This document is an excerpt from the EUR-Lex website
Document 62020CC0175
Opinion of Advocate General Bobek delivered on 2 September 2021.#SIA 'SS' v Valsts ieņēmumu dienests.#Request for a preliminary ruling from the Administratīvā apgabaltiesa.#Case C-175/20.
Conclusões do advogado-geral M. Bobek apresentadas em 2 de setembro de 2021.
«SS» SIA contra Valsts ieņēmumu dienests.
Pedido de decisão prejudicial apresentado pelo Administratīvā apgabaltiesa.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 2.o — Âmbito de aplicação — Artigo 4.o — Conceito de “tratamento” — Artigo 5.o — Princípios relativos ao tratamento — Limitação das finalidades — Minimização dos dados — Artigo 6.o — Licitude do tratamento — Tratamento necessário ao exercício de funções de interesse público de que está investido o responsável pelo tratamento — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito — Artigo 23.o — Limitações — Tratamento de dados para efeitos fiscais — Pedido de comunicação de informações relativas a anúncios de venda de veículos publicados em linha — Proporcionalidade.
Processo C-175/20.
Conclusões do advogado-geral M. Bobek apresentadas em 2 de setembro de 2021.
«SS» SIA contra Valsts ieņēmumu dienests.
Pedido de decisão prejudicial apresentado pelo Administratīvā apgabaltiesa.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 2.o — Âmbito de aplicação — Artigo 4.o — Conceito de “tratamento” — Artigo 5.o — Princípios relativos ao tratamento — Limitação das finalidades — Minimização dos dados — Artigo 6.o — Licitude do tratamento — Tratamento necessário ao exercício de funções de interesse público de que está investido o responsável pelo tratamento — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito — Artigo 23.o — Limitações — Tratamento de dados para efeitos fiscais — Pedido de comunicação de informações relativas a anúncios de venda de veículos publicados em linha — Proporcionalidade.
Processo C-175/20.
Court reports – general – 'Information on unpublished decisions' section ; Court reports – general
ECLI identifier: ECLI:EU:C:2021:690
MICHAL BOBEK
apresentadas em 2 de setembro de 2021 ( 1 )
Processo C‑175/20
SIA «SS»
contra
Valsts ieņēmumu dienests
[pedido de decisão prejudicial apresentado pelo Administratīvā apgabaltiesa (Tribunal Regional Administrativo, Letónia)]
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados — Fundamento jurídico para o tratamento de dados — Obrigação, ao abrigo da legislação nacional, de os prestadores de serviços de publicação de anúncios na Internet fornecerem, a pedido das autoridades fiscais, os dados de que dispõem sobre os sujeitos passivos que tenham utilizado os referidos serviços — Pedidos de informações dirigidos pela autoridade fiscal ao prestador de serviços — Alcance — Limites materiais e temporais decorrentes do RGPD»
I. Introdução
1. |
O Regulamento (UE) 2016/679 (a seguir «RGPD») ( 2 ) não é um ato legislativo circunscrito. O seu âmbito de aplicação amplamente definido, o esvaziamento jurisdicional efetivo de qualquer exceção ao mesmo ( 3 ), bem como a abordagem baseada em definições, abstrata e, por conseguinte, bastante abrangente da sua interpretação ( 4 ), contribuíram para tornar o alcance do RGPD praticamente ilimitado. Com efeito, nestes moldes, é bastante difícil hoje em dia encontrar uma situação em que alguém não esteja a proceder ao tratamento de dados pessoais em algum momento. |
2. |
Esta abordagem, fundada na proteção de dados pessoais que o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia eleva a (super) direito fundamental prioritário, produz, no entanto, efeitos centrípetos distintos que a proteção dos dados pessoais começou a exercer no âmbito de litígios que surgiram noutros ramos de direito. Vários processos começaram, de repente, a ser apresentados como litígios em matéria de proteção de dados pessoais submetidos ao Tribunal de Justiça (e não só) no âmbito da interpretação do RGPD. Todavia, as questões específicas suscitadas nestes litígios não são, por vezes, as que se espera que sejam regidas por um ato legislativo como o RGPD, apesar do seu âmbito de aplicação bastante amplo. |
3. |
Com efeito, provavelmente poucos teriam considerado, antecipadamente, que o RGPD ou a Diretiva 95/46/CE ( 5 ) que o antecedeu, pudessem ser interpretados no sentido de regular o acesso dos contabilistas estagiários às suas folhas de respostas do exame, eventualmente associado ao direito de correção desses dados pessoais após a realização do exame ( 6 ), ou de impedir a identificação pelos agentes da autoridade de um particular num acidente de viação, de modo a que a parte lesada não possa instaurar uma ação de indemnização num tribunal cível por danos causados ao seu veículo ( 7 ), ou de limitar a divulgação de informações sobre o imposto anteriormente pago por uma sociedade insolvente ao respetivo administrador da insolvência, a fim de restabelecer a igualdade entre os credores de direito privado e os de direito público no contexto das pretensões cíveis de impugnação da insolvência ( 8 ), para citar apenas alguns dos exemplos mais intrigantes. |
4. |
O presente processo é mais um exemplo desses efeitos centrípetos do RGPD. A SIA «SS» é um prestador de serviços de publicação de anúncios na Internet. No âmbito desta atividade comercial, obtém os dados pessoais das pessoas que publicam anúncios publicitários no seu sítio Internet. A Autoridade Tributária nacional competente pediu à referida sociedade que lhe transmitisse alguns dados relativos aos anúncios de veículos usados publicados no respetivo sítio Internet, a fim de garantir que os impostos sobre a venda de veículos automóveis são devidamente cobrados. A Autoridade Tributária indicou especificamente o formato em que pretendida os dados. Precisou igualmente que tais transferências de dados devem ser permanentes e aparentemente sem compensação financeira. |
5. |
Neste contexto, o órgão jurisdicional de reenvio questiona o Tribunal de Justiça sobre o âmbito admissível de tais pedidos de transferência de dados. Tal como em processos anteriores, afigura‑se que o RGPD é aplicável no presente processo. O tratamento de dados pessoais é ou será realizado por alguém algures, certamente mais tarde, no momento em que é efetuada a transferência. No âmbito desse tratamento, devem ser protegidos os direitos dos titulares dos dados, bem como os seus dados pessoais. Contudo, isso não implica que o RGPD regule especificamente a relação entre um responsável futuro pelo tratamento de dados (uma autoridade pública) e um responsável atual por esse tratamento (uma empresa privada). Com efeito, o RGPD acompanha e protege os dados seja qual for o seu destino, regulando assim as obrigações de qualquer responsável sucessivo pelo tratamento face aos dados e aos seus titulares. Por outro lado, o RGPD não regula, salvo algumas exceções expressamente previstas, as especificidades da relação mútua entre dois responsáveis sucessivos pelo tratamento desses dados. Em especial, o RGPD não prevê as modalidades exatas da relação entre os responsáveis pelo tratamento, seja de origem contratual ou de direito público, nos termos do qual um pode solicitar e obter dados fornecidos pelo outro. |
