere menționată la articolul 71 poate comunica anumite informații contextuale persoanei vizate.

Regele stabilește, în urma avizului autorității de supraveghere menționate la articolul 71, categoriile de informații contextuale pe care această autoritate de supraveghere le poate comunica persoanei vizate.”

Potrivit cour d’appel de Bruxelles (Curtea de Apel din Bruxelles, Belgia), nu a fost adoptat niciun decret regal în vederea punerii în aplicare a art. 42 al patrulea paragraf din LPD.

Potrivit art. 71 alin. 1 din LPD:

„Se instituie în cadrul Camerei Reprezentanților o autoritate independentă de supraveghere a informațiilor polițienești, denumită [Organismul de Supraveghere a Informațiilor Polițienești].

[…]

Aceasta este […] însărcinată cu:

1. monitorizarea aplicării prezentului titlu […]

2. supravegherea prelucrării informațiilor și a datelor cu caracter personal menționate la articolele 44/1-44/11/13 din Legea din 5 august 1992 privind funcția polițienească, inclusiv a celor incluse în băncile de date menționate la articolul 44/2 din aceeași lege;

3. orice altă sarcină organizată de sau în temeiul altor legi.”

 Capitolul I din titlul 5 din LPD este intitulat „Acțiune în încetare”. Art. 209, care figurează în acest capitol, are următorul cuprins:

„Fără a aduce atingere oricărei alte căi de atac jurisdicționale, administrative sau extrajudiciare, președintele tribunalului de primă instanță, atunci când se pronunță asupra măsurilor provizorii, constată existența unei prelucrări care constituie o încălcare a actelor cu putere de lege sau a normelor administrative privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal și dispune încetarea acesteia.

Președintele tribunalului de primă instanță, statuând asupra măsurilor provizorii, soluționează orice cerere referitoare la dreptul, acordat prin lege sau în temeiul legii, de a obține comunicarea datelor cu caracter personal și orice cerere de rectificare, de ștergere sau de interzicere a utilizării oricăror date cu caracter personal inexacte sau, având în vedere scopul prelucrării, incomplete sau irelevante ori a căror înregistrare, comunicare sau păstrare sunt interzise, la a căror prelucrare persoana vizată s‑a opus sau care au fost păstrate după perioada autorizată.”

Art. 240 alin. 4 din LPD prevede:

„[OSIP]

[…]

4. tratează plângeri, investighează într‑o măsură adecvată obiectul plângerii și informează persoana care a depus plângerea cu privire la evoluția și rezultatul investigației într‑un termen rezonabil, în special dacă este necesară efectuarea unei investigații mai amănunțite sau coordonarea cu o altă autoritate de supraveghere. […]”

Litigiul principal și întrebările preliminare

În cursul anului 2016, BA, la acel moment salariat cu fracțiune de normă al unei asociații fără scop lucrativ, a solicitat o autorizare de securitate din partea Autorité nationale de sécurité (Autoritatea Națională pentru Securitate) pentru a putea participa la montarea și la demontarea instalațiilor pentru cea de a zecea ediție a „Zilelor europene ale dezvoltării” de la Bruxelles (Belgia).

Prin scrisoarea din 22 iunie 2016, această autoritate a refuzat să îi elibereze lui BA o autorizare de securitate, pentru motivul că din datele cu caracter personal care îi fuseseră puse la dispoziție reieșea că această persoană participase la 10 manifestații între anii 2007 și 2016 și că aceste elemente nu îi permiteau să i se atribuie o asemenea autorizare în cadrul reglementării aplicabile, în special din motive de siguranță a statului și de perenitate a ordinii democratice constituționale. Această decizie nu a făcut obiectul unei căi de atac.

La 4 februarie 2020, avocatul lui BA a solicitat OSIP să identifice operatorii de date cu caracter personal în cauză și să îi oblige să îi acorde clientului său acces la totalitatea informațiilor care îl privesc pentru a‑i permite să își exercite drepturile în termenele corespunzătoare.

