Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62014CJ0230

Acórdão do Tribunal de Justiça (Terceira Secção) de 1 de outubro de 2015.
Weltimmo s.r.o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.
Pedido de decisão prejudicial apresentado pela Kúria.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46/CE — Artigos 4.°, n.° 1, e 28.°, n.os 1, 3 e 6 — Responsável pelo tratamento formalmente estabelecido num Estado‑Membro — Violação do direito à proteção de dados pessoais relativos a pessoas singulares de outro Estado‑Membro — Determinação do direito aplicável e da autoridade de controlo competente — Exercício dos poderes da autoridade de controlo — Poder de aplicar sanções.
Processo C-230/14.

Court reports – general

ECLI identifier: ECLI:EU:C:2015:639

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

1 de outubro de 2015 ( * )

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46/CE — Artigos 4.°, n.o 1, e 28.°, n.os 1, 3 e 6 — Responsável pelo tratamento formalmente estabelecido num Estado‑Membro — Violação do direito à proteção de dados pessoais relativos a pessoas singulares de outro Estado‑Membro — Determinação do direito aplicável e da autoridade de controlo competente — Exercício dos poderes da autoridade de controlo — Poder de aplicar sanções»

No processo C‑230/14,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pela Kúria (Hungria), por decisão de 22 de abril de 2014, que deu entrada no Tribunal de Justiça em 12 de maio de 2014, no processo

Weltimmo s. r. o.

contra

Nemzeti Adatvédelmi és Információszabadság Hatóság,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: M. Ilešič, presidente de secção, A. Ó Caoimh, C. Toader, E. Jarašiūnas e C. G. Fernlund (relator), juízes,

advogado‑geral: P. Cruz Villalón,

secretário: I. Illéssy, administrador,

vistos os autos e após a audiência de 12 de março de 2015,

vistas as observações apresentadas:

em representação da Nemzeti Adatvédelmi és Információszabadság Hatóság, por A. Péterfalvi, na qualidade de agente, assistido por G. Dudás, ügyvéd,

em representação do Governo húngaro, por M. Z. Fehér, G. Koós e A. Pálfy, na qualidade de agentes,

em representação do Governo polaco, por B. Majczyna, M. Kamejsza e M. Pawlicka, na qualidade de agentes,

em representação do Governo eslovaco, por B. Ricziová, na qualidade de agente,

em representação do Governo do Reino Unido, por M. Holt, na qualidade de agente, assistido por J. Holmes, barrister,

em representação da Comissão Europeia, por A. Tokár, B. Martenczuk e J. Vondung, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 25 de junho de 2015,

profere o presente

Acórdão

1

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 4.°, n.o 1, alínea a), e 28.°, n.os 1, 3 e 6, da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Weltimmo s. r. o. (a seguir «Weltimmo»), sociedade com sede na Eslováquia, à Nemzeti Adatvédelmi és Információszabadság Hatóság (autoridade Nacional para a Proteção de Dados e da Liberdade de Informação, a seguir «autoridade húngara para a proteção de dados») a respeito de uma coima aplicada por esta última devido à violação da Lei CXII de 2011 sobre o direito à autodeterminação informativa e à liberdade de informação (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, a seguir «lei sobre a informação»), que transpôs a Diretiva 95/46 para o direito húngaro.

Quadro jurídico

Direito da União

3

Os considerandos 3, 18 e 19 da Diretiva 95/46 enunciam:

«(3)

Considerando que o estabelecimento e o funcionamento do mercado interno no qual, nos termos do artigo [26.° TFUE], é assegurada a livre circulação das mercadorias, das pessoas, dos serviços e dos capitais, exigem não só que os dados pessoais possam circular livremente de um Estado‑Membro para outro, mas igualmente, que sejam protegidos os direitos fundamentais das pessoas;

[…]

(18)

Considerando que, a fim de evitar que uma pessoa seja privada da proteção a que tem direito por força da presente diretiva, é necessário que qualquer tratamento de dados pessoais efetuado na Comunidade respeite a legislação de um dos Estados‑Membros; que, nesse sentido, é conveniente que o tratamento efetuado por uma pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num Estado‑Membro seja regido pela legislação deste Estado‑Membro;

(19)

Considerando que o estabelecimento no território de um Estado‑Membro pressupõe o exercício efetivo e real de uma atividade mediante uma instalação estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante; que, quando no território de vários Estados‑Membros estiver estabelecido um único responsável pelo tratamento, em especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respetivas atividades».

4

O artigo 2.o da Diretiva 95/46 prevê:

«Para efeitos da presente diretiva, entende‑se por:

[…]

b)

‘Tratamento de dados pessoais ['feldolgozása']’ (‘tratamento’ [‘feldolgozás’]), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]»

5

O artigo 4.o, n.o 1, alínea a), da Diretiva 95/46 dispõe:

«1.   Cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força da presente diretiva ao tratamento de dados pessoais quando:

a)

O tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável».

