This document is an excerpt from the EUR-Lex website
Document 62012CC0131
Opinion of Advocate General Jääskinen delivered on 25 June 2013.#Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González.#Request for a preliminary ruling from the Audiencia Nacional.#Personal data — Protection of individuals with regard to the processing of such data — Directive 95/46/EC — Articles 2, 4, 12 and 14 — Material and territorial scope — Internet search engines — Processing of data contained on websites — Searching for, indexing and storage of such data — Responsibility of the operator of the search engine — Establishment on the territory of a Member State — Extent of that operator’s obligations and of the data subject’s rights — Charter of Fundamental Rights of the European Union — Articles 7 and 8.#Case C‑131/12.
Conclusões do advogado‑geral N. Jääskinen apresentadas em 25 de junho de 2013.
Google Spain SL e Google Inc. contra Agencia Española de Protección de Datos (AEPD) e Mario Costeja González.
Pedido de decisão prejudicial apresentado pela Audiencia Nacional.
Dados pessoais — Proteção das pessoas singulares no que diz respeito ao tratamento desses dados — Diretiva 95/46/CE — Artigos 2.°, 4.°, 12.° e 14.° — Âmbito de aplicação material e territorial — Motores de busca na Internet — Tratamento de dados contidos em sítios web — Pesquisa, indexação e armazenamento desses dados — Responsabilidade do operador do motor de busca — Estabelecimento no território de um Estado‑Membro — Alcance das obrigações desse operador e dos direitos da pessoa em causa — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.° e 8.°.
Processo C‑131/12.
Conclusões do advogado‑geral N. Jääskinen apresentadas em 25 de junho de 2013.
Google Spain SL e Google Inc. contra Agencia Española de Protección de Datos (AEPD) e Mario Costeja González.
Pedido de decisão prejudicial apresentado pela Audiencia Nacional.
Dados pessoais — Proteção das pessoas singulares no que diz respeito ao tratamento desses dados — Diretiva 95/46/CE — Artigos 2.°, 4.°, 12.° e 14.° — Âmbito de aplicação material e territorial — Motores de busca na Internet — Tratamento de dados contidos em sítios web — Pesquisa, indexação e armazenamento desses dados — Responsabilidade do operador do motor de busca — Estabelecimento no território de um Estado‑Membro — Alcance das obrigações desse operador e dos direitos da pessoa em causa — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.° e 8.°.
Processo C‑131/12.
Court reports – general
ECLI identifier: ECLI:EU:C:2013:424
NIILO JÄÄSKINEN
apresentadas em 25 de junho de 2013 ( 1 )
Processo C‑131/12
Google Spain SL
Google Inc.
contra
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
[pedido de decisão prejudicial apresentado pela Audiencia Nacional (Espanha)]
«World Wide Web — Dados pessoais — Motor de pesquisa na Internet — Diretiva 95/46/CE relativa à proteção de dados — Interpretação dos artigos 2.°, alíneas b) e d), 4.°, n.o 1, alíneas a) e c), 12.°, alínea b), e 14.°, alínea a) — Âmbito de aplicação territorial — Conceito de estabelecimento no território de um Estado‑Membro — Âmbito de aplicação material — Conceito de tratamento de dados pessoais — Conceito de responsável pelo tratamento de dados pessoais — Direito de apagamento e de bloqueio dos dados — «Direito de ser esquecido» — Carta dos Direitos Fundamentais da União Europeia — artigos 7.°, 8.°, 11.° e 16.°»
I — Introdução
1. |
Em 1890, no seu artigo pioneiro publicado na Harvard Law Review, «The Right to Privacy» ( 2 ), Samuel D. Warren e Louis D. Brandeis lamentavam que «certas invenções e métodos de comercialização recentes», como as «fotografias instantâneas e a indústria do jornalismo, invadiram os lugares sagrados da vida doméstica e privada». No mesmo artigo, aludiam «ao passo seguinte que deve ser dado para a proteção da pessoa». |
2. |
Hoje em dia, a proteção dos dados pessoais e da privacidade das pessoas singulares tornou‑se cada vez mais importante. Qualquer conteúdo que inclua dados pessoais, sob a forma de textos ou de materiais audiovisuais, pode ser disponibilizado de forma instantânea e permanente em formato digital ao nível mundial. A Internet revolucionou as nossas vidas ao remover os obstáculos técnicos e institucionais à difusão e à receção de informação, e criou uma plataforma para diversos serviços da sociedade da informação. Estes beneficiam os consumidores, as empresas e o conjunto da sociedade. Isto deu origem a condições inéditas nas quais há que encontrar um equilíbrio entre os diversos direitos fundamentais, como a liberdade de expressão, a liberdade de informação e a liberdade de empresa, por um lado, e a proteção dos dados pessoais e da privacidade das pessoas singulares, por outro. |
3. |
No contexto da Internet, há que distinguir três situações relacionadas com os dados pessoais. A primeira é a publicação de elementos de dados pessoais em qualquer página web na Internet ( 3 ) (a seguir «página‑fonte») ( 4 ). A segunda é o caso em que um motor de pesquisa na Internet fornece resultados de pesquisa que encaminham um utilizador da Internet para a página‑fonte. A terceira operação, mais invisível, ocorre quando o utilizador efetua uma pesquisa utilizando um motor de pesquisa, e alguns dos seus dados pessoais, como o endereço IP (protocolo Internet) a partir do qual a pesquisa é feita, são automaticamente transferidos para o prestador do serviço de motor de pesquisa na Internet ( 5 ). |
4. |
No que respeita à primeira situação, o Tribunal já declarou no seu acórdão de 6 de novembro de 2003, Lindqvist (C-101/01, Colet., p. I-12971) que a Diretiva 95/46/CE ( 6 ) (a seguir «diretiva relativa à proteção de dados» ou «diretiva») se aplica a esta situação. A terceira situação não está em causa no presente processo; foram iniciados por autoridades nacionais de proteção de dados e estão em curso procedimentos administrativos para a clarificação do âmbito de aplicação das normas de proteção de dados da UE aos utilizadores de motores de pesquisa na Internet ( 7 ). |
5. |
Neste caso, o despacho de reenvio refere‑se à segunda situação. O despacho de reenvio foi submetido pela Audiencia Nacional no processo que opõe a Google Spain, SL, e a Google, Inc. (individual ou conjuntamente «Google»), por um lado, à Agencia Española de Protección de Datos (a seguir «AEPD») e a Mario Costeja González (a seguir «pessoa em causa»), por outro. O processo tem por objeto a aplicação da diretiva relativa à proteção de dados a um motor de pesquisa na Internet que a Google utiliza enquanto prestadora de serviços. No processo nacional, é pacífico que alguns dados pessoais relativos à pessoa em causa foram publicados por um jornal espanhol, em duas das suas edições impressas em 1998, ambas republicadas numa data posterior na sua versão eletrónica disponibilizada na Internet. A pessoa em causa entende agora que esta informação não deve continuar a ser exibida nos resultados da pesquisa apresentados pelo motor de pesquisa na Internet utilizado pela Google, quando é feita uma pesquisa do seu nome próprio e dos seus apelidos. |
6. |
As questões submetidas ao Tribunal de Justiça dividem‑se em três categorias ( 8 ). O primeiro grupo de questões refere‑se ao âmbito de aplicação territorial das normas de proteção de dados da UE. O segundo grupo aborda as questões relativas à posição jurídica de um prestador do serviço de motor de pesquisa na Internet ( 9 ) à luz da diretiva, em especial ao nível do seu âmbito de aplicação material. Por último, a terceira questão tem por objeto o denominado «direito de ser esquecido» e a questão de saber se as pessoas em causa podem solicitar que alguns ou todos os resultados da pesquisa que lhes digam respeito deixem de estar acessíveis através do motor de pesquisa. Todas estas questões, que também suscitam questões importantes relacionadas com a proteção dos direitos fundamentais, são novas para o Tribunal. |
7. |
Este parece ser o primeiro caso em que o Tribunal é chamado a interpretar uma diretiva no contexto dos motores de pesquisa na Internet; uma questão que parece ser conhecida das autoridades nacionais de proteção de dados e dos tribunais dos Estados‑Membros. Com efeito, o órgão jurisdicional de reenvio indicou que lhe foram submetidos vários processos semelhantes. |
8. |
A jurisprudência anterior mais importante do Tribunal em que foram abordadas questões relativas à proteção de dados e à Internet foi o acórdão Lindqvist ( 10 ) . Porém, nesse acórdão não estavam em causa motores de pesquisa na Internet. A própria diretiva já foi interpretada em vários acórdãos. Entre estes, são particularmente relevantes os acórdãos Österreichischer Rundfunk ( 11 ), Satakunnan Markkinapörssi e Satamedia ( 12 ) e Volker und Markus Schecke e Eifert ( 13 ). O papel dos motores de pesquisa na Internet em relação aos direitos de propriedade intelectual e à competência dos tribunais também foi abordado na jurisprudência do Tribunal de Justiça nos acórdãos Google France e Google, Portakabin, L’Oréal e o., Interflora e Interflora British Unit e Wintersteiger ( 14 ). |
9. |
Desde a adoção da diretiva, foi incluída uma disposição sobre a proteção de dados pessoais no artigo 16.o TFUE e no artigo 8.o a Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»). Além disso, em 2012, a Comissão apresentou uma proposta de regulamento geral sobre a proteção de dados ( 15 ), com vista à substituição da diretiva. No entanto, o litígio em apreço tem de ser decidido com base na legislação existente. |
10. |
O presente pedido de decisão prejudicial é afetado pelo facto de, em 1990, quando foi apresentada a proposta de diretiva da Comissão, a Internet, no sentido atual da World Wide Web, não existir, e também não existirem motores de pesquisa. Na época em que a diretiva foi adotada, em 1995, a Internet estava apenas a começar e apareciam os primeiros motores de pesquisa rudimentares, mas ninguém podia prever a revolução tão profunda que a Internet iria produzir no mundo. Hoje em dia, pode considerar‑se que praticamente qualquer pessoa com um smartphone ou um computador realiza operações na Internet às quais a diretiva se poderia potencialmente aplicar. |
I — Quadro jurídico
A — Diretiva relativa à proteção de dados
11. |
O artigo 1.o da diretiva obriga os Estados‑Membros a assegurarem, em conformidade com as disposições da diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais. |
12. |
O artigo 2.o define, designadamente, os conceitos de «dados pessoais» e «pessoa em causa», «tratamento de dados pessoais», «responsável pelo tratamento» de dados pessoais e «terceiro». |
13. |
Nos termos do artigo 3.o, a diretiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como, em determinadas situações, ao tratamento por meios não automatizados. |
14. |
Nos termos do artigo 4.o, n.o 1, um Estado‑Membro aplicará as suas disposições nacionais adotadas por força da diretiva ao tratamento de dados pessoais quando houver um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro ou, nos casos em que o responsável pelo tratamento não estiver estabelecido na União, se recorrer, para tratamento de dados pessoais, a meios situados no território desse Estado‑Membro. |
15. |
O artigo 12.o da diretiva confere às pessoas em causa um «direito de acesso» aos dados pessoais tratados pelo responsável pelo tratamento e o artigo 14.o confere‑lhes um «direito de oposição» ao tratamento de dados pessoais em determinadas situações. |
16. |
O artigo 29.o da diretiva cria um grupo independente com caráter consultivo composto, nomeadamente, por autoridades de proteção de dados dos Estados‑Membros (a seguir «grupo de trabalho do ‘artigo 29.o’»). |
B — Direito nacional
17. |
A Lei orgânica 15/1999 relativa à proteção dos dados pessoais transpõe a diretiva para direito espanhol ( 16 ). |
II — Matéria de facto e questões prejudiciais
18. |
No início de 1998, um jornal de grande tiragem em Espanha publicou na sua edição impressa dois anúncios relativos a uma venda de imóveis em hasta pública relacionada com um arresto originado por dívidas à Segurança Social. A pessoa em causa era mencionada como sendo o proprietário. Numa data posterior, o seu editor disponibilizou online uma versão eletrónica do jornal. |
19. |
Em novembro de 2009, a pessoa em causa contactou a editora do jornal afirmando que, ao inserir o seu nome e apelidos no motor de pesquisa da Google, era exibida uma referência a páginas do jornal com os anúncios relativos à venda de imóveis em hasta pública. Alegou que o processo relativo às suas dívidas à Segurança Social estava completamente resolvido e findo há alguns anos e que carecia de relevância atualmente. O editor respondeu afirmando que não procederia ao apagamento dos dados uma vez que a publicação tinha sido efetuada por ordem do Ministério do Emprego e dos Assuntos Sociais. |
20. |
Em fevereiro de 2010, a pessoa em causa contactou a Google Spain e pediu‑lhe que, quando o seu nome e os seus apelidos fossem inseridos no motor de pesquisa da Google, os resultados da pesquisa não exibissem hiperligações para o jornal. A Google Spain remeteu o pedido para a Google Inc. (a seguir «Google»), com sede social na Califórnia (Estados Unidos), por entender ser esta empresa quem presta o serviço de pesquisa na Internet. |
21. |
Posteriormente, a mesma pessoa apresentou uma reclamação à Agencia Española de Protección de Datos (a seguir «AEPD») requerendo que fosse exigida ao editor a eliminação ou a modificação da publicação, para que os seus dados pessoais deixassem de ser exibidos, ou a utilização dos instrumentos disponibilizados pelos motores de pesquisa para proteger a sua informação pessoal. Requereu também que fosse exigido à Google Spain ou à Google Inc. que eliminassem ou ocultassem os seus dados de modo a que deixassem de ser exibidos nos resultados de pesquisa e de mostrar hiperligações para o jornal. |
22. |
Por decisão de 30 de julho de 2010, o diretor da AEPD deferiu a reclamação apresentada pela pessoa em causa contra a Google Spain e contra a Google Inc., exigindo a estas a adoção das medidas necessárias para retirar os dados do seu índice e impossibilitar o acesso futuro aos mesmos, mas indeferiu a reclamação apresentada contra o editor. Esta reclamação foi indeferida porque a publicação dos dados na imprensa tinha fundamento legal. A Google Spain e a Google Inc. interpuseram dois recursos para o órgão jurisdicional de reenvio, pedindo que a decisão da AEPD fosse declarada nula. |
23. |
O órgão jurisdicional nacional suspendeu a instância e submeteu ao Tribunal de Justiça as seguintes questões prejudiciais:
|
24. |
Foram apresentadas observações escritas pela Google, pelos Governos espanhol, grego, italiano, austríaco e polaco e pela Comissão Europeia. Com exceção do Governo polaco, todos participaram na audiência de 26 de fevereiro de 2013, assim como o representante da pessoa em causa, e apresentaram alegações orais. |
III — Observações preliminares
A — Notas introdutórias
25. |
A principal questão no presente processo consiste em saber de que modo deve ser interpretado o papel dos prestadores do serviço de motor de pesquisa na Internet à luz dos instrumentos jurídicos existentes da União em matéria de proteção de dados, em particular da diretiva. Por conseguinte, é elucidativo começar com algumas observações relativas ao desenvolvimento da proteção de dados, da Internet e dos motores de pesquisa na Internet. |
26. |
Quando da negociação e adoção da diretiva em 1995 ( 17 ), foi‑lhe atribuído um âmbito de aplicação material extenso. Isto foi feito com o objetivo de acompanhar os desenvolvimentos tecnológicos relativos ao tratamento de dados por «responsáveis pelo tratamento» (controllers), o qual era mais descentralizado do que os sistemas de arquivo baseados em bancos de dados tradicionais centralizados, e também abrangia novos tipos de dados pessoais, como imagens, e novas técnicas de tratamento como as pesquisas de texto livre ( 18 ). |
27. |
Em 1995, o acesso generalizado à Internet era um fenómeno novo. Hoje, passadas quase duas décadas, a quantidade de conteúdos digitalizados disponíveis online aumentou astronomicamente. Estes podem ser facilmente acedidos, consultados e difundidos através de redes sociais, assim como descarregados para diversos dispositivos, tais como computadores tabulares (tablet computers), telefones inteligentes (smartphones) e computadores portáteis. Contudo, é claro que o legislador comunitário não previu a evolução da Internet para uma base global e abrangente de informação que é universalmente acessível e pesquisável. |
28. |