Prin e‑mailul din 6 februarie 2020, OSIP a confirmat primirea acestei cereri. Acesta a arătat că BA nu dispunea decât de un drept indirect de acces la datele respective, oferind totodată asigurări că va verifica el însuși legalitatea unei eventuale prelucrări a datelor în Banca de date națională generală, și anume baza de date utilizată de toate serviciile naționale de poliție. În plus, acesta a precizat că are competența de a obliga poliția să șteargă sau să modifice datele, dacă este necesar, și că, în urma acestui control, va informa BA cu privire la efectuarea verificărilor necesare.

Printr‑un e‑mail din 22 iunie 2020, OSIP i‑a comunicat avocatului lui BA:

„[…]

Vă informăm, în conformitate cu articolul 42 din [LPD], că [OSIP] a realizat verificările necesare.

Aceasta înseamnă că datele cu caracter personal ale clientului dumneavoastră au fost verificate în bazele de date polițienești în vederea garantării legalității unei eventuale prelucrări.

Dacă a fost necesar, datele cu caracter personal au fost modificate sau șterse.

După cum am explicat în e‑mailul din [2] iunie 2020, articolul 42 din LPD nu permite [OSIP] să comunice mai multe informații.”

La 2 septembrie 2020, Ligue des droits humains și BA au formulat, în temeiul art. 209 al doilea paragraf din LPD, o cerere de măsuri provizorii la tribunal de première instance francophone de Bruxelles (Tribunalul de Primă Instanță francofon din Bruxelles, Belgia).

În primul rând, reclamanții din litigiul principal solicitau acestei instanțe să declare admisibilă cererea lor de măsuri provizorii și, cu titlu subsidiar, să solicite Curții să se pronunțe cu privire la aspectul dacă art. 47 alin. (4) din Directiva 2016/680, interpretat în lumina considerentelor (85) și (86) ale acestei directive și coroborat cu art. 8 alin. (3), precum și cu art. 47 din cartă, se opune art. 42 și 71 din LPD, în măsura în care acestea nu prevăd nicio cale de atac jurisdicțională împotriva deciziilor adoptate de OSIP.

În al doilea rând, pe fond, aceștia solicitau accesul la totalitatea datelor cu caracter personal referitoare la BA, prin intermediul OSIP, și identificarea de către acesta din urmă a operatorilor și a eventualilor destinatari ai acestor date.

Prin ordonanța din 17 mai 2021, tribunal de première instance francophone de Bruxelles (Tribunalul de Primă Instanță francofon din Bruxelles) și‑a declinat „competența jurisdicțională” de a soluționa această cerere de măsuri provizorii.

Prin cererea din 15 iunie 2021 în fața cour d’appel de Bruxelles (Curtea de Apel din Bruxelles), instanța de trimitere, reclamanții din litigiul principal au declarat apel împotriva acestei ordonanțe. Aceștia au reiterat în esență cererile pe care le‑au formulat în primă instanță.

În acest context, instanța de trimitere arată, în esență că, în cazul în care o persoană nu dispune de dreptul de a exercita personal drepturile prevăzute de Directiva 2016/680, acțiunea în încetare prevăzută la art. 209 și următoarele din LPD nu poate fi pusă în aplicare. Astfel, mai întâi, o asemenea acțiune poate fi introdusă împotriva operatorului, dar nu și împotriva autorității de supraveghere înseși. În continuare, ea nu poate fi exercitată nici de această persoană, în speță BA, împotriva operatorului, întrucât exercitarea drepturilor sale este încredințată autorității menționate. În sfârșit, informația deosebit de succintă furnizată de OSIP lui BA nu îi permite nici acestuia din urmă, nici unei instanțe să aprecieze dacă respectiva autoritate de supraveghere a exercitat în mod corect drepturile acestei persoane. Ea adaugă că, în cazul în care LPD prevede că această acțiune în încetare nu aduce atingere niciunei alte căi de atac jurisdicționale, administrative sau extrajudiciare, o asemenea cale de atac formulată de BA ar întâmpina aceleași dificultăți.

