CELEX:62023CJ0413: Hotărârea Curții (Camera întâi) din 4 septembrie 2025.#Autoritatea Europeană pentru Protecția Datelor împotriva Comitetul unic de rezoluție.#Recurs – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Procedură de compensare a acționarilor și a creditorilor unei instituții bancare în urma rezoluției acesteia – Decizia Autorității Europene pentru Protecția Datelor prin care se constată încălcarea de către Comitetul unic de rezoluție a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal – Regulamentul (UE) 2018/1725 – Articolul 15 alineatul (1) litera (d) – Obligația de informare a persoanei vizate – Transmiterea de date pseudonimizate către o parte terță – Articolul 3 punctul 1 – Noțiunea de „date cu caracter personal” – Articolul 3 punctul 6 – Noțiunea de „pseudonimizare”.#Cauza C-413/23 P.
|
Redacția Lex24 |
| Publicat in CJUE: Decizii, 10/09/2025 |
| |
Informatii
Data documentului: 04/09/2025Emitent: CJCE
Formă: CJUE: Decizii
Stat sau organizație la originea cererii: Belgia
Ediție provizorie
HOTĂRÂREA CURȚII (Camera întâi)
4 septembrie 2025(*)
„ Recurs – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Procedură de compensare a acționarilor și a creditorilor unei instituții bancare în urma rezoluției acesteia – Decizia Autorității Europene pentru Protecția Datelor prin care se constată încălcarea de către Comitetul unic de rezoluție a obligațiilor sale referitoare la prelucrarea datelor cu caracter personal – Regulamentul (UE) 2018/1725 – Articolul 15 alineatul (1) litera (d) – Obligația de informare a persoanei vizate – Transmiterea de date pseudonimizate către o parte terță – Articolul 3 punctul 1 – Noțiunea de «date cu caracter personal» – Articolul 3 punctul 6 – Noțiunea de «pseudonimizare» ”
În cauza C‑413/23 P,
având ca obiect un recurs formulat în temeiul articolului 56 din Statutul Curții de Justiție a Uniunii Europene, introdus la 5 iulie 2023,
Autoritatea Europeană pentru Protecția Datelor (AEPD), reprezentată inițial de P. Candellier, G. Devin, X. Lareo, D. Nardi și T. Zerdick, ulterior de P. Candellier, X. Lareo, D. Nardi, N. Stolić și T. Zerdick, în calitate de agenți,
recurentă,
susținută de:
Comitetul European pentru Protecția Datelor, reprezentat de C. Foglia, M Gufflet, G. Le Grand și I. Vereecken, în calitate de agenți, asistați de E. de Lophem, avocat, G. Ryelandt, advocaat, și P. Vernet, avocat,
intervenient în recurs,
cealaltă parte din procedură fiind:
Comitetul unic de rezoluție (SRB), reprezentat de H. Ehlers, M. Fernández Rupérez și A. Lapresta Bienz, în calitate de agenți, asistate de M. Braun și H.‑G. Kamann, Rechtsanwälte, și F. Louis, avocat,
reclamant în primă instanță,
susținut de:
Comisia Europeană, reprezentată de A. Bouchagiar și H. Kranenborg, în calitate de agenți,
intervenientă în recurs,
CURTEA (Camera întâi),
compusă din domnul F. Biltgen, președinte de cameră, domnul T. von Danwitz (raportor), vicepreședintele Curții, îndeplinind funcția de judecător al Camerei întâi, domnul A. Kumin, doamna I. Ziemele și domnul S. Gervasoni, judecători,
avocat general: domnul D. Spielmann,
grefier: domnul M. Longar, administrator,
având în vedere procedura scrisă și în urma ședinței din 7 noiembrie 2024,
după ascultarea concluziilor avocatului general în ședința din 6 februarie 2025,
pronunță prezenta
Hotărâre
1 Prin recursul formulat, Autoritatea Europeană pentru Protecția Datelor (AEPD) solicită anularea Hotărârii Tribunalului Uniunii Europene din 26 aprilie 2023, SRB/AEPD (T‑557/20, denumită în continuare „hotărârea atacată”, EU:T:2023:219), prin care acesta a anulat decizia revizuită a AEPD din 24 noiembrie 2020, adoptată în urma cererii de reexaminare prezentate de Comitetul unic de rezoluție (SRB) a deciziei AEPD din 24 iunie 2020 privind cinci plângeri depuse de mai mulți reclamanți (cauzele 2019‑947, 2019‑998, 2019‑999, 2019‑1000 și 2019‑1122) (denumită în continuare „decizia în litigiu”).
I. Cadrul juridic
2 Considerentele (5), (16), (17) și (35) ale Regulamentului (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO 2018, L 295, p. 39) au următorul cuprins:
„(5) Este în interesul unei abordări coerente a protecției datelor cu caracter personal în întreaga Uniune [Europeană], precum și al liberei circulații a datelor cu caracter personal în Uniune, ca normele de protecție a datelor ale instituțiilor, organelor, oficiilor și agențiilor Uniunii să fie aliniate cât mai mult posibil la normele de protecție a datelor adoptate pentru sectorul public din statele membre. Ori de câte ori dispozițiile din prezentul regulament urmează aceleași principii ca dispozițiile Regulamentului (UE) 2016/679 [al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare «RGPD»)], aceste două seturi de dispoziții ar trebui, în temeiul jurisprudenței [Curții], să fie interpretate în mod omogen, în special pentru că structura prezentului regulament ar trebui înțeleasă ca fiind similară structurii Regulamentului (UE) 2016/679.
[…]
(16) Principiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă. Datele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă. Pentru a se determina dacă o persoană fizică este identificabilă, ar trebui să se ia în considerare toate mijloacele, cum ar fi individualizarea, pe care este probabil, în mod rezonabil, să le utilizeze fie operatorul, fie o altă persoană, în scopul identificării, în mod direct sau indirect, a persoanei fizice respective. Pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, ar trebui luați în considerare toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându‑se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică. Principiile protecției datelor ar trebui, prin urmare, să nu se aplice informațiilor anonime, adică informațiilor care nu sunt legate de o persoană fizică identificată sau identificabilă sau datelor cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă. Prin urmare, prezentul regulament nu se aplică prelucrării unor astfel de informații anonime, inclusiv în cazul în care acestea sunt utilizate în scopuri statistice sau de cercetare.
(17) Aplicarea pseudonimizării datelor cu caracter personal poate reduce riscurile pentru persoanele vizate și poate ajuta operatorii și persoanele împuternicite de către operatori să își îndeplinească obligațiile de protecție a datelor. Introducerea explicită a conceptului de «pseudonimizare» în prezentul regulament nu este destinată să împiedice alte eventuale măsuri de protecție a datelor.
[…]
(35) Conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal. În plus, persoana vizată ar trebui informată cu privire la crearea de profiluri, precum și la consecințele acesteia. Atunci când datele cu caracter personal sunt colectate de la persoana vizată, aceasta ar trebui informată, de asemenea, dacă are obligația de a furniza datele cu caracter personal și cu privire la consecințe în cazul unui refuz. Aceste informații pot fi furnizate în combinație cu pictograme standardizate pentru a oferi într‑un mod ușor vizibil, inteligibil și clar lizibil o imagine de ansamblu semnificativă asupra prelucrării avute în vedere. În cazul în care pictogramele sunt prezentate în format electronic, acestea ar trebui să poată fi citite automat.”
3 Articolul 3 punctele 1, 6, 8 și 13 din Regulamentul 2018/1725, intitulat „Definiții”, prevede:
„În sensul prezentului regulament, se aplică următoarele definiții:
1. «date cu caracter personal» înseamnă orice informație privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale a persoanei fizice respective;
[…]
6. «pseudonimizare» înseamnă prelucrarea datelor cu caracter personal într‑un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile;
[…]
8. «operator» înseamnă instituția sau organul Uniunii ori direcția generală sau orice altă entitate organizațională care stabilește, singură sau împreună cu altele, scopurile și mijloacele de prelucrare a datelor cu caracter personal; în cazul în care scopurile și mijloacele prelucrării sunt stabilite printr‑un act specific al Uniunii, dreptul Uniunii poate stabili operatorul sau criteriile specifice necesare desemnării acestuia;
[…]
13. «destinatar» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism căreia (căruia) îi sunt divulgate datele cu caracter personal, indiferent dacă este sau nu o parte terță. Cu toate acestea, autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari; prelucrarea acestor date de către autoritățile publice în cauză respectă normele aplicabile în materie de protecție a datelor, în conformitate cu scopurile prelucrării”.
4 Articolul 4 din acest regulament, intitulat „Principii legate de prelucrarea datelor cu caracter personal”, prevede la alineatul (2):
„Operatorul este responsabil de respectarea alineatului (1) și poate demonstra această respectare («responsabilitate»).”