No cerne do presente pedido de decisão prejudicial está o facto de a Internet ampliar e facilitar de uma forma inédita a difusão da informação ( 19 ). De modo semelhante, como a invenção da imprensa no século XV permitiu a reprodução de um número ilimitado de cópias que anteriormente tinham de ser escritas à mão, o carregamento de material para a Internet permite o acesso em massa à informação que anteriormente só podia ser eventualmente encontrada depois de pesquisas árduas, e num número limitado de locais. O acesso universal à informação na Internet é possível em todo o lado, com exceção dos países em que as autoridades limitaram, por diversos meios técnicos (tais como barreiras de proteção eletrónicas [electronic firewalls]) o acesso à Internet ou em que o acesso às telecomunicações é controlado ou escasso. |
29. |
Devido a estes desenvolvimentos, o potencial âmbito de aplicação da diretiva no mundo moderno tornou‑se surpreendentemente vasto. Pensemos no caso de um professor de direito da UE que descarregou, do sítio web do Tribunal de Justiça, a jurisprudência essencial do Tribunal de Justiça para o seu computador portátil. À luz da diretiva, o professor pode ser considerado um «responsável pelo tratamento» de dados pessoais provenientes de um terceiro. O professor tem ficheiros que contêm dados pessoais que são tratados automaticamente para pesquisa e consulta no contexto de atividades que não são exclusivamente pessoais ou domésticas. De facto, qualquer pessoa que hoje leia um jornal num tablet ou que siga uma rede social num smartphone parece dedicar‑se ao tratamento de dados pessoais com meios automatizados e está potencialmente abrangida pelo âmbito de aplicação da diretiva, desde que não o faça exclusivamente a título privado ( 20 ). Além disso, a interpretação ampla dada pelo Tribunal de Justiça ao direito fundamental à vida privada, num contexto de proteção dos dados, parece expor qualquer comunicação humana por meios eletrónicos a uma fiscalização à luz deste direito. |
30. |
No atual contexto, as definições amplas de dados pessoais, tratamento de dados pessoais e responsável pelo tratamento abrange potencialmente um leque sem precedentes de novas situações de facto resultante do desenvolvimento tecnológico. Isto porque muitos, se não a maior parte, dos sítios web e dos ficheiros que são acessíveis através desses sítios incluem dados pessoais, como nomes de pessoas singulares vivas. Isto obriga o Tribunal de Justiça a aplicar uma regra de razão («rule of reason»), ou seja, o princípio da proporcionalidade, ao interpretar o âmbito da diretiva, a fim de evitar consequências jurídicas irrazoáveis e excessivas. Esta abordagem moderada já foi aplicada pelo Tribunal no acórdão Lindqvist, no qual rejeitou uma interpretação que poderia conduzir a um âmbito de aplicação excessivamente amplo do artigo 25.o da diretiva relativa à transferência de dados pessoais para países terceiros, no contexto da Internet ( 21 ). |
31. |
Assim, no caso em apreço, é necessário encontrar um equilíbrio correto, razoável e proporcionado entre a proteção dos dados pessoais, a interpretação coerente dos objetivos da sociedade da informação e os legítimos interesses dos operadores económicos e do conjunto dos utilizadores da Internet. Embora a diretiva não tenha sido alterada desde a sua adoção, em 1995, a sua aplicação a novas situações tem sido inevitável. Trata‑se de uma área complexa, onde o direito e as novas tecnologias se encontram. Os pareceres do grupo de trabalho do «artigo 29.o» fornecem uma análise muito útil a este respeito ( 22 ). |
B — Motores de pesquisa na Internet e proteção dos dados
32. |
Ao analisar a situação jurídica de um motor de pesquisa na Internet em relação às normas de proteção de dados, há que ter em conta os seguintes elementos ( 23 ). |
33. |
Em primeiro lugar, na sua forma mais básica, um motor de pesquisa na Internet não cria, em princípio, novos conteúdos autónomos. Na sua forma mais simples, apenas indica onde podem ser encontrados conteúdos já existentes, disponibilizados por terceiros na Internet, fornecendo uma hiperligação [hyperlink] para o sítio web que contém os termos da pesquisa. |
34. |
Em segundo lugar, os resultados da pesquisa exibidos por um motor de pesquisa na Internet não se baseiam numa pesquisa imediata de toda a World Wide Web, mas são recolhidos a partir de conteúdos que o motor de pesquisa tratou previamente. Isto significa que um motor de pesquisa recupera conteúdos de sítios web existentes e copia, analisa e indexa esses conteúdos nos seus próprios dispositivos. Este conteúdo inclui dados pessoais se alguma das páginas‑fonte incluir tais dados. |
35. |
Em terceiro lugar, muitas vezes, para tornar mais fácil a utilização dos resultados, os motores de pesquisa apresentam conteúdos adicionais a par da ligação ao sítio web original. Podem ser excertos de um texto, conteúdos audiovisuais ou mesmo imagens (instantâneos) das páginas‑fonte. Esta informação pré‑visualizável pode, pelo menos em parte, ser recuperada dos dispositivos do prestador do serviço de motor de pesquisa, e não instantaneamente do sítio web original. Isto significa que o prestador de serviços detém efetivamente a informação exibida. |
C — Regulamentação dos motores de pesquisa na Internet
36. |
A União Europeia deu grande importância ao desenvolvimento da sociedade da informação. Neste contexto, também foi tratada a questão do papel dos intermediários da sociedade da informação. Tais intermediários atuam como pontes entre os fornecedores de conteúdos e os internautas. O papel específico dos intermediários foi reconhecido, por exemplo, na diretiva (considerando 47), na Diretiva 2000/31 sobre o comércio eletrónico ( 24 ) (artigo 21.o, n.o 2, e considerando 18 desta) assim como no parecer 1/2008 do grupo de trabalho do «artigo 29.o». O papel dos prestadores de serviços de Internet já foi considerado essencial para a sociedade da informação, e a sua responsabilidade pelos conteúdos de terceiros que transferem e/ou armazenam foi limitada para facilitar as suas atividades legítimas. |
37. |
O papel e a posição jurídica dos prestadores do serviço de motor de pesquisa na Internet não foram expressamente regulados na legislação da UE. Enquanto tais, os «serviços de ferramentas de localização de informação» são «prestados à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços», e consistem, assim, num serviço da sociedade da informação que se traduz no fornecimento de ferramentas de pesquisa, acesso e descarregamento de dados. No entanto, os prestadores do serviço de motor de pesquisa na Internet como a Google, que não prestam o seu serviço mediante remuneração dos utilizadores, parecem não estar abrangidos, a esse título, pelo âmbito de aplicação da Diretiva 2000/31 sobre o comércio eletrónico ( 25 ). |
38. |
Não obstante, é necessário analisar a sua posição face aos princípios jurídicos subjacentes às limitações de responsabilidade dos prestadores de serviços de Internet. Por outras palavras, pergunta‑se em que medida as atividades desenvolvidas por um prestador do serviço de motor de pesquisa na Internet são análogas, do ponto de vista dos princípios em matéria de responsabilidade, aos serviços enumerados na Diretiva 2000/31 sobre o comércio eletrónico [transferência, simples armazenamento temporário (caching), armazenamento em servidor] ou ao serviço de transmissão mencionado no considerando 47 da diretiva, e em que medida o prestador do serviço de motor de pesquisa na Internet intervém como fornecedor de conteúdo por direito próprio. |
D — O papel e a responsabilidade dos editores de páginas‑fonte
39. |
O Tribunal declarou, no acórdão Lindqvist, que «a operação que consiste em fazer constar, numa página Internet, dados de caráter pessoal, consubstancia esse tratamento [de dados pessoais].» ( 26 ). Além disso, «apresentar informações numa página Internet implica, segundo os procedimentos técnicos e informáticos aplicados atualmente, realizar uma operação de carregamento dessa página num servidor e as operações necessárias para tornar essa página acessível às pessoas que estão ligadas à Internet. Estas operações são efetuadas, pelo menos em parte, de maneira automatizada.» O Tribunal concluiu que «a operação que consiste na referência, feita numa página Internet, a várias pessoas e a sua identificação pelo nome ou por outros meios» constitui «um tratamento de dados pessoais por meios total ou parcialmente automatizados, na aceção do artigo 3.o, n.o 1, da [diretiva].» |
40. |
Resulta das conclusões acima referidas do acórdão Lindqvist que o editor de páginas‑fonte que contêm dados pessoais é um responsável pelo tratamento de dados pessoais na aceção da diretiva. Enquanto tal, está vinculado por todas as obrigações que a diretiva impõe aos responsáveis pelo tratamento. |
41. |
As páginas‑fonte são conservadas em servidores de armazenamento [host servers] ligados à Internet. O editor de páginas‑fonte pode utilizar «códigos de exclusão» ( 27 ) para o funcionamento dos motores de pesquisa na Internet. Os códigos de exclusão informam os motores de pesquisa de que não devem indexar ou armazenar uma página‑fonte, nem visualizá‑la nos resultados da pesquisa ( 28 ). A sua utilização indica que o editor não quer que determinadas informações contidas nas páginas‑fonte sejam extraídas para difusão através dos motores de pesquisa. |
42. |
Portanto, tecnicamente, o editor tem a possibilidade de incluir nas suas páginas web códigos de exclusão suscetíveis de restringir a indexação e o arquivo da página, reforçando, deste modo, a proteção dos dados pessoais. Em última análise, o editor pode remover a página do servidor de armazenamento, voltar a publicá‑la sem os dados pessoais controvertidos, e solicitar a atualização da página nas memórias de armazenamento provisório (cache) dos motores de pesquisa. |
43. |
Por conseguinte, a pessoa que publica o conteúdo nas páginas‑fonte é, na sua qualidade de responsável pelo tratamento, responsável pelos dados pessoais publicados na página, e tem diversos meios para cumprir as suas obrigações a este respeito. Esta atribuição da responsabilidade legal está em linha com os princípios estabelecidos da responsabilidade do editor no contexto dos meios de comunicação tradicionais ( 29 ). |
44. |
A responsabilidade do editor não garante, no entanto, que os problemas relativos à proteção dos dados possam ser resolvidos de forma definitiva recorrendo apenas aos responsáveis pelo tratamento das páginas‑fonte. Como salientou o órgão jurisdicional de reenvio, é possível que os mesmos dados pessoais tenham sido publicados em inúmeras páginas, o que tornaria difícil ou mesmo impossível localizar e contactar todos os editores. Além disso, o editor pode residir num país terceiro, e as páginas web em questão podem não estar abrangidas pelo âmbito de aplicação das regras de proteção de dados da UE. Também pode haver impedimentos jurídicos, como no presente processo, em que a conservação da publicação original na Internet foi considerada lícita. |
45. |
De facto, a acessibilidade universal da informação na Internet depende dos motores de pesquisa, porque, sem eles, a localização da informação pertinente seria demasiado complexa e difícil, e produziria resultados limitados. Como observa corretamente o órgão jurisdicional de reenvio, a obtenção de informação sobre anúncios de venda forçada dos bens da pessoa em causa teria obrigado, no passado, a uma visita aos arquivos do jornal. Agora esta informação pode ser obtida digitando o nome da pessoa em causa num motor de pesquisa na Internet e isso faz com que a difusão desses dados seja consideravelmente mais eficiente e, ao mesmo tempo, mais perturbadora para a pessoa em causa. Os motores de pesquisa na Internet podem ser utilizados para criar perfis bastante completos das pessoas singulares mediante a pesquisa e a recolha dos seus dados pessoais. No entanto, foi o receio relativo à criação de perfis das pessoas singulares que inspirou o desenvolvimento da legislação moderna de proteção dos dados ( 30 ). |
46. |
Por estes motivos, é importante examinar a responsabilidade dos prestadores do serviço de motor de pesquisa na Internet em relação aos dados pessoais publicados em páginas web com origem em terceiros, acessíveis através dos respetivos motores. Por outras palavras, o Tribunal é confrontado com a questão da «responsabilidade secundária» desta categoria de prestadores de serviços da sociedade da informação, uma questão análoga à que tratou na sua jurisprudência sobre marcas e sítios de comércio eletrónico ( 31 ). |
E — Atividades de um prestador do serviço de motor de pesquisa na Internet
47. |
Um prestador do serviço de motor de pesquisa na Internet pode ter diversos tipos de atividades. A natureza e a avaliação dessas atividades do ponto de vista da proteção dos dados podem ser diferentes. |
48. |
Um prestador do serviço de motor de pesquisa na Internet pode obter automaticamente dados pessoais relativos aos seus utilizadores ( 32 ), ou seja, as pessoas que inserem termos de pesquisa no motor de pesquisa. Estes dados automaticamente transmitidos podem incluir o endereço IP, as preferências do utilizador (língua, etc.) e, naturalmente, os próprios termos da pesquisa que, no caso do denominado ego surfing (ou seja, pesquisas efetuadas por um utilizador com o seu próprio nome), revelam facilmente a identidade do utilizador. Além disso, no caso das pessoas que têm contas de utilizador e que, portanto, se registaram, os seus dados pessoais, como nomes, endereços de e‑mail e números de telefone, acabam quase sempre nas mãos do prestador do serviço de motor de pesquisa na Internet. |
49. |
As receitas do prestador do serviço de motor de pesquisa na Internet não proveem dos utilizadores que inserem os termos da pesquisa no motor de pesquisa, mas dos anunciantes que compram termos de pesquisa como palavras‑chave, de modo que o seu anúncio seja exibido simultaneamente com os resultados da pesquisa da utilização dessa palavra‑chave ( 33 ). É óbvio que os dados pessoais dos clientes anunciantes chegam à posse do prestador de serviços. |
50. |
Contudo, o presente pedido de decisão prejudicial refere‑se à atuação da Google como um simples prestador do serviço de motor de pesquisa na Internet em relação a dados, incluindo dados pessoais, publicados na Internet, em páginas web com origem em terceiros e tratados e indexados pelo motor de pesquisa da Google. Por conseguinte, os problemas dos utilizadores e dos clientes anunciantes, a cujos dados a diretiva é indubitavelmente aplicável no que respeita às suas relações com Google, não relevam para a análise do segundo grupo de questões prejudiciais. No entanto, estes grupos de clientes podem ser relevantes para as questões jurisdicionais relativas ao primeiro grupo de questões prejudiciais. |
IV — Primeiro grupo de questões, relativas ao âmbito de aplicação territorial da diretiva
A — Introdução
51. |
O primeiro grupo de questões prejudiciais tem por objeto a interpretação do artigo 4.o da diretiva, no que respeita aos critérios que determinam o âmbito de aplicação territorial da legislação nacional de transposição. |
52. |
O órgão jurisdicional de reenvio subdividiu as suas questões prejudiciais relativas à aplicação territorial da legislação espanhola de proteção dos dados em quatro subquestões. A primeira subquestão tem por objeto o conceito de «estabelecimento» na aceção do artigo 4.o, n.o 1, alínea a), da diretiva e a segunda as circunstâncias em que existe um recurso «a meios […] situados no território desse Estado‑Membro» na aceção do artigo 4.o, n.o 1, alínea c), da diretiva. A terceira subquestão pergunta se o armazenamento temporário da informação indexada pelos motores de pesquisa na Internet pode ser considerado um recurso a meios e, caso a resposta a esta última questão seja afirmativa, se se pode considerar que este critério de conexão está preenchido quando a empresa recusa revelar o sítio onde armazena estes índices. Na quarta subquestão pergunta‑se se a legislação que transpõe a diretiva deve ser aplicada, à luz do artigo 8.o da Carta Europeia dos Direitos Fundamentais, no Estado‑Membro onde está localizado o centro de gravidade do litígio e onde é possível uma proteção mais eficaz dos direitos dos cidadãos da União Europeia. |
53. |
Começarei por abordar a última subquestão, que o órgão jurisdicional nacional submeteu «independentemente da resposta às questões anteriores e, particularmente, no caso de o Tribunal considerar que não estão preenchidos os critérios de conexão previstos no artigo 4.o, n.o 1 da diretiva». |
B — O centro geográfico de gravidade do litígio não é, em si mesmo, suficiente para tornar a diretiva aplicável.