În aceste condiții, cour d’appel de Bruxelles a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Articolul 47 și articolul 8 [alineatul] 3 din [cartă] impun să se prevadă o cale de atac jurisdicțională împotriva autorității de supraveghere independente, precum [OSIP] atunci când aceasta exercită drepturile persoanei vizate în raport cu operatorul?

2) Articolul 17 din Directiva 2016/680 este conform cu articolul 47 și cu articolul 8 alineatul (3) din [cartă], astfel cum sunt interpretate de [Curte], în măsura în care acesta obligă autoritatea de supraveghere – care exercită drepturile persoanei vizate în raport cu operatorul – numai să informeze persoana respectivă «că au fost realizate toate verificările necesare sau o revizuire» și «în legătură cu dreptul acesteia de a introduce o cale de atac», în condițiile în care o asemenea informare nu permite niciun control a posteriori cu privire la acțiune și la aprecierea autorității de supraveghere referitoare la datele persoanei vizate și la obligațiile care revin operatorului?”

Cu privire la întrebările preliminare

Cu privire la prima întrebare

Cu titlu introductiv, din cererea de decizie preliminară reiese că întrebările instanței de trimitere privesc existența unei obligații a statelor membre de a prevedea dreptul la o cale de atac judiciară efectivă împotriva autorității naționale de supraveghere competente atunci când este pusă în aplicare o dispoziție de drept național care transpune art. 17 din această directivă.

În plus, trebuie arătat că răspunsul la această întrebare depinde de natura și de întinderea sarcinii și a competențelor autorității de supraveghere în cadrul exercitării drepturilor persoanei vizate, prevăzută la art. 17 din Directiva 2016/680. Or, acestea sunt precizate la art. 46 alin. (1) litera (g) și la art. 47 alin. (1) și (2) din această directivă și trebuie analizate în lumina art. 8 alin. (3) din cartă, care impune ca respectarea normelor privind protecția datelor cu caracter personal, prevăzute la alin. (1) și (2) ale acestui articol, să fie supusă controlului unei autorități independente.

Prin urmare, trebuie să se înțeleagă că, prin intermediul primei sale întrebări, instanța de trimitere solicită în esență să se stabilească dacă art. 17 din Directiva 2016/680 coroborat cu art. 46 alin. (1) lit. (g), cu art. 47 alin. (1) și (2) și cu art. 53 alin. (1) din această directivă, precum și cu art. 8 alin. (3) și cu art. 47 din cartă trebuie interpretat în sensul că, atunci când drepturile unei persoane au fost exercitate, în temeiul art. 17 menționat, prin intermediul autorității de supraveghere competente, această persoană trebuie să dispună de o cale de atac judiciară efectivă împotriva autorității menționate.

De la bun început, trebuie amintit că statele membre trebuie să dispună că o persoană fizică sau juridică are dreptul de a exercita o cale de atac judiciară efectivă împotriva unei decizii obligatorii din punct de vedere juridic a unei autorități de supraveghere care o vizează.

Așadar, trebuie să se stabilească dacă o autoritate de supraveghere adoptă o asemenea decizie atunci când, în temeiul art.17 din această directivă, drepturile persoanelor vizate prevăzute de această directivă sunt exercitate prin intermediul respectivei autorități de supraveghere.

Exercitarea indirectă a drepturilor persoanei vizate prin intermediul autorității de supraveghere competente, prevăzută de această dispoziție, constituie o garanție suplimentară oferită persoanei respective că datele sale cu caracter personal sunt prelucrate în mod legal atunci când dispoziții legislative naționale restrâng exercitarea directă față de operator a dreptului de a primi informații suplimentare, vizat la art. 13 alin. (2) din Directiva 2016/680, a dreptului de acces la aceste date, enunțat la art. 14 din această directivă, sau a dreptului de a obține rectificarea, ștergerea sau restricționarea prelucrării în condițiile prevăzute la art. 16 alin. (1)-(3) din directiva menționată.