5 Articolul 14 din regulamentul menționat, intitulat „Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate”, prevede la alineatul (1):
„Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații menționate la articolele 15 și 16 și pentru a efectua orice comunicări în temeiul articolelor 17-24 și 35 referitoare la prelucrare, într‑o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informațiile pot fi furnizate verbal, cu condiția ca identitatea persoanei vizate să fie dovedită prin alte mijloace.”
6 Articolul 15 din același regulament, intitulat „Informații care se furnizează în cazul în care date cu caracter personal sunt colectate de la persoana vizată”, prevede:
„(1) În cazul în care date cu caracter personal referitoare la o persoană vizată se colectează de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:
[…]
(d) destinatarii sau categoriile de destinatari ai datelor cu caracter personal, după caz;
[…]
(2) În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau, după caz, a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;
[…]
(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
[…]”
7 Articolul 24 din Regulamentul 2018/1725 stabilește condițiile în care o decizie individuală se poate baza pe prelucrarea automată, inclusiv pe crearea de profiluri.
8 Articolul 26 din acest regulament, intitulat „Responsabilitatea operatorului”, prevede la alineatul (1):
„Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.”
II. Istoricul litigiului
9 Istoricul litigiului este prezentat la punctele 2-32 din hotărârea atacată și poate fi rezumat după cum urmează.
10 La 7 iunie 2017, sesiunea executivă a SRB a adoptat Decizia SRB/EES/2017/08 privind o schemă de rezoluție pentru Banco Popular Español SA, în temeiul Regulamentului (UE) nr. 806/2014 al Parlamentului European și al Consiliului din 15 iulie 2014 de stabilire a unor norme uniforme și a unei proceduri uniforme de rezoluție a instituțiilor de credit și a anumitor firme de investiții în cadrul unui mecanism unic de rezoluție și al unui fond unic de rezoluție și de modificare a Regulamentului (UE) nr. 1093/2010 (JO 2014, L 225, p. 1) (denumit în continuare „Regulamentul MUR”).
11 În această decizie, SRB, considerând că erau îndeplinite condițiile prevăzute la articolul 18 alineatul (1) din Regulamentul MUR, a decis să supună Banco Popular Español SA (denumită în continuare „Banco Popular”) unei proceduri de rezoluție. Astfel, SRB a decis să reducă valoarea contabilă și să convertească instrumentele de capital ale Banco Popular în temeiul articolului 21 din acest regulament și să aplice instrumentul de vânzare a activității pe baza articolului 24 din regulamentul menționat prin transferul acțiunilor către un cumpărător.
12 În aceeași zi, Comisia Europeană a adoptat Decizia (UE) 2017/1246 de aprobare a schemei de rezoluție pentru Banco Popular Español SA (JO 2017, L 178, p. 15).
13 În urma rezoluției Banco Popular, societatea de audit și de consultanță Deloitte a fost însărcinată de SRB cu evaluarea diferenței de tratament, prevăzută la articolul 20 alineatele (16)-(18) din Regulamentul MUR, pentru a determina dacă acționarii și creditorii Banco Popular ar fi beneficiat de un tratament mai bun în cazul în care aceasta ar fi făcut obiectul unei proceduri obișnuite de insolvență (denumită în continuare „evaluarea 3”). La 14 iunie 2018, ea a transmis această evaluare către SRB.
14 La 6 august 2018, SRB a publicat, pe site‑ul său internet, Notificarea din 2 august 2018 cu privire la decizia sa preliminară referitoare la necesitatea de a acorda o compensație acționarilor și creditorilor afectați de măsurile de rezoluție privind Banco Popular Español SA și cu privire la lansarea procedurii „dreptului de a fi ascultat” (SRB/EES/2018/132) (denumită în continuare „decizia preliminară”), precum și o versiune neconfidențială a evaluării 3. La 7 august 2018, un anunț referitor la această notificare a fost publicat în Jurnalul Oficial al Uniunii Europene (JO 2018, C 277 I, p. 1).
15 În decizia preliminară, SRB a arătat că, pentru a putea adopta o decizie definitivă referitoare la necesitatea de a acorda acționarilor și creditorilor afectați de rezoluția Banco Popular (denumiți în continuare „acționarii și creditorii afectați”) o compensație în temeiul articolului 76 alineatul (1) litera (e) din Regulamentul MUR, îi invită pe aceștia să își exprime interesul de a‑și exercita dreptul de a fi ascultați în temeiul articolului 41 alineatul (2) litera (a) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
A. Cu privire la procedura referitoare la dreptul de a fi ascultat
16 Potrivit indicațiilor care figurează în decizia preliminară, procedura referitoare la dreptul de a fi ascultat trebuia să se desfășoare în două etape.
17 Într‑o primă etapă (denumită în continuare „etapa de înregistrare”), acționarii și creditorii afectați erau invitați să își exprime până la 14 septembrie 2018, printr‑un formular online de înregistrare, interesul de a‑și exercita dreptul de a fi ascultați . În această etapă, acționarii și creditorii afectați care doreau să își exercite dreptul de a fi ascultați trebuiau să furnizeze SRB documentele justificative care să dovedească faptul că, la data rezoluției Banco Popular, dețineau unul sau mai multe instrumente de capital ale acesteia a căror valoare contabilă a fost redusă sau care au fost convertite și transferate către Banco Santander SA, în cadrul rezoluției. Documentele justificative care trebuiau furnizate cuprindeau un document de identitate și o dovadă a proprietății asupra unuia dintre aceste instrumente de capital la data de 6 iunie 2017. În continuare, SRB trebuia să verifice dacă fiecare parte care și‑a manifestat interesul avea efectiv statutul de acționar sau de creditor afectat.
18 La 6 august 2018, data deschiderii etapei de înregistrare, SRB a publicat de asemenea, pe pagina de internet de înregistrare în procedura referitoare la dreptul de a fi ascultat și pe site‑ul său internet, o declarație de confidențialitate privind prelucrarea datelor cu caracter personal în cadrul acestei proceduri (denumită în continuare „declarația de confidențialitate”).
19 Într‑o a doua etapă (denumită în continuare „etapa de consultare”), persoanele al căror statut de acționari și creditori afectați fusese verificat de SRB puteau să își depună observațiile cu privire la decizia preliminară, la care era anexată evaluarea 3. La 16 octombrie 2018, SRB a anunțat pe site‑ul său internet că, începând cu 6 noiembrie 2018, acționarii și creditorii afectați urmează să fie invitați să își depună observațiile scrise cu privire la decizia preliminară în etapa de consultare.
20 La 6 noiembrie 2018, SRB a trimis prin e‑mail acționarilor și creditorilor afectați un link personal unic care le permitea să acceseze pe internet un formular ce cuprindea șapte întrebări, cu un spațiu de răspuns limitat și care permitea acționarilor și creditorilor afectați să depună, înainte de 26 noiembrie 2018, observații cu privire la decizia preliminară, precum și cu privire la versiunea neconfidențială a evaluării 3.
21 SRB a examinat observațiile relevante ale acționarilor și ale creditorilor afectați referitoare la decizia preliminară. Acesta a solicitat Deloitte, în calitatea sa de evaluator independent, să aprecieze observațiile relevante referitoare la evaluarea 3, să îi furnizeze un document care să conțină aprecierea sa și să examineze dacă evaluarea respectivă rămâne valabilă în lumina acestor observații.
B. Cu privire la prelucrarea datelor colectate de SRB în cadrul procedurii referitoare la dreptul de a fi ascultat
22 Datele colectate în etapa de înregistrare, și anume dovezile privind identitatea acționarilor și a creditorilor afectați și proprietatea asupra instrumentelor de capital ale Banco Popular cu valoare contabilă redusă sau convertite și transferate, erau accesibile unui număr limitat de membri ai personalului SRB, și anume cei însărcinați cu prelucrarea datelor respective pentru a stabili eligibilitatea acestor acționari și creditori pentru o compensație.
23 Membrii personalului SRB însărcinați cu prelucrarea observațiilor primite în etapa de consultare nu aveau acces nici la datele colectate în etapa de înregistrare, astfel încât aceste observații erau disociate de informațiile personale referitoare la acționarii și la creditorii afectați care le‑au depus, nici la cheia de date sau la informațiile care permit identificarea identității unui acționar sau creditor afectat prin referire la codul alfanumeric unic atribuit fiecărei observații depuse prin intermediul formularului. Codul alfanumeric consta într‑un identificator unic universal de 33 de cifre, generat aleatoriu în momentul primirii răspunsurilor la formular.