54. |
Nos termos do seu artigo 51.o, n.o 2, a Carta não torna o âmbito de aplicação do direito da União extensivo a competências que não sejam as da União, não cria quaisquer novas atribuições ou competências para a União, nem modifica as atribuições e competências definidas pelos Tratados ( 34 ). Este princípio também se aplica ao artigo 8.o da Carta sobre a proteção dos dados pessoais. Por conseguinte, a interpretação da diretiva em conformidade com a Carta não pode acrescentar novos elementos aos previstos no artigo 4.o, n.o 1, da diretiva que possam conduzir à aplicabilidade territorial da legislação nacional que transpõe a diretiva. O artigo 8.o da Carta deve, naturalmente, ser tido em conta na interpretação dos conceitos utilizados no artigo 4.o, n.o 1, da diretiva, mas os elementos de conexão definidos pelo legislador da UE não podem ser complementados com um critério totalmente novo por referência a esse direito fundamental ( 35 ). |
55. |
O grupo de trabalho do «artigo 29.o» salientou corretamente que o âmbito de aplicação territorial da diretiva e da legislação nacional que a transpõe é determinado pela localização do estabelecimento do responsável pelo tratamento, ou pela localização dos meios ou do equipamento utilizados, nos casos em que o responsável pelo tratamento esteja estabelecido fora do EEE. Não são determinantes, para este efeito, nem a nacionalidade, nem o local de residência habitual das pessoas em causa, nem a localização física dos dados pessoais ( 36 ). |
56. |
O grupo de trabalho do «artigo 29.o» já propôs que em futura legislação, relativamente aos responsáveis pelo tratamento não domiciliados na UE, que poderia ser tida em conta a eventual «seleção» de destinatários ( 37 ). Na proposta da Comissão de Regulamento geral sobre a proteção de dados (2012) ( 38 ), a oferta de bens ou de serviços às pessoas em causa residentes na União Europeia seria um elemento que determinaria a aplicabilidade da legislação da UE de proteção dos dados a responsáveis pelo tratamento de países terceiros. Uma tal abordagem, que associa a aplicabilidade territorial da legislação da UE ao público destinatário é coerente com a jurisprudência do Tribunal relativa à aplicabilidade a situações transfronteiriças da Diretiva 2000/31 sobre comércio eletrónico ( 39 ), do Regulamento n.o 44/2001 ( 40 ), e da Diretiva 2001/29 ( 41 ). |
57. |
Em contrapartida, o critério de um público destinatário, no caso em apreço os utilizadores espanhóis do motor de pesquisa na Internet da Google, para os quais a reputação da pessoa em causa poderá ter sido prejudicada em consequência dos anúncios controvertidos, não parece ser um fator que determine a aplicabilidade territorial da diretiva e da legislação nacional que a transpõe. |
58. |
Portanto, o centro de gravidade do litígio em Espanha não pode ser adicionado aos critérios previstos no artigo 4.o, n.o 1, da diretiva que, na minha opinião, procede a uma harmonização completa do âmbito de aplicação territorial das leis de proteção dos dados do Estados‑Membros. Isto aplica‑se independentemente da questão de saber se um tal centro de gravidade é a nacionalidade ou a residência da pessoa em causa, a localização dos dados pessoais controvertidos no sítio web do jornal, ou o facto de o sítio web espanhol da Google se destinar especialmente ao público espanhol ( 42 ). |
59. |
Pelos motivos expostos, sugiro que, se o Tribunal considerar necessário responder a essa questão deveria responder à quarta subquestão pela negativa. |
C — Aplicabilidade do critério do «estabelecimento na UE» a um prestador do serviço de motor de pesquisa na Internet de um país terceiro
60. |
Nos termos do artigo 4.o, n.o 1, da diretiva, o principal fator que determina a aplicabilidade territorial da legislação nacional de proteção dos dados é o tratamento efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro. Além disso, quando o responsável pelo tratamento não estiver estabelecido no território da União, mas utilizar meios e equipamentos ( 43 ) situados no território desse Estado‑Membro para tratamento de dados pessoais, é aplicável a legislação desse Estado‑Membro, salvo se esses meios e equipamentos só forem utilizados para trânsito no território da União. |
61. |
Como foi acima observado, a diretiva e o seu artigo 4.o foram adotados antes do início do fornecimento em grande escala de serviços em linha na Internet. Além disso, a sua redação é incoerente e incompleta ( 44 ). Não admira que peritos em proteção dos dados tenham tido grandes dificuldades em interpretá‑la em relação à Internet. Os factos do presente processo ilustram esses problemas. |
62. |
A Google Inc. é uma sociedade com sede na Califórnia com filiais em diversos Estados‑Membros da UE. As suas operações europeias são, em certa medida, coordenadas pela filial irlandesa. Atualmente possui centros de dados pelo menos na Bélgica e na Finlândia. A informação sobre a localização geográfica exata das funções relacionadas com o seu motor de pesquisa não é divulgada. A Google alega que, em Espanha, não há tratamento de dados pessoais relacionado com o seu motor de pesquisa. A Google Spain atua como representante comercial da Google para as suas funções publicitárias. Nessa qualidade, assume a responsabilidade pelo tratamento de dados pessoais relativos aos seus clientes anunciantes espanhóis. A Google nega que o seu motor de pesquisa execute quaisquer operações nos servidores de armazenagem das páginas‑fonte, ou que recolha informação por meios de cookies de utilizadores não registados do seu motor de pesquisa. |
63. |
Neste contexto de facto, a letra do artigo 4.o, n.o 1, da diretiva não é muito útil. A Google tem diversos estabelecimentos no território da UE. Este facto deveria excluir, numa interpretação literal, a aplicabilidade da condição do equipamento prevista no artigo 4.o, n.o 1, alínea c), da diretiva. Por outro lado, não é claro até que ponto e quando o tratamento de dados pessoais de pessoas em causa residentes na UE tem lugar no contexto das suas filiais da UE. |
64. |
Em minha opinião, o Tribunal deveria abordar a questão da aplicabilidade territorial na perspetiva do modelo de negócios dos prestadores de serviços de motores de pesquisa na Internet. Conforme referi, este modelo baseia‑se normalmente na publicidade na Internet a partir de palavras‑chave (keyword advertising) que é a fonte de receitas e, enquanto tal, a razão de ser económica da disponibilização de uma ferramenta de localização de informação gratuita sob a forma de um motor de pesquisa. A entidade que se ocupa da publicidade na Internet a partir de palavras‑chave (denominada «prestador do serviço de referenciamento» na jurisprudência do Tribunal de Justiça ( 45 )) está associada a um motor de pesquisa na Internet. Esta entidade necessita de estar presente nos mercados publicitários nacionais. Por este motivo, a Google criou em muitos Estados‑Membros filiais que constituem claramente estabelecimentos, na aceção do artigo 4.o, n.o 1, alínea a), da diretiva. Também assegurou a constituição de domínios web nacionais, tais como google.es ou google.fi. A atividade do motor de pesquisa tem em conta esta diversificação nacional de diversas formas relacionadas com a apresentação dos resultados da pesquisa porque o modelo de financiamento normal da publicidade na Internet a partir de palavras‑chave segue o princípio do «pagamento por clique» (pay‑per‑click) ( 46 ). |
65. |
Por estes motivos, subscrevo a conclusão do grupo de trabalho do «artigo 29.o» de que o modelo de negócios de um prestador do serviço de motor de pesquisa na Internet deve ser tido em conta no sentido de que o seu estabelecimento desempenha um papel relevante no tratamento de dados pessoais se estiver associado a um serviço que participa na venda dos anúncios dirigidos à população desse Estado‑Membro ( 47 ). |
66. |
Além disso, mesmo que o artigo 4.o da diretiva se baseie num conceito único de responsável pelo tratamento no que diz respeito às disposições substantivas, penso que, para efeitos de decidir sobre a questão preliminar da aplicabilidade territorial, um operador económico deve ser considerado uma unidade singular e não deve, portanto, nesta fase da análise, ser decomposto com base nas suas atividades individuais relativas ao tratamento de dados pessoais ou nos diferentes grupos de pessoas em causa relacionadas com as suas atividades. |
67. |
Em conclusão, o tratamento de dados pessoais tem lugar no contexto da determinação de um responsável pelo tratamento se esse estabelecimento fizer a ponte entre o serviço de referenciamento e o mercado publicitário desse Estado‑Membro, mesmo que as operações técnicas de tratamento de dados sejam efetuadas noutros Estados‑Membros ou países terceiros. |
68. |
Por este motivo, proponho que o Tribunal responda ao primeiro grupo de questões prejudiciais no sentido de que o tratamento de dados pessoais é efetuado no contexto das atividades de um «estabelecimento» do responsável pelo tratamento, na aceção do artigo 4.o, n.o 1, alínea a), da diretiva, quando a empresa que explora o motor de pesquisa na Internet abre, num Estado‑Membro, com vista à promoção e venda dos espaços publicitários desse motor de pesquisa, uma sucursal ou uma filial cuja atividade se dirige aos habitantes desse Estado. |
V — Segundo grupo de questões, relativo ao âmbito de aplicação material da diretiva
69. |
O segundo grupo de questões é relativo à posição jurídica de um prestador do serviço de motor de pesquisa na Internet que oferece acesso a um motor de pesquisa na Internet à luz das disposições da diretiva. O órgão jurisdicional nacional formulou‑as como referindo‑se aos conceitos de «tratamento» de dados pessoais (questão 2.1), e «responsável pelo tratamento» (questão 2.2.); às competências da autoridade nacional de proteção dos dados para dar ordens diretamente ao prestador do serviço de motor de pesquisa na Internet (questão 2.3) e à possível exclusão da proteção dos dados pessoais pelo prestador do serviço de motor de pesquisa na Internet relativamente à informação legalmente publicada por terceiros na Internet (questão 2.4). Estas duas últimas subquestões só são relevantes se se considerar que o prestador do serviço de motor de pesquisa na Internet trata dados pessoais contidos em páginas web com origem em terceiros e é responsável pelo seu tratamento. |
A — Tratamento de dados pessoais por um motor de pesquisa na Internet
70. |
A primeira subquestão deste grupo refere‑se à aplicabilidade dos conceitos de «dados pessoais» e de «tratamento» a um prestador do serviço de motor de pesquisa na Internet como o Google, partindo‑se do pressuposto de que não se trata de dados pessoais dos utilizadores ou dos anunciantes, mas de dados pessoais publicados em páginas web com origem em terceiros, e tratados por um motor de pesquisa na Internet explorado pelo prestador de serviços. Segundo a descrição dada pelo órgão jurisdicional nacional, este tratamento consiste em localizar a informação publicada ou inserida na rede por terceiros, indexá‑la automaticamente, armazená‑la temporariamente e, finalmente, colocá‑la à disposição dos internautas sob determinada ordem de preferência. |
71. |
Em meu entender, a resposta afirmativa a esta subquestão não se presta a muita discussão. A diretiva dá uma definição ampla do conceito de dados pessoais, esta definição ampla tem sido utilizada pelo grupo de trabalho do «artigo 29.o» e tem sido confirmada pelo Tribunal ( 48 ). |
72. |
No que respeita ao «tratamento», as páginas‑fonte da Internet podem incluir e incluem muitas vezes nomes, imagens, endereços, números de telefone, descrições e outras indicações, graças aos quais é possível identificar uma pessoa singular. O facto de a sua natureza enquanto dados pessoais permanecer «desconhecida» para o prestador do serviço de motor de pesquisa na Internet, cujo motor de pesquisa funciona sem nenhuma interação humana com os dados recolhidos, indexados e exibidos para fins de pesquisa, não altera esta conclusão ( 49 ). O mesmo se aplica ao facto de a presença de dados pessoais nas páginas‑fonte ser, de certa forma, aleatória para o prestador do serviço de motor de pesquisa na Internet porque, para o prestador do serviço ou, mais precisamente, para as funções de varrimento, análise e indexação do motor de pesquisa que visam todas as páginas web acessíveis na Internet, não pode haver qualquer diferença técnica ou operacional entre uma página‑fonte que contém dados pessoais e outra que não contém esses dados ( 50 ). A meu ver, estes factos devem, porém, influenciar a interpretação do conceito de «responsável pelo tratamento». |
73. |
A função de varrimento [crawler] do motor de pesquisa da Google, denominada «googlebot», varre a Internet de uma forma constante e sistemática e, avançando de uma página‑fonte para outra, com base em hiperligações entre as páginas, pede aos sítios visitados para lhe enviarem uma cópia da página visitada ( 51 ). As cópias dessas páginas‑fonte são analisadas pela função de indexação do motor de pesquisa da Google. As cadeias de sinais [sign strings] (palavras‑chave, termos de pesquisa) encontradas nas páginas são registadas no índice do motor de pesquisa ( 52 ). O complexo algoritmo de pesquisa da Google também avalia a relevância dos resultados da pesquisa. As combinações destas palavras‑chave com os endereços URL em que estas podem ser encontradas formam o índice do motor de pesquisa. As pesquisas iniciadas pelos utilizadores são executadas no índice. Para efeitos de indexação e apresentação dos resultados da pesquisa, a cópia das páginas é registada na memória cache (memória de armazenamento temporário) do motor de pesquisa ( 53 ). |
74. |