Astfel, art. 13 alin. (3) și art. 15 alin. (1) din directiva menționată autorizează legiuitorul național să restrângă exercitarea directă, pe de o parte, a dreptului la informare și, pe de altă parte, a dreptului de acces, „în măsura în care și atât timp cât o astfel de măsură constituie o măsură necesară și proporțională într‑o societate democratică, ținând seama de drepturile fundamentale și de interesele legitime ale persoanei fizice”, pentru „a evita obstrucționarea cercetărilor, anchetelor sau procedurilor oficiale sau juridice”, „a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracțiunilor sau executarea pedepselor”, „protejarea securității publice”, „protejarea securității naționale” sau „protejarea drepturilor și libertăților celorlalți”. În plus, art. 15 alin. (3) din aceeași directivă prevede că operatorul poate să nu informeze persoana vizată cu privire la refuzarea sau limitarea accesului și la motivele refuzului sau ale limitării, atunci când furnizarea acestor informații ar contraveni unuia dintre obiectivele de interes public sus‑menționate.

De asemenea, art. 16 alin. (4) din directiva amintită autorizează legiuitorul național să restricționeze obligația operatorului de a „inform[a] în scris persoana vizată cu privire la orice refuz de rectificare sau de ștergere a datelor cu caracter personal sau de restricționare a prelucrării și cu privire la motivele refuzului” în vederea acelorași obiective de interes public, „în măsura în care o astfel de restricționare a prelucrării constituie o măsură necesară și proporțională într‑o societate democratică, ținându‑se seama în mod corespunzător de drepturile fundamentale și de interesele legitime ale persoanei fizice vizate”.

Prin urmare, așa cum reiese din considerentul (48) al aceleiași directive, exercitarea indirectă a drepturilor menționate la punctul 41 din prezenta hotărâre prin intermediul autorității de supraveghere competente trebuie să fie considerată necesară pentru protecția acestor drepturi, exercitarea lor directă față de operator dovedindu‑se dificilă sau chiar imposibilă.

În acest scop, art. 46 alin. (1) lit. (g) din Directiva 2016/680 impune ca fiecare autoritate națională competentă să aibă sarcina de a verifica legalitatea prelucrării în conformitate cu art. 17 din această directivă, cu alte cuvinte ca urmare a unei cereri întemeiate pe această din urmă dispoziție.

Aceste dispoziții trebuie interpretate în lumina cerinței enunțate la art. 8 alin. (3) din cartă, potrivit căreia respectarea normelor referitoare la dreptul fiecărei persoane la protecția datelor cu caracter personal, prevăzute la alin. (1) și (2) ale acestui articol, trebuie să se „supun[ă] controlului unei autorități independente” și, în special, a celei prevăzute în a doua teză a respectivului alineat (2) al acestui articol, potrivit căreia „[o]rice persoană are dreptul de acces la datele colectate care o privesc, precum și dreptul de a obține rectificarea acestora”. Astfel, după cum confirmă o jurisprudență constantă, instituirea unei autorități de supraveghere independente urmărește să asigure eficiența și fiabilitatea supravegherii respectării normelor în materie de protecție a persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și trebuie să fie interpretată în lumina acestui obiectiv [a se vedea în acest sens Avizul 1/15].

Astfel, atunci când o asemenea autoritate de supraveghere acționează în vederea asigurării exercitării drepturilor persoanei vizate în temeiul art. 17 din Directiva 2016/680, sarcina sa se înscrie pe deplin în definirea de către dreptul primar al Uniunii a rolului său, din moment ce această definiție implică printre altele controlul respectării drepturilor de acces și de rectificare ale persoanei vizate. Rezultă că, în îndeplinirea acestei sarcini specifice, ca și în cadrul oricărei alte sarcini, autoritatea de supraveghere trebuie să fie în măsură să își exercite competențele care îi sunt conferite în temeiul art. 47 din directiva menționată acționând în deplină independență, în conformitate cu carta și astfel cum enunță considerentul (75) al acestei directive.

În plus, în urma verificării legalității prelucrării, autoritatea de supraveghere competentă trebuie, potrivit art.17 alin. (3) prima teză din directiva menționată, să informeze persoana vizată „cel puțin” că „au fost realizate toate verificările necesare sau o revizuire de către autoritatea de supraveghere”.