II. Quadro jurídico
A. Direito da União
6. |
O considerando 31 do RGPD tem a seguinte redação: «As autoridades públicas a quem forem divulgados dados pessoais em conformidade com obrigações jurídicas para o exercício da sua missão oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigação financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsáveis pela regulamentação e supervisão dos mercados de valores mobiliários, não deverão ser consideradas destinatárias se receberem dados pessoais que sejam necessários para efetuar um inquérito específico de interesse geral, em conformidade com o direito da União ou dos Estados‑Membros. Os pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros. O tratamento desses dados pessoais por essas autoridades públicas deverá respeitar as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento.» |
7. |
O considerando 45 do RGPD tem a seguinte redação: «Sempre que o tratamento dos dados for realizado em conformidade com uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública, o tratamento deverá assentar no direito da União ou de um Estado‑Membro. O presente regulamento não exige uma lei específica para cada tratamento de dados. Poderá ser suficiente uma lei para diversas operações de tratamento baseadas numa obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública. Deverá também caber ao direito da União ou dos Estados‑Membros determinar qual a finalidade do tratamento dos dados. Além disso, a referida lei poderá especificar as condições gerais do presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras específicas para determinar os responsáveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em questão, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do tratamento devem obedecer, os prazos de conservação e outras medidas destinadas a garantir a licitude e equidade do tratamento. Deverá igualmente caber ao direito da União ou dos Estados‑Membros determinar se o responsável pelo tratamento que exerce funções de interesse público ou prerrogativas de autoridade pública deverá ser uma autoridade pública ou outra pessoa singular ou coletiva de direito público, ou, caso tal seja do interesse público, incluindo por motivos de saúde, como motivos de saúde pública e proteção social e de gestão dos serviços de saúde, de direito privado, por exemplo uma associação profissional.» |
8. |
O artigo 2.o define o âmbito de aplicação material do RGPD: «1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados. 2. O presente regulamento não se aplica ao tratamento de dados pessoais:
[…]
[…]» |
9. |
O artigo 4.o contém definições para efeitos do RGPD e dispõe que se entende por: «1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); […] 2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; […] 7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro; 8) “Subcontratante”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes; 9) “Destinatário”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados‑Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento; […]» |
10. |
O artigo 5.o do RGPD estabelece os princípios relativos ao tratamento de dados pessoais: «1. Os dados pessoais são:
2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).» |
11. |
Nos termos do artigo 6.o do RGPD: «1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: […]
[…]
[…] 2. Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX. 3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:
A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.» |
12. |
O capítulo III, sob a epígrafe «Direitos do titular dos dados», enuncia, nos artigos 12.o a 22.o, os direitos e as obrigações correspondentes dos responsáveis pelo tratamento. O capítulo é encerrado pelo artigo 23.o do RGPD que, sob a epígrafe «Limitações», dispõe: «1. O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente: […]
[…] 2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:
|
B. Direito letão
13. |
Por força do artigo 15.o, n.o 6, da Likums «Par nodokļiem un nodevām» (a seguir «Lei Tributária»), na versão em vigor à data dos factos do presente processo, os prestadores de serviços publicitários na Internet estão obrigados a fornecer, a pedido da Administração Tributária do Estado, os dados de que dispõem sobre os sujeitos passivos que tenham publicado anúncios utilizando os referidos serviços e sobre os anúncios publicados pelos mesmos. |
III. Matéria de facto, processo principal e questões prejudiciais
14. |
Em 28 de agosto de 2018, o diretor do Nodokļu kontroles pārvalde (Serviço de Inspeção Tributária) da Valsts ieņēmumu dienests (Autoridade Tributária da Letónia; a seguir «demandada») enviou à SIA «SS» (a seguir «demandante») um pedido de informações com base no artigo 15.o, n.o 6, da Lei Tributária. |
15. |
Nesse pedido, a demandante era convidada a renovar o acesso da demandada aos dados relativos aos números de telefone dos anunciantes e aos números dos chassis dos veículos que constavam dos anúncios publicados no sítio Internet da demandante (www.ss.com). A demandada pediu ainda à demandante que fornecesse, até 3 de setembro de 2018, dados relativos aos anúncios publicados na secção «veículos de passageiros» do referido sítio Internet durante o período compreendido entre 14 de julho e 31 de agosto de 2018. Era pedido à demandante que transmitisse as informações eletronicamente, num formato que permitisse filtrar e selecionar os dados. A demandada pediu igualmente que o ficheiro contivesse os seguintes dados: endereço eletrónico do anúncio, texto do anúncio, marca do veículo, modelo, número de chassis, preço, números de telefone do vendedor. |
16. |
Caso não fosse possível renovar o acesso, a demandante devia comunicar o(s) motivo(s) para tal, sendo‑lhe igualmente pedido que fornecesse, de forma regular, os dados relativos aos anúncios publicados, até ao terceiro dia de cada mês. |
17. |
A demandante apresentou uma reclamação administrativa ao diretor‑geral da demandada em exercício contestando esse pedido de informações. Segundo a demandante, o alcance do pedido de informações, que constituem dados pessoais na aceção do artigo 4.o, n.o 1, do RGPD, não é justificado pela lei. O pedido de informações não indica um grupo de titulares de dados específico, nem a finalidade ou o alcance do tratamento previsto, ou sequer o período de tempo que durará a obrigação de fornecer os dados. Como tal, a demandada, enquanto responsável pelo tratamento, não agiu em conformidade com o princípio da proporcionalidade, nem com o princípio da minimização do tratamento dos dados pessoais previstos no RGPD a que está sujeita. |