24 Într‑o primă etapă, SRB a realizat o filtrare automată a 23 822 de observații, fiecare având un cod alfanumeric unic, depuse de 2 855 de participanți la procedură. Doi algoritmi au permis identificarea a 20 101 observații ca fiind identice. În acest caz, observația depusă mai întâi a fost considerată observația originală, care a fost examinată în etapa de analiză, iar observațiile identice primite ulterior au fost identificate ca fiind duplicate.
25 Într‑o a doua etapă, SRB a identificat observațiile depuse care intrau în domeniul de aplicare al procedurii referitoare la dreptul de a fi ascultat, întrucât puteau avea influență asupra deciziei preliminare sau asupra evaluării 3. În continuare, a împărțit aceste observații între cele care trebuiau examinate de SRB întrucât priveau decizia preliminară și cele care trebuiau examinate de Deloitte întrucât priveau evaluarea 3. La finalul acestei etape, SRB a identificat 3 730 de observații, pe care le‑a clasificat în funcție de relevanța și de tema lor.
26 Într‑o a treia etapă, observațiile referitoare la decizia preliminară au fost prelucrate de SRB, iar cele referitoare la evaluarea 3, și anume 1 104 observații, au fost transferate către Deloitte la 17 iunie 2019, prin intermediul unui server virtual de date securizat și dedicat SRB. Acesta a descărcat fișierele care trebuiau comunicate Deloitte pe acest server și a acordat acces la fișierele respective unui număr limitat și controlat de membri ai personalului Deloitte, și anume cei direct implicați în examinarea observațiilor referitoare la evaluarea 3.
27 Observațiile transferate către Deloitte erau filtrate, ordonate pe categorii și agregate. Atunci când constituiau copii ale unor observații precedente, o singură versiune a fost transmisă Deloitte, astfel încât observațiile individuale care fuseseră multiplicate nu puteau fi diferențiate în cadrul aceleiași teme, iar Deloitte nu avea posibilitatea de a stabili dacă o observație a fost formulată de unul sau de mai mulți participanți la procedura referitoare la dreptul de a fi ascultat.
28 Observațiile transferate către Deloitte constau numai în cele primite în etapa de consultare și aveau un cod alfanumeric. SRB era însă singurul care putea conecta, prin intermediul acestui cod, observațiile cu datele, în special cu datele de identificare a autorilor observațiilor, primite în etapa de înregistrare. Codul alfanumeric a fost dezvoltat în scopul auditului pentru a permite verificarea și eventual demonstrarea într‑o procedură judiciară a faptului că fiecare observație a fost prelucrată și a fost luată în considerare în mod corespunzător. Deloitte nu avea acces la baza de date colectate în etapa de înregistrare și nici în procedura referitoare la dreptul de a fi ascultat și continua să nu aibă acces la aceasta la data la care a fost pronunțată hotărârea atacată.
C. Cu privire la procedura în fața AEPD
29 În cursul lunilor octombrie și decembrie 2019, acționarii și creditorii afectați care au răspuns la formular au transmis AEPD cinci plângeri în temeiul Regulamentului 2018/1725. Prin aceste plângeri, ei au invocat o încălcare a articolului 15 alineatul (1) litera (d) din acest regulament pentru motivul că SRB nu i‑a informat că datele colectate prin intermediul răspunsurilor la formular urmau să fie transmise unor părți terțe, și anume Deloitte și Banco Santander, cu încălcarea termenilor declarației de confidențialitate.
30 În urma unei proceduri în cursul căreia SRB a furnizat diverse explicații la cererea AEPD, iar reclamanții au prezentat observații, AEPD a adoptat, la 24 iunie 2020, o decizie privind cinci plângeri depuse de mai mulți reclamanți împotriva Comitetului unic de rezoluție (cauzele 2019-947, 2019-998, 2019-999, 2019-1000 și 2019-1122) (denumită în continuare „decizia inițială”). În această decizie, AEPD a considerat că SRB a încălcat articolul 15 din Regulamentul 2018/1725 prin faptul că nu i‑a informat pe reclamanți, în declarația de confidențialitate, cu privire la posibilitatea ca datele lor cu caracter personal să fie comunicate Deloitte. În consecință, ea a emis o mustrare adresată SRB pentru această încălcare, în temeiul articolului 58 alineatul (2) litera (b) din regulamentul respectiv.
31 La 22 iulie 2020, SRB a solicitat AEPD să reexamineze decizia inițială în temeiul articolului 18 alineatul (1) din Decizia Autorității Europene pentru Protecția Datelor din 15 mai 2020 de adoptare a Regulamentului de procedură al AEPD (JO 2020, L 204, p. 49). SRB a furnizat în special o descriere detaliată a procedurii referitoare la dreptul de a fi ascultat și a analizei observațiilor depuse în etapa de consultare de patru dintre reclamanții identificați. El a susținut că informațiile transmise Deloitte nu constituie date cu caracter personal în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
32 La 5 august 2020, AEPD a informat SRB că, având în vedere noile elemente furnizate, a decis să reexamineze decizia inițială și că urmează să adopte o decizie de înlocuire a acesteia.
33 La 24 noiembrie 2020, în urma procedurii de revizuire, în cursul căreia reclamanții au prezentat observații, iar SRB a furnizat informații suplimentare la cererea AEPD, aceasta din urmă a adoptat decizia în litigiu.
34 Prin această decizie, AEPD a revizuit decizia inițială după cum urmează:
„1. AEPD consideră că datele pe care SRB le‑a transmis Deloitte sunt date pseudonimizate, atât pentru că observațiile din etapa [de consultare] sunt date cu caracter personal, cât și pentru că SRB partaja codul alfanumeric care permite conectarea răspunsurilor primite în etapa [de înregistrare] cu cele din etapa [de consultare], chiar dacă datele furnizate de participanți pentru a se identifica în etapa [de înregistrare] nu au fost comunicate Deloitte.
2. AEPD consideră că Deloitte era destinatar al datelor cu caracter personal ale reclamanților în sensul articolului 3 punctul 13 din Regulamentul 2018/1725. Faptul că Deloitte nu a fost menționată în declarația de confidențialitate a SRB ca destinatar potențial al datelor cu caracter personal colectate și prelucrate de SRB, în calitatea sa de operator în cadrul procedurii referitoare la dreptul de a fi audiat, constituie o încălcare a obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) [din Regulamentul 2018/1725].
3. În lumina tuturor măsurilor de natură tehnică și organizatorică instituite de SRB pentru a atenua riscurile la adresa dreptului persoanelor la protecția datelor în cadrul procedurii referitoare la dreptul de a fi ascultat, AEPD decide să nu își exercite competențele corective prevăzute la articolul 58 alineatul (2) [din Regulamentul 2018/1725].
4. Cu toate acestea, AEPD recomandă SRB să se asigure că declarațiile sale de confidențialitate în cadrul procedurilor viitoare referitoare la dreptul de a fi ascultat acoperă prelucrarea datelor cu caracter personal atât în etapa de înregistrare, cât și în etapa de consultare și că acestea includ toți destinatarii potențiali ai informațiilor colectate, pentru a respecta pe deplin obligația de a informa persoanele vizate în conformitate cu articolul 15 [din Regulamentul 2018/1725].”
III. Procedura în fața Tribunalului și hotărârea atacată
35 Prin cererea introductivă depusă la grefa Tribunalului la 1 septembrie 2020, SRB a introdus o acțiune având ca obiect, pe de o parte, anularea deciziei în litigiu și, pe de altă parte, declararea nelegalității deciziei inițiale.
36 În susținerea primului capăt de cerere, SRB a invocat două motive, dintre care primul era întemeiat pe încălcarea articolului 3 punctul 1 din Regulamentul 2018/1725, în măsura în care informațiile transmise Deloitte nu constituiau date cu caracter personal, iar al doilea, pe încălcarea dreptului la bună administrare, consacrat la articolul 41 din cartă.
37 Prin hotărârea atacată, Tribunalul a respins pentru lipsă de competență al doilea capăt de cerere, prin care se solicita declararea nelegalității deciziei inițiale, în măsura în care SRB urmărea obținerea unei hotărâri declarative, iar nu anularea unui act.
38 În schimb, Tribunalul a declarat admisibil primul capăt de cerere. Pe fond, acesta a admis primul motiv al acțiunii și a anulat decizia în litigiu, fără a examina al doilea motiv al acțiunii.
IV. Procedura în fața Curții și concluziile părților
39 Prin decizia președintelui Curții din 20 octombrie 2023 a fost admisă cererea de intervenție în susținerea SRB formulată de Comisia Europeană. Prin decizia președintelui Curții din 29 noiembrie 2023 a fost admisă cererea de intervenție formulată de Comitetul European pentru Protecția Datelor în susținerea concluziilor AEPD.