Trebuie să se deducă din ansamblul acestor dispoziții că, atunci când autoritatea de supraveghere competentă informează persoana vizată cu privire la rezultatul verificărilor efectuate, ea îi aduce la cunoștință decizia pe care a adoptat‑o în privința sa de a încheia procesul de verificare, decizie care afectează în mod necesar situația juridică a persoanei respective. Această decizie constituie, așadar, în privința sa, o „decizie obligatorie din punct de vedere juridic”, în sensul art. 53 alin. (1) din Directiva 2016/680, independent de aspectul dacă și în ce măsură această autoritate a constatat legalitatea prelucrării datelor referitoare la această persoană și a adoptat măsuri corective.

Prin urmare, persoana vizată trebuie să poată obține un control judiciar al temeiniciei unei asemenea decizii pe baza art. 53 alin. (1) din Directiva 2016/680 și în special al modului în care autoritatea de supraveghere și‑a îndeplinit obligația, care rezultă din art. 17 din această directivă.

Această concluzie este de altfel confirmată de considerentul (85) al Directivei 2016/680, din care reiese că orice persoană vizată ar trebui să aibă dreptul la o cale de atac judiciară efectivă împotriva unei autorități de supraveghere în cazul în care această autoritate „nu acționează atunci când o astfel de acțiune este necesară pentru asigurarea protecției drepturilor persoanei vizate”.

În sfârșit, o asemenea interpretare este conformă cu art. 47 din cartă, din moment ce acest drept trebuie recunoscut oricărei persoane care se prevalează de drepturi sau de libertăți garantate de dreptul Uniunii împotriva unei decizii care îi cauzează prejudicii, de natură să aducă atingere acestor drepturi sau acestor libertăți [a se vedea în acest sens Hotărârea din 26 ianuarie 2023, Ministerstvo na vatreshnite raboti (Înregistrarea de date biometrice și genetice de către poliție), C‑205/21, EU:C:2023:49, punctul 87].

Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la prima întrebare că art. 17 din Directiva 2016/680 coroborat cu art. 46 alin. (1) lit. (g), cu art. 47 alin. (1) și (2) și cu art. 53 alin. (1) din această directivă, precum și cu art. 8 alin. (3) și cu art. 47 din cartă trebuie interpretat în sensul că, atunci când drepturile unei persoane au fost exercitate, în temeiul art. 17 menționat, prin intermediul autorității de supraveghere competente, iar această autoritate o informează pe persoana menționată cu privire la rezultatul verificărilor realizate, aceasta din urmă trebuie să dispună de o cale de atac judiciară efectivă împotriva deciziei autorității respective de a încheia procesul de verificare.

Cu privire la a doua întrebare

Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă art. 17 alin. (3) din Directiva 2016/680 este valid în raport cu art. 8 alin. (3) și cu art. 47 din cartă, în măsura în care obligă autoritatea de supraveghere numai să informeze persoana vizată, pe de o parte, că a realizat toate verificările necesare sau o revizuire și, pe de altă parte, că această persoană are dreptul de a introduce o cale de atac, din moment ce o asemenea informare nu permite un control judiciar asupra acțiunii autorității de supraveghere și a aprecierilor sale, ținând seama de datele prelucrate și de obligațiile operatorului.

În această privință, pe de o parte, trebuie amintit că un act al Uniunii trebuie interpretat, în măsura posibilului, astfel încât să nu se repună în discuție validitatea acestuia și în conformitate cu dreptul primar în ansamblul său și în special cu prevederile cartei. Așadar, atunci când un text de drept derivat al Uniunii poate primi mai multe interpretări, trebuie să prevaleze acea interpretare care determină conformitatea dispoziției cu dreptul primar, mai degrabă decât cea care conduce la constatarea incompatibilității sale cu acesta (Hotărârea din 21 iunie 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, punctul 86).