18. |
Por Decisão de 30 de outubro de 2018 (a seguir «decisão impugnada»), a demandada indeferiu essa reclamação e confirmou o pedido de informações. |
19. |
Os fundamentos da decisão enunciavam, em substância, que, no âmbito do tratamento desses dados, a Autoridade Tributária exerce as funções e os poderes que lhe são conferidos por lei. Esta autoridade é responsável pela cobrança e pelo controlo dos impostos, das taxas e das outras imposições. Está legalmente obrigada a supervisionar as atividades económicas e financeiras das pessoas singulares e coletivas, a fim de assegurar que esses encargos são pagos ao Estado e ao orçamento da União. Para desempenhar estas funções, a lei confere à demandada o poder de recolher os documentos e as informações necessárias à contabilização e ao registo dos factos tributários ou para proceder à fiscalização dos impostos e taxas. Em especial, por força do artigo 15.o, n.o 6, da Lei Tributária, os prestadores de serviços de publicação de anúncios na Internet são obrigados a fornecer, a pedido da Autoridade Tributária do Estado, os dados de que dispõem sobre os sujeitos passivos que tenham publicado anúncios utilizando os referidos serviços e sobre os anúncios publicados pelos mesmos. As informações confidenciais detidas pela demandada estão protegidas por lei, designadamente pela proibição de as divulgar imposta aos trabalhadores da Autoridade Tributária. Daqui decorre a licitude do pedido de informações. |
20. |
A demandante pediu a anulação da decisão impugnada no Administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância, Letónia), alegando que a fundamentação da decisão não indicava a finalidade concreta do tratamento dos dados, nem os critérios com base nos quais serão escolhidos os dados pedidos relativos a um grupo específico de pessoas identificáveis. |
21. |
Por Sentença de 21 de maio de 2019, o Administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância) julgou a ação improcedente. Em substância, concordou com a argumentação da demandada segundo a qual não podia ser imposta qualquer restrição à quantidade de informações a que a Autoridade Tributária pode ter acesso, relativamente a qualquer pessoa, a menos que se considere que os dados em questão são incompatíveis com os objetivos da administração fiscal. Segundo esse órgão jurisdicional, as informações pedidas eram necessárias para identificar atividades económicas não declaradas. As disposições do RGPD apenas são aplicáveis à demandante na sua qualidade de prestadora de serviços e não à Autoridade Tributária. |
22. |
A demandante interpôs recurso da referida sentença no Administratīvā apgabaltiesa (Tribunal Regional Administrativo, Letónia). Segundo a demandante, o RGPD é aplicável no caso em apreço. No que respeita aos dados pessoais recolhidos através do pedido de informações, deve considerar‑se que a demandada é responsável pelo tratamento na aceção do referido regulamento e, por conseguinte, deve preencher os requisitos nele previstos. No entanto, com a emissão do pedido de informações, a demandada violou o princípio da proporcionalidade, dado que exige que, mensalmente, lhe seja fornecida uma grande quantidade de dados relativos a um número indefinido de anúncios, sem indicar os contribuintes específicos relativamente aos quais tenha sido iniciada uma inspeção. A demandante afirma que o pedido de informações não indica a duração da obrigação que lhe incumbe de fornecer à demandada os dados referidos nesse pedido. Por conseguinte, considera que a demandada violou os princípios do tratamento de dados pessoais enunciados no artigo 5.o do RGPD (licitude, lealdade e transparência). Alega que nem o pedido de informações nem a fundamentação da decisão precisam o âmbito específico (finalidade) em que se insere o tratamento dos dados previsto pela demandada ou a quantidade de informações necessária (minimização dos dados). Em seu entender, no pedido de informações, a autoridade administrativa deve incluir critérios claramente definidos com base nos quais serão escolhidas as informações pedidas pela referida autoridade relativas a um grupo específico de pessoas identificáveis. |
23. |
Segundo o órgão jurisdicional de reenvio, não é possível concluir inequivocamente que esse pedido de informações pode ser considerado «adequadamente fundamentado» e «ocasional» e que não diz respeito à totalidade das informações constantes da rubrica «veículos de passageiros» do sítio Internet da demandante, uma vez que a Autoridade Tributária pretende, no essencial, proceder a uma fiscalização contínua e exaustiva. O órgão jurisdicional de reenvio manifesta dúvidas quanto à questão de saber se o tratamento de dados pessoais previsto pela demandada respeita as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento, na aceção do considerando 31 do RGPD. Por conseguinte, é necessário determinar os critérios com base nos quais se deve apreciar se o pedido de informações da demandante respeita os direitos e liberdades fundamentais e pode ser considerado como constituindo uma medida necessária e proporcionada numa sociedade democrática para assegurar os objetivos importantes do interesse público da União e da Letónia nos domínios orçamental ou fiscal. |
24. |
Segundo o órgão jurisdicional de reenvio, o pedido de informações em causa não contém nenhuma referência a um «inquérito específico» efetuado pela demandante na aceção das disposições do RGPD. O pedido tem por objeto informação relativa não a pessoas concretas, mas a todos os titulares de dados que tenham publicado anúncios na secção «veículos de passageiros» do sítio Internet. Além disso, a Autoridade Tributária pede que essa informação seja transmitida até ao terceiro dia de cada mês (o que significa que a demandante deve proceder à divulgação à demandada de todos os dados relativos aos anúncios publicados no mês anterior). À luz do que precede, o órgão jurisdicional de reenvio tem dúvidas sobre se esta atuação de uma Administração nacional é compatível com os requisitos previstos no RGPD. |
25. |
Foi neste contexto factual e jurídico que o Administratīvā apgabaltiesa (Tribunal Administrativo Regional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
|
26. |
Foram apresentadas observações escritas pelos Governos letão, belga, helénico e espanhol, bem como pela Comissão Europeia. A demandante, os Governos letão, belga e espanhol, bem como a Comissão, responderam às perguntas escritas colocadas pelo Tribunal de Justiça nos termos do artigo 61.o, n.o 1, do Regulamento de Processo do Tribunal de Justiça. |
