Comentariu asupra Cauzei C-169/23 – Protecția datelor cu caracter personal și
drepturile fundamentale în contextul eliberării certificatelor COVID-19
1. Introducere
Cauza C-169/23, soluționată de Curtea de Justiție a Uniunii Europene (CJUE) la 28 noiembrie
2024, aduce în prim plan problematica echilibrului dintre nevoia statului de a gestiona situații
de urgență (precum pandemia de COVID-19) și respectarea drepturilor fundamentale, în special
a dreptului la protecția datelor cu caracter personal, consacrat prin Regulamentul general
privind protecția datelor (RGPD) și Carta Drepturilor Fundamentale a Uniunii Europene.
Această hotărâre este de o importanță aparte nu doar pentru dreptul european al protecției
datelor, ci și pentru dreptul internațional al drepturilor omului, deoarece reafirmă principiul
conform căruia drepturile fundamentale nu pot fi anulate prin justificări legate de eficiența
administrativă sau urgențe sanitare.
2. Contextul cauzei
Litigiul a fost inițiat în Ungaria de o persoană fizică identificată cu inițialele UC, care a contestat
modalitatea în care autoritățile ungare i-au prelucrat datele personale în contextul emiterii
certificatului COVID-19. Acest certificat era generat automat, fără ca persoana să fie informată
în prealabil despre prelucrarea datelor sale, și era emis pe baza unor informații deținute de la
baze de date medicale. UC a sesizat autoritatea națională pentru protecția datelor (NAIH), care
a considerat că nu era cazul să intervină.
Nemulțumită de lipsa unui răspuns substanțial, UC a introdus acțiune în justiție, iar cauza a
ajuns la Kúria (Curtea Supremă a Ungariei). Aceasta a formulat o cerere de decizie preliminară,
solicitând CJUE interpretarea unor articole esențiale din RGPD, referitoare la obligația de
informare, securitatea prelucrării și dreptul de a depune plângere.
3. Probleme juridice ridicate
Instanța maghiară a adresat CJUE trei întrebări principale, fiecare referindu-se la un aspect
crucial al RGPD:
Art. 14 alin. (5) lit. c): poate fi invocat pentru a exclude obligația de informare a
persoanelor vizate atunci când datele nu sunt colectate direct de la acestea, dar sunt
necesare pentru o misiune de interes public?
Art. 32: care este standardul de securitate pe care trebuie să îl respecte autoritățile
publice în gestionarea datelor sensibile?
� Art. 77 alin. (1): care este natura dreptului persoanei vizate de a depune plângere la o
autoritate de supraveghere? Există obligația acesteia din urmă de a da un răspuns
substanțial?
4. Analiza Curții de Justiție a Uniunii Europene
4.1. Obligația de informare (Art. 14 RGPD)
CJUE a reiterat faptul că transparența este un principiu fundamental al protecției datelor. Chiar
dacă prelucrarea se face în interes public sau este impusă de o obligație legală, autoritățile
trebuie să informeze persoana vizată, cu excepția unor cazuri foarte limitate. Excepția
prevăzută la art. 14 alin. (5) lit. c) se aplică doar atunci când informarea ar face imposibilă
realizarea scopurilor respective sau le-ar afecta grav.
Curtea a considerat că în cazul certificatelor COVID-19, informarea persoanei nu ar fi afectat
misiunea de interes public. Prin urmare, excepția nu era aplicabilă.
4.2. Măsuri de securitate (Art. 32 RGPD)
În ceea ce privește obligațiile autorităților privind securitatea datelor, CJUE a stabilit că este
necesară o abordare bazată pe risc. Astfel, autoritățile trebuie să evalueze natura datelor,
volumul lor, contextul prelucrării și potențialele consecințe ale unei breșe. În funcție de aceste
elemente, se impune implementarea unor măsuri precum: criptarea, pseudonimizarea,
controale stricte de acces, instruirea personalului, audituri periodice.
CJUE a indicat că simpla prelucrare automată a datelor într-un sistem informatic nu exonerează
autoritățile de la obligația de a verifica integritatea sistemului și de a preveni accesul
neautorizat.
4.3. Dreptul de a depune plângere (Art. 77 RGPD)
CJUE a afirmat fără echivoc că persoana vizată are un drept individual, direct și efectiv de a
formula plângere. Autoritatea de supraveghere nu poate respinge o plângere fără o analiză
reală. Chiar dacă nu există prejudicii materiale, persoana are dreptul la o evaluare obiectivă a
situației. Ignorarea unei plângeri sau refuzul de a se pronunța pe fond este contrar RGPD.
5. Implicații juridice și sociale
Hotărârea are implicații extinse pentru administrația publică din statele membre. Ea stabilește
clar că:
Respectarea RGPD este obligatorie pentru toate autoritățile, indiferent de context;
Simplificarea administrativă nu justifică restrângerea drepturilor fundamentale;
Persoanele vizate au drepturi efective și protejate, inclusiv atunci când nu pot
demonstra un prejudiciu direct;
Orice excepție trebuie interpretată restrictiv și justificată concret.
�Pe plan social, decizia reafirmă încrederea în mecanismele de protecție a datelor și încurajează
cetățenii să-și exercite drepturile. Ea are un rol educativ pentru instituțiile statului, care trebuie
să adopte o cultură a protecției datelor, nu doar să aplice formal reguli.
6. Concluzii
Hotărârea CJUE în Cauza C-169/23 confirmă rolul activ al Curții în garantarea drepturilor
fundamentale în Uniunea Europeană. Prin interpretarea RGPD în sens larg, favorabil persoanei
vizate, CJUE reafirmă faptul că interesul public nu este o scuză pentru a evita responsabilitățile
legale privind protecția datelor.
Această cauză poate servi drept precedent pentru viitoare litigii în care se invocă interesul
public pentru prelucrarea automată a datelor. De asemenea, ea consolidează ideea că fiecare
cetățean are dreptul la informare, protecție și control asupra datelor sale, indiferent de
mijloacele tehnice utilizate de administrație.
7. Concluzii personale
Din perspectiva mea, această cauză este un exemplu clar despre cum protecția datelor
personale trebuie tratată cu seriozitate, chiar și în situații de urgență. Cred că autoritățile
publice nu ar trebui să folosească interesul public ca o justificare automată pentru a ignora
drepturile cetățenilor.
Faptul că persoana în cauză nu a fost informată despre prelucrarea datelor sale mi se pare o
lipsă gravă de transparență. Mi se pare important ca orice cetățean să aibă acces la informații
clare despre modul în care sunt folosite datele sale și să poată depune o plângere care să fie
tratată cu responsabilitate.
Această decizie îmi întărește convingerea că administrația publică trebuie să funcționeze în
mod deschis, corect și cu respect față de fiecare individ. Este o lecție despre importanța
respectării drepturilor omului, chiar și în perioade dificile.
Bibliografie
Hotărârea CJUE din 28 noiembrie 2024, C-169/23
Regulamentul (UE) 2016/679 (RGPD)
Carta Drepturilor Fundamentale a Uniunii Europene
Raportul Comisiei Europene privind aplicarea RGPD (2022)
Curtea Europeană a Drepturilor Omului, jurisprudență privind viața privată și protecția
datelor