40 AEPD, susținută de Comitetul European pentru Protecția Datelor, solicită Curții:
– anularea hotărârii atacate;
– soluționarea definitivă a litigiului și
– obligarea SRB la plata cheltuielilor de judecată aferente procedurii de recurs și procedurii în fața Tribunalului.
41 SRB, susținut de Comisie, solicită Curții:
– respingerea recursului;
– cu titlu subsidiar, anularea deciziei în litigiu;
– cu titlu și mai subsidiar, trimiterea cauzei spre rejudecare Tribunalului și
– obligarea SRB la plata cheltuielilor de judecată aferente procedurii de recurs și procedurii în fața Tribunalului.
V. Cu privire la recurs
42 În susținerea recursului formulat, AEPD, susținută de Comitetul European pentru Protecția Datelor, invocă două motive, dintre care primul este întemeiat pe încălcarea articolului 3 punctele 1 și 6 din Regulamentul 2018/1725, astfel cum a fost interpretat de Curte, iar al doilea, pe încălcarea articolului 4 alineatul (2) și a articolului 26 alineatul (1) din acest regulament.
A. Cu privire la primul motiv
43 Prin intermediul primului motiv, AEPD susține în esență că, atunci când a statuat că ea a constatat în mod eronat în decizia în litigiu că informațiile în discuție în speță constituie date cu caracter personal, Tribunalul a săvârșit o eroare de drept în interpretarea articolului 3 punctele 1 și 6 din Regulamentul 2018/1725. Acest motiv se împarte în două aspecte. Primul aspect se referă la condiția prevăzută la articolul 3 punctul 1 din acest regulament, potrivit căreia informația „priv[ește]” o persoană fizică, iar al doilea aspect se referă la condiția, prevăzută la aceeași dispoziție, privind caracterul „identificabil” al acestei persoane.
1. Cu privire la primul aspect, întemeiat pe o interpretare eronată a condiției prevăzute la articolul 3 punctul 1 din Regulamentul 2018/1725, potrivit căreia informația „priv[ește]” o persoană fizică
a) Argumentația părților
44 Prin intermediul primului aspect al primului motiv, AEPD arată că, contrar celor statuate de Tribunal la punctele 60-74 din hotărârea atacată, informațiile transmise Deloitte privesc o persoană fizică, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
45 În primul rând, AEPD susține că, contrar celor ce rezultă din cuprinsul punctului 70 din hotărârea atacată, autoritățile însărcinate cu protecția datelor nu pot fi obligate să efectueze, în orice caz, o examinare a conținutului, a scopului sau a efectului unei informații pentru a verifica dacă aceasta privește o persoană fizică. Potrivit AEPD, o asemenea examinare nu putea fi impusă în ceea ce privește printre altele observațiile transmise de SRB către Deloitte, din moment ce, în opinia sa, era clar că aceste observații „priv[esc]” o persoană fizică în măsura în care exprimă punctul de vedere personal al anumitor creditori și acționari ai Banco Popular cu privire la eventualul lor drept la o compensație în temeiul articolului 76 alineatul (1) litera (e) din Regulamentul MUR.
46 În al doilea rând, contrar constatării care figurează la punctul 71 din hotărârea atacată, AEPD susține că, pentru a concluziona în sensul existenței unor date cu caracter personal, ea s‑a întemeiat nu numai pe natura observațiilor transmise Deloitte, ci și pe împrejurarea că codul alfanumeric fusese de asemenea transmis acestei societăți.
47 În al treilea rând, AEPD arată că hotărârea atacată este afectată de o contradicție în măsura în care Tribunalul, pe de o parte, a arătat la punctul 7 din această hotărâre că însuși obiectivul observațiilor transmise Deloitte era de a permite unor persoane fizice specifice, și anume acționarilor și creditorilor afectați, să își exercite dreptul de a fi ascultați în vederea unei eventuale compensații în temeiul articolului 76 alineatul (1) litera (e) din Regulamentul MUR. În contradicție cu această primă constatare, Tribunalul ar fi statuat, pe de altă parte, la punctul 73 din hotărârea menționată, că AEPD s‑a întemeiat pe prezumții potrivit cărora toate observațiile transmise Deloitte constituie date cu caracter personal, fără a demonstra că acestea privesc persoane fizice.
48 SRB, susținut de Comisie, arată că această argumentație trebuie respinsă.
49 În primul rând, potrivit jurisprudenței rezultate din Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994, punctele 34 și 35), și din Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF (C‑487/21, EU:C:2023:369, punctele 23 și 24), informațiile, obiective sau subiective, sub formă de opinii sau de aprecieri, ar putea constitui date cu caracter personal, cu condiția ca acestea să „privească” persoana în cauză. În plus, potrivit acestei jurisprudențe, o informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este „legată” de o persoană determinată. Astfel, Tribunalul ar fi statuat în mod întemeiat, la punctele 70-74 din hotărârea atacată, că AEPD a încălcat jurisprudența menționată prin faptul că s‑a limitat să precizeze că observațiile transmise Deloitte reflectă opiniile sau punctele de vedere ale acționarilor și ale creditorilor afectați, fără să fi examinat, așadar, dacă, prin conținutul, scopul sau efectul lor, aceste observații sunt legate de o persoană identificabilă.
50 În al doilea rând, afirmația AEPD, potrivit căreia natura de date cu caracter personal a observațiilor menționate decurge în mod necesar din scopul lor, ar constitui o nouă afirmație factuală, prezentată pentru prima dată în fața instanței de recurs, care ar fi, din acest motiv, inadmisibilă. În orice caz, această afirmație ar fi inoperantă în măsura în care AEPD nu ar fi examinat acest aspect în decizia în litigiu.
51 În ceea ce privește, în al treilea rând, pretinsa contradicție de motivare între punctele 7 și 73 din hotărârea atacată, SRB arată că descrierea care figurează la punctul 7 din această hotărâre nu conține nicio informație cu privire la conținutul, la scopul sau la efectul observațiilor transmise Deloitte și, prin urmare, nu contrazice concluzia enunțată la punctul 73 din hotărârea menționată.
b) Aprecierea Curții
52 Cu titlu introductiv, este necesar să se arate că definiția noțiunii de „date cu caracter personal”, prevăzută la articolul 3 punctul 1 din Regulamentul 2018/1725, este în esență identică cu cea care figurează la articolul 4 punctul 1 din RGPD, care are, la rândul său, un conținut în esență identic cu cel care figura la articolul 2 litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10). Pentru a garanta o aplicare uniformă și coerentă a dreptului Uniunii, trebuie, așadar, să se asigure o interpretare identică a articolului 3 punctul 1 din Regulamentul 2018/1725, a articolului 4 punctul 1 din RGPD și a articolului 2 litera (a) din Directiva 95/46 (a se vedea în acest sens Hotărârea din 7 martie 2024, OC/Comisia, C‑479/22 P, EU:C:2024:215, punctul 43, precum și Hotărârea din 7 martie 2024, IAB Europe, C‑604/22, EU:C:2024:214, punctul 33 și jurisprudența citată).
53 Articolul 3 punctul 1 din Regulamentul 2018/1725 prevede că reprezintă o dată cu caracter personal „orice informație privind o persoană fizică identificată sau identificabilă”.
54 Curtea a statuat că utilizarea expresiei „orice informație” în definiția noțiunii de „dată cu caracter personal”, care figurează în această dispoziție și în articolul 4 punctul 1 din RGPD, reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg acestei noțiuni, care înglobează potențial orice tip de informații, atât obiective, cât și subiective, sub formă de opinii sau de aprecieri, cu condiția ca acestea să „privească” persoana în cauză (Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 23 și jurisprudența citată, Hotărârea din 7 martie 2024, OC/Comisia, C‑479/22 P, EU:C:2024:215, punctul 45, precum și Hotărârea din 4 octombrie 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punctul 130).
55 O informație privește o persoană fizică identificată sau identificabilă atunci când, ca urmare a conținutului, a scopului sau a efectului său, informația este legată de o persoană identificabilă (Hotărârea din 20 decembrie 2017, Nowak, C‑434/16, EU:C:2017:994, punctul 35, Hotărârea din 7 martie 2024, OC/Comisia, C‑479/22 P, EU:C:2024:215, punctul 45, și Hotărârea din 7 martie 2024, IAB Europe, C‑604/22, EU:C:2024:214, punctul 37 și jurisprudența citată).