IV. Apreciação
27. |
As presentes conclusões estão estruturadas da seguinte forma. Começarei por analisar se o RGPD é aplicável a um pedido de uma autoridade pública dirigido a um responsável pelo tratamento para a transferência de uma certa quantidade de dados pessoais. Atendendo às questões suscitadas pelo órgão jurisdicional de reenvio, é necessário, em primeiro lugar, um duplo esclarecimento: quem é quem exatamente no processo principal e que regras específicas prevê o RGPD em tais casos (A). Em seguida, debruçar‑me‑ei sobre o quadro jurídico (bastante sumário) que decorre do RGPD em relação aos pedidos de transferência de dados de empresas privadas para autoridades públicas (B). Concluirei com várias observações sobre o que constitui, pelo menos na minha opinião, a verdadeira questão polémica do presente processo, embora não tenha sido expressamente suscitada pelo órgão jurisdicional de reenvio (C). |
A. Aplicabilidade do RGPD
28. |
São nove as questões prejudiciais submetidas pelo órgão jurisdicional de reenvio, cada uma delas relativa, de uma forma ou de outra, à licitude do(s) pedido(s) específico(s) de transferência de certos dados pessoais por empresas privadas, emitidos por uma Autoridade Tributária para efeitos de cobrança de impostos e deteção de evasão fiscal. Os dados pessoais em questão foram recolhidos junto dos seus titulares pela empresa privada no âmbito da sua atividade empresarial habitual. |
29. |
No entanto, das nove questões suscitadas não se depreende de forma clara quem se encontra sujeito à obrigação e em que consiste essa obrigação, e com base em que disposição do RGPD. Esta ambiguidade é bastante reveladora de uma grande incerteza quanto à configuração do presente processo, que se manifesta pelo menos de duas formas. |
30. |
Em primeiro lugar, nas categorias estabelecidas pelo RGPD, quem é quem no caso em apreço? O presente processo tem por objeto a transferência, de uma empresa privada para uma autoridade pública, de certos dados provenientes de um conjunto mais vasto de dados cuja recolha e controlo é feito pela referida empresa. Esta é a operação específica de tratamento na aceção do artigo 4.o, n.o 2, do RGPD que constitui o pressuposto subjacente às questões submetidas ao Tribunal de Justiça. |
31. |
Contudo, verifica‑se também que, no que diz respeito à operação de tratamento específica em causa, o órgão jurisdicional de reenvio considera que a Autoridade Tributária (demandada) já é responsável pelo seu tratamento ( 9 ). Este pressuposto, que está na base de todo o despacho de reenvio, está expressamente articulado na sexta e na nona questões. Isso requer um esclarecimento preliminar: quem, exatamente, deveria ser o responsável pelo cumprimento do RGPD no presente processo? Quem é responsável por esse tratamento específico? (2) |
32. |
Em segundo lugar, devido a essa incerteza, coloca‑se outra questão importante: quais são as disposições específicas do RGPD que se aplicam aos pedidos de transferência de dados, e quais dessas disposições são relativas, nomeadamente, ao tipo e à quantidade de dados que uma autoridade pública pode exigir a uma empresa privada? A este respeito, é bastante revelador que três das questões do órgão jurisdicional de reenvio mencionem apenas o artigo 5.o, n.o 1, do RGPD, uma disposição transversal que estabelece os princípios relativos ao tratamento de dados pessoais por qualquer responsável pelo tratamento. Em contrapartida, as outras questões referem‑se simplesmente aos «requisitos previstos no RGPD», sem precisar as disposições específicas que devem conter esses requisitos. |
33. |
Assim, impõe‑se uma outra clarificação preliminar quanto à disposição ou disposições aplicáveis do RGPD, nomeadamente no que respeita à relação entre a empresa demandante e a Autoridade Tributária demandada. De que forma o RGPD regula especificamente esses pedidos de transferência de dados e os direitos e obrigações mútuos entre uma empresa privada e uma autoridade pública? (3) |
34. |
Dito isto, antes de abordar estas duas questões, devo lembrar a razão pela qual considero que a aplicação e o cumprimento do RGPD não podem ser vistos de maneira abstrata, interpretando definições que não dizem respeito a uma operação de tratamento específica que deveria ser tomada como ponto de partida. Depois de isso ter sido explicado, só então será possível analisar corretamente os intervenientes e as respetivas obrigações (1). |
1. As definições abstratas e a universalidade do RGPD
35. |
No presente processo, todas as partes interessadas, entre as quais o Governo letão, concordam que, se o ponto de partida da análise se basear nas definições legislativas dos conceitos de «dados pessoais» e «tratamento» previstos no artigo 4.o do RGPD, então este instrumento é indubitavelmente aplicável ao processo principal. |
36. |
Em primeiro lugar, os dados a que se refere o pedido de informações são dados pessoais na aceção do artigo 4.o, n.o 1, do RGPD. As informações pedidas, como o número de telefone dos titulares dos dados ou o número do chassis do veículo, constituem «informações relativas a uma pessoa identificada ou identificável». Com efeito, tal informação permite identificar os vendedores de veículos automóveis e, portanto, os eventuais contribuintes. |
37. |
Em segundo lugar, é jurisprudência constante que a comunicação de dados ( 10 ) ou a divulgação de dados pessoais por transmissão, tal como a conservação de dados ou qualquer outra forma de disponibilização, constitui um tratamento ( 11 ). Afinal, a «divulgação por transmissão» está incluída na lista descritiva de operações de tratamento constante do artigo 4.o, n.o 2, do RGPD. |
38. |
Em terceiro lugar, esse tratamento de dados pessoais é claramente efetuado por meios automatizados, na aceção do artigo 2.o, n.o 1, do RGPD. |
39. |
Além disso, nenhuma das exceções, que devem, em todo o caso, ser interpretadas de forma restritiva ( 12 ), é aplicável no caso em apreço. À luz do Acórdão Österreischischer Rundfunk e o. ( 13 ), e, em particular, após o recente processo relativo aos Pontos de Penalização ( 14 ), não se pode argumentar que o tratamento dos dados pessoais em questão foi efetuado «no exercício de atividades não sujeitas à aplicação do direito da União», na aceção do artigo 2.o, n.o 2, alínea a), do RGPD. |
40. |
Do mesmo modo, a exceção prevista no artigo 2.o, n.o 2, alínea d), do RGPD também não parece aplicável. Ao abrigo desta disposição, as «autoridades competentes» parecem ser organismos como as autoridades policiais ou o Ministério Público ( 15 ). Não incluem as autoridades tributárias que atuem para efeitos de cobrança de impostos e menos ainda prestadores de serviços de publicação de anúncios na Internet. Além disso, mesmo que o tratamento de dados efetuado pelas autoridades tributárias competentes possa, em alguns casos, resultar na deteção de uma infração penal sob a forma de fraude fiscal, trata‑se apenas de uma possibilidade hipotética nesta fase ( 16 ). |
