În urma uneia sau mai multor încălcări ale normelor de circulație rutieră, lui B, o persoană fizică, iau fost aplicate puncte de penalizare. Aceste puncte de penalizare au fost înscrise de Ceļu satiksmes drošības direkcija (Direcția pentru Siguranța Rutieră, Letonia) (”CSDD”) în registrul național al vehiculelor și al conducătorilor auto. În temeiul reglementării letone privind circulația rutieră, informațiile referitoare la punctele de penalizare aplicate conducătorilor de vehicule înscrise în acest registru sunt accesibile publicului și sunt comunicate de CSDD oricărei persoane care solicită acest lucru fără ca această persoană să fie ținută să justifice un interes specific în obținerea informațiilor respective, inclusiv operatorilor economici în vederea reutilizării. Ridicând problema legalității acestei reglementări, B a formulat o acțiune constituțională la Latvijas Republikas Satversmes tiesa (Curtea Constituțională, Letonia) pentru ca aceasta să examineze conformitatea reglementării menționate cu dreptul la respectarea vieții private.

Curtea Constituțională a considerat că, în cadrul aprecierii sale asupra acestui drept constituțional, trebuie să ia în considerare Regulamentul general privind protecția datelor (RGPD). Astfel, ea a solicitat Curții să clarifice înțelesul mai multor dispoziții din RGPD în scopul de a determina compatibilitatea reglementării letone privind circulația rutieră cu acest regulament.

Prin hotărârea pronunțată în Marea Cameră, Curtea consideră că RGPD se opune reglementării letone. Ea constată că nu este demonstrată necesitatea, în special în raport cu obiectivul de îmbunătățire a siguranței rutiere invocat de guvernul leton, a unei comunicări a datelor cu caracter personal referitoare la punctele de penalizare aplicate pentru încălcarea normelor de circulație. În plus, potrivit Curții, nici dreptul publicului de a avea acces la documentele oficiale, nici dreptul la libertatea de informare nu justifică o astfel de reglementare.

În primul rând, Curtea statuează că prelucrarea de date cu caracter personal referitoare la punctele de penalizare constituie o ”prelucrare de date cu caracter personal referitoare la condamnări penale și infracțiuni”, pentru care RGPD prevede o protecție sporită din cauza caracterului deosebit de sensibil al datelor în cauză.

În acest cadru, Curtea observă, cu titlu introductiv, că informațiile referitoare la punctele de penalizare sunt date cu caracter personal și că comunicarea lor de către CSDD unor terți constituie o prelucrare care intră în domeniul de aplicare material al RGPD. Astfel, acest domeniu de aplicare este foarte larg, iar această prelucrare nu intră sub incidența excepțiilor de la aplicabilitatea regulamentului.

În acest sens, pe de o parte, această prelucrare nu intră sub incidența excepției referitoare la neaplicarea RGPD în cazul unei prelucrări efectuate în cadrul unei activități care nu intră sub incidența dreptului Uniunii. Această excepție trebuie considerată ca având ca unic obiectiv excluderea din domeniul de aplicare al regulamentului menționat a prelucrărilor de date cu caracter personal efectuate de autoritățile de stat în cadrul unei activități de apărare a securității naționale sau al unei activități care poate fi încadrată în aceeași categorie. Aceste activități cuprind activitățile care urmăresc protejarea funcțiilor esențiale ale statului și a intereselor fundamentale ale societății. Or, activitățile referitoare la siguranța rutieră nu urmăresc acest obiectiv și nu pot fi încadrate, așadar, în categoria activităților care au ca scop apărarea securității naționale.

Pe de altă parte, comunicarea datelor personale referitoare la punctele de penalizare nu este o prelucrare acoperită de excepția care prevede neaplicarea RGPD în cazul prelucrării datelor cu caracter personal efectuate de autoritățile competente în materie penală. Curtea constată astfel că CSDD nu poate fi considerată, atunci când efectuează comunicarea menționată, o astfel de ”autoritate competentă”.

