HOTĂRÂREA CURȚII din 13 noiembrie 2025, în cauza C‑654/23, având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Curtea de Apel București (România), prin decizia din 20 martie 2023, primită de Curte la 2 noiembrie 2023, în procedura Inteligo Media SA împotriva Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a soluționat câteva aspecte privind aplicarea GDPR.
Situația de fapt.
Inteligo Media este editorul publicației de presă online avocatnet.ro, destinată informării publicului larg, nespecialist în domeniul juridic, cu privire la modificările legislative apărute zilnic în România. La 27 iulie 2018, această societate a introdus, cu denumirea comercială „Serviciu Premium”, un sistem de abonament cu plată pentru o parte din conținutul furnizat cititorilor săi. La data faptelor din litigiul principal, societatea menționată permitea vizualizarea gratuită de către orice utilizator a unui număr maxim de șase articole pe lună. Pentru a accesa articole suplimentare, utilizatorul în cauză trebuia, într‑o primă etapă, să creeze un cont gratuit pe platforma online în discuție, ceea ce presupunea acceptarea de către acest utilizator a termenilor și condițiilor contractuale de furnizare a „Serviciului Premium”. Prin abonarea la acest serviciu, utilizatorul menționat primea dreptul de a accesa gratuit două articole suplimentare lunar, de a primi gratuit prin e‑mail informarea zilnică, denumită „Personal Update”, care oferea o privire de ansamblu asupra evoluțiilor legislative din ziua precedentă, cu hiperlinkuri către articolele relevante disponibile pe această platformă, precum și dreptul de a accesa, opțional și contra cost, toate articolele publicației și de a primi prin e‑mail versiunea integrală a acestei informări, denumită „Sinteze Informative”. La crearea acestui cont, utilizatorii puteau alege să nu primească informarea „Personal Update”, bifând căsuța „Nu vreau să primesc «Personal Update»” din formularul online care trebuia completat în acest scop. De asemenea, de fiecare dată când primeau această informare, utilizatorii care nu mai doreau să o primească puteau apăsa butonul „DEZABONARE”. La 26 septembrie 2019, ANSPDCP a întocmit un proces‑verbal de sancționare contravențională prin care a aplicat Inteligo Media o amendă în cuantum de 42 714 RON (aproximativ 9 000 de euro) pentru încălcarea articolului 5 alineatul (1) literele (a) și (b), a articolului 6 alineatul (1) litera (a) și a articolului 7 din RGPD. ANSPDCP a considerat că această societate nu a putut face dovada obținerii consimțământului explicit pentru un număr de 4 357 de utilizatori pentru prelucrarea datelor lor cu caracter personal (e‑mail, parolă, nume de utilizator) și că a prelucrat aceste date într‑un mod incompatibil cu scopul pentru care fuseseră inițial colectate. Astfel, datele menționate, colectate inițial în scopul executării contractului în cauză, ar fi fost prelucrate pentru transmiterea informării „Personal Update”.Inteligo Media a formulat contestație la Tribunalul București (România), solicitând în principal anularea acestui proces‑verbal.
Întrebările preliminare.
1) În situația în care un editor de publicație de presă online de informare a publicului larg, nespecialist în domeniu, cu privire la modificările legislative apărute zilnic în România obține adresa de e‑mail a unui utilizator cu ocazia creării de către acesta din urmă, cu titlu gratuit, a unui cont de utilizator care îi conferă dreptul (i) de a accesa cu titlu gratuit un număr suplimentar de articole ale publicației în cauză, (ii) de a primi prin e‑mail o informare zilnică cuprinzând o sinteză cu noutăți legislative tratate în articole din cadrul publicației și hiperlinkuri către respectivele articole și (iii) de a accesa contra cost articole și analize suplimentare și/sau mai extinse ale publicației față de informarea zilnică transmisă gratuit:
a) este adresa de e‑mail respectivă obținută de editorul publicației de presă online «în contextul vânzării unui produs sau [a unui] serviciu», în sensul articolului 13 alineatul (2) din [Directiva 2002/58]?
b) transmiterea de către editorul de presă a unei informări de tipul celei descrise la punctul (ii) reprezintă «promovarea directă a propriilor produse sau servicii similare» în sensul articolului 13 alineatul (2) din [Directiva 2002/58]?