41. |
Assim, se abordado nestes moldes, pode‑se concluir que o RGPD é aplicável: verifica‑se a existência neste processo de dados pessoais que são objeto de tratamento por meios automatizados. Todavia, como já foi referido na introdução às presentes conclusões, tal abordagem, baseada nos conceitos relevantes ao abrigo do artigo 4.o do RGPD, tais como «tratamento» ( 17 ), «dados pessoais» ( 18 ) ou «responsável pelo tratamento» ( 19 ), sendo interpretada de forma extensiva e à margem de qualquer operação de tratamento específica, implica que qualquer comunicação de quaisquer dados seja regida pelo RGPD. |
42. |
De forma a interpretar corretamente as obrigações de todos os intervenientes, o ponto de partida de uma análise no âmbito do RGPD deve ser a identificação clara de uma operação de tratamento específica. Só assim será possível proceder adequadamente à apreciação das obrigações decorrentes do RGPD para a operação específica em causa no que concerne aos próprios intervenientes nesse tratamento ( 20 ). É a operação de tratamento específica, o trabalho feito com os dados e através deles, que é objeto de regulamentação. A lógica regulamentar e o cerne do RGPD baseiam‑se no desempenho e tratamento processual, sendo, portanto, necessariamente dinâmicos. |
2. Quem é quem no caso em apreço?
43. |
Qual é a operação de tratamento específica no caso em apreço? A execução de pedidos de informações como os do processo principal exige, sem dúvida, o tratamento de dados pessoais ao qual o RGPD será, em princípio, aplicável. No presente processo, existem duas entidades diferentes que efetuam o tratamento de dados numa determinada fase. Nas suas questões, o órgão jurisdicional de reenvio centra‑se no tratamento efetuado pela demandada, a saber, a Autoridade Tributária letã. No entanto, resulta dos elementos dos autos que o tratamento pela demandante, ou seja, pela empresa privada, devia ser efetuado em primeiro lugar. |
44. |
No Acórdão Fashion ID ( 21 ), o Tribunal de Justiça analisou as operações específicas em causa no âmbito do tratamento de dados a fim de identificar o ou os responsáveis pelo tratamento. Assim, considerou que o conceito de «responsável pelo tratamento» não se refere necessariamente a um único organismo e pode dizer respeito a vários atores que participam nesse tratamento, estando assim cada um deles sujeito às disposições aplicáveis em matéria de proteção de dados ( 22 ). Contudo, uma pessoa singular ou coletiva não pode ser considerada responsável por operações anteriores ou posteriores da cadeia de tratamento cujas finalidades e meios não são por ela determinados ( 23 ). |
45. |
No caso em apreço, é provável que a demandada seja a responsável, uma vez recebidos os dados pedidos à demandante e iniciado o seu tratamento na aceção do artigo 4.o, n.o 2, do RGPD ( 24 ). Nessa fase, a demandada não só começará a proceder ao tratamento dos dados, mas também deverá definir os meios e as finalidades do seu próprio tratamento para efeitos do artigo 4.o, n.o 7, do RGPD. Ao efetuar, por sua iniciativa, quaisquer futuras operações de tratamento de dados, a demandada deverá então respeitar — desde que nenhuma restrição ao abrigo do artigo 23.o do RGPD tenha sido adotada pelo Estado‑Membro a este respeito — os princípios relativos à qualidade dos dados enunciados no artigo 5.o do RGPD, e fundamentar a(s) sua(s) operação(ões) de tratamento numa das situações previstas no artigo 6.o, n.o 1, do RGPD ( 25 ). |
46. |
Decorre, porém, do despacho de reenvio que o presente processo ainda não atingiu essa fase. A Autoridade Tributária não dispõe dos dados pedidos. Por conseguinte, não poderia ter iniciado nenhuma operação de tratamento desses dados. Além disso, o Tribunal de Justiça não recebeu nenhuma informação sobre o que a demandante pretende fazer com os dados ou o tipo de tratamento a que iria proceder. |
47. |
Até agora, a Autoridade Tributária apenas pediu a uma empresa privada que lhe fornecesse um determinado conjunto de dados. Isso, por si só, não constitui um tratamento de dados pessoais, pelo menos não dos dados aos quais ainda não tem acesso. Nestas circunstâncias factuais, a demandante, a saber, a empresa privada, continua a ser responsável pelo tratamento dos dados na medida em que os obteve através da sua própria atividade, ou seja, pelos meios e finalidades que ela própria definiu. Durante o tratamento dos dados de que dispõe a fim de os comunicar à demandada em conformidade com as respetivas condições, a demandante continua a ser responsável também pela operação de tratamento em causa. É a demandante que procede a esse tratamento posterior ( 26 ). |
48. |
Neste contexto, e em conformidade com o artigo 6.o, n.o 1, alínea c), do RGPD, a demandante garante assim o cumprimento de uma obrigação jurídica a que está sujeita enquanto responsável pelo tratamento, a saber, a do artigo 15.o, n.o 6, do Lei Tributária. Na qualidade de responsável pelo tratamento, a demandante está igualmente obrigada a respeitar o RGPD no tratamento de dados pessoais e na comunicação desses dados à demandada. No entanto, o órgão jurisdicional de reenvio não se interroga sobre o alcance do tratamento de dados exigido à demandante para a execução do pedido em questão. Na verdade, não submeteu nenhuma questão relativa às obrigações decorrentes do RGPD às quais a demandante se encontre eventualmente sujeita ao efetuar esse tratamento. |
49. |
Ao destacar a demandada como presumível titular das obrigações decorrentes do RGPD, o que parece estar em causa, segundo o órgão jurisdicional de reenvio, é o fundamento (jurídico) para o tratamento na aceção do artigo 6.o, n.o 3, do RGPD, ou seja, o artigo 15.o, n.o 6, da Lei Tributária, conforme posteriormente aplicado pelos pedidos de informações apresentados pela demandada. |
50. |
Em suma, o ponto fulcral subjacente à totalidade das questões submetidas pelo órgão jurisdicional de reenvio parece ser o do alcance e das condições das transferências de dados pessoais entre dois responsáveis pelo tratamento sucessivos ( 27 ). Quais são as disposições do RGPD, caso existam, que regulam as relações entre responsáveis sucessivos? O RGPD contém algum limite (material ou temporal) ao alcance e ao tipo de transferência de dados pessoais entre dois responsáveis pelo tratamento, no caso vertente uma empresa privada e uma autoridade pública? Todas estas questões dizem respeito precisamente ao fundamento jurídico da recolha de dados pessoais e, na realidade, não têm por objeto a operação de tratamento. |