56 În speță, deși Tribunalul a arătat, la punctul 70 din hotărârea atacată, că AEPD nu a examinat nici conținutul, nici scopul, nici efectul informațiilor care reies din observațiile transmise Deloitte, reiese totuși din cuprinsul punctelor 71 și 72 din această hotărâre că constatarea că observațiile respective reflectă opiniile sau punctele de vedere ale persoanelor vizate a presupus ca AEPD să fi examinat în prealabil conținutul observațiilor menționate. Pornind de la această constatare, AEPD a concluzionat că acestea constituie informații privind persoanele respective. Or, potrivit jurisprudenței amintite la punctul 55 din prezenta hotărâre, o examinare privind conținutul unei informații nu trebuie în mod necesar să fie completată cu o analiză a scopului și a efectelor acestei informații, astfel cum indică utilizarea conjuncției „sau” care leagă diferitele criterii vizate de această jurisprudență.
57 Cu toate acestea, la punctele 73 și 74 din hotărârea atacată, Tribunalul a considerat că AEPD nu putea califica informațiile care reies din observațiile transmise Deloitte drept date cu caracter personal numai în temeiul constatării că este vorba despre opinii sau despre puncte de vedere personale, ci că ar fi trebuit să examineze, în plus, conținutul, scopul și efectul opiniilor astfel exprimate pentru a stabili dacă acestea sunt legate de o persoană determinată.
58 Această apreciere a Tribunalului nu ține seama de natura specifică a opiniilor sau a punctelor de vedere personale care, ca expresie a gândirii unei persoane, sunt în mod necesar strâns legate de aceasta din urmă.
59 Interpretarea reținută la punctul anterior este confirmată de jurisprudența rezultată din Hotărârea din 20 decembrie 2017, Nowak (C‑434/16, EU:C:2017:994), care privea printre altele observațiile unui examinator referitoare la răspunsurile scrise ale unui candidat la un examen profesional. Astfel, la punctele 42-44 din această hotărâre, deși Curtea a apreciat conținutul, scopul și efectul acestor observații pentru a constata că ele constituie informații privind candidatul vizat de acestea, ea a considerat în esență că respectivele observații privesc și examinatorul care este autorul lor, din moment ce exprimă opinia sau aprecierea acestuia.
60 Rezultă că Tribunalul a săvârșit o eroare de drept atunci când a statuat, la punctele 73 și 74 din hotărârea atacată, că, pentru a concluziona că informațiile care reies din observațiile transmise Deloitte „priv[esc]”, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725, persoanele care au depus aceste observații, AEPD ar fi trebuit să examineze conținutul, scopul sau efectele observațiilor menționate, din moment ce era cert că acestea exprimă opinia sau punctul de vedere personal al autorilor lor.
61 Prin urmare, fără a fi necesar să se examineze argumentele rezumate la punctele 46 și 47 din prezenta hotărâre, primul aspect al primului motiv trebuie admis.
2. Cu privire la al doilea aspect al primului motiv, întemeiat pe o interpretare eronată a condiției prevăzute la articolul 3 punctul 1 din Regulamentul 2018/1725, potrivit căreia informația privește o persoană fizică „identificabilă”
62 Prin intermediul celui de al doilea aspect al primului motiv, AEPD arată că, la punctele 76-106 din hotărârea atacată, Tribunalul a statuat în mod eronat că nu poate considera că informațiile care reies din observațiile transmise Deloitte privesc o persoană fizică „identificabilă”, în sensul articolului 3 punctul 1 din Regulamentul 2018/1725. Acest aspect se compune din două critici distincte.
a) Cu privire la prima critică din cadrul celui de al doilea aspect al primului motiv
1) Argumentația părților
63 Mai întâi, AEPD amintește că, potrivit articolului 3 punctul 1 din Regulamentul 2018/1725, operatorul sau „o altă persoană” trebuie să fie în măsură să identifice o persoană vizată de informația în cauză. În lipsa unei precizări cu privire la persoana care trebuie să fie în măsură să efectueze această identificare, ar fi suficient ca persoana vizată să poată fi identificată. Or, în speță nu s‑ar contesta că observațiile de care dispunea SRB transmise Deloitte constituie date cu caracter personal. În plus, din articolul 3 punctul 6 din acest regulament coroborat cu considerentul (16) al acestuia ar reieși că datele pseudonimizate constituie date cu caracter personal prin simplul fapt al existenței unor informații suplimentare care permit ca ele să fie atribuite unei persoane determinate.
64 Potrivit AEPD, considerațiile care figurează la punctele 90 și 91 din hotărârea atacată nu țin suficient seama de termenii acestor dispoziții, precum și de diferența dintre anonimizare și pseudonimizare. În această privință, Comitetul European pentru Protecția Datelor precizează că, potrivit interpretării reținute de Tribunal, datele cu caracter personal și‑ar schimba natura atunci când sunt transmise unei entități externe operatorului și care nu dispune de informațiile suplimentare care să permită identificarea persoanei vizate. Această interpretare ar permite unui asemenea operator să sustragă în mod nejustificat datele cu caracter personal din domeniul de aplicare al dreptului Uniunii în materie de protecție a unor asemenea date chiar și atunci când prelucrarea de către entitatea externă ar expune persoanele vizate unor riscuri importante.
65 În continuare, AEPD arată că, prin introducerea noțiunii de pseudonimizare, legiuitorul Uniunii a clarificat că, pentru a exclude date cu caracter personal din domeniul de aplicare al dreptului Uniunii în materie de protecție a unor asemenea date, nu este suficient să se separe aceste date de informațiile suplimentare care permit identificarea persoanei vizate.
66 În sfârșit, AEPD reamintește că noțiunea de date cu caracter personal trebuie interpretată în sens larg, ceea ce este, în opinia sa, necesar pentru ca dreptul în materie de protecție a datelor să își producă efectul util. În măsura în care interpretarea Tribunalului ar permite ca datele pseudonimizate să fie considerate în mod eronat date anonime, aceasta ar fi de natură să compromită nivelul ridicat de protecție urmărit de legiuitorul Uniunii și impus de cartă. Potrivit Comitetului European pentru Protecția Datelor, interpretarea reținută de Tribunal ar implica de asemenea riscul ca datele pseudonimizate să poată fi prelucrate fără restricții în temeiul RGPD și al Regulamentului 2018/1725, inclusiv prin partajarea, publicarea și transferul lor către țări terțe.
67 SRB, susținut de Comisie, se opune acestei argumentații.
2) Aprecierea Curții
68 Prima critică din cadrul celui de al doilea aspect al primului motiv se întemeiază în esență pe considerația că datele pseudonimizate, cum sunt observațiile transmise Deloitte, constituie, în orice caz, date cu caracter personal prin simplul fapt al existenței unor informații care permit identificarea persoanei vizate, fără a fi necesar să se examineze în mod concret dacă, în pofida pseudonimizării, persoana pe care o privesc aceste date este identificabilă.
69 În această privință, trebuie amintit că, potrivit chiar articolului 3 punctul 1 din Regulamentul 2018/1725, o informație trebuie să privească o persoană fizică „identificată sau identificabilă” pentru a fi calificată drept dată cu caracter personal în sensul acestei dispoziții. Astfel, aplicarea acestui regulament presupune în principiu o examinare privind caracterul identificat sau identificabil al persoanei vizate de informația în cauză.
70 Această interpretare este confirmată de a cincea și a șasea teză a considerentului (16) al Regulamentului 2018/1725, potrivit cărora nu intră în sfera definiției noțiunii de „date cu caracter personal” „informațiil[e] anonime, adică informațiil[e] care nu sunt legate de o persoană fizică identificată sau identificabilă” și nici „datel[e] cu caracter personal care sunt anonimizate astfel încât persoana vizată nu este sau nu mai este identificabilă” (a se vedea prin analogie Hotărârea din 5 decembrie 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punctul 57).
71 În ceea ce privește, mai precis, datele pseudonimizate, trebuie să se observe, în primul rând, că aceste date nu sunt menționate în definiția legală a noțiunii de „date cu caracter personal”, care figurează la articolul 3 punctul 1 din Regulamentul 2018/1725, dar caracteristicile lor reies din articolul 3 punctul 6 din acest regulament. Această din urmă dispoziție definește noțiunea de „pseudonimizare” ca „prelucrarea datelor cu caracter personal într‑un asemenea mod încât acestea să nu mai poată fi atribuite unei anume persoane vizate fără a se utiliza informații suplimentare, cu condiția ca aceste informații suplimentare să fie stocate separat și să facă obiectul unor măsuri de natură tehnică și organizatorică care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile”.
72 După cum a arătat în esență domnul avocat general la punctele 46 și 48 din concluzii, pseudonimizarea nu constituie, așadar, un element al definiției „datelor cu caracter personal”, ci se referă la instituirea unor măsuri de natură tehnică și organizatorică prin care se urmărește reducerea riscului de corelare a unui set de date cu identitatea persoanelor vizate. Potrivit considerentului (17) al regulamentului menționat, pseudonimizarea „poate reduce [numai] riscurile” unei asemenea corelări pentru aceste persoane și, prin urmare, „poate ajuta operatorii și persoanele împuternicite de către operatori să își îndeplinească obligațiile de protecție a datelor”.