6

Nos termos do artigo 28.o, n.os 1, 3 e 6, da Diretiva 95/46:

«1.   Cada Estado‑Membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adotadas pelos Estados‑Membros nos termos da presente diretiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

[…]

3.   Cada autoridade do controlo disporá, nomeadamente:

de poderes de inquérito, tais como o poder de aceder aos dados objeto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

de poderes efetivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução adequada desses pareceres, o de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,

do poder de intervir em processos judiciais no caso de violação das disposições nacionais adotadas nos termos da presente diretiva ou de levar essas infrações ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

[…]

6.   Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado‑Membro dos poderes que lhe foram atribuídos em conformidade com o n.o 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.»

Direito húngaro

7

O artigo 2.o, n.o 1, da lei sobre a informação prevê:

«O âmbito de aplicação da presente lei abrange qualquer tratamento de dados e operações técnicas de tratamento de dados efetuados no território da Hungria, que digam respeito a dados relativos a pessoas singulares, bem como a dados de interesse público ou a dados que sejam públicos por razões de interesse geral.»

8

O artigo 3.o, n.os 10 e 17, da lei sobre a informação contém as seguintes definições:

«10.   ‘tratamento de dados’ [‘adatkezelés’]: qualquer operação ou conjunto de operações efetuadas, independentemente dos meios usados para esse efeito, sobre dados, tais como a recolha, registo, organização, conservação, alteração, utilização, consulta, transmissão, divulgação, comparação ou interconexão, bloqueio, apagamento ou destruição, bem como o facto de proibir a reutilização de dados, a realização de registos fotográficos ou audiovisuais, bem como o registo de características físicas que permitam identificar uma pessoa (por exemplo, impressões digitais ou palmares, amostras de ADN ou digitalização da íris);

[…]

17.   ‘operações técnicas de tratamento de dados’ [‘adatfeldolgozás’]: tarefas técnicas relacionadas com as operações de tratamento de dados, independentemente dos procedimentos e meios utilizados para este efeito, bem como do lugar em que sejam efetuados, desde que estas operações técnicas sejam executadas sobre os dados».

Litígio no processo principal e questões prejudiciais

9

A Weltimmo, sociedade registada na Eslováquia, gere um sítio Internet de anúncios de imóveis situados na Hungria. A este título, procede ao tratamento de dados pessoais dos anunciantes. Os anúncios são publicados de forma gratuita durante um mês, passando a ser pagos após este período. Um elevado número de anunciantes solicitou, por correio eletrónico, a retirada dos respetivos anúncios depois de decorrido esse período e, na mesma ocasião, o apagamento dos seus dados pessoais. No entanto, a Weltimmo não procedeu a esse apagamento e faturou o preço dos seus serviços aos interessados. Por os montantes faturados não terem sido pagos, esta sociedade comunicou os dados pessoais dos anunciantes em causa a empresas de recuperação de crédito.

10

Os referidos anunciantes apresentaram queixas à autoridade húngara para a proteção de dados. Esta declarou‑se competente nos termos do artigo 2.o, n.o 1, da lei sobre a informação, considerando que a recolha dos dados em causa ocorreu no território húngaro e que esta constitui um tratamento de dados ou uma operação técnica de tratamento de dados de pessoas singulares. Esta autoridade de controlo aplicou à referida sociedade uma coima de dez milhões de forints húngaros (HUF) (cerca de 32000 euros), por considerar que a Weltimmo violou a lei sobre a informação.

11

A Weltimmo interpôs recurso no Fővárosi Közigazgatási és Munkaügyi Bíróság (Tribunal Administrativo e de Trabalho de Budapeste), o qual considerou que o facto de esta sociedade não ter uma sede ou não dispor de um estabelecimento situado na Hungria não constitui um argumento de defesa válido, uma vez que o fornecimento dos dados relativos aos imóveis húngaros em causa, bem como o tratamento desses dados, ocorreram na Hungria. Aquele tribunal anulou, contudo, a decisão da autoridade húngara para a proteção de dados por outros motivos, relacionados com a imprecisão de certos elementos de facto.

12

A Weltimmo interpôs recurso no órgão jurisdicional de reenvio alegando que não era necessário nenhum esclarecimento adicional dos factos, uma vez que, nos termos do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46, no presente caso, a autoridade húngara para a proteção de dados não é competente e não pode aplicar o direito húngaro a um prestador de serviços estabelecido noutro Estado‑Membro. A Weltimmo alegou que, ao abrigo do artigo 28.o, n.o 6, da Diretiva 95/46, essa autoridade devia ter solicitado à autoridade eslovaca competente que instaurasse um processo no seu lugar.