Uma cópia da página‑fonte solicitada, armazenada em cache, pode ser exibida depois de o utilizador ter efetuado a pesquisa. Porém, o utilizador pode aceder à página original se, por exemplo, tentar visualizar imagens das páginas‑fonte. A memória cache é atualizada com frequência, mas pode haver situações em que a página exibida pelo motor de pesquisa não corresponde às páginas‑fonte do servidor de armazenamento [host server] porque estas foram alteradas ou eliminadas ( 54 ). |
75. |
Como é óbvio, as operações descritas no número anterior são consideradas «tratamento» dos dados pessoais nas páginas‑fonte copiados, indexados, armazenados na memória cache e exibidos pelo motor de pesquisa. Mais especificamente, implicam a recolha, o registo, a organização e a conservação desses dados pessoais e podem implicar a sua utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição e a interconexão de dados pessoais no sentido do artigo 2.o, alínea b), da diretiva. |
B — Conceito de «responsável pelo tratamento»
76. |
Um responsável pelo tratamento ( 55 ) é, nos termos do artigo 2.o, alínea d), da diretiva «a pessoa singular ou coletiva […] que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais». Na minha opinião, a questão essencial no caso vertente consiste em saber se, e até que ponto, um prestador do serviço de motor de pesquisa na Internet está abrangido por esta definição. |
77. |
Todas as partes, com exceção da Google e do Governo grego, propõem que seja dada resposta afirmativa a esta questão, o que poderia ser facilmente defendido como uma conclusão lógica da interpretação literal e talvez mesmo teleológica da diretiva, dado que as definições básicas da diretiva foram formuladas de uma forma abrangente de modo a incluir novos desenvolvimentos. Contudo, entendo que tal abordagem representa um método que ignora completamente o facto de que, quando a diretiva foi elaborada, não era possível ter em conta o aparecimento da Internet e dos diversos novos fenómenos a ela associados. |
78. |
Quando a diretiva foi adotada, a World Wide Web tinha acabado de se tornar uma realidade, e os motores de pesquisa encontravam‑se nos seus primórdios. As disposições da diretiva não têm em conta, muito simplesmente, o facto de enormes massas de documentos e de ficheiros eletrónicos armazenados de forma descentralizada estarem acessíveis desde qualquer lugar do mundo e de os seus conteúdos poderem ser copiados e analisados e difundidos por partes que não têm qualquer relação com os seus autores ou com as pessoas que os carregaram para um servidor de armazenamento ligado à Internet. |
79. |
Recordo que, no acórdão Lindqvist, o Tribunal não seguiu a abordagem maximalista proposta pela Comissão em relação à interpretação do conceito de transferência para um país terceiro de dados. O Tribunal de Justiça declarou que «[tendo] em conta, por um lado, o estádio de evolução da Internet no momento da elaboração da [diretiva] e, por outro, a ausência, no capítulo IV, de critérios aplicáveis à utilização da Internet, não se pode presumir que o legislador comunitário tinha a intenção de incluir prospetivamente no conceito de ‘transferência para um país terceiro de dados’, a inscrição, por uma pessoa que se encontra na mesma situação que B. Lindqvist, de dados pessoais, numa página Internet, mesmo que estes se tornem deste modo acessíveis às pessoas de países terceiros que possuam os meios técnicos para acederem a esses dados» ( 56 ). A meu ver, isto implica que, na interpretação da diretiva face aos novos fenómenos tecnológicos, devem ser tidos em conta o princípio da proporcionalidade, os objetivos da diretiva e os meios aí previstos para a sua realização, para que se alcance um resultado equilibrado e razoável. |
80. |
Em meu entender, uma questão essencial consiste em saber se deve ser dada alguma relevância ao facto de, na definição da diretiva de responsável pelo tratamento, este ser referido como a pessoa que «determina as finalidades e os meios de tratamento dos dados pessoais» (o sublinhado é meu). As partes que consideram que a Google é um responsável pelo tratamento baseiam esta apreciação no facto incontestável de que o prestador de serviços que explora um motor de pesquisa na Internet determina as finalidades e os meios de tratamento de dados para os seus fins. |
81. |
Duvido, no entanto, de que tal conduza a uma interpretação verdadeira da diretiva numa situação em que o objeto do tratamento é constituído por ficheiros que contêm dados pessoais e outros dados de uma forma desorganizada, indiscriminada e aleatória. Será que o professor de direito da União mencionado no meu exemplo no n.o 29, supra, determina as finalidades e os meios de tratamento dos dados pessoais incluídos nos acórdãos do Tribunal que descarregou para o seu computador portátil? A conclusão do grupo de trabalho do «artigo 29.o», segundo a qual «os utilizadores do serviço de motor de pesquisa podem, a título estrito, ser considerados responsáveis pelo tratamento» mostra a natureza irracional da interpretação literal cega da diretiva no contexto da Internet ( 57 ). O Tribunal não deve aceitar uma interpretação segundo a qual seriam responsáveis pelo tratamento de dados pessoais publicados na Internet praticamente todas as pessoas que possuam um smartphone, um tablet ou um computador portátil. |
82. |
Na minha opinião, a sistemática geral da diretiva, a maior parte das versões linguísticas e as obrigações individuais que impõe ao responsável pelo tratamento baseiam‑se na ideia da responsabilidade do responsável pelo tratamento [responsibility of the controller] pelos dados pessoais tratados no sentido de que o responsável pelo tratamento tem conhecimento da existência de uma categoria definida de informações que é constituída por dados pessoais e trata estes dados com alguma intenção relacionada com o seu tratamento como dados pessoais ( 58 ). |
83. |
O grupo de trabalho do «artigo 29.o» observa corretamente que «[o] conceito de responsável pelo tratamento é um conceito funcional, que visa atribuir responsabilidade àqueles que exercem uma influência de facto e, como tal, baseia‑se numa análise factual e não formal» ( 59 ). Prossegue afirmando que o «responsável pelo tratamento deve determinar os dados que serão objeto de tratamento para a finalidade ou finalidades pretendidas» ( 60 ). As disposições substantivas da diretiva, mais especificamente os seus artigos 6.°, 7.° e 8.°, baseiam‑se, em meu entender, no pressuposto de que o responsável pelo tratamento sabe o que está a fazer em relação aos dados pessoais em questão, no sentido de que tem conhecimento do tipo de dados pessoais que está a tratar e do motivo desse tratamento. Por outras palavras, o tratamento de dados deve ser por ele encarado como um tratamento de dados pessoais, ou seja, como «informação relativa a uma pessoa singular identificada ou identificável» numa forma semanticamente relevante e não um mero código informático ( 61 ). |
C — Um prestador do serviço de motor de pesquisa na Internet não é um «responsável pelo tratamento » de dados pessoais contidos em páginas web com origem em terceiros
84. |
O prestador do serviço de motor de pesquisa na Internet que se limita a fornecer uma ferramenta de localização de informação não exerce um controlo sobre os dados pessoais incluídos em páginas web de terceiros. O prestador do serviço não «tem conhecimento» da existência de dados pessoais em qualquer outro sentido que não seja o do facto estatístico de que é provável que as páginas web incluam dados pessoais. Durante o tratamento das páginas‑fonte para efeitos de varrimento [crawling], análise e indexação, os dados pessoais não se revelam como tais de nenhuma forma especial. |
85. |
É por este motivo que considero adequada a abordagem do grupo de trabalho do «artigo 29.o», porque este procura traçar uma linha divisória entre as funções totalmente passivas e intermediárias dos motores de pesquisa e as situações em que a sua atividade representa um controlo real sobre os dados pessoais tratados ( 62 ). Por uma questão de exaustividade, importa acrescentar que a questão de saber se os dados pessoais se tornaram públicos ( 63 ) ou se foram legalmente divulgados em páginas web com origem em terceiros não é relevante para a aplicação da diretiva ( 64 ). |
86. |
O prestador do serviço de motor de pesquisa na Internet não tem nenhuma relação com o conteúdo das páginas web com origem em terceiros disponíveis na Internet onde podem figurar dados pessoais. Além disso, como o motor de pesquisa trabalha com base em cópias das páginas‑fonte que a sua função de varrimento [crawler] extraiu e copiou, o prestador de serviços não tem meios para alterar a informação nos servidores de armazenagem. O fornecimento de uma ferramenta de localização de informação não implica um controlo sobre o conteúdo. Nem sequer permite ao prestador do serviço de motor de pesquisa na Internet distinguir entre dados pessoais na aceção da diretiva, ou seja, relativos a uma pessoa singular viva identificável, e outros dados. |
87. |
A este respeito, chamo a atenção para o princípio expresso no considerando 47 da diretiva. Este considerando refere que o responsável pelo tratamento de mensagens que contêm dados pessoais transmitidas através de um serviço de telecomunicações ou de correio eletrónico é o emitente da mensagem e não quem propõe o serviço de transmissão. Este considerando, assim como as exceções à responsabilidade previstas na Diretiva 2000/31 sobre comércio eletrónico (artigos 12.°, 13.° e 14.°), assenta no princípio jurídico segundo o qual as relações automatizadas, técnicas e passivas com conteúdos eletronicamente armazenados ou transmitidos não cria controlo ou responsabilidade sobre os mesmos. |
88. |
O grupo de trabalho do «artigo 29.o» salientou que o principal papel do conceito de responsável pelo tratamento é, antes de mais, determinar quem será o responsável pelo cumprimento das regras sobre proteção de dados e atribuir esta responsabilidade ao lugar da influência de facto ( 65 ). Segundo o grupo de trabalho «[o] princípio da proporcionalidade requer que, se um fornecedor de motor de pesquisa agir simplesmente na qualidade de intermediário, não deve ser considerado o principal responsável pelo tratamento no que se refere ao tratamento de dados pessoais que é efetuado em função do seu conteúdo. Neste caso, os principais responsáveis pelo tratamento dos dados pessoais são os fornecedores de informação» ( 66 ). |
89. |
Em meu entender, o prestador do serviço de motor de pesquisa na Internet não pode, em termos jurídicos ou de facto, assumir as obrigações de responsável pelo tratamento previstas nos artigos 6.°, 7.° e 8.° da diretiva em relação aos dados pessoais contidos nas páginas‑fonte armazenadas em servidores de terceiros. Portanto, uma interpretação razoável da diretiva exige que, em geral, o prestador do serviço não tenha essa posição ( 67 ). |
90. |
O entendimento contrário implicaria a incompatibilidade dos motores de pesquisa na Internet com o direito da UE, o que seria, a meu ver, uma conclusão absurda. Concretamente, se os prestadores do serviço de motor de pesquisa na Internet fossem considerados responsáveis pelo tratamento dos dados pessoais contidos em páginas web com origem em terceiros e se em alguma dessas páginas houvesse «categorias específicas de dados» referidas no artigo 8.o da diretiva (por ex., dados pessoais que revelem as opiniões políticas ou as convicções religiosas, ou dados relativos à saúde e à vida sexual de pessoas singulares), a atividade do prestador do serviço de motor de pesquisa na Internet tornar‑se‑ia automaticamente ilegal, quando as condições estritas previstas nesse artigo para o tratamento desses dados não fossem preenchidas. |
D — Circunstâncias em que o prestador do serviço de motor de pesquisa na Internet é um «responsável pelo tratamento»
91. |
É claro que um prestador do serviço de motor de pesquisa na Internet controla o índice do motor de pesquisa que associa palavras‑chave aos endereços URL pertinentes. O prestador de serviços determina o modo como o índice é estruturado e pode, tecnicamente, bloquear determinados resultados da pesquisa, por exemplo não apresentando endereços URL de determinados países ou domínios nos resultados da pesquisa ( 68 ). Além disso, o prestador do serviço de motor de pesquisa na Internet controla o seu índice no sentido de que decide se os códigos de exclusão ( 69 ) contidos nas páginas‑fonte devem ou não ser observados. |
92. |
Em contrapartida, não se pode considerar que os conteúdos da memória cache do motor de pesquisa na Internet estejam abrangidos pelo controlo do prestador de serviços porque a memória cache é o resultado de processos exclusivamente técnicos e automatizados que produzem a imagem refletida dos dados de texto das páginas web varridas, com exceção dos dados excluídos da indexação e do arquivo. É interessante o facto de alguns Estados‑Membros preverem aparentemente exceções horizontais especiais relativamente à responsabilidade dos motores de pesquisa análogas à exceção prevista na Diretiva 2000/31 sobre comércio eletrónico para determinados prestadores de serviços da sociedade da informação ( 70 ). |
93. |
Porém, no que diz respeito aos conteúdos de cache, a decisão de não observar os códigos de exclusão ( 71 ) da página web implica, a meu ver, um controlo na aceção da diretiva, sobre esses dados pessoais. O mesmo se aplica em situações em que o prestador do serviço de motor de pesquisa na Internet não atualiza a página web na sua memória cache apesar de ter recebido um pedido do sítio web. |
E — Obrigações do prestador do serviço de motor de pesquisa na Internet enquanto «responsável pelo tratamento»
94. |
É óbvio que se e sempre que o prestador do serviço de motor de pesquisa na Internet puder ser considerado «responsável pelo tratamento», deverá cumprir as obrigações previstas na diretiva. |
95. |