Pe de altă parte, dreptul la o cale de atac judiciară efectivă, garantat la art. 47 din cartă, impune, în principiu, ca persoana interesată să poată cunoaște motivele pe care se întemeiază decizia luată în privința sa, pentru a‑i permite să își apere drepturile în cele mai bune condiții posibile și să decidă în deplină cunoștință de cauză dacă este util să sesizeze instanța competentă, precum și pentru a‑i permite pe deplin acesteia din urmă să exercite controlul legalității acestei decizii (a se vedea, în acest sens, Hotărârea din 4 iunie 2013, ZZ, C‑300/11, EU:C:2013:363, punctul 53).

În speță, trebuie arătat că, în ceea ce privește decizia autorității de supraveghere competente identificată la punctul 50 din prezenta hotărâre, art. 17 alin. (3) din Directiva 2016/680 instituie, în privința acestei autorități de supraveghere, o obligație minimă de informare, prevăzând că aceasta informează persoana vizată „cel puțin” despre faptul „că au fost realizate toate verificările necesare sau o revizuire” și „în legătură cu dreptul acesteia de a introduce o cale de atac”.

Rezultă că, din moment ce această dispoziție nu se opune ca, în anumite cazuri, în conformitate cu normele adoptate de legiuitorul național pentru a o pune în aplicare, autoritatea de supraveghere să poată avea posibilitatea sau chiar obligația de a se limita la informațiile minime menționate la punctul anterior din prezenta hotărâre, fără alte precizări, în special atunci când aceste norme urmăresc să evite compromiterea obiectivelor de interes public enunțate la art. 13 alin. (3), la art. 15 alin. (1) și la art. 16 alin. (4) din directiva menționată, astfel cum s‑a arătat la punctele 42 și 43 din prezenta hotărâre, aceasta este susceptibilă să determine o restrângere a dreptului la o cale de atac judiciară efectivă, garantat la art. 47 din cartă.

Cu toate acestea, este necesar să se constate că o asemenea restrângere este prevăzută în mod expres de Directiva 2016/680 și că, procedând astfel, ea respectă condiția enunțată la art. 52 alin. (1) din cartă, potrivit căreia orice restrângere a exercițiului unui drept fundamental trebuie să fie „prevăzută de lege”.

În al doilea rând, faptul că art. 17 alin. (3) din Directiva 2016/680 permite statelor membre să restrângă, în anumite cazuri, motivarea acestei decizii la elementele minime prevăzute de această dispoziție nu înseamnă, după cum arată în esență doamna avocată generală la punctul 89 din concluzii, că este posibil, în orice împrejurări, să se reducă informarea persoanei vizate doar la aceste elemente.

Astfel, această dispoziție trebuie interpretată în lumina art. 52 alin. (1) din cartă, așa încât celelalte criterii prevăzute de aceasta să fie îndeplinite, ceea ce implică să se considere că ea impune statelor membre să se asigure că dispozițiile de drept național care o pun în aplicare, pe de o parte, respectă substanța dreptului său la protecție judiciară efectivă și, pe de altă parte, se întemeiază pe o evaluare comparativă a obiectivelor de interes public care justifică o restrângere a acestei informări, precum și a drepturilor fundamentale și a intereselor legitime ale acestei persoane, cu respectarea principiilor necesității și proporționalității, asemenea ponderii pe care legiuitorul național trebuie să o efectueze, atunci când pune în aplicare restrângerile prevăzute la art. 13 alin. (3), la art. 15 alin. (3) și la art. 16 alin. (4) din aceeași directivă.

De asemenea, măsurile naționale care pun în aplicare această dispoziție din directiva menționată trebuie, în măsura posibilului, să lase autorității de supraveghere competente, în conformitate cu independența care o caracterizează în temeiul art. 8 alin. (3) din cartă, o anumită marjă de apreciere pentru a stabili dacă cadrul definit de legislația națională în conformitate cu cerințele menționate la punctul 65 din prezenta hotărâre se opune ca ea să comunice acestei persoane, cel puțin în mod succint, rezultatul verificărilor sale, precum și, dacă este cazul, măsurile corective pe care le‑a instituit. În această privință, după cum arată în esență doamna avocată generală la punctele 73 și 74 din concluzii, revine acestei autorități, cu respectarea cadrului legislativ național menționat, sarcina de a iniția cu operatorul un dialog confidențial și, în urma acestui dialog, de a decide care sunt informațiile necesare exercitării de către persoana vizată a dreptului său la o cale de atac judiciară efectivă pe care i le poate comunica fără a compromite obiectivele de interes public vizate la punctul 65 din prezenta hotărâre.