13

A autoridade húngara para a proteção de dados alegou que a Weltimmo tinha na Hungria um representante de nacionalidade húngara, a saber, um dos proprietários desta sociedade, que a representou nos procedimentos administrativo e jurisdicional ocorridos nesse Estado‑Membro. Esta autoridade acrescentou que os servidores de Internet da Weltimmo estão, verosimilmente, instalados na Alemanha ou na Áustria, mas que os proprietários desta sociedade moram na Hungria. Por último, segundo a referida autoridade, resulta do artigo 28.o, n.o 6, da Diretiva 95/46 que, em todo o caso, é competente para agir, independentemente do direito aplicável.

14

Tendo dúvidas a respeito da determinação do direito aplicável e dos poderes de que a autoridade húngara para a proteção de dados dispõe ao abrigo dos artigos, 4.°, n.o 1, e 28.° da Diretiva 95/46, a Kúria (Tribunal Supremo) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

Deve o artigo 28.o, n.o 1, da Diretiva 95/46[…] ser interpretado no sentido de que a regulamentação nacional de um Estado‑Membro pode aplicar‑se, no seu território, a um responsável pelo tratamento de dados estabelecido exclusivamente noutro Estado‑Membro, que gere uma página Internet de mediação imobiliária onde divulga, entre outros, imóveis situados no território do primeiro Estado‑Membro, sendo que os proprietários dos imóveis forneceram os seus dados pessoais a um meio (servidor) de armazenamento e [tratamento] de dados pertencente ao gestor da página Internet e que está situado noutro Estado‑Membro?

2)

Deve o artigo 4.o, n.o 1, alínea a), da Diretiva [95/46], à luz dos seus décimo oitavo e vigésimo considerandos e dos seus artigos 1.°, n.o 2, e 28.°, n.o 1, ser interpretado no sentido de que a [autoridade húngara para a proteção de dados] não pode aplicar a lei húngara para a proteção de dados, enquanto direito nacional, a um gestor de uma página Internet de mediação imobiliária estabelecido exclusivamente noutro Estado‑Membro, mesmo que este divulgue, entre outros, imóveis húngaros cujos proprietários forneceram, provavelmente a partir do território da Hungria, os dados relativos aos seus imóveis a um meio (servidor) de armazenamento e [tratamento] de dados pertencente ao gestor da página Internet e que está situado noutro Estado‑Membro?

3)

É [pertinente], para efeitos de interpretação, que o serviço prestado pelo responsável pelo tratamento de dados que gere a página Internet se destine ao território de outro Estado‑Membro?

4)

É [pertinente], para efeitos de interpretação, que os dados relativos aos imóveis situados no território do outro Estado‑Membro e os dados pessoais dos proprietários tenham sido efetivamente carregados a partir do território desse outro Estado‑Membro?

5)

É [pertinente], para efeitos de interpretação, que os dados pessoais relacionados com os referidos imóveis sejam dados pessoais de cidadãos de outro Estado‑Membro?

6)

É [pertinente], para efeitos de interpretação, que os proprietários da empresa estabelecida na Eslováquia [morem] na Hungria?

7)

Se das respostas dadas às perguntas anteriores resultar que a autoridade húngara para a proteção de dados pode instaurar um processo[,] mas não pode aplicar o direito nacional[,] e sim o direito do Estado‑Membro de estabelecimento, deve o artigo 28.o, n.o 6, da [Diretiva 95/46] ser interpretado no sentido de que a autoridade húngara para a proteção de dados só pode exercer os poderes previstos no artigo 28.o, n.o 3, [desta diretiva], em conformidade com o disposto na lei do Estado‑Membro de estabelecimento[,] e que, por isso, não tem competência para aplicar uma coima?

8)

Pode o conceito de ‘adatfeldolgozás’ [operações técnicas de tratamento de dados], utilizado tanto no artigo 4.o, n.o 1, alínea a), como no artigo 28.o, n.o 6, da [versão húngara da] Diretiva [95/46] ser considerado idêntico ao conceito de ‘adatkezelés’ [tratamento de dados] utilizado na terminologia da referida diretiva?»

Quanto às questões prejudiciais

Observações preliminares

15

No que respeita, antes de mais, ao quadro factual do litígio no processo principal, há que mencionar um certo número de elementos de informação adicionais, apresentados pela autoridade húngara para a proteção de dados nas suas observações escritas e na audiência no Tribunal de Justiça.

16

Resulta destes elementos, em primeiro lugar, que essa autoridade tomou conhecimento, de modo informal, através da sua homóloga eslovaca, de que a Weltimmo não exercia nenhuma atividade na sua sede, na Eslováquia. Por outro lado, a Weltimmo, por várias vezes, deslocou essa sede de um Estado para outro. Em segundo lugar, a Weltimmo desenvolveu dois sítios de anúncios de imóveis, redigidos exclusivamente em língua húngara. Abriu uma conta bancária na Hungria, destinada à cobrança dos seus créditos, e teve uma caixa de correio nesse Estado‑Membro, para os seus assuntos correntes. O correio foi regularmente recolhido e transmitido à Weltimmo por via eletrónica. Em terceiro lugar, os próprios anunciantes não apenas inseriam os dados relativos aos seus imóveis no sítio da Weltimmo como também apagavam esses dados desse sítio se não pretendessem que estes continuassem a constar do sítio depois de terminado o período de um mês anteriormente evocado. A Weltimmo invocou um problema de gestão informática para explicar que esse apagamento não pôde ser efetuado. Em quarto lugar, a Weltimmo é uma sociedade composta por apenas uma ou duas pessoas. O seu representante na Hungria tentou negociar com os anunciantes o pagamento dos créditos em dívida.