Quanto aos princípios relativos à legitimidade do tratamento de dados na falta do consentimento da pessoa em causa [artigo 7.o, alínea a), da diretiva], parece óbvio que a prestação dos serviços de motor de pesquisa na Internet prossegue, enquanto tal, interesses legítimos [artigo 7.o, alínea f), da diretiva], nomeadamente os de i) facilitar o acesso à informação dos internautas; ii) tornar mais eficaz a divulgação da informação carregada na Internet e iii) permitir diversos serviços da sociedade da informação fornecidos pelo prestador do serviço de motor de pesquisa na Internet que são acessórios do motor de pesquisa, tais como a publicidade na Internet a partir de palavras‑chave. Estas três finalidades referem‑se, respetivamente, a três direitos fundamentais protegidos pela Carta, nomeadamente a liberdade de informação e a liberdade de expressão (ambas previstas no artigo 11.o) e a liberdade de empresa (artigo 16.o). Por conseguinte, um prestador do serviço de motor de pesquisa na Internet prossegue interesses legítimos, na aceção do artigo 7.o, alínea f), da diretiva, quando trata dados disponibilizados na Internet, incluindo dados pessoais. |
96. |
Enquanto responsável pelo tratamento, um prestador do serviço de motor de pesquisa na Internet deve respeitar os requisitos previstos no artigo 6.o da diretiva. Em especial, os dados pessoais devem ser adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos, e atualizados, mas não serem obsoletos relativamente às finalidades para que foram recolhidos. Além disso, devem ser ponderados os interesses do «responsável pelo tratamento», ou dos terceiros em cujo interesse o tratamento é exercido, e os da pessoa em causa. |
97. |
No processo principal, a pessoa em causa pede que seja removida do índice da Google a indexação do seu nome e dos seus apelidos aos endereços URL das páginas do jornal que contêm os dados pessoais que pretende eliminar. Com efeito, os nomes de pessoas são utilizados como termos de pesquisa, e são registados como palavras‑chave nos índices dos motores de pesquisa. Contudo, um nome não é normalmente suficiente, enquanto tal, para a identificação direta de uma pessoa singular na Internet porque, a nível mundial, existem diversas, e mesmo milhares ou milhões de pessoas com o mesmo nome ou a mesma combinação de determinados nomes próprios e apelidos ( 72 ). Não obstante, parto do princípio de que, na maior parte dos casos, a combinação de um determinado nome próprio e de um determinado apelido enquanto termo de pesquisa permite a identificação indireta de uma pessoa singular, na aceção do artigo 2.o, alínea a), da diretiva, porque o resultado da pesquisa no índice do motor de pesquisa apresenta um conjunto limitado de hiperligações que permite ao utilizador distinguir entre pessoas com o mesmo nome. |
98. |
O índice do motor de pesquisa associa nomes e outros identificadores utilizados como termos de pesquisa a uma ou mais hiperligações a páginas web. Na medida em que a hiperligação seja adequada, no sentido de que os dados que correspondem ao termo de pesquisa aparecem ou apareceram efetivamente nas páginas web«hiperligadas», o índice cumpre, na minha opinião, os critérios de adequação, relevância, proporcionalidade, exatidão e exaustividade previstos no artigo 6.o, alíneas c) e d), da diretiva. Quanto aos aspetos temporais referidos no artigo 6.o, alíneas d) e e) (atualização dos dados pessoais e sua conservação apenas durante o período necessário), estas questões também devem ser abordadas do ponto de vista do tratamento em questão, ou seja, da prestação do serviço de localização da informação, e não enquanto uma questão relativa ao conteúdo das páginas‑fonte ( 73 ). |
F — Conclusão sobre o segundo grupo de questões
99. |
Com base nestas considerações, considero que a autoridade nacional de proteção de dados só pode exigir que um prestador do serviço de motor de pesquisa na Internet remova informação do seu índice nos casos em que este prestador de serviços não tenha respeitado os códigos de exclusão ( 74 ) ou tenha ignorado o pedido de atualização da memória cache emanado de um sítio web. Este cenário não parece ser pertinente para o presente pedido de decisão prejudicial. Um eventual procedimento de informação e de supressão («notice and take down procedure») ( 75 ) de hiperligações a páginas‑fonte com conteúdos ilegais ou inadequados constitui matéria de responsabilidade civil do direito nacional baseada em fundamentos diferentes da proteção dos dados pessoais ( 76 ). |
100. |
Pelos motivos expostos, proponho ao Tribunal que responda ao segundo grupo de questões que, nas circunstâncias especificadas no pedido de decisão prejudicial, um prestador do serviço de motor de pesquisa na Internet «trata» dados pessoais, na aceção do artigo 2.o, alínea b), da diretiva. No entanto, esse prestador não pode ser considerado «responsável pelo tratamento» desses dados pessoais, na aceção do artigo 2.o, alínea d), da diretiva, salvo no caso da exceção acima explicada. |
VI — Terceira questão, relativa ao eventual «direito de ser esquecido» da pessoa em causa
A — Observações preliminares
101. |
A terceira questão prejudicial só é relevante se o Tribunal rejeitar a conclusão que formulei acima no sentido de que a Google não pode, em termos gerais, ser considerada um «responsável pelo tratamento», na aceção do artigo 2.o, alínea d), da diretiva, ou na medida em que o Tribunal aceite a minha opinião de que existem situações em que se pode considerar que um prestador de serviço de motor de pesquisa na Internet como a Google ocupa esta posição. Se isso não acontecer, a secção que se segue será redundante. |
102. |
Em todo o caso, com a sua terceira questão, o órgão jurisdicional nacional pretende saber se os direitos ao apagamento e ao bloqueio dos dados, previstos no artigo 12.o, alínea b), e o direito de oposição, previsto no artigo 14.o, alínea a), da diretiva devem ser interpretados no sentido de que permitem que a pessoa em causa possa contactar os próprios prestadores do serviço de motor de pesquisa para impedir a indexação da informação referente à sua pessoa, publicada em páginas web de terceiros. Ao fazê‑lo, a pessoa em causa pretende impedir que informação potencialmente prejudicial seja conhecida pelos utilizadores da Internet, ou expressa um desejo de que a informação seja esquecida, muito embora tenha sido publicada licitamente por terceiros. Por outras palavras, o órgão jurisdicional nacional pretende saber, em substância, se o «direito de ser esquecido» pode basear‑se nos artigos 12.°, alínea b), e 14.°, alínea a), da diretiva. Esta é a primeira questão abordada na análise que se segue, que se baseia na redação e nos objetivos dessas disposições. |
103. |
Se concluir que os artigos 12.°, alínea b), e 14.°, alínea a), da diretiva não concedem, por si sós, esta proteção, analisarei a seguir a compatibilidade dessa interpretação com a Carta ( 77 ). Esta questão terá de ser examinada à luz do direito à proteção dos dados pessoais, previsto no artigo 8.o, do direito ao respeito pela vida privada e familiar, previsto no artigo 7.o, à liberdade de expressão e de informação protegida no artigo 11.o (e ambas relativamente à liberdade de expressão dos editores de páginas web e a à liberdade dos utilizadores da Internet de receberem informação), e à liberdade de empresa prevista no artigo 16.o Com efeito, os direitos das pessoas em causa, previstos nos artigos 7.° e 8.°, devem ser ponderados com os direitos, protegidos pelos artigos 11.° e 16.°, daqueles que pretendem difundir ou aceder aos dados. |
B — Os direitos de retificação, apagamento, bloqueio e oposição previstos na diretiva traduzem‑se no direito da pessoa em causa «de ser esquecida»?
104. |
Os direitos de retificação, apagamento e bloqueio de dados previstos no artigo 12.o, alínea b), da diretiva referem‑se a dados cujo tratamento não cumpra o disposto na diretiva, nomeadamente devido ao caráter incompleto ou inexato desses dados (o sublinhado é meu). |
105. |
O despacho de reenvio reconhece que a informação que é exibida nas páginas web em questão não pode ser considerada incompleta ou inexata. Nem tão‑pouco foi alegado que o índice da Google ou que os conteúdos da sua memória cache que contêm esses dados possam ser assim descritos. Portanto, o direito de retificação, apagamento ou bloqueio, previsto no artigo 12.o, alínea b), da diretiva, só se constitui se o tratamento pela Google de dados pessoais de páginas‑fonte for incompatível com a diretiva por outros motivos. |
106. |
O artigo 14.o, alínea a), da diretiva obriga os Estados‑Membros a reconhecerem à pessoa em causa o direito de se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objeto de tratamento, salvo disposição em contrário do direito nacional. Tal aplica‑se, em especial, nos casos referidos nas alíneas e) e f) do artigo 7.o da diretiva, ou seja, quando o tratamento for necessário em virtude de um interesse público ou para prosseguir interesses legítimos do responsável pelo tratamento ou de terceiros. Além disso, nos termos do artigo 14.o, alínea a), «o tratamento efetuado pelo responsável» deixa de poder incidir sobre esses dados em caso de oposição justificada. |
107. |
Nas situações em que os prestadores do serviço de motor de pesquisa na Internet são considerados responsáveis pelo tratamento de dados pessoais, o artigo 6.o, n.o 2 da diretiva obriga‑os a ponderar os interesses do responsável pelo tratamento dos dados, ou de terceiros em cujo interesse o tratamento seja efetuado, e os da pessoa em causa. Como observou o Tribunal de Justiça no acórdão ASNEF e FECEMD, a questão de saber se os dados já constam, ou não, de fontes acessíveis ao público é relevante para esta ponderação ( 78 ). |
108. |
Contudo, como afirmaram quase todas as partes que apresentaram observações escritas no presente processo, considero que a diretiva não prevê um direito genérico «de ser esquecido», no sentido de a pessoa em causa ter o direito de limitar ou de pôr termo à difusão de dados pessoais que considera prejudiciais ou contrários aos seus interesses. A finalidade do tratamento e os interesses protegidos por este, quando ponderados com os da pessoa em causa, são os critérios que devem ser aplicados quando os dados são tratados sem o consentimento da pessoa em causa, e não as preferências subjetivas desta última. Uma preferência subjetiva não constitui, por si só, uma razão preponderante e legítima, na aceção do artigo 14.o, alínea a), da diretiva. |
109. |
Mesmo que o Tribunal concluísse que os prestadores do serviço de motor de pesquisa na Internet são responsáveis, enquanto «responsáveis pelo tratamento», quod non, pelos dados pessoais contidos em páginas web com origem em terceiros, a pessoa em causa continuaria a não ter um «direito de ser esquecido» absoluto que possa invocar perante esses prestadores de serviços. Porém, o prestador de serviços necessitaria de se colocar na posição do editor das páginas‑fonte e verificar se a difusão dos dados pessoais na página pode atualmente ser considerada legal e legítima para efeitos da diretiva. Por outras palavras, o prestador de serviços teria de abandonar a sua função intermediária entre o utilizador e o editor e assumir a responsabilidade pelo conteúdo das páginas‑fonte, e, se necessário, censurar o conteúdo, impedindo ou limitando o respetivo acesso. |
110. |
Para ser exaustivo, é útil recordar que a proposta de Regulamento da Comissão sobre a proteção de dados prevê, no seu artigo 17.o, um «direito de ser esquecido». No entanto, a proposta parece ter encontrado uma grande oposição, e não pretende representar uma codificação da lei existente, mas uma inovação jurídica importante. Portanto, não parece afetar a resposta a dar à questão prejudicial. É interessante, contudo, o facto de que, nos termos do artigo 17.o, n.o 2, da proposta «[s]empre que o responsável pelo tratamento […] tiver tornado públicos os dados pessoais, deve adotar todas as medidas razoáveis […] em relação aos dados publicados sob a sua responsabilidade, tendo em vista informar os terceiros que tratam esses dados de que um titular de dados lhe solicita o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos.» Este texto parece considerar os prestadores do serviço de motor de pesquisa na Internet mais como terceiros do que como responsáveis pelo tratamento por direito próprio. |
111. |
Concluo, portanto, que os artigos 12.°, alínea b), e 14.°, alínea a), da diretiva não preveem um «direito de ser esquecido». Analisarei agora a questão de saber se esta interpretação destas disposições é compatível com a Carta. |
C — Direitos fundamentais em questão
112. |
O artigo 8.o da Carta garante a todas as pessoas o direito à proteção dos seus dados de caráter pessoal. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente. |
113. |
Em meu entender, este direito fundamental, sendo uma reafirmação do acervo neste domínio da União Europeia e do Conselho da Europa, sublinha a importância da proteção dos dados pessoais, mas não acrescenta, enquanto tal, novos elementos significativos à interpretação da diretiva. |
114. |
Nos termos do artigo 7.o da Carta, todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações. Esta disposição, que é substancialmente idêntica ao artigo 8.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de novembro de 1950 (a seguir «CEDH»), deve ser devidamente tida em conta na interpretação das disposições relevantes da diretiva, que obriga os Estados‑Membros a protegerem nomeadamente o direito à privacidade. |
115. |
Recordo que, no contexto da CEDH, o seu artigo 8.o também abrange as questões relativas à proteção dos dados pessoais. Por este motivo, e em conformidade com o artigo 52.o, n.o 3, da Carta, a jurisprudência do Tribunal Europeu dos Direitos do Homem sobre o artigo 8.o CEDH é relevante, tanto para a interpretação do artigo 7.o da Carta, como para a aplicação da diretiva em conformidade com o artigo 8.o da Carta. |
116. |