Pentru a stabili dacă accesul la datele cu caracter personal referitoare la încălcarea normelor de circulație, precum punctele de penalizare, constituie o prelucrare de date cu caracter personal referitoare la ”infracțiuni”, care beneficiază de o protecție sporită, Curtea constată, întemeindu-se în special pe geneza RGPD, că această noțiune se referă exclusiv la infracțiunile penale. Faptul că, în sistemul juridic leton, încălcările normelor de circulație sunt calificate drept administrative nu este însă determinant pentru a aprecia dacă aceste încălcări intră sub incidența noțiunii de ”infracțiune”, în măsura în care este vorba despre o noțiune autonomă de drept al Uniunii care necesită în întreaga Uniune o interpretare autonomă și uniformă. Astfel, după ce a amintit cele trei criterii pertinente pentru aprecierea caracterului penal al unei fapte ilicite, și anume calificarea juridică a faptei ilicite în dreptul intern, natura faptei ilicite și gradul de severitate al sancțiunii aplicate, Curtea statuează că încălcările normelor de circulație în cauză intră sub incidența noțiunii de ”infracțiune” în sensul RGPD. În ceea ce privește primele două criterii, Curtea constată că, deși faptele ilicite nu sunt calificate drept „penale” în dreptul național, un asemenea caracter poate decurge din natura faptei ilicite și în special din finalitatea represivă pe care o urmărește sancțiunea la care conduce fapta ilicită. Or, în speță, atribuirea unor puncte de penalizare pentru încălcarea normelor de circulație rutieră, precum și celelalte sancțiuni pe care aceste încălcări le poate antrena, urmăresc, printre altele, o astfel de finalitate represivă. În ceea ce privește al treilea criteriu, Curtea observă că numai încălcările normelor de circulație rutieră de o anumită gravitate presupun atribuirea unor puncte de penalizare și că, prin urmare, acestea pot antrena sancțiuni de o anumită gravitate. Mai mult, aplicarea punctelor respective se adaugă în general sancțiunii impuse, iar cumularea punctelor menționate antrenează consecințe juridice, care pot merge chiar până la interdicția de a conduce.

În al doilea rând, Curtea statuează că RGPD se opune reglementării letone care obligă CSDD să facă accesibile publicului datele referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație, fără ca persoana care solicită accesul să justifice un interes specific în obținerea acestora.

În acest context, Curtea subliniază că îmbunătățirea siguranței rutiere, pe care o urmărește reglementarea letonă, constituie un obiectiv de interes general recunoscut de Uniune și că, prin urmare, statele membre pot califica siguranța rutieră drept ”sarcină care servește unui interes public”. Cu toate acestea, nu este demonstrată necesitatea regimului leton de comunicare a datelor cu caracter personal referitoare la punctele de penalizare pentru garantarea obiectivului urmărit. Astfel, pe de o parte, legiuitorul leton dispune de o multitudine de modalități de acțiune care i-ar fi permis să atingă acest obiectiv prin alte mijloace care aduc mai puțin atingere drepturilor fundamentale ale persoanelor vizate. Pe de altă parte, trebuie să se țină seama de caracterul sensibil al datelor referitoare la punctele de penalizare și de faptul că comunicarea acestora publicului poate constitui o ingerință gravă în drepturile la respectarea vieții private și la protecția datelor cu caracter personal, din moment ce poate provoca dezaprobarea socială și poate antrena stigmatizarea persoanei în cauză.

În plus, Curtea consideră că, ținând seama de caracterul sensibil al acestor date și de gravitatea acestei ingerințe în cele două drepturi fundamentale, aceste drepturi prevalează atât asupra interesului publicului de a avea acces la documente oficiale, cum este registrul național al vehiculelor și al conducătorilor acestora, cât și asupra dreptului la libertatea de informare.

În al treilea rând, pentru motive identice, Curtea statuează că RGPD se opune de asemenea reglementării letone în măsura în care aceasta autorizează CSDD să comunice datele referitoare la punctele de penalizare aplicate conducătorilor de vehicule pentru încălcarea normelor de circulație unor operatori economici pentru ca aceștia din urmă să le poată reutiliza și comunica publicului.

În al patrulea și ultimul rând, Curtea precizează că principiul supremației dreptului Uniunii se opune ca instanța de trimitere, sesizată cu o acțiune împotriva reglementării letone, calificată de Curte ca incompatibilă cu dreptul Uniunii, să decidă menținerea efectelor juridice ale acestei reglementări până la data pronunțării hotărârii sale definitive.