17

Em seguida, no que respeita à redação das questões submetidas, embora o órgão jurisdicional de reenvio utilize os termos «estabelecido exclusivamente» na primeira e segunda questões, resulta da decisão de reenvio e das observações escritas e orais apresentadas pela autoridade húngara para a proteção de dados que, embora a Weltimmo esteja registada na Eslováquia e esteja, por conseguinte, estabelecida nesse Estado‑Membro, na aceção do direito das sociedades, há dúvidas quanto à questão de saber se está «estabelecida» apenas nesse Estado‑Membro, na aceção do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46. Ao questionar o Tribunal de Justiça a respeito da interpretação desta disposição, o órgão jurisdicional de reenvio pretende, com efeito, saber o que é abrangido pelo conceito de «estabelecimento» utilizado nesta disposição.

18

Por último, há que salientar que, na primeira e segunda questões, o órgão jurisdicional de reenvio refere que o servidor utilizado pela Weltimmo está instalado na Eslováquia, ao passo que, noutra parte da decisão de reenvio, menciona a possibilidade de os servidores se encontrarem na Alemanha ou na Áustria. Nestas condições, é oportuno considerar que não está resolvida a questão de saber em que Estado‑Membro o servidor ou os servidores utilizados pela referida sociedade estão instalados.

Quanto à primeira a sexta questões

19

Com a primeira a sexta questões, que devem ser analisadas em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 4.°, n.o 1, alínea a), e 28.°, n.o 1, da Diretiva 95/46 devem ser interpretados no sentido de que, em circunstâncias como as do processo principal, permitem que a autoridade para a proteção de dados de um Estado‑Membro aplique a sua legislação nacional relativa à proteção de dados a um responsável pelo tratamento, cuja sociedade está registada noutro Estado‑Membro e que explora um sítio Internet de anúncios de imóveis situados no território do primeiro desses dois Estados. Pergunta, em particular, se é pertinente que esse Estado‑Membro seja aquele:

para o qual está direcionada a atividade do responsável pelo tratamento dos dados pessoais;

em que se situam os imóveis em causa;

a partir do qual os dados relativos aos proprietários desses imóveis são comunicados;

de que estes são nacionais; e

no qual moram os proprietários desta sociedade.

20

No que respeita ao direito aplicável, o órgão jurisdicional de reenvio refere mais concretamente os direitos eslovaco e húngaro, sendo o primeiro destes o do Estado‑Membro no qual o responsável pelo tratamento dos dados pessoais em causa está registado e o segundo o do Estado‑Membro visado pelos sítios Internet em causa no processo principal, em cujo território se situam os imóveis objeto dos anúncios publicados.

21

A este respeito, há que constatar que o artigo 4.o da Diretiva 95/46, com a epígrafe «Direito nacional aplicável», que consta do capítulo I desta diretiva, intitulado «Disposições gerais», regula precisamente a questão colocada.

22

O artigo 28.o da Diretiva 95/46, com a epígrafe «Autoridade de controlo», em contrapartida, tem por objeto as funções e os poderes desta autoridade. Nos termos deste artigo 28.o, n.o 1, esta autoridade é responsável pela fiscalização da aplicação, no território do Estado‑Membro a que pertence, das disposições adotadas pelos Estados‑Membros em aplicação desta diretiva. Em conformidade com o artigo 28.o, n.o 6, da referida diretiva, a autoridade de controlo exerce os poderes que lhe foram atribuídos, independentemente do direito nacional aplicável ao tratamento dos dados pessoais.

23

É, assim, à luz do artigo 4.o da Diretiva 95/46 e não do seu artigo 28.o que há que determinar o direito nacional aplicável ao responsável por esse tratamento.

24

Nos termos do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46, cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força desta diretiva ao tratamento de dados pessoais quando o tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro.

25

Atendendo ao objetivo prosseguido pela Diretiva 95/46, que consiste em assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, a expressão «no contexto das atividades de um estabelecimento» não pode ser objeto de interpretação restritiva (v., neste sentido, acórdão Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 53).

26

Para alcançar este objetivo e evitar que uma pessoa seja privada da proteção que lhe é garantida por esta diretiva, o considerando 18 da referida diretiva enuncia que é necessário que qualquer tratamento de dados pessoais efetuado na União Europeia respeite a legislação de um dos Estados‑Membros e que, nesse sentido, é conveniente que o tratamento efetuado por uma pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num Estado‑Membro seja regido pela legislação deste Estado‑Membro.