73 În al doilea rând, din termenii articolului 3 punctul 6 din Regulamentul 2018/1725 reiese că noțiunea de „pseudonimizare” presupune existența unor informații care să permită identificarea persoanei vizate. Or, însăși existența unor asemenea informații se opune ca datele care au făcut obiectul unei pseudonimizări să poată fi considerate, în orice caz, date anonime, excluse din domeniul de aplicare al acestui regulament.
74 Nu este mai puțin adevărat că, în al treilea rând, cerința unei stocări separate a informațiilor de identificare, precum și a unor măsuri de natură tehnică și organizatorică „care să asigure neatribuirea respectivelor date cu caracter personal unei persoane fizice identificate sau identificabile”, prevăzută la articolul 3 punctul 6 din regulamentul menționat, arată că pseudonimizarea are în special ca obiectiv să evite ca persoana vizată să poată fi identificată numai prin intermediul datelor pseudonimizate.
75 Astfel, cu condiția ca asemenea măsuri de natură tehnică și organizatorică să fie instituite efectiv și să fie de natură să prevină o atribuire a datelor în cauză persoanei vizate, într‑un mod în care aceasta să nu fie sau să nu mai fie identificabilă, pseudonimizarea poate avea incidență asupra caracterului personal al acestor date în sensul articolului 3 punctul 1 din Regulamentul 2018/1725.
76 În această privință, trebuie precizat că, așa cum este în mod normal cazul operatorului care a efectuat pseudonimizarea, SRB dispune în speță de informații suplimentare care permit atribuirea observațiilor transmise Deloitte persoanei vizate, astfel încât, pentru el, aceste observații își păstrează, în pofida pseudonimizării, caracterul lor personal.
77 În ceea ce privește Deloitte, căreia SRB i‑a transmis observații pseudonimizate, măsurile de natură tehnică și organizatorică prevăzute la articolul 3 punctul 6 din Regulamentul 2018/1725 pot, după cum susține în esență SRB, să aibă ca efect faptul că, pentru această societate, observațiile respective nu prezintă un caracter personal. Aceasta presupune totuși, pe de o parte, ca Deloitte să nu fie în măsură să revoce aceste măsuri cu ocazia oricărei prelucrări a observațiilor menționate efectuate sub controlul său. Pe de altă parte, măsurile menționate trebuie să fie efectiv de natură să împiedice Deloitte să atribuie aceleași observații persoanei vizate și prin recurgerea la alte mijloace de identificare, precum o verificare încrucișată cu alte elemente, astfel încât, pentru această societate, persoana vizată să nu fie sau să nu mai fie identificabilă.
78 Această interpretare este confirmată de considerentul (16) al Regulamentului 2018/1725, care, după ce a enunțat, în prima teză, că „[p]rincipiile protecției datelor ar trebui să se aplice oricărei informații referitoare la o persoană fizică identificată sau identificabilă”, enunță în a doua teză că „[d]atele cu caracter personal care au fost supuse pseudonimizării, care ar putea fi atribuite unei persoane fizice prin utilizarea de informații suplimentare, ar trebui considerate informații referitoare la o persoană fizică identificabilă”.
79 Astfel, în urma acestor mențiuni referitoare la datele cu caracter personal și la datele pseudonimizate, a treia teză a acestui considerent precizează că, pentru a se determina dacă o persoană fizică este identificabilă, trebuie să se ia în considerare „toate mijloacele […] pe care este probabil, în mod rezonabil,” să le utilizeze fie operatorul, fie „o altă persoană”, în scopul identificării, „în mod direct sau indirect”, a persoanei fizice respective. În plus, a patra teză a acestui considerent enunță că, pentru a se determina dacă este probabil, în mod rezonabil, să fie utilizate mijloace pentru identificarea persoanei fizice, trebuie luați în considerare „toți factorii obiectivi, precum costurile și intervalul de timp necesare pentru identificare, ținându‑se seama atât de tehnologia disponibilă la momentul prelucrării, cât și de dezvoltarea tehnologică”.
80 Or, după cum a arătat în esență domnul avocat general la punctul 51 din concluzii, aceste precizări referitoare la evaluarea caracterului identificabil sau nu al persoanei vizate ar fi lipsite de orice efect util dacă s‑ar considera că datele pseudonimizate constituie, în orice caz și pentru oricare persoană, date cu caracter personal în scopul aplicării Regulamentului 2018/1725.
81 În această privință, trebuie amintit că, în ceea ce privește un comunicat de presă care conținea un anumit număr de mențiuni referitoare la o persoană fără a o desemna nominal, Curtea nu s‑a limitat, în Hotărârea din 7 martie 2024, OC/Comisia (C‑479/22 P, EU:C:2024:215, punctele 52-64), la constatarea că organismul Uniunii care a publicat acest comunicat dispunea de toate informațiile care permiteau identificarea acestei persoane, ci a examinat dacă mențiunile care figurează în comunicatul respectiv permiteau în mod rezonabil publicului interesat să identifice această persoană, în special prin combinarea acestor mențiuni cu informații disponibile pe internet.
82 În plus, Curtea a statuat deja că un mijloc nu poate fi utilizat în mod rezonabil pentru a identifica persoana vizată atunci când reiese că riscul unei identificări este în realitate nesemnificativ, în sensul că identificarea acestei persoane este interzisă de lege sau nerealizabilă în practică, de exemplu ca urmare a faptului că ar implica un efort disproporționat în termeni de timp, de costuri și de forță de muncă (a se vedea în acest sens Hotărârea din 7 martie 2024, OC/Comisia, C‑479/22 P, EU:C:2024:215, punctul 51 și jurisprudența citată). Această jurisprudență confirmă interpretarea potrivit căreia existența unor informații suplimentare care permit identificarea persoanei vizate nu implică în sine că trebuie să se considere că datele pseudonimizate constituie, în orice caz și pentru oricare persoană, date cu caracter personal în scopul aplicării Regulamentului 2018/1725.
83 În aceeași ordine de idei, Curtea a statuat în esență, în special în Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779, punctele 44, 47 și 48), și în Hotărârea din 7 martie 2024, IAB Europe (C‑604/22, EU:C:2024:214, punctele 43 și 48), că datele în sine impersonale colectate și stocate de operator sunt totuși legate de o persoană identificabilă, din moment ce operatorul dispune de căi legale pentru a obține de la părți terțe informații suplimentare care permit identificarea acestei persoane. Astfel, în asemenea condiții, împrejurarea că informațiile care permit identificarea persoanei vizate se află în posesia unor persoane diferite nu este de natură să împiedice efectiv identificarea sa așa încât ea să nu fie identificabilă pentru operator.
84 În special, potrivit jurisprudenței rezultate din Hotărârea din 9 noiembrie 2023, Gesamtverband Autoteile‑Handel (Accesul la informațiile privind vehiculele) (C‑319/22, EU:C:2023:837, punctele 46 și 49), datele care sunt în sine impersonale, pot dobândi un caracter „personal” atunci când operatorul le pune la dispoziția altor persoane care dispun de mijloace care pot în mod rezonabil să permită identificarea persoanei vizate. Reiese mai ales din această din urmă hotărâre că – în contextul unei asemenea puneri la dispoziție – datele menționate prezintă un caracter personal atât pentru aceste persoane, cât și, indirect, pentru operator.
85 În consecință, având în vedere jurisprudența amintită la punctul anterior, AEPD susține în mod eronat că împrejurarea că datele pseudonimizate nu prezintă eventual un caracter personal pentru persoanele cărora operatorul le transferă date pseudonimizate ar permite sustragerea acestor date în mod nejustificat din domeniul de aplicare al dreptului Uniunii în materie de protecție a datelor cu caracter personal. Astfel, potrivit acestei jurisprudențe, împrejurarea menționată nu are incidență asupra aprecierii caracterului personal al acelorași date în special în contextul unui eventual transfer ulterior al acestora către părți terțe. Așadar, în măsura în care nu este exclus ca aceste părți terțe să fie în mod rezonabil în măsură să atribuie, prin mijloace precum o verificare încrucișată cu alte date de care dispun, datele pseudonimizate persoanei vizate, aceasta trebuie considerată ca fiind identificabilă în ceea ce privește atât acest transfer, cât și orice prelucrare ulterioară a acestor date de către părțile terțe menționate. În asemenea împrejurări, datele pseudonimizate ar trebui considerate ca având caracter personal.
86 În consecință, contrar celor susținute de AEPD, nu trebuie să se considere că datele pseudonimizate constituie, în orice caz și pentru oricare persoană, date cu caracter personal în scopul aplicării Regulamentului 2018/1725, în măsura în care pseudonimizarea poate, în funcție de circumstanțele speței, să împiedice efectiv alte persoane decât operatorul să identifice persoana vizată astfel încât, pentru ele, aceasta nu este sau nu mai este identificabilă.