Pe de altă parte, în cazurile în care cadrul menționat impune ca informația furnizată de autoritatea de supraveghere să fie restrânsă la ceea ce prevede art. 17 alin. (3) din Directiva 2016/680, revine totuși statelor membre, în cadrul autonomiei lor procedurale, misiunea de a pune în aplicare măsurile necesare pentru a garanta, în conformitate cu art. 53 alin. (1) din această directivă, un control judiciar efectiv atât al existenței și al temeiniciei motivelor care au justificat restrângerea acestor informații, cât și al executării corecte de către autoritatea de supraveghere a sarcinii sale de verificare a legalității prelucrării. În această privință, noțiunea de „cale de atac judiciară efectivă”, vizată de această din urmă dispoziție, trebuie interpretată în lumina considerentului (86) al directivei menționate, potrivit căruia instanțele în fața cărora sunt inițiate acțiunile împotriva unei autorități de supraveghere „ar trebui să își exercite competența deplină, care ar trebui să includă competența de a examina toate aspectele de fapt sau de drept care au relevanță pentru litigiul cu care acestea sunt sesizate”.

În special, statele membre trebuie să se asigure că instanța competentă are la dispoziție și pune în aplicare tehnici și norme de drept procedural care să permită concilierea, pe de o parte, a considerațiilor legitime referitoare la obiectivele de interes public prevăzute la art. 13 alin. (3), la art. 15 alin. (3) și la art. 16 alin. (4) din Directiva 2016/680, aceste obiective fiind luate în considerare de legislația națională pentru a restrânge informațiile furnizate persoanei vizate și, pe de altă parte, a necesității de a garanta în mod corespunzător justițiabilului respectarea drepturilor sale procedurale, precum dreptul de a fi ascultat, ca și principiul contradictorialității (a se vedea, în acest sens, Hotărârea din 4 iunie 2013, ZZ, C‑300/11, EU:C:2013:363, punctul 57 și jurisprudența citată).

Astfel, reiese că restrângerea prevăzută la art. 17 din Directiva 2016/680 respectă conținutul dreptului persoanei vizate la o cale de atac judiciară efectivă împotriva deciziei autorității de supraveghere de a încheia procedura prevăzută de această dispoziție, precum și principiile necesității și proporționalității, în conformitate cu art. 52 alin. (1) din cartă.

Având în vedere ansamblul considerațiilor care precedă, trebuie să se concluzioneze că, din examinarea celei de a doua întrebări, nu a rezultat niciun element de natură să afecteze validitatea art. 17 alin. (3) din Directiva 2016/680.

Pentru aceste motive, Curtea (Camera a cincea) declară:

1) Articolul 17 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului coroborat cu articolul 46 alineatul (1) litera (g), cu articolul 47 alineatele (1) și (2) și cu articolul 53 alineatul (1) din această directivă, precum și cu articolul 8 alineatul (3) și cu articolul 47 din Carta drepturilor fundamentale a Uniunii Europene

trebuie interpretat în sensul că,

atunci când drepturile unei persoane au fost exercitate, în temeiul articolului 17 menționat, prin intermediul autorității de supraveghere competente, iar această autoritate o informează pe persoana menționată cu privire la rezultatul verificărilor realizate, aceasta din urmă trebuie să dispună de o cale de atac judiciară efectivă împotriva deciziei autorității respective de a încheia procesul de verificare.

2) Din examinarea celei de a doua întrebări, nu a rezultat niciun element de natură să afecteze validitatea articolului 17 alineatul (3) din Directiva 2016/680.