27

O legislador da União estabeleceu assim um âmbito de aplicação territorial da Diretiva 95/46 particularmente amplo, que inseriu no artigo 4.o desta (v., neste sentido, acórdão Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 54).

28

No que respeita, em primeiro lugar, ao conceito de «estabelecimento», há que recordar que o considerando 19 da Diretiva 95/46 enuncia que o estabelecimento no território de um Estado‑Membro pressupõe o exercício efetivo e real de uma atividade mediante uma instalação estável e que a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante (acórdão Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 48). Este considerando precisa, por outro lado, que, quando no território de vários Estados‑Membros estiver estabelecido um único responsável pelo tratamento, deve assegurar‑se, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respetivas atividades.

29

Daqui resulta, conforme sublinhou o advogado‑geral nos n.os 28 e 32 a 34 das suas conclusões, uma conceção flexível do conceito de estabelecimento, que afasta qualquer abordagem formalista segundo a qual uma empresa só se pode considerar estabelecida no lugar em que estiver registada. Assim, para determinar se uma sociedade, responsável por um tratamento de dados, dispõe de um estabelecimento, na aceção da Diretiva 95/46, num Estado‑Membro diferente do Estado‑Membro ou do país terceiro em que está registada, há que avaliar tanto o grau de estabilidade da instalação como a realidade do exercício das atividades nesse outro Estado‑Membro, tendo em conta a natureza específica das atividades económicas e das prestações de serviços em causa. Este entendimento vale especialmente para as empresas que se dedicam a oferecer serviços exclusivamente na Internet.

30

A este respeito, há, designadamente, que considerar, atendendo ao objetivo prosseguido por esta diretiva, que consiste em assegurar uma proteção eficaz e completa do direito à vida privada e em evitar que a legislação seja contornada, que a presença de um único representante pode, em certas circunstâncias, ser suficiente para constituir uma instalação estável se este atuar com um grau de estabilidade suficiente através dos meios necessários para a prestação dos serviços específicos em causa no Estado‑Membro em questão.

31

Além disso, para realizar o referido objetivo, há que considerar que o conceito de «estabelecimento», na aceção da Diretiva 95/46, abrange qualquer atividade real e efetiva, ainda que mínima, exercida através de uma instalação estável.

32

No presente caso, a atividade exercida pela Weltimmo consiste, pelo menos, na exploração de um ou de vários sítios Internet de anúncios de imóveis situados na Hungria, que são redigidos em língua húngara e que deixam de ser gratuitos depois de decorrido um período de um mês. Há, pois, que constatar que essa sociedade se dedica a uma atividade real e efetiva na Hungria.

33

Além disso, resulta designadamente das precisões feitas pela autoridade húngara para a proteção de dados que a Weltimmo dispõe de um representante na Hungria, mencionado no Registo Comercial eslovaco como tendo uma morada na Hungria, que tentou negociar com os anunciantes o pagamento dos créditos em dívida. Este representante serviu de intermediário entre esta sociedade e os queixosos e representou aquela nos procedimentos administrativo e judicial. Além disso, a referida sociedade abriu uma conta bancária na Hungria, destinada à cobrança dos seus créditos e utiliza uma caixa de correio no território desse Estado‑Membro para gerir os seus assuntos correntes. Estes elementos, que cabe ao órgão jurisdicional de reenvio verificar, podem permitir provar, numa situação como a que está em causa no processo principal, a existência de um «estabelecimento», na aceção do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46.

34

Importa, em segundo lugar, saber se o tratamento de dados pessoais em causa é efetuado no «contexto das atividades» desse estabelecimento.

35

O Tribunal de Justiça já considerou que o artigo 4.o, n.o 1, alínea a), da Diretiva 95/46 exige que o tratamento de dados pessoais em questão seja efetuado não «pelo» próprio estabelecimento em causa, mas apenas «no contexto das atividades» deste (acórdão Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 52).

36

No presente caso, o tratamento em causa no processo principal consiste, designadamente, em publicar, nos sítios Internet de anúncios imobiliários da Weltimmo, dados pessoais dos proprietários desses imóveis, bem como, se for caso disso, em utilizar esses dados para as necessidades de faturação dos anúncios depois de decorrido o período de um mês.

37

A este respeito, há que recordar que, no que se refere em especial à Internet, o Tribunal de Justiça já teve oportunidade de constatar que a operação que consiste em colocar, numa página Internet, dados pessoais deve ser considerada um «tratamento», na aceção do artigo 2.o, alínea b), da Diretiva 95/46 (acórdãos Lindqvist, C‑101/01, EU:C:2003:596, n.o 25, e Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 26).

38

Ora, não há dúvidas de que esse tratamento ocorreu no contexto das atividades, descritas no n.o 32 do presente acórdão, às quais a Weltimmo se dedica na Hungria.