O Tribunal Europeu dos Direitos do Homem concluiu, no acórdão Niemietz, que as atividades profissionais e empresariais de uma pessoa singular podem fazer parte da vida privada protegida nos termos do artigo 8.o da CEDH ( 79 ). Esta abordagem foi aplicada em jurisprudência posterior desse tribunal. |
117. |
Além disso, o Tribunal de Justiça declarou no acórdão Volker und Markus Schecke e Eifert ( 80 )«que o respeito pelo direito à vida privada relativamente ao tratamento de dados pessoais, reconhecido pelos artigos 7.° e 8.° da Carta, abrange todas as informações [o sublinhado é meu] relativas a qualquer pessoa singular identificada ou identificável […] e, por outro, que as restrições que podem ser legitimamente impostas ao direito à proteção dos dados pessoais correspondem às permitidas no quadro do artigo 8.o da CEDH.» |
118. |
Considero, com base no acórdão Volker und Markus Schecke e Eifert, que a proteção da vida privada nos termos da Carta, no que diz respeito ao tratamento de dados pessoais, abrange toda a informação relativa a uma pessoa singular independentemente da questão de saber se esta atua na esfera exclusivamente privada, ou como um operador económico ou, por exemplo, como um político. Tendo em conta os conceitos amplos de dados pessoais e do seu tratamento no direito da União, parece decorrer da jurisprudência acima mencionada que qualquer ato de comunicação que recorra a meios automatizados, como meios de telecomunicações, correio eletrónico ou redes sociais, que diga respeito a uma pessoa singular, constitui, enquanto tal, uma presunção de ingerência no exercício desse direito fundamental que tem de ser justificada ( 81 ). |
119. |
Concluí, no n.o 75, que um prestador do serviço de motor de pesquisa na Internet procede ao tratamento de dados pessoais exibidos em páginas web com origem em terceiros. Por conseguinte, resulta do acórdão do Tribunal de Justiça Volker und Markus Schecke e Eifert que, independentemente da classificação do seu papel ao abrigo da diretiva, existe ingerência no direito à privacidade das pessoas em causa previsto no artigo 7.o da Carta. De acordo com a CEDH e com a Carta, qualquer ingerência nos direitos protegidos deve estar prevista na lei e ser necessária numa sociedade democrática. No caso em apreço, não estamos perante uma ingerência das autoridades públicas que necessite de justificação, mas da questão de saber em que medida a ingerência por sujeitos privados pode ser tolerada. Os seus limites estão estabelecidos na diretiva e, portanto, baseiam‑se na lei, conforme exigido pela CEDH e pela Carta. Por conseguinte, a interpretação da diretiva deve ter precisamente por objeto os limites estabelecidos para o tratamento de dados por sujeitos privados à luz da Carta. Daí resulta a questão de saber se a União e os Estados‑Membros têm a obrigação positiva de opor, aos prestadores do serviço de motor de pesquisa na Internet, que são sujeitos privados, o «direito de ser esquecido» ( 82 ). Isto conduz, por seu lado, a questões sobre a justificação da ingerência prevista nos artigos 7.° e 8.° da Carta, e sobre a relação com os direitos concorrentes da liberdade de expressão e de informação, e da liberdade de empresa. |
D — Direitos à liberdade de expressão e informação, e direito à liberdade de empresa.
120. |
O presente processo tem por objeto, sob vários pontos de vista, a liberdade de expressão e informação consagrada no artigo 11.o da Carta, que corresponde ao artigo 10.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (a seguir «CEDH»). O artigo 11.o, n.o 1, da Carta dispõe que «[t]odas as pessoas têm direito à liberdade de expressão. Este direito compreende a liberdade de opinião e a liberdade de receber e de transmitir informações ou ideias, sem que possa haver ingerência de quaisquer poderes públicos e sem consideração de fronteiras» ( 83 ). |
121. |
O direito dos utilizadores da Internet de procurar e de receber informação disponibilizada na Internet está protegido pelo artigo 11.o da Carta ( 84 ). Isto refere‑se tanto à informação contida nas páginas‑fonte, como à informação fornecida pelos motores de pesquisa na Internet. Como já referi, a Internet revolucionou o acesso à difusão de todos os tipos de informação e permitiu novas formas de comunicação e de interação social entre as pessoas. A meu ver, o direito fundamental à informação merece uma especial proteção no direito da União, especialmente tendo em conta a tendência crescente dos regimes autoritários para limitarem o acesso à Internet ou censurarem os conteúdos disponibilizados por esta ( 85 ). |
122. |
Os editores de páginas web gozam igualmente de proteção ao abrigo do artigo 11.o da Carta. A disponibilização de conteúdos na Internet é, enquanto tal, uma forma de utilização da liberdade de expressão ( 86 ), sobretudo nos casos em que o editor liga a sua página a outras páginas e não limita a indexação ou o arquivo por motores de pesquisa, indicando, deste modo, o seu desejo de uma vasta divulgação do conteúdo. A publicação web é um meio de as pessoas participarem em debates ou divulgarem os seus próprios conteúdos ou conteúdos carregados por outros na Internet ( 87 ). |
123. |
Em especial, o presente pedido de decisão prejudicial tem por objeto dados pessoais publicados nos arquivos históricos de um jornal. No acórdão Times Newspapers Ltd c. Reino Unido (n.os 1 e 2), o Tribunal Europeu dos Direitos do Homem observou que os arquivos da Internet contribuem consideravelmente para a conservação e disponibilização de notícias e informação. «Tais arquivos constituem uma fonte importante para a educação e a investigação histórica, sobretudo porque estão acessíveis ao público de uma forma imediata e são geralmente gratuitos. […] Porém, a margem de apreciação que é conferida aos Estados para encontrarem o equilíbrio entre os direitos concorrentes poderá ser maior estando em causa novos arquivos de eventos passados, mais do que notícias de assuntos atuais. Em especial, o dever que incumbe à imprensa de atuar em conformidade com os princípios do jornalismo responsável, assegurando a exatidão [o sublinhado é meu] da informação histórica, mais do que da informação perecível, que é publicada, é provavelmente mais estrito na falta de urgência na publicação do material.» ( 88 ). |
124. |
Os prestadores comerciais do serviço de motor de pesquisa na Internet oferecem os seus serviços de localização da informação no contexto de uma atividade empresarial que visa a obtenção de receitas de publicidade na Internet a partir de palavras‑chave. Isso confere a esta atividade a natureza de atividade empresarial, cuja liberdade é reconhecida pelo artigo 16.o da Carta em conformidade com o direito da União e com o direito nacional ( 89 ). |
125. |
Além disso, importa recordar que nenhum dos direitos fundamentais em causa no presente processo é absoluto. Estes direitos podem ser limitados, desde que exista uma justificação aceitável, nas condições previstas no artigo 52.o, n.o 1, da Carta ( 90 ). |
E — O «direito de ser esquecido» de uma pessoa pode basear‑se no artigo 7.o da Carta?
126. |
Por último, é necessário ponderar se a interpretação dos artigos 12.°, alínea b), e 14.°, alínea a), da diretiva à luz da Carta e, mais especificamente, do seu artigo 7.o, poderia levar ao reconhecimento de um «direito de ser esquecido» no sentido referido pelo órgão jurisdicional nacional. A priori, tal conclusão não seria contrária ao artigo 51.o, n.o 2, da Carta porque se trataria de precisar o âmbito dos direito de acesso e de oposição da pessoa em causa, já reconhecidos pela diretiva, e não de criar novos direitos ou de ampliar o âmbito do direito da UE. |
127. |
O Tribunal Europeu dos Direitos do Homem declarou no acórdão Ovchinnikov ( 91 ) que, «em determinadas circunstâncias, uma restrição à reprodução da informação que já entrou no domínio público pode ser justificada, por exemplo, para impedir a continuação da divulgação dos detalhes da vida privada de uma pessoa singular que não pertencem ao debate político ou público de uma matéria de importância geral». Assim, o direito fundamental à proteção da vida privada pode, em princípio, ser invocado mesmo que a informação em causa já seja do domínio público. |
128. |
No entanto, há que fazer uma ponderação entre o direito à proteção da vida privada da pessoa em causa e outros direitos fundamentais, em especial o direito à liberdade de expressão e à liberdade de informação. |
129. |
A liberdade de informação do editor de um jornal protege o seu direito de republicar digitalmente na Internet os seus jornais impressos. Em meu entender, as autoridades, incluindo as autoridades de proteção de dados, não podem censurar essa republicação. O acórdão Times Newspapers Ltd c. Reino Unido (n.os 1 e 2) do Tribunal Europeu dos Direitos do Homem ( 92 ) demonstra que a responsabilidade do editor relativamente à exatidão das publicações históricas pode ser mais estrita do que em relação às publicações de notícias atuais, e pode exigir a utilização de derrogações adequadas que completem o conteúdo contestado. Porém, em minha opinião, não pode haver nenhuma justificação para exigir a republicação digital de um número de um jornal com um conteúdo diferente da versão impressa originalmente publicada. Isso constituiria uma falsificação da história. |
130. |
O problema da proteção dos dados no cerne do presente litígio só se coloca se um utilizador de Internet digitar o nome e os apelidos da pessoa em causa no motor de pesquisa, recebendo assim uma hiperligação para as páginas web do jornal com os anúncios controvertidos. Nessa situação, o utilizador está a utilizar ativamente o seu direito de receber informação sobre a pessoa em causa a partir de fontes públicas por motivos que só ele conhece ( 93 ). |
131. |
Na sociedade da informação contemporânea, o direito de pesquisar informação publicada na Internet por meio de motores de pesquisa é uma das formas mais importantes de exercer esse direito fundamental. Este direito abrange, incontestavelmente, o direito de pesquisar informação relativa a outras pessoas singulares que está, em princípio, protegida pelo direito à vida privada, como as informações que figuram na Internet relativas às atividades de uma pessoa como comerciante ou político. O direito do utilizador de Internet à informação ficaria comprometido se a sua pesquisa de informação sobre uma pessoa não produzisse resultados de pesquisa que fornecessem um reflexo verdadeiro das páginas web pertinentes, mas uma versão «bowdlerizada» ( 94 ) dessas páginas. |
132. |
Um prestador do serviço de motor de pesquisa na Internet exerce legalmente a sua liberdade de empresa e a sua liberdade de expressão quando disponibiliza ferramentas de localização da informação na Internet graças a um motor de pesquisa. |
133. |
A constelação de direitos fundamentais, particularmente complexa e difícil, que este processo apresenta impede a justificação do reforço da posição jurídica das pessoas em causa ao abrigo da diretiva e da atribuição a essas pessoas de um «direito de ser esquecido». Isso implicaria o sacrifício de direitos essenciais, como a liberdade de expressão e de informação. Também dissuadiria o Tribunal de concluir que estes interesses em conflito poderiam ser satisfatoriamente ponderados nas situações individuais, caso a caso, deixando a decisão ao prestador do serviço de motor de pesquisa na Internet. Tais procedimentos de informação e de supressão («notice and take down»), caso sejam exigidos pelo Tribunal, podem conduzir à remoção automática de hiperligações a quaisquer conteúdos contestados ou a um número incontrolável de pedidos recebidos pelos prestadores do serviço de motor de pesquisa na Internet ( 95 ). Neste contexto, é necessário recordar que os procedimentos de informação e de supressão contemplados na Diretiva 2000/31 sobre comércio eletrónico se referem a conteúdos ilícitos; contudo, no caso em apreço estamos perante um pedido de eliminação de informação que entrou na esfera pública. |
134. |
Mais concretamente, os prestadores do serviço de motor de pesquisa na Internet não deveriam ser onerados com essa obrigação. Isso implicaria uma ingerência na liberdade de expressão do editor da página web, que não gozaria de uma proteção jurídica adequada nessa situação, uma vez que qualquer procedimento de informação e de supressão não regulado é uma questão privada entre a pessoa em causa e o prestador do serviço de motor de pesquisa ( 96 ). Traduzir‑se‑ia em censurar o conteúdo publicado por um privado ( 97 ). Outra coisa completamente diferente é afirmar que os Estados têm obrigações positivas de prever uma reparação eficaz contra o editor que viola o direito à vida privada, o que, no contexto da Internet, dizia respeito ao editor da página web. |
135. |
Como já observou o grupo de trabalho do «artigo 29.o», é possível que a responsabilidade subsidiária dos prestadores do serviço de motor de pesquisa ao abrigo do direito nacional possa conduzir a obrigações que consistam no bloqueio do acesso a sítios web de terceiros com conteúdos ilegais, tais como páginas web que violem direitos de propriedade intelectual ou exibam informação difamatória ou criminosa ( 98 ). |
136. |
Em contrapartida, não lhes pode ser oposto um direito genérico «de ser esquecido» com base na diretiva, mesmo interpretada de harmonia com a Carta. |
137. |
Pelos motivos expostos, proponho ao Tribunal que responda à terceira questão prejudicial que os direitos ao apagamento e ao bloqueio dos dados, regulados no artigo 12.o, alínea b), e o direito de oposição, previsto no artigo 14.o, alínea a), da diretiva, não abrangem o «direito de ser esquecido» conforme descrito no pedido de decisão prejudicial. |
VII — Conclusão
138. |
À luz das observações expostas, proponho ao Tribunal de Justiça que responda às questões submetidas a título prejudicial pela Audiencia Nacional, da seguinte forma:
|
( 1 ) Língua original: inglês.