2) Dacă răspunsurile la [prima întrebare] literele a) și b) sunt afirmative, care dintre condițiile prevăzute la articolul 6 alineatul (1) literele (a)-(f) din [RGPD] trebuie interpretate ca fiind aplicabile atunci când editorul folosește adresa de e‑mail a utilizatorului în scopul transmiterii unei informări zilnice de tipul celei descrise la [prima întrebare] punctul (ii), cu respectarea cerințelor prevăzute la articolul 13 alineatul (2) din [Directiva 2002/58]?
3) Articolul 13 alineatul (1) și alineatul (2) din [Directiva 2002/58] trebuie interpretat în sensul că se opune unei reglementări naționale care utilizează noțiunea de «comunicare comercială» prevăzută de articolul 2 litera (f) din Directiva [2000/31] în locul noțiunii de «marketing direct» prevăzute de [Directiva 2002/58]? Dacă răspunsul este negativ, o informare de tipul celei descrise la [prima întrebare] punctul (ii) reprezintă «comunicare comercială» în sensul articolului 2 litera (f) din [Directiva 2000/31]?
4) Dacă răspunsurile la [prima întrebare] literele (a) și (b) sunt negative:
a) reprezintă transmiterea prin e‑mail a unei informări zilnice de tipul celei descrise la [prima întrebare] punctul (ii) de mai sus «[f]olosirea […] poștei electronice în scopuri de marketing direct» în sensul articolului 13 alineatul (1) din Directiva [2002/58]? respectiv
b) articolul 95 din [RGPD] coroborat cu articolul 15 alineatul (2) din Directiva [2002/58] trebuie interpretat în sensul că neîndeplinirea condițiilor cu privire la obținerea unui consimțământ valabil al utilizatorului potrivit articolului 13 alineatul (1) din Directiva [2002/58] va fi sancționată potrivit articolului 83 din [RGPD] sau potrivit dispozițiilor dreptului național din actul de transpunere a Directivei [2002/58] care, la rândul său, conține sancțiuni aplicabile specifice?
5) Articolul 83 alineatul (2) din [RGPD] trebuie interpretat în sensul că o autoritate de supraveghere care ia decizia dacă să impună o amendă administrativă, precum și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte are obligația de a analiza și a explica în actul administrativ de sancționare impactul fiecăruia dintre criteriile prevăzute la literele (a)-(k) asupra deciziei de a impune o amendă, respectiv asupra deciziei cu privire la cuantumul amenzii aplicate?”
Răspunsul Curții.
1. Articolul 13 alineatele (1) și (2) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009,
trebuie interpretat în sensul că
adresa de e‑mail a unui utilizator este obținută de editorul unei publicații online „în contextul vânzării unui produs sau a unui serviciu”, în sensul acestui articol 13 alineatul (2), atunci când respectivul utilizator creează un cont gratuit pe platforma online a acestuia care îi dă dreptul de a accesa gratuit un anumit număr de articole ale publicației amintite, de a primi gratuit prin e‑mail o informare zilnică ce conține un rezumat al noutăților legislative tratate în articole ale acestei publicații, inclusiv hiperlinkuri către acestea din urmă, precum și dreptul de a accesa contra cost articole și analize suplimentare ale publicației menționate. Transmiterea unei astfel de informări reprezintă o folosire a poștei electronice „în scopuri de marketing direct” pentru „produse sau servicii similare” în sensul acestei din urmă dispoziții.
2. Articolul 13 alineatul (2) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, coroborat cu articolul 95 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)
trebuie interpretat în sensul că,
atunci când operatorul utilizează adresa de e‑mail a unui utilizator pentru a‑i trimite o comunicare nesolicitată, în conformitate cu acest articol 13 alineatul (2), condițiile de legalitate a prelucrării prevăzute la articolul 6 alineatul (1) din acest regulament nu sunt aplicabile.
3. A treia întrebare adresată de Curtea de Apel București (România) este inadmisibilă.
Photo by Mariia Shalabaieva on Unsplash
Comentarii