87 Această interpretare nu este repusă în discuție de împrejurarea, invocată de AEPD, potrivit căreia a patra teză a considerentului (16) al Regulamentului 2018/1725 vizează operatorul sau „o altă persoană”. Astfel, din înșiși termenii acestei teze, amintiți la punctul 79 din prezenta hotărâre, rezultă că aceasta nu se referă decât la persoanele care dispun sau pot avea acces la mijloacele care este probabil, în mod rezonabil, să fie utilizate în scopul identificării persoanei vizate. Or, după cum s‑a arătat la punctele 75-77 din prezenta hotărâre, pseudonimizarea poate, în funcție de circumstanțele speței, să împiedice efectiv alte persoane decât operatorul să identifice persoana vizată astfel încât, pentru ele, aceasta să nu fie sau nu mai fie identificabilă.
88 În ceea ce privește argumentul AEPD întemeiat pe obiectivul de a asigura un nivel ridicat de protecție a datelor cu caracter personal, deși termenii articolului 3 punctul 1 din Regulamentul 2018/1725 reflectă obiectivul legiuitorului Uniunii de a atribui un sens larg noțiunii de „date cu caracter personal”, această noțiune nu este nelimitată, din moment ce dispoziția menționată impune în special ca persoana vizată să fie identificată sau identificabilă.
89 Mai precis, după cum a arătat domnul avocat general la punctul 58 din concluzii, Regulamentul 2018/1725 conține obligații precum obligația de a furniza informații persoanei vizate prevăzută la articolul 15 din acest regulament, a căror respectare presupune identificarea persoanei vizate. Or, asemenea obligații nu pot fi impuse unei entități care nu este nicidecum în măsură să efectueze această identificare.
90 Prin urmare, prima critică din cadrul celui de al doilea aspect al primului motiv trebuie respinsă ca nefondată.
b) Cu privire la a doua critică din cadrul celui de al doilea aspect al primului motiv
1) Argumentația părților
91 Prin intermediul celei de a doua critici din cadrul celui de al doilea aspect al primului motiv, AEPD arată că Tribunalul a încălcat jurisprudența rezultată din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779).
92 În primul rând, Tribunalul nu ar fi respectat caracterul obiectiv al condiției referitoare la caracterul „identificabil” al persoanei vizate atunci când a statuat printre altele, la punctele 97, 99 și 100 din hotărârea atacată, că AEPD ar fi trebuit să examineze dacă observațiile transmise Deloitte constituie, din punctul de vedere al acesteia din urmă, date cu caracter personal. Astfel, potrivit AEPD, din cuprinsul punctelor 47 și 48 din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), rezultă că simpla existență a unor căi legale care permit identificarea persoanei vizate este suficientă pentru a concluziona că această persoană este identificabilă. Or, în speță, SRB ar fi fost în măsură să identifice persoanele vizate, împrejurare de care Tribunalul nu ar fi ținut suficient seama în cadrul aplicării jurisprudenței rezultate din această hotărâre.
93 În al doilea rând, AEPD susține că, în hotărârea menționată, caracterul identificabil sau nu al persoanei vizate a fost apreciat din punctul de vedere al operatorului, în lipsa oricărui raport între acest operator și entitățile care dețin informațiile suplimentare ce permit identificarea persoanei respective. În schimb, în speță, Deloitte nu ar fi operatorul și ar fi, în plus, legată de SRB printr‑un contract. Ținând seama de aceste diferențe, AEPD apreciază că nu era obligată să efectueze o evaluare completă a mijloacelor care este probabil, în mod rezonabil, să permită Deloitte să identifice persoanele vizate.
94 În orice caz, în ipoteza în care ar fi fost totuși obligată să aprecieze dacă Deloitte era în măsură să identifice autorii observațiilor care îi fuseseră transmise, AEPD susține că nimic nu împiedica Deloitte să efectueze această identificare.
95 SRB, susținut de Comisie, se opune acestei argumentații.
96 În primul rând, la punctele 96, 97 și 100 din hotărârea atacată, printre altele, Tribunalul s‑ar fi întemeiat în mod justificat pe o abordare potrivit căreia caracterul identificabil al persoanei vizate trebuie examinat în raport cu fiecare persoană și cu fiecare operator vizat care prelucrează informațiile relevante. Or, în contextul obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725, această examinare ar trebui să fie efectuată din perspectiva destinatarului informațiilor în cauză.
97 În al doilea rând, SRB susține că argumentația întemeiată pe pretinsele diferențe dintre prezenta cauză și cea care a condus la pronunțarea Hotărârii din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), este inadmisibilă. El apreciază că această argumentație repune în discuție constatările factuale ale Tribunalului care figurează la punctele 94 și 95 din hotărârea atacată, potrivit cărora Deloitte nu avea acces la informațiile de identificare necesare pentru identificarea reclamanților.
2) Aprecierea Curții
98 La punctele 97-100 din hotărârea atacată, printre altele, Tribunalul a statuat în esență că, în conformitate cu jurisprudența rezultată din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), AEPD ar fi trebuit să examineze dacă observațiile transmise Deloitte constituie, din punctul de vedere al acesteia din urmă, date cu caracter personal. Pentru a ajunge la această constatare, Tribunalul a arătat printre altele că încălcarea articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725, constatată în decizia în litigiu, privea transferul de către SRB al observațiilor respective către Deloitte, iar nu simpla deținere a acestora de către SRB.
99 Cu titlu introductiv, trebuie amintit că articolul 3 punctul 1 din Regulamentul 2018/1725 nu precizează în mod expres perspectiva relevantă pentru aprecierea caracterului identificabil al persoanei vizate, în timp ce considerentul (16) al acestui regulament vizează, în mod nediferențiat, „operatorul” sau „o altă persoană”. În plus, în conformitate cu o jurisprudență constantă, pentru ca o dată să poată fi calificată drept „dată cu caracter personal” nu este necesar ca toate informațiile care permit identificarea persoanei vizate să se afle în posesia unei singure persoane (a se vedea în acest sens Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 43, și Hotărârea din 7 martie 2024, OC/Comisia, C‑479/22 P, EU:C:2024:215, punctul 48).
100 Potrivit jurisprudenței rezultate în special din Hotărârea din 19 octombrie 2016, Breyer (C‑582/14, EU:C:2016:779), amintită la punctele 81-84 din prezenta hotărâre, perspectiva relevantă pentru aprecierea caracterului identificabil al persoanei vizate depinde în esență de circumstanțele care caracterizează prelucrarea datelor în fiecare caz în parte.
101 În speță, trebuie amintit că, în decizia în litigiu, AEPD a constatat că, prin faptul că a omis să menționeze Deloitte ca potențial destinatar al observațiilor în declarația de confidențialitate prezentată în momentul colectării acestora, SRB și‑a încălcat obligația de informare care rezultă din articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725.
102 Articolul 15 alineatul (1) din acest regulament stabilește informațiile pe care operatorul trebuie să le furnizeze persoanei vizate, în cazul în care datele cu caracter personal sunt colectate de la aceasta, precizând totodată că informațiile respective trebuie furnizate acestei persoane „în momentul obținerii acestor date”. Rezultă din înșiși termenii acestei dispoziții că informațiile respective trebuie să fie furnizate de operator imediat, și anume în momentul colectării acestor date (a se vedea prin analogie Hotărârea din 29 iulie 2019, Fashion ID, C‑40/17, EU:C:2019:629, punctul 104 și jurisprudența citată).
103 În ceea ce privește, mai precis, informația referitoare la eventualii destinatari ai datelor cu caracter personal, prevăzută la articolul 15 alineatul (1) litera (d) din regulamentul menționat, este vorba despre o informație care trebuie furnizată printre altele cu ocazia colectării datelor de la persoana vizată.
104 Articolul 14 alineatul (1) din Regulamentul 2018/1725 prevede că operatorul ia măsuri adecvate printre altele pentru ca informațiile menționate în special la articolul 15 din acest regulament să fie furnizate persoanei vizate într‑o formă concisă, transparentă, inteligibilă, ușor accesibilă și să fie formulate utilizând un limbaj clar și simplu, astfel încât această persoană să fie în măsură să înțeleagă pe deplin informațiile care îi sunt adresate [a se vedea prin analogie Hotărârea din 4 mai 2023, Österreichische Datenschutzbehörde și CRIF, C‑487/21, EU:C:2023:369, punctul 38, precum și Hotărârea din 11 iulie 2024, Meta Platforms Ireland (Acțiune în reprezentare), C‑757/22, EU:C:2024:598, punctele 55 și 56].