39

Por conseguinte, sem prejuízo das verificações recordadas no n.o 33 do presente acórdão, que cabe ao órgão jurisdicional de reenvio efetuar para, se for caso disso, determinar que existe um estabelecimento do responsável pelo tratamento na Hungria, há que considerar que este tratamento é realizado no contexto das atividades desse estabelecimento e que o artigo 4.o, n.o 1, alínea a), da Diretiva 95/46 permite, numa situação como a que está em causa no processo principal, que se aplique o direito húngaro relativo à proteção de dados pessoais.

40

O facto de os proprietários dos imóveis objeto dos anúncios terem nacionalidade húngara não é, em contrapartida, minimamente relevante para determinar o direito nacional aplicável ao tratamento de dados em causa no processo principal.

41

Atendendo a todas as considerações precedentes, há que responder à primeira a sexta questões da seguinte forma:

o artigo 4.o, n.o 1, alínea a), da Diretiva 95/46 deve ser interpretado no sentido de que permite que seja aplicada a legislação relativa à proteção de dados pessoais de um Estado‑Membro diferente daquele em que o responsável pelo tratamento desses dados está registado, desde que este exerça, através de uma instalação estável no território desse Estado‑Membro, uma atividade efetiva e real, ainda que mínima, em cujo contexto esse tratamento é efetuado;

para determinar, em circunstâncias como as que estão em causa no processo principal, se tal se verifica em concreto, o órgão jurisdicional de reenvio pode, designadamente, ter em conta, por um lado, que a atividade do responsável pelo referido tratamento, em cujo contexto este teve lugar, consiste na exploração de sítios Internet de anúncios de imóveis situados no território desse Estado‑Membro e que foram redigidos na língua deste e que, por conseguinte, essa atividade é, principalmente, ou mesmo totalmente, direcionada ao referido Estado‑Membro e, por outro lado, que esse responsável dispõe de um representante no referido Estado‑Membro, encarregado de cobrar os créditos resultantes dessa atividade e de representá‑lo em procedimentos administrativos e judiciais relativos ao tratamento dos dados em causa;

em contrapartida, a questão da nacionalidade das pessoas afetadas por esse tratamento de dados é desprovida de pertinência.

Quanto à sétima questão

42

A sétima questão é submetida apenas na hipótese de a autoridade húngara para a proteção de dados considerar que a Weltimmo dispõe, não na Hungria, mas noutro Estado‑Membro, de um estabelecimento na aceção do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46, que exerce atividades no contexto das quais é efetuado o tratamento de dados pessoais em causa.

43

Com esta questão, o órgão jurisdicional de reenvio pergunta, em substância, se, no caso de a autoridade húngara para a proteção de dados concluir que o direito aplicável ao tratamento de dados pessoais é o direito de outro Estado‑Membro e não o direito húngaro, o artigo 28.o, n.os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que essa autoridade apenas pode exercer os poderes previstos no artigo 28.o, n.o 3, desta diretiva, em conformidade com o direito desse outro Estado‑Membro, e não pode aplicar sanções.

44

No que respeita, em primeiro lugar, à competência de uma autoridade de controlo para instaurar um processo em semelhante situação, há que referir que, nos termos do artigo 28.o, n.o 4, da Diretiva 95/46, qualquer pessoa pode apresentar à autoridade de controlo um pedido para proteção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais.

45

Por conseguinte, numa situação como a que está em causa no processo principal, pessoas, como os anunciantes dos imóveis em causa no processo principal, que considerem ser vítimas de um tratamento ilícito dos seus dados pessoais no Estado‑Membro no qual possuem esses imóveis podem apresentar uma queixa à autoridade húngara para a proteção de dados.

46

Em segundo lugar, há que examinar quais são os poderes dessa autoridade de controlo, à luz do artigo 28.o, n.os 1, 3 e 6, da Diretiva 95/46.

47

Resulta do artigo 28.o, n.o 1, desta diretiva que cada autoridade de controlo criada por um Estado‑Membro zela pelo cumprimento, no território desse Estado‑Membro, das disposições adotadas pelos Estados‑Membros nos termos da Diretiva 95/46.

48

Nos termos do artigo 28.o, n.o 3, da Diretiva 95/46, essas autoridades de controlo dispõem, designadamente, de poderes de inquérito, tais como o poder de recolher todas as informações necessárias ao desempenho das suas funções de controlo e poderes efetivos de intervenção, tais como o de ordenar o bloqueio, o apagamento ou a destruição dos dados, ou o de proibir temporária ou definitivamente o tratamento, ou o de dirigir uma advertência ou uma censura ao responsável pelo tratamento.

49

Atendendo ao caráter não exaustivo dos poderes assim enumerados e ao tipo de poderes de intervenção mencionados nesta disposição, bem como à margem de manobra de que os Estados‑Membros dispõem para transpor a Diretiva 95/46, há que considerar que esses poderes de intervenção podem incluir o poder de punir o responsável pelo tratamento de dados aplicando‑lhe, se for caso disso, uma coima.

50

Os poderes atribuídos às autoridades de controlo devem ser exercidos em conformidade com o direito processual do Estado‑Membro a que pertencem.