3. Obrigações específicas decorrentes do RGPD?
51. |
O RGPD diz principalmente respeito à proteção dos dados pessoais dos titulares dos dados e à relação entre essas pessoas e qualquer entidade que proceda ao tratamento dos seus dados. Para o efeito, o RGPD estabelece os direitos dos titulares dos dados e as obrigações dos responsáveis em causa no âmbito do tratamento de dados pessoais. |
52. |
Esta lógica regulamentar centra‑se nos dados e nos organismos que a eles acedem e com eles trabalham. São muito poucas as disposições no RGPD que regulam direta e expressamente a relação entre os organismos de tratamento de dados ( 28 ). É certo que o RGPD abarca indiretamente essas relações. Obriga qualquer entidade que tenha posteriormente acesso aos dados a protegê‑los, bem como aos direitos dos titulares dos dados. Desta forma, o RGPD prevê efetivamente determinadas condições para a divulgação e transferência de dados. No entanto, isso certamente não significa que o RGPD regula diretamente as relações entre essas entidades. |
53. |
De certa forma, se os dados devessem ser considerados bens, então a lógica regulamentar do RGPD seria análoga a um regime de direito público específico para determinados tipos de bens (preciosos, artísticos, históricos). Um tal regime impõe certas limitações a esses bens: a forma como os bens podem ser fabricados, utilizados, em que condições podem ser modificados, armazenados, revendidos ou destruídos. Tal regime específico protege os bens e, portanto, vincula indiretamente qualquer proprietário ou detentor sucessivo dos mesmos. No entanto, por si só, esse regime específico continua vinculado aos bens. Não regulamenta nem os acordos privados ao abrigo dos quais esses bens podem ser vendidos entre dois particulares, nem as condições em que os mesmos bens podem ou devem ser transmitidos de uma entidade privada para uma pública. A regulamentação dos bens difere da regulamentação do título jurídico subjacente e do comércio desses bens. |
54. |
O RGPD apenas pode ser razoavelmente interpretado se se clarificar a sua lógica regulamentar e colocar a tónica na operação de tratamento específica como ponto de partida para as eventuais obrigações dele decorrentes. Caso contrário, o RGPD seria sempre aplicável apesar de, em qualquer leitura criativa do mesmo, simplesmente não existir nenhuma disposição que regule a questão específica submetida. Tais processos terão como consequência inevitável que o RGPD não se opõe a certas legislações ou práticas nacionais. No entanto, essa «falta de oposição» não será necessariamente o resultado de os regimes nacionais serem em princípio legais, mas ao facto de tal questão simplesmente não ser regulamentada pelo RGPD, mesmo que incida, de uma forma ou de outra, sobre dados pessoais. |
55. |
A jurisprudência do Tribunal de Justiça está familiarizada com estes «falsos positivos» no que respeita às diferentes obrigações de comunicação de dados previstas no direito nacional por diferentes razões. Mais uma vez, a maioria desses processos não se refere a nenhuma operação de tratamento em curso enquanto tal, mas sim à questão a montante do fundamento jurídico para uma operação futura. Variam desde a instauração de um processo cível para fazer cumprir os direitos de autor ( 29 ), à gestão adequada de fundos públicos ( 30 ) ou à salvaguarda da segurança nacional ( 31 ). Entre os exemplos a este respeito, podem‑se incluir os processos Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ), ou J & S Service ( 35 ). |
56. |
É certo que, em todas estas situações, o RGPD era aplicável no que se referia aos direitos dos titulares dos dados em relação ao responsável ou responsáveis pelo tratamento no âmbito de operações de tratamento específicas que tinham acabado de ser efetuadas ou estavam prestes a ser efetuadas. No entanto, e mais uma vez, a lógica regulamentar e o âmbito de aplicação adequado do RGPD devem seguir o fluxo de dados e assegurar a proteção dos dados pessoais no âmbito das operações de tratamento. Não se destina a regulamentar toda e qualquer relação a montante entre vários organismos que possam dispor de dados, incluindo as razões e as formas pelas quais podem vir a ter acessos a esses dados. Por outras palavras, o RGPD não confere nenhum «direito» de um responsável pelo tratamento que possa ser invocado contra outro responsável. |
57. |
Isso não significa, no entanto, que tais questões não sejam regidas por lei. São‑no, mas por outros instrumentos principalmente destinados a garantir a aplicação do direito. É nesses instrumentos que se encontra o fundamento jurídico para o tratamento exigido pelo artigo 6.o, n.o 3, do RGPD em primeiro lugar. Quando se trata de transferências obrigatórias de dados pessoais, estas tendem a ser, de facto, de forma bastante lógica, previstas em «instrumentos de aplicação da lei», ao abrigo quer do direito da União ( 36 ), quer do direito nacional. Quando se trata de transferências voluntárias de dados pessoais, na medida do possível e permitido pelo regime de direito público constituído pelo RGPD, o fundamento para essas transferências será o direito comercial ou contratual nacional, tendo em conta o tipo de acordos em vigor entre os responsáveis sucessivos pelo tratamento. |
58. |
Tendo em conta estes esclarecimentos, considero que o presente processo (ainda) não versa sobre qualquer operação de tratamento. Incide antes sobre o fundamento jurídico desse tratamento, matéria a que o RGPD apenas faz referência mas não regula diretamente. No entanto, dito isto, e no intuito de ajudar plenamente o órgão jurisdicional de reenvio, exporei na parte seguinte das presentes conclusões o quadro de base que decorre do RGPD e que será aplicável à operação de tratamento, uma vez efetuada pelo responsável, a empresa privada (B). O RGPD visa proteger o titular dos dados, e não uma empresa privada, contra uma interferência pública na sua liberdade de empresa ou no seu direito de propriedade sob a forma de exploração de dados. Isso não significa que tal questão não possa dar origem a uma preocupação válida, mas que dificilmente poderá ser regulada pelo RGPD (C). |