105 Importanța respectării unei asemenea obligații de informare este confirmată de considerentul (35) al Regulamentului 2018/1725, din care prima și a doua teză enunță că, conform principiilor prelucrării echitabile și transparente, persoana vizată este informată cu privire la existența unei operațiuni de prelucrare și la scopurile acesteia, subliniindu‑se că operatorul ar trebui să furnizeze de asemenea orice informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă, ținând seama de circumstanțele specifice și de contextul în care sunt prelucrate datele cu caracter personal, după cum se prevede la articolul 15 alineatul (2) din regulamentul menționat [a se vedea prin analogie Hotărârea din 11 iulie 2024, Meta Platforms Ireland (Acțiune în reprezentare), C‑757/22, EU:C:2024:598, punctul 57 și jurisprudența citată].
106 Astfel, atunci când colectarea unor asemenea date de la persoana vizată este – precum în speță, în cadrul procedurii referitoare la dreptul de a fi ascultat – întemeiată pe consimțământul acestei persoane, validitatea consimțământului dat de persoana respectivă depinde printre altele de aspectul dacă aceasta a obținut în prealabil informațiile cu privire la toate circumstanțele legate de prelucrarea datelor în discuție la care avea dreptul, în temeiul articolului 15 din Regulamentul 2018/1725, și care îi permit să își dea consimțământul în deplină cunoștință de cauză [a se vedea prin analogie Hotărârea din 11 iulie 2024, Meta Platforms Ireland (Acțiune în reprezentare), C‑757/22, EU:C:2024:598, punctul 60].
107 Pe de altă parte, în ceea ce privește ipoteza unei obligații a persoanei vizate de a furniza operatorului date cu caracter personal, considerentul (35) al acestui regulament precizează, în a patra teză, că persoana vizată ar trebui informată dacă are obligația de a furniza aceste date cu caracter personal și cu privire la consecințe în cazul unui refuz, ceea ce confirmă importanța informațiilor impuse la articolul 15 din regulamentul menționat, chiar în momentul colectării datelor de la persoana vizată.
108 În aceste condiții, rezultă că obligația de a furniza persoanei vizate – în momentul colectării datelor cu caracter personal în legătură cu aceasta – informația referitoare la eventualii destinatari ai acestor date are în special ca obiectiv să permită acestei persoane să decidă în deplină cunoștință de cauză dacă furnizează sau, dimpotrivă, refuză să furnizeze datele sale cu caracter personal colectate de la aceasta.
109 Trebuie adăugat că, după cum a susținut în esență Comisia în ședință, informația referitoare la eventualii destinatari este, desigur, de asemenea indispensabilă pentru ca persoana vizată să poată ulterior să își apere drepturile împotriva acestor destinatari. Cu toate acestea, obligația de a furniza informația respectivă în momentul colectării datelor cu caracter personal garantează printre altele că aceste date nu sunt colectate de către operator împotriva voinței persoanei vizate sau chiar transferate împotriva voinței sale unor părți terțe.
110 Rezultă că, după cum a arătat domnul avocat general la punctul 69 din concluzii, obligația de informare prevăzută la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725 se înscrie în raportul juridic existent între persoana vizată și operator și, pentru acest motiv, ea are ca obiect informațiile în legătură cu persoana respectivă, astfel cum au fost transmise acestui operator, așadar, înainte de orice eventual transfer către o parte terță.
111 Prin urmare, este necesar să se considere că, în scopul aplicării obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) din Regulamentul 2018/1725, caracterul identificabil al persoanei vizate trebuie apreciat în momentul colectării datelor și din punctul de vedere al operatorului.
112 Rezultă că, așa cum a arătat în esență domnul avocat general la punctul 79 din concluzii, obligația de informare care revine SRB se aplica în speță înainte de transferul observațiilor în cauză și independent de caracterul lor personal sau nu, din punctul de vedere al Deloitte, după eventuala lor pseudonimizare.
113 Această interpretare nu este repusă în discuție de argumentul SRB întemeiat pe termenii articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725, care se referă la „destinatarii […] datelor cu caracter personal”. Astfel, după cum reiese din cuprinsul punctelor 102-108 din prezenta hotărâre, această dispoziție reglementează obligația de informare care revine operatorului în momentul colectării unor asemenea date. Or, aspectul dacă operatorul și‑a respectat la acel moment obligația de informare nu poate depinde de posibilitățile de identificare a persoanei vizate de care ar dispune, dacă este cazul, un eventual destinatar după un transfer ulterior al datelor respective.
114 Astfel cum a arătat în esență domnul avocat general la punctul 77 din concluzii, argumentația SRB potrivit căreia controlul respectării acestei obligații de informare ar trebui efectuat din punctul de vedere al destinatarului ar avea drept consecință amânarea acestui control. În măsura în care controlul menționat ar privi în mod necesar date cu caracter personal deja transferate destinatarului, această argumentație nu respectă nici obiectul obligației de informare, care este intrinsec legată de raportul dintre operator și persoana vizată.
115 Prin urmare, Tribunalul a săvârșit o eroare de drept atunci când a statuat, la punctele 97, 98, 100, 101 și 103-105 din hotărârea atacată, că, pentru a aprecia dacă SRB și‑a respectat obligația de informare în temeiul articolului 15 alineatul (1) litera (d) din Regulamentul 2018/1725, AEPD ar fi trebuit să examineze dacă observațiile transmise Deloitte constituie din punctul de vedere al acesteia din urmă date cu caracter personal.
116 Rezultă că, fără a fi necesar să se examineze argumentele AEPD rezumate la punctele 93 și 94 din prezenta hotărâre, a doua critică din cadrul celui de al doilea aspect al primului motiv trebuie admisă.
B. Cu privire la al doilea motiv
117 Dat fiind că primul motiv de recurs este fondat, în ceea ce privește primul său aspect și a doua critică din cadrul celui de al doilea aspect, nu este necesar să se examineze al doilea motiv al AEPD, întemeiat pe încălcarea articolului 4 alineatul (2) și a articolului 26 alineatul (1) din Regulamentul 2018/1725.
118 Întrucât primul motiv de recurs a fost astfel admis, se impune anularea hotărârii atacate.
VI. Cu privire la acțiunea în fața Tribunalului
119 Conform articolului 61 primul paragraf a doua teză din Statutul Curții de Justiție a Uniunii Europene, în cazul în care anulează decizia Tribunalului, Curtea poate să soluționeze în mod definitiv litigiul atunci când acesta este în stare de judecată.
120 În speță, litigiul este în stare de judecată în ceea ce privește primul motiv al acțiunii, întemeiat pe o pretinsă încălcare de către AEPD a articolului 3 punctul 1 din Regulamentul 2018/1725, în măsura în care informațiile transmise Deloitte nu constituie date cu caracter personal. Astfel, având în vedere considerațiile care figurează la punctele 58-60 din prezenta hotărâre, AEPD a putut, pe de o parte, să considere, fără a săvârși o eroare de drept, că observațiile transmise Deloitte constituie informații care privesc persoane fizice, și anume autorii acestor observații. Pe de altă parte, după cum s‑a arătat la punctul 111 din prezenta hotărâre, în cadrul aplicării obligației de informare prevăzute la articolul 15 alineatul (1) litera (d) din acest regulament, caracterul identificabil al persoanei vizate trebuie apreciat din punctul de vedere al operatorului. Or, părțile nu contestă că SRB dispunea, în calitate de operator, de toate informațiile necesare pentru identificarea autorilor observațiilor menționate. Rezultă din ceea ce precedă că informațiile în litigiu constituie, contrar celor susținute de SRB, date cu caracter personal. Prin urmare, primul motiv al acțiunii trebuie respins ca nefondat.
121 În schimb, litigiul nu este în stare de judecată în ceea ce privește al doilea motiv al acțiunii, din moment ce acest motiv implică aprecieri de fapt care nu au fost efectuate de Tribunal.
122 În consecință, cauza trebuie trimisă Tribunalului spre rejudecare în vederea examinării celui de al doilea motiv.
VII. Cu privire la cheltuielile de judecată
123 Întrucât cauza este trimisă Tribunalului spre rejudecare, cererile privind cheltuielile de judecată aferente recursului se soluționează odată cu fondul.
Pentru aceste motive, Curtea (Camera întâi) declară și hotărăște:
1) Anulează Hotărârea Tribunalului Uniunii Europene din 26 aprilie 2023, SRB/AEPD (T‑557/20, EU:T:2023:219).
2) Trimite cauza T‑557/21 spre rejudecare Tribunalului Uniunii Europene.
3) Cererile privind cheltuielile de judecată se soluționează odată cu fondul.
Semnături
* Limba de procedură: engleza.