51

Resulta do artigo 28.o, n.os 1 e 3, da Diretiva 95/46 que cada autoridade de controlo exerce a totalidade dos poderes que lhe são conferidos no território do Estado‑Membro a que pertence, para garantir nesse território o cumprimento das regras em matéria de proteção de dados.

52

Esta aplicação territorial dos poderes de cada autoridade de controlo é confirmada pelo artigo 28.o, n.o 6, desta diretiva, que enuncia que cada autoridade de controlo é competente para exercer no território do seu Estado‑Membro os poderes que lhe foram atribuídos em conformidade com o artigo 28.o, n.o 3, da referida diretiva, independentemente do direito nacional aplicável. Este artigo 28.o, n.o 6, precisa também que cada autoridade pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro e que as autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

53

Esta disposição é necessária para assegurar a livre circulação dos dados pessoais na União, garantindo em simultâneo o cumprimento das regras que protegem a vida privada das pessoas singulares, previstas na Diretiva 95/46. Com efeito, se a referida disposição não existisse, no caso de o responsável pelo tratamento de dados pessoais estar sujeito à lei de um Estado‑Membro, mas violar o direito à proteção da vida privada de pessoas singulares noutro Estado‑Membro, designadamente direcionando a sua atividade para esse outro Estado‑Membro sem, no entanto, aí estar estabelecido na aceção desta diretiva, seria difícil, ou mesmo impossível, para estas pessoas garantir o respeito do seu direito a esta proteção.

54

Decorre assim do artigo 28.o, n.o 6, da Diretiva 95/46 que a autoridade de controlo de um Estado‑Membro, à qual pessoas singulares apresentem, ao abrigo do artigo 28.o, n.o 4, desta diretiva, uma reclamação relativa ao tratamento dos seus dados pessoais, pode examinar essa reclamação independentemente do direito aplicável, e, por conseguinte, ainda que o direito aplicável ao tratamento dos dados em causa seja o direito de outro Estado‑Membro.

55

Todavia, nesta hipótese, os poderes dessa autoridade não incluem necessariamente todos os poderes que lhe são atribuídos em conformidade com o direito do Estado‑Membro a que pertence.

56

Com efeito, conforme sublinhou o advogado‑geral no n.o 50 das suas conclusões, resulta das exigências decorrentes da soberania territorial do Estado‑Membro em causa, do princípio da legalidade e do conceito de Estado de Direito que o poder de aplicar sanções não pode, em princípio, ser exercido fora dos limites legais dentro dos quais uma autoridade administrativa está autorizada a agir, em observância do direito do Estado‑Membro a que pertence.

57

Assim, quando for apresentada uma queixa a uma autoridade de controlo, nos termos do artigo 28.o, n.o 4, da Diretiva 95/46, essa autoridade pode exercer os seus poderes de inquérito independentemente do direito aplicável e inclusivamente antes de saber qual é o direito nacional aplicável ao tratamento em causa. No entanto, se concluir que é aplicável o direito de outro Estado‑Membro, não poderá aplicar sanções fora do território do Estado‑Membro a que pertence. Nessa situação, cabe‑lhe, em aplicação do dever de cooperação previsto no artigo 28.o, n.o 6, da mesma diretiva, solicitar à autoridade de controlo desse outro Estado‑Membro que verifique a existência de uma eventual infração a esse direito e que aplique sanções se este último o permitir, baseando‑se, se for caso disso, nas informações que lhe terá transmitido.

58

A autoridade de controlo à qual tal queixa for apresentada pode, no âmbito dessa cooperação, efetuar outros inquéritos, mediante instruções da autoridade de controlo do outro Estado‑Membro.

59

Daqui decorre que, numa situação como a que está em causa no processo principal, na hipótese de o direito aplicável ser o de outro Estado‑Membro que não seja a Hungria, a autoridade húngara para a proteção de dados não poderá exercer os poderes sancionatórios atribuídos pelo direito húngaro.

60

Resulta das considerações precedentes que há que responder à sétima questão que, na hipótese de a autoridade de controlo de um Estado‑Membro à qual tenham sido apresentadas queixas, nos termos do artigo 28.o, n.o 4, da Diretiva 95/46, concluir que o direito aplicável ao tratamento dos dados pessoais em causa não é o direito desse Estado‑Membro, mas o direito de outro Estado‑Membro, o artigo 28.o, n.os 1, 3 e 6, desta diretiva deve ser interpretado no sentido de que essa autoridade de controlo apenas poderá exercer os poderes efetivos de intervenção, que lhe são conferidos em conformidade com o artigo 28.o, n.o 3, da referida diretiva, no território do Estado‑Membro a que essa autoridade pertence. Por conseguinte, não pode aplicar sanções com base no direito desse Estado‑Membro ao responsável pelo tratamento daqueles dados que não esteja estabelecido nesse território, devendo, em aplicação do artigo 28.o, n.o 6, da mesma diretiva, solicitar a intervenção da autoridade de controlo pertencente ao Estado‑Membro cujo direito é aplicável.