B. (Fundamento jurídico para as) transferências de dados pessoais para autoridades públicas
59. |
Segue‑se uma análise bastante geral sobre o fundamento jurídico do tratamento de dados que a demandante deverá efetuar ao executar o pedido de informações da demandada. A este respeito, é provável que a disposição aplicável seja o artigo 6.o do RGPD e, em especial, os seus n.os 1 e 3, interpretados à luz do considerando 45. |
60. |
A título preliminar, importa referir que o Tribunal de Justiça não recebeu qualquer informação específica a respeito de eventuais regras nacionais adicionais aplicáveis em matéria de proteção de dados em circunstâncias como as do processo principal. Além disso, o Tribunal de Justiça também não recebeu informações sobre se, além do artigo 15.o, n.o 6, da Lei Tributária, existem outros atos nacionais de aplicação geral (por exemplo, um decreto ou orientações de execução) que reforcem a obrigação em causa que recai sobre os prestadores de serviços (de publicação de anúncios na Internet) no sentido de comunicarem determinados dados às autoridades tributárias. Também há muito pouca informação sobre o quadro legislativo nacional que aplica o RGPD em geral. |
61. |
Além disso, não ficou claro se o artigo 23.o, n.o 1, alínea e), do RGPD foi transposto para o direito nacional de alguma forma. O facto de esta disposição do direito da União ter sido ou não aplicada não condiciona a legalidade do pedido de transferência de informações. No entanto, seria relevante para determinar o alcance e a natureza das obrigações que um responsável posterior pelo tratamento (uma autoridade pública) pode ter em relação aos titulares dos dados, bem como para determinar as obrigações do responsável inicial e as informações que este último deverá fornecer aos titulares dos dados. |
62. |
Por conseguinte, a análise seguinte não pode deixar de ser senão algo genérica. Abordarei os princípios decorrentes do artigo 6.o do RGPD relativos ao futuro tratamento a efetuar por uma empresa privada a fim de atender a um pedido de dados formulado por uma autoridade pública, em primeiro lugar tendo em conta a finalidade dessas transferências de dados (1) e o seu alcance e duração (2). Em seguida, debruçar‑me‑ei sobre o fundamento jurídico de tais transferências, uma vez que os requisitos relativos a esse fundamento se tornam mais claros após as questões anteriores terem sido abordadas (3). |
1. Finalidade
63. |
De um modo geral, a finalidade global para a qual a Administração Tributária solicita a comunicação dos dados pessoais no processo principal é sem dúvida legítima. Com efeito, assegurar a correta cobrança do imposto e detetar eventuais infrações ao dever de pagamento do imposto pode certamente inserir‑se nos objetivos e finalidades legítimos do tratamento de dados, nos termos do artigo 6.o, n.os 1 e 3, do RGPD ( 37 ). |
64. |
O que está em causa nas questões suscitadas pelo presente processo é o grau de abstração com que tal objetivo deve ser enunciado. A este respeito, existe, aparentemente, uma certa confusão entre dois tipos de objetivos específicos: por um lado, i) investigar determinados tipos de informação (a fim de detetar violações da lei), por outro, ii) verificar a existência de determinadas infrações (e procurar obter a comunicação de dados específicos, a fim de confirmar essa hipótese). |
65. |
A natureza (e, portanto, o alcance) dos dois tipos de transferência de dados é necessariamente diferente. A lógica da investigação e deteção aplica‑se ex ante, e é amplamente indefinida quanto aos concretos titulares dos dados. Se o objetivo é detetar possíveis violações, então a rede metafórica deve ser bastante ampla. Por outro lado, a lógica da verificação de possíveis violações por meio da comunicação de dados relevantes pode ser muito mais multifacetada e direcionada. Neste caso, a lógica é muito mais ex post, centrada na verificação de determinadas suspeitas que incidem normalmente sobre um titular de dados já identificável. |
66. |
Considero que o artigo 6.o do RGPD permite ambas as situações. Dito isto, o artigo 6.o, n.o 3, do RGPD exige um fundamento jurídico claro para qualquer uma dessas transferências de dados. |
67. |
Todavia, compreendo as hesitações do órgão jurisdicional de reenvio no âmbito do presente processo, tendo em conta a redação do artigo 15.o, n.o 6, da Lei Tributária. Assim, na redação aparentemente em vigor no momento em que o órgão jurisdicional de reenvio apresentou o seu pedido de decisão prejudicial, o referido artigo dispunha que os prestadores de serviços de publicação de anúncios na Internet podiam ser obrigados, a pedido da Administração Tributária do Estado, a fornecer informações sobre os (respetivos) sujeitos passivos. |
68. |
Verifica‑se, portanto, que, no caso em apreço, a finalidade da comunicação, enunciada no fundamento jurídico aplicável, se assemelha à segunda situação acima descrita: a verificação de determinadas informações relativas a sujeitos passivos específicos. No entanto, afigura‑se que a Autoridade Tributária nacional utilizou este fundamento jurídico para o que parece ser um pedido de transferência (ilimitada) de dados, ou mesmo uma manifesta recolha de dados, a fim de realizar um exercício geral de investigação e deteção, que se enquadra na primeira situação acima descrita. É aqui que se encontra a dissonância lógica que parece estar na base deste processo a nível nacional e que suscita confusão sobre a proporcionalidade de tal medida (2) e sobre o seu fundamento jurídico adequado (3). |
2. Alcance e duração
69. |
A proporcionalidade, bem como a «minimização», é a análise da relação entre os objetivos (declarados) e os meios (escolhidos). O problema no presente processo é que a apreciação da proporcionalidade provavelmente será diferente em função do objetivo escolhido no âmbito das duas situações (ideais) ( 38 ) acima expostas. |
70. |