( 2 ) Harvard Law Review, Vol. IV, 15 de dezembro de 1890, n.o 5.
( 3 ) Na realidade, a «Internet» abrange dois serviços principais, a saber, a World Wide Web e os serviços de correio eletrónico. Embora a Internet, enquanto rede de computadores ligados entre si, já exista sob diversas formas há um tempo considerável, desde a Arpanet (Estados Unidos da América), a rede aberta de livre acesso com endereços www e uma estrutura de códigos comum só surgiu no início dos anos 90. Parece que o termo historicamente correto seria World Wide Web. No entanto, dada a utilização corrente e as opções terminológicas feitas na jurisprudência do Tribunal de Justiça, o termo «Internet» é, a seguir, principalmente utilizado para referir a parte da rede da World Wide Web.
( 4 ) A localização das páginas web é identificada com um endereço individual, o «URL» (Uniform Resource Locator), um sistema criado em 1994. Pode aceder‑se a uma página web digitando diretamente o seu URL no programa de navegação na Internet (web browser), ou com o auxílio de um nome de domínio. As páginas web devem ser codificadas com uma linguagem de marcação (markup language). A HyperText Markup Language (HTML) é a principal linguagem de marcação para criar páginas web (web pages) e outra informação que pode ser exibida num programa de navegação na Internet (web browser).
( 5 ) O alcance das três questões é ilustrado pela seguinte informação (embora não existam números exatos). Em primeiro lugar, estima‑se que possa haver mais de 600 milhões de sítios na Internet. Nestes sítios web, pensa‑se que existam mais de 40 mil milhões de páginas web. Em segundo lugar, no que respeita aos motores de pesquisa, o seu número é muito mais limitado: parece que o número de motores de pesquisa importantes não atinge os 100 e que, atualmente, o motor da Google parece ter uma quota importante em muitos mercados. Tem sido afirmado que o sucesso do motor da Google se baseia num varrimento através de aranhas (spiders) extremamente poderosas, sistemas de indexação eficazes e uma tecnologia que permite classificar os resultados da pesquisa pela sua relevância para o utilizador (incluindo o algoritmo patenteado PageRank), v. López‑Tarruella, A., «Introduction: Google Pushing the Boundaries of Law» [Introdução: Google força os limites do direito], in Google and the Law. Empirical Approaches to Legal Aspects of Knowledge‑Economy Business Models [Google e o Direito. Abordagens Empíricas de Aspetos Jurídicos dos Modelos de Negócio da Economia do Conhecimento], Ed. López‑Tarruella, A., T.M.C: Asser Press, Haia, 2012, pp. 1‑8, p. 2. Em terceiro lugar, mais de três quartos das pessoas na Europa utilizam a Internet e, na medida em que utilizam os motores de pesquisa, os seus dados pessoais, enquanto utilizadores de motores de pesquisa na Internet, podem ser recolhidos e tratados pelo motor utilizado.
( 6 ) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).
( 7 ) V., em geral, parecer do grupo de trabalho do «artigo 29.o» sobre questões de proteção de dados relacionadas com motores de pesquisa, de 4 de abril de 2008 (WP 148). A política de privacidade da Google, no que diz respeito aos utilizadores do seu motor de pesquisa na Internet, está a ser examinada pelas autoridades de proteção de dados dos Estados‑Membros. A ação é conduzida pela autoridade francesa de proteção de dados (a seguir «CNIL»). Para uma evolução recente neste domínio, v. a carta de 16 de outubro de 2012 do grupo de trabalho do «artigo 29.o» Google, disponível no sítio web referido na nota 22, infra).
( 8 ) V. n.o 19, infra.
( 9 ) «Motor de pesquisa na Internet» refere‑se, a seguir, à combinação de software e de equipamento que permite a função de pesquisa na Internet de conteúdo de texto e audiovisual. Nas presentes conclusões, não são discutidas questões específicas relativas aos motores de pesquisa que operam num domínio Internet definido (ou sítio web), como http://curia.europa.eu. O operador económico que fornece o acesso a um motor de pesquisa é referido como o «prestador do serviço de motor de pesquisa na Internet». No presente processo, a Google Inc. é o prestador de serviços que fornece o acesso ao motor de pesquisa Google, assim como muitas funções de busca adicionais, tais como maps.google.com e news.google.com.
( 10 ) Acórdão de 6 de novembro de 2003, Lindqvist (C-101/01, Colet., p. I-12971).
( 11 ) Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C-465/00, C-138/01 e C-139/01, Colet., p. I-4989).
( 12 ) Acórdão de 16 de dezembro de 2008, Satakunnan Markkinapörssi e Satamedia (C-73/07, Colet., p. I-9831).
( 13 ) Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert (C-92/09 e C-93/09, Colet., p. I-11063).
( 14 ) Acórdãos de 23 de março de 2010, Google France e Google (C-236/08 a C-238/08, Colet., p. I-2417); de 8 de julho de 2010, Portakabin (C-558/08, Colet., p. I-6963); de 12 de julho de 2011, L’Oréal e o. (C-324/09, Colet., p. I-6011); de 22 de setembro de 2011, Interflora e Interflora British Unit (C-323/09, Colet., p. I-8625); e de 19 de abril de 2012, Wintersteiger (C‑523/10).
( 15 ) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados: COM(2012)11 final.
( 16 ) BOE n.o 298, de 14 de dezembro de 1999, p. 43088.
( 17 ) Nos termos do seu décimo primeiro considerando, «os princípios da proteção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente diretiva, precisam e ampliam os princípios contidos na Convenção do Conselho da Europa, de 28 de janeiro de 1981, relativa à proteção das pessoas no que diz respeito ao tratamento automatizado de dados pessoais».
( 18 ) V. grupo de trabalho do artigo 29.o, parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169), p. 3 a 4.
( 19 ) V., por exemplo, acórdão de 25 de outubro de 2011, eDate Advertising e o. (C-509/09 e C-161/10, Colet., p. I-10269, n.o 45).
( 20 ) Um jornal inclui normalmente dados pessoais, como nomes de pessoas singulares. Estes dados pessoais são tratados quando são consultados com meios automatizados. Este tratamento está abrangido pelo âmbito de aplicação da diretiva, salvo se for efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas. V. artigo 2.o, alíneas a) e b), e artigo 3.o, n.o 2, da diretiva. Além disso, a leitura de um documento em papel ou a exibição de imagens que contenham dados pessoais também constituem o seu tratamento. V. Dammann, U. e Simitis, S., EG‑Datenschutzrichtlinie, Nomos Verlagsgesellschaft, Baden—Baden, 1997, p. 110.
( 21 ) V. acórdão Lindqvist (já referido), n.os 67 a 70, quanto à interpretação do artigo 25.o da diretiva.
( 22 ) Os pareceres estão disponíveis em http://ec.europa.eu/justice/data‑protection/index_en.htm.
( 23 ) Os motores de pesquisa na Internet evoluem constantemente e o objetivo desta exposição é apenas o de dar uma visão geral dos aspetos mais importantes que são relevantes para efeitos do presente processo.
( 24 ) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno (Diretiva sobre comércio eletrónico) (JO L 178, p. 1).
( 25 ) V. considerando 18 e artigo 2.o, alínea a), da Diretiva 2000/31 sobre o comércio eletrónico, em conjugação com o artigo 1.o, n.o 2, de Diretiva 98/34/CE do Parlamento Europeu e do Conselho, de 22 de junho de 1998, relativa a um procedimento de informação no domínio das normas e regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (JO L 204, p. 37), conforme alterada pela Diretiva 98/48/CE do Parlamento Europeu e do Conselho, de 20 de julho de 1998 (JO L 217, p. 18).
( 26 ) Acórdão Lindqvist (já referido), n.os 25 a 27.
( 27 ) Um código de exclusão atual típico (ou robô «protocolo de exclusão») é denominado ‘robots.txt’; v. http://en.wikipedia.org/wiki/Robots.txt ou http://www.robotstxt.org/.
( 28 ) Contudo, os códigos de exclusão não impedem tecnicamente a indexação ou a visualização, podendo o prestador de serviços que opera um motor de pesquisa optar por ignorá‑los. Os principais prestadores do serviço de motor de pesquisa na Internet, incluindo a Google, afirmam respeitar esses códigos incluídos na páginafonte. grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14.
( 29 ) V. acórdão do Tribunal Europeu dos Direitos do Homem (a seguir «TEDH»), K.U. c. Finlândia, petição n.o 2872/02, 2008, n.o 43 e n.o 48, em que aquele Tribunal referiu a existência de obrigações positivas inerentes ao respeito efetivo pela vida privada ou familiar. Estas obrigações podem envolver a adoção de medidas destinadas a garantir o respeito pela vida privada mesmo na esfera das relações das pessoas singulares entre si. No acórdão K.U. c. Finlândia, o Estado tinha uma obrigação positiva de assegurar a disponibilização de uma reparação efetiva contra o editor.
( 30 ) Porém, a Internet não é uma base de dados única de grandes dimensões criada pelo «Big Brother», mas um sistema descentralizado de informação proveniente de inúmeras fontes independentes, em que a acessibilidade e a difusão da informação se baseia em serviços intermediários que, enquanto tais, nada têm a ver com os conteúdos.
( 31 ) V., a este respeito, as minhas conclusões de 9 de dezembro de 2010 no processo L’Oréal e o. (já referido), n.os 54 e segs.
( 32 ) Tal corresponde à terceira situação mencionada no n.o 3, supra.
( 33 ) Para um exemplo de publicidade na Internet a partir de palavras‑chave (Google’s AdWords), v. acórdãos Google France e Google (já referido, n.os 22 e 23), de 25 de março de 2010, BergSpechte (C-278/08, Colet., p. I-2517, n.os 5 a 7), Portakabin (já referido, n.os 8 a 10), e Interflora e Interflora British Unit (já referido, n.os 9 a 13).
( 34 ) Acórdãos de 5 de outubro de 2010, McB. (C-400/10 PPU, Colet., p. I-8965, n.os 51 e 59); de 15 de novembro de 2011, Dereci e o. (C-256/11, Colet., p. I-11315, n.os 71 e 72); de 8 de novembro de 2012, Iida (C‑40/11n.° 78); e de 26 de fevereiro de 2010, Åkerberg Fransson (C‑617/10, n.o 23).
( 35 ) Por exemplo, no acórdão McB. (já referido), o Tribunal recusou uma interpretação, que era solicitada com base no artigo 7.o da Carta, que ampliava o significado do conceito de «direito de guarda» previsto no artigo 2.o, n.o 9, do Regulamento (CE) n.o 2201/2003, de 27 de novembro de 2003, relativo à competência, ao reconhecimento e à execução de decisões em matéria matrimonial e em matéria de responsabilidade parental e que revoga o Regulamento n.o 1347/2000 (JO L 338, p. 1). Dito isto, é claro que se for impossível interpretar uma disposição legislativa da UE em conformidade com os direitos fundamentais protegidos pelo direito da UE, essa disposição deve ser declarada inválida. V. acórdão de 1 de março de 2011, Association belge des Consommateurs Test‑Achats e o. (C-236/09, Colet., p. I-773, n.os 30 a 34).
( 36 ) Grupo de trabalho do «artigo 29.o», parecer 8/2010 sobre a lei aplicável (WP 179), p. 8.
( 37 ) Grupo de trabalho do «artigo 29.o», parecer 8/2010 (já referido), pp. 24 e 31.
( 38 ) V. artigo 3.o, n.o 2, alínea a), da proposta da Comissão (já referido).
( 39 ) V. L’Oréal e o. (já referido) e a Diretiva 2000/31 sobre comércio eletrónico.
( 40 ) Regulamento (CE) n.o 44/2001 do Conselho, de 22 de dezembro de 2000, relativo à competência judiciária, ao reconhecimento e à execução de decisões em matéria civil e comercial (JO L 12, p. 1); acórdão de 7 de dezembro de 2010, Pammer e Hotel Alpenhof (C-585/08 e C-144/09, Colet., p. I-12527) e acórdão Wintersteiger (já referido). V. também as minhas conclusões de 13 de junho de 2013, no processo pendente Pinckney (C‑170/12).
( 41 ) Diretiva 2001/29/CE do Parlamento Europeu e do Conselho, de 22 de maio de 2001, relativa à harmonização de certos aspetos do direito de autor e dos direitos conexos na sociedade da informação (JO L 167, p. 10), e acórdão de 21 de junho de 2012, Donner (C‑5/11).
( 42 ) O pedido de decisão prejudicial não especifica o que se entende por «centro de gravidade», mas esta expressão foi utilizada pelo advogado‑general Cruz Villalón nas suas conclusões de 29 de março de 2011, no processo eDate Advertising e o. (já referido), n.os 32 e 55.
( 43 ) Grupo de trabalho do «artigo 29.o», parecer 8/2010 (já referido), p. 8 e 9. O grupo de trabalho também observou que o alcance do termo «equipment» utilizado na versão inglesa é demasiado estreito porque as outras versões linguísticas referem‑se a «meios», o que também abrange dispositivos não materiais como cookies (v. pp. 20 e 21).
( 44 ) V., em especial, grupo de trabalho do «artigo 29.o», parecer 8/2010 (já referido), p. 19, onde este sustentou que o artigo 4.o, n.o 1, alínea c), da Diretiva se deveria aplicar, não obstante a sua letra, quando o responsável pelo tratamento tem estabelecimentos na UE, mas as suas atividades não estão relacionadas com o tratamento de dados pessoais.
( 45 ) V. Google France e Google (já referido), n.o 23.
( 46 ) V. Google France e Google (já referido, n.o 25, e grupo de trabalho do «artigo 29.o», parecer n.o 1/2008, pp. 5 e 6. É fácil verificar que a utilização das mesmas palavras‑chave em diferentes domínios nacionais da Google pode desencadear a apresentação de diferentes resultados de pesquisa e de diferentes anúncios.