Quanto à oitava questão

61

Com a oitava questão, o órgão jurisdicional de reenvio questiona o Tribunal de Justiça sobre o alcance do conceito de «adatfeldolgozás» (operações técnicas de tratamento de dados), utilizado em especial no artigo 4.o, n.o 1, alínea a), da Diretiva 95/46, relativo à determinação do direito aplicável, e no artigo 28.o, n.o 6, desta diretiva, relativo à competência da autoridade de controlo.

62

Resulta da versão em língua húngara da Diretiva 95/46 que esta usa sistematicamente o termo «adatfeldolgozás».

63

O órgão jurisdicional de reenvio indica que a lei sobre a informação utiliza, designadamente nas suas disposições que dão execução às disposições da Diretiva 95/46 relativas à competência das autoridades de controlo, o termo «adatkezelés» (tratamento de dados). Ora, conforme decorre do artigo 3.o, n.o 10, desta lei, este termo tem um sentido mais amplo do que o do termo «adatfeldolgozás», definido no artigo 3.o, n.o 17, da referida lei, e engloba este último termo.

64

Embora o conceito de «adatfeldolgozás», na sua aceção habitual e conforme resulta da lei sobre a informação, tenha um sentido mais restrito do que o conceito de «adatkezelés», há, todavia, que sublinhar que a versão em língua húngara da Diretiva 95/46 define o termo «adatfeldolgozás» no seu artigo 2.o, alínea b), de uma forma ampla, que corresponde ao termo «adatkezelés».

65

Daqui decorre que há que responder à oitava questão que a Diretiva 95/46 deve ser interpretada no sentido de que o conceito de «adatfeldolgozás» (operações técnicas de tratamento de dados), utilizado na versão em língua húngara desta diretiva, em especial nos seus artigos 4.°, n.o 1, alínea a), e 28.°, n.o 6, deve ser compreendido num sentido idêntico ao do termo «adatkezelés» (tratamento de dados).

Quanto às despesas

66

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

 

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

 

1)

O artigo 4.o, n.o 1, alínea a), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, deve ser interpretado no sentido de que permite que seja aplicada a legislação relativa à proteção de dados pessoais de um Estado‑Membro diferente daquele em que o responsável pelo tratamento desses dados está registado, desde que este exerça, através de uma instalação estável no território desse Estado‑Membro, uma atividade efetiva e real, ainda que mínima, em cujo contexto esse tratamento é efetuado.

Para determinar, em circunstâncias como as que estão em causa no processo principal, se tal se verifica em concreto, o órgão jurisdicional de reenvio pode, designadamente, ter em conta, por um lado, que a atividade do responsável pelo referido tratamento, em cujo contexto este teve lugar, consiste na exploração de sítios Internet de anúncios de imóveis situados no território desse Estado‑Membro e que foram redigidos na língua deste e que, por conseguinte, essa atividade é, principalmente, ou mesmo totalmente, direcionada ao referido Estado‑Membro e, por outro lado, que esse responsável dispõe de um representante no referido Estado‑Membro, encarregado de cobrar os créditos resultantes dessa atividade e de representá‑lo em procedimentos administrativos e judiciais relativos ao tratamento dos dados em causa.

Em contrapartida, a questão da nacionalidade das pessoas afetadas por esse tratamento de dados é desprovida de pertinência.

 

2)

Na hipótese de a autoridade de controlo de um Estado‑Membro à qual tenham sido apresentadas queixas, nos termos do artigo 28.o, n.o 4, da Diretiva 95/46, concluir que o direito aplicável ao tratamento dos dados pessoais em causa não é o direito desse Estado‑Membro, mas o direito de outro Estado‑Membro, o artigo 28.o, n.os 1, 3 e 6, desta diretiva deve ser interpretado no sentido de que essa autoridade de controlo apenas poderá exercer os poderes efetivos de intervenção, que lhe são conferidos em conformidade com o artigo 28.o, n.o 3, da referida diretiva, no território do Estado‑Membro a que essa autoridade pertence. Por conseguinte, não pode aplicar sanções com base no direito desse Estado‑Membro ao responsável pelo tratamento daqueles dados que não esteja estabelecido nesse território, devendo, em aplicação do artigo 28.o, n.o 6, da mesma diretiva, solicitar a intervenção da autoridade de controlo pertencente ao Estado‑Membro cujo direito é aplicável.

 

3)

A Diretiva 95/46 deve ser interpretada no sentido de que o conceito de «adatfeldolgozás» (operações técnicas de tratamento de dados), utilizado na versão em língua húngara desta diretiva, em especial nos seus artigos 4.°, n.o 1, alínea a), e 28.°, n.o 6, deve ser compreendido num sentido idêntico ao do termo «adatkezelés» (tratamento de dados).

 

Assinaturas


( * )   Língua do processo: húngaro.

Top