( 47 ) Grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 10.
( 48 ) V. artigo 2.o, alínea a), da diretiva, nos termos do qual se entende por dados pessoais «qualquer informação relativa a uma pessoa singular identificada ou identificável». O grupo de trabalho do «artigo 29.o» apresentou, no seu parecer 4/2007 sobre o conceito de dados pessoais (WP 136), uma grande variedade de exemplos. O Tribunal confirmou a interpretação ampla nos acórdãos Lindqvist (já referido, n.os 24 a 27). V. também Österreichischer Rundfunk e o. (já referido, n.o 64); Satakunnan Markkinapörssi e Satamedia (já referido, n.os 35 a 37); acórdão de 16 de dezembro de 2008, Huber (C-524/06, Colet., p. I-9705, n.o 43); acórdão de 7 de maio de 2009, Rijkeboer (C-553/07, Colet., p. I-3889, n.o 62); acórdão de 19 de abril de 2012, Bonnier Audio e o. (C‑461/10, n.o 93); Volker und Markus Schecke e Eifert (já referido, n.os 23, 55 e 56).
( 49 ) O grupo de trabalho do «artigo 29.o» recorda que «para que a informação seja considerada como dados pessoais, não é necessário que esteja incluída num ficheiro ou numa base de dados estruturada. A informação que conste de um texto livre inscrito num documento eletrónico poderá também ser considerada como dados pessoais […]», v. parecer 4/2007 (já referido), p. 8.
( 50 ) Há motores de pesquisa ou funções de motores de pesquisa que se centram especialmente nos dados pessoais que, enquanto tais, podem ser identificáveis pela sua forma (por exemplo, número da Segurança Social) ou composição (cadeias de sinais que correspondem a nomes e apelidos). V. grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14. Tais motores de pesquisa podem suscitar questões particulares sobre a proteção de dados que não são objeto das presentes conclusões.
( 51 ) Porém, as denominadas «páginas órfãs» sem hiperligações [links] a outras páginas web permanecem inacessíveis para o motor de pesquisa.
( 52 ) As páginas web encontradas pela função de varrimento [crawler] são armazenadas na base de dados de indexação da Google que está ordenada alfabeticamente por termo de pesquisa, e com cada entrada do índice uma lista de documentos onde o termo aparece e a localização no texto desse termo. Certas palavras, tais como artigos, pronomes e advérbios comuns ou certos dígitos e letras singulares não estão indexados. V. http://www.googleguide.com/google_works.html.
( 53 ) Estas cópias (denominadas «snapshots») das páginas web armazenadas na memória cache do motor de pesquisa da Google são apenas constituídas por um código HTML, e não por imagens que têm de ser carregadas da localização originária. V. Peguera, M., «Copyright Issues Regarding Google Images e Google Cache», Google and the Law (op. cit.), pp. 169 a 202, p. 174.
( 54 ) Os prestadores do serviço de motor de pesquisa na Internet permitem normalmente que os administradores dos sítios web [webmasters] peçam a atualização da cópia cache da página web. As instruções para este efeito podem ser consultadas na página das ferramentas para administradores de sítios web [webmaster Tools] no sítio web da Google.
( 55 ) Várias versões linguísticas da diretiva, diferentes da inglesa, como as versões francesa, alemã, espanhola, sueca e neerlandesa, parecem referir‑se a uma entidade «responsável» pelo tratamento dos dados e não ao «controlador» [controller]. Algumas versões linguísticas, como as versões finlandesa e polaca, utilizam termos mais neutros (em finlandês, «rekisterinpitäjä»; em polaco «administrator danych»).
( 56 ) V. acórdão Lindqvist (já referido, n.o 68).
( 57 ) Grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14, nota de rodapé 17. Segundo o parecer, o papel dos utilizadores está habitualmente fora do âmbito da Diretiva de Proteção de Dados enquanto «atividades exclusivamente pessoais». Na minha opinião, este pressuposto não é defensável. Em princípio, os utilizadores da Internet também utilizam motores de pesquisa em atividades que não são exclusivamente pessoais, como para fins de trabalho, estudos, negócios ou atividades do setor terciário.
( 58 ) No seu parecer 4/2007 (já referido), o grupo de trabalho do «artigo 29.o» dá inúmeros exemplos sobre o conceito de tratamento de dados pessoais, incluindo o responsável pelo tratamento, e parece‑me que em todos os exemplos apresentados esta condição está preenchida.
( 59 ) Grupo de trabalho do «artigo 29.o», parecer 1/2010 (já referido), p. 9.
( 60 ) Ibidem, p. 14.
( 61 ) Dammann e Simitis (op. cit., p. 120) observam que o tratamento com meios automatizados deve não só respeitar ao suporte onde os dados são registados (Datenträger), mas também à dimensão semântica ou substantiva dos dados. Em minha opinião, é fundamental que os dados pessoais sejam, de acordo com a diretiva, «informação», i.e. conteúdo semanticamente relevante.
( 62 ) V. grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14.
( 63 ) V. acórdão Lindqvist (já referido), n.o 27.
( 64 ) V. acórdão Satakunnan Markkinapörssi e Satamedia (já referido), n.o 37.
( 65 ) V. grupo de trabalho do «artigo 29.o», parecer 1/2010 (já referido), pp. 4 e 9.
( 66 ) V. grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14.
( 67 ) Grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14, que acrescenta, todavia, que o grau da obrigação de suprimir ou bloquear dados pessoais pode depender da legislação em matéria de responsabilidade civil e da regulamentação em matéria de responsabilidade de um dado Estado‑Membro. Nalguns Estados‑Membros da UE, a legislação nacional prevê procedimentos de informação e de supressão («notice and take down procedures») que os prestadores do serviço de motor de pesquisa têm de seguir para não porem em causa a sua responsabilidade.
( 68 ) Segundo um autor, essa filtragem é feita pela Google em quase todos os países, por exemplo, em relação às infrações aos direitos de propriedade intelectual. Além disso, nos Estados Unidos, tem sido filtrada informação crítica da cientologia. Em França e na Alemanha, a Google filtra os resultados de pesquisa relativos a «objetos nazis, negacionismo do Holocausto, supremacia branca e sítios web que fazem propaganda contra a ordem constitucional democrática.» Para mais exemplos, v. V. Friedmann, D., «Paradoxes, Google and China: How Censorship can Harm and Intellectual Property can Harness Innovation», Google and the Law (op. cit.), pp. 303 a 327, p. 307.
( 69 ) V. n.o 41, supra.
( 70 ) V. Primeiro relatório sobre a aplicação da [diretiva sobre comércio eletrónico 2000/31], COM (2003) 702 final, p. 13, nota 69, e grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 13, nota 16.
( 71 ) V. n.o 41, supra.
( 72 ) A possibilidade de um nome pessoal identificar uma pessoa singular depende do contexto. Um nome comum não individualiza uma pessoa na Internet, mas fá‑lo com certeza, por exemplo, numa turma de uma escola. Nos ficheiros informáticos que registam dados pessoais é normalmente atribuído um identificador único às pessoas registadas para evitar confusão entre duas pessoas. São exemplos típicos desses identificadores os números da Segurança Social. V., a este respeito, grupo de trabalho do «artigo 29.o», parecer 4/2007 (já referido), p. 13 e parecer 1/2008 (já referido) p. 9, nota 11.
( 73 ) É interessante observar, todavia, que, no contexto dos dados armazenados por organismos públicos, o Tribunal Europeu dos Direitos do Homem já decidiu que «o direito nacional deve nomeadamente assegurar que tais dados sejam pertinentes e não excessivos relativamente às finalidades para as quais são armazenados; e que sejam conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para as finalidades para as quais são armazenados» (v. acórdão S. e Marper c. Reino Unido, processos n.os 30562/04 e 30566/04, § 103, Recueil des arrêts et décisions 2008; v. também TEDH, acórdão Segerstedt‑Wiberg e o. c. Suécia, processo n.o 62332/00, § 90, Recueil des arrêts et décisions 2006‑VII,). No entanto, o Tribunal Europeu dos Direitos do Homem reconheceu igualmente, no contexto do artigo 10.o da CEDH relativo ao direito à liberdade de expressão, «a contribuição substancial dos arquivos da Internet para preservar e disponibilizar notícias e informação.» [TEDH, Times Newspapers Ltd c. Reino Unido (n.os 1 e 2), processos n.os 3002/03 e 23676/03, § 45, Recueil des arrêts et décisions 2009].
( 74 ) V. n.o 41, supra.
( 75 ) Cf. artigo 14.o da diretiva sobre comércio eletrónico.
( 76 ) Grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido), p. 14.
( 77 ) Foi esta a abordagem desenvolvida pelo Tribunal de Justiça no acórdão McB. (já referido), n.os 44 e 49.
( 78 ) Acórdão de 24 de novembro de 2011, ASNEF e FECEMD (C-468/10 e C-469/10, Colet., p. I-12181, n.os 44 a 45). O Tribunal Europeu dos Direitos do Homem já observou que a publicação de dados pessoais noutros locais põe termo ao interesse superior da proteção da confidencialidade, v. acórdão Aleksey Ovchinnikov c. Rússia de 16 de dezembro de 2010, § 49, processo n.o 24061/04.
( 79 ) TEDH, acórdãos Niemietz c. Alemanha, de 16 de dezembro de 1992, processo n.o 13710/88, § 29, série A, n.o 251 B; Amann c. Suiça [GC], processo n.o 27798/95, § 65, Recueil des arrêts et décisions 2000‑II; e Rotaru c. Roménia [GC], processo n.o 28341/95, § 43, Recueil des arrêts et décisions 2000 V.
( 80 ) Já referido, n.o 52.
( 81 ) Em contrapartida, o Tribunal Europeu dos Direitos do Homem recusou‑se a dar uma definição positiva de vida privada. Segundo aquele Tribunal, o conceito de vida privada é um conceito amplo, que não é suscetível de uma definição exaustiva (v. Costello‑Roberts c. Reino Unido, processo n.o 13134/87, § 36, 25 de março de 1993, série A, n.o 247‑C).
( 82 ) Sobre as obrigações positivas que incumbem ao Estado de agir para proteger a privacidade quando esta é violada por atores do setor privado, e a necessidade de equilibrar tais obrigações com o direito à liberdade de expressão destes últimos, v., por exemplo, TEDH, acórdão von Hannover c. Germany, processo n.o 59320/00, Recueil des arrêts et décisions 2004—VI e acórdão Ageyevy c. Rússia, de 13 abril de 2013, processo n.o 7075/10.
( 83 ) V. TEDH, acórdãos Handyside c. Reino Unido, de 7 de dezembro de 1976, § 49, série A, n.o 24,; Müller e o. c. Suiça, de 24 de maio de 1988, § 33, série A, n.o 133; Vogt c. Alemanha, de 26 de setembro de 1995, § 52, série A, n.o 323; e Guja c. Moldávia, processo n.o 14277/04, § 69, Recueil des arrêts et décisions 2008. V. também acórdão de 6 de março de 2001, Connolly/Comissão (C-274/99 P, Colet., p. I-1611, n.o 39), e as conclusões apresentadas pela advogada‑geral J. Kokott em 8 de maio de 2008 no processo Satakunnan Markkinapörssi e Satamedia (já referido, n.o 38).
( 84 ) V. acórdão de 16 de fevereiro de 2012, SABAM/Netlog (C‑360/10, n.o 48).
( 85 ) V. Organização das Nações Unidas, Conselho dos Direitos do Homem, Relatório Especial sobre a promoção e a proteção do direito à liberdade de opinião e de expressão, Frank La Rue (Documento A/HRC/17/27), de 16 de maio de 2011.
( 86 ) V. acórdão Satakunnan Markkinapörssi e Satamedia (já referido), n.o 60.
( 87 ) Importa recordar, a este respeito, que a exceção do jornalismo prevista no artigo 9.o da diretiva se aplica «não só às empresas de comunicação social mas também a qualquer pessoa que exerça a atividade de jornalismo», v. acórdão Satakunnan Markkinapörssi e Satamedia (já referido, n.o 58).
( 88 ) TEDH, Times Newspapers Ltd (n.os 1 e 2; já referido, § 45).
( 89 ) V. acórdão de 24 de novembro de 2011, Scarlet Extended (C-70/10, Colet., p. I-11959, n.o 46 e SABAM/Netlog, já referido, n.o 44).
( 90 ) V. também acórdão de 18 de março de 2010, Alassini e o. (C-317/08 a C-320/08, Colet., p. I-221, n.o 63), onde foi declarado que «decorre de jurisprudência assente que os direitos fundamentais não constituem prerrogativas absolutas, mas podem comportar restrições, na condição de que estas correspondam efetivamente a objetivos de interesse geral prosseguidos pela medida em causa e não constituam, à luz da finalidade prosseguida, uma intervenção desmedida e intolerável que atente contra a própria substância dos direitos assim garantidos (v., neste sentido, acórdão de 15 de junho de 2006, Doktor e o., C-28/05, Colet., p. I-5431, n.o 75 e jurisprudência aí referida, e o acórdão do TEDH no processo Fogarty c. Reino Unido de 21 de novembro de 2001, n.o 37112/97, § 33, Recueil des arrêts et décisions 2001‑XI)».
( 91 ) Já referido, § 50.
( 92 ) Já referido.
( 93 ) Sobre o direito de receber informações, v. TEDH, acórdão Observer e Guardian c. Reino Unido, de 26 de novembro de 1991, § 60, série A, n.o 216, e acórdão Timpul Info‑Magazin e Anghel c. Moldávia, de 27 de novembro de 2007, § 34, processo n.o 42864/05.
( 94 ) Thomas Bowdler (1754—1825) publicou uma versão «expurgada» da obra de William Shakespeare que pretendia ser mais apropriada para as mulheres e as crianças do século XIX do que o original.
( 95 ) V. acórdão SABAM/Netlog (já referido, n.os 45 a 47).
( 96 ) V. as minhas conclusões de 9 de dezembro de 2010 no processo L’Oréal e o. (já referido, n.o 155).
( 97 ) V. acórdão SABAM/Netlog (já referido, n.os 48 e 50).
( 98 ) Grupo de trabalho do «artigo 29.o», parecer 1/2008 (já referido, págs. 14 e 15).