No âmbito de um objetivo de «investigação e deteção», a abordagem das autoridades públicas parece ser a mais ampla possível para garantir a obtenção de informações relevantes. Tal pode implicar o tratamento de uma quantidade significativa de dados. Com efeito, a necessidade de recolher e tratar conjuntos mais vastos de dados é inerente a este tipo de investigação em busca de informação geral e indeterminada. Nesta situação, a proporcionalidade e a minimização do tratamento de dados só podem verdadeiramente incidir sobre o tipo de dados pedidos onde as informações necessárias podem potencialmente ser encontradas ( 39 ). |
71. |
No âmbito de um objetivo de «verificação», em que as autoridades públicas precisam de obter provas relativas ao conteúdo de uma determinada operação ou conjunto de operações, a apreciação da proporcionalidade pode naturalmente ser mais exigente. Neste caso, a Autoridade Tributária apenas pode solicitar operações específicas, dentro de um determinado prazo, para proceder a verificações ex post, normalmente no que se refere a um ou vários sujeitos passivos específicos. Os pedidos de informações são, portanto, suscetíveis de ser adaptados aos dados específicos que contêm esse tipo de informação. |
72. |
A lógica do considerando 31 do RGPD, na medida em que a consigo identificar, parece referir‑se apenas a esta última situação. O segundo período deste considerando, invocado e amplamente discutido pelas partes interessadas, em especial pela Comissão, prevê que os pedidos de comunicação de dados enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros. |
73. |
No entanto, considero que não é possível descontextualizar (parte de) um considerando de um regulamento, tratá‑lo como uma disposição autónoma e vinculativa, sem sequer que o texto juridicamente vinculativo desse instrumento dele faça eco ( 40 ), e, com base nisso, afirmar que qualquer transferência de dados pessoais para autoridades públicas apenas pode ocorrer nestas condições. Não posso simplesmente aceitar a sugestão de que uma parte do considerando 31, considerado isoladamente, proíbe todas as transferências de dados em grande escala para autoridades públicas, mesmo as que têm um fundamento jurídico adequado (na legislação nacional e/ou da União) e respeitam todas as disposições vinculativas do RGPD. |
74. |
No âmbito do presente processo, o Governo letão sustentou que a quantidade de informações pedidas pode ser considerada razoável, na medida em que o pedido de comunicação apenas inclui anúncios publicados na secção «veículos de passageiros», que é apenas uma secção de um total de 112 secções do sítio Internet em questão gerido pela demandante. Os Governos belga e espanhol acrescentaram que, na sua opinião, a questão não é a quantidade de dados, mas sim o tipo de dados pedidos. |
75. |
Concordo com estas observações. |
76. |
A proporcionalidade da investigação e deteção ex ante implica um «controlo da qualidade» no que diz respeito ao tipo de dados pedidos. É apenas aquando da verificação ex post de determinados factos que o «controlo da quantidade» mais tradicional pode ser plenamente executado. Se assim não fosse, a maioria dos meios de controlo ou de vigilância de dados seria, na prática, excluída. |
77. |
Desde que exista fundamento jurídico adequado no direito da União ou no direito nacional, uma Autoridade Tributária nacional pode, em princípio, pedir todos os dados necessários para o tipo de exame que deve efetuar, sem qualquer limitação temporal. O único limite que decorre do RGPD é a proporcionalidade em relação ao tipo de dados pedidos. Como o Governo helénico corretamente salienta, os pedidos de informação devem limitar‑se ao tipo de dados relativos à atividade económica dos contribuintes, e não à sua vida privada. |
78. |
Para dar um exemplo, se a finalidade indicada for detetar os rendimentos não declarados da venda de veículos usados, a Autoridade Tributária não tem o direito de pedir igualmente informações no sentido de saber se a pessoa que vende o carro é ou não ruiva, se segue uma dieta específica, ou se dispõe de uma piscina. Portanto, o tipo de informação solicitada deve claramente ser relativo à pesquisa e à investigação efetuadas. |
79. |
Além disso, cabe ao órgão jurisdicional de reenvio a apreciação da proporcionalidade em qualquer das duas situações acima expostas, nas circunstâncias de facto e de direito de cada processo ( 41 ). Em suma, a questão que se deve colocar é a de saber se o tipo de dados solicitados é adequado para facultar à demandada as informações necessárias à realização do objetivo declarado. |
3. Fundamento jurídico (para o tratamento futuro)
80. |
Por último, só agora pode ser convenientemente apreciada a questão essencial do fundamento jurídico à luz das considerações precedentes. É evidente que as duas situações descritas nas subsecções anteriores das presentes conclusões («investigação e deteção» e «verificação») exigem um fundamento jurídico nos termos do artigo 6.o, n.o 3, do RGPD para que seja efetuado o tratamento pela demandante. Esta disposição permite expressamente a adaptação específica da adaptação das regras gerais do RGPD, seja pelo direito da União ou pelo direito dos Estados‑Membros. |
81. |
Em qualquer caso, porém, o fundamento jurídico previsto deve logicamente abranger a finalidade específica e o tipo de tratamento efetuado para esse efeito. A forma como deverá proceder‑se exatamente depende das disposições específicas de adaptação adotadas pelo Estado‑Membro ou pela União ao abrigo do artigo 6.o, n.o 3, do RGPD. Em geral, quanto mais generalizadas, amplas e permanentes forem as transferências de dados, mais sólida, detalhada e explícita deve ser a base legislativa, uma vez que tais transferências de dados representam uma maior interferência na salvaguarda da proteção de dados. Em contrapartida, quanto mais individualizados e limitados forem os pedidos de comunicação — habitualmente relativos a apenas um ou alguns titulares de dados, ou mesmo a uma quantidade limitada de dados — mais provável se torna que esses pedidos sejam efetuados ao nível de pedidos administrativos específicos, mantendo‑se bastante ampla e genérica a disposição de habilitação legislativa. |
82. |
Por outras palavras, os dois níveis de regulação, a saber, o nível legislativo e o nível administrativo, que afinal constituem fundamento jurídico do tratamento de dados, funcionam em conjunto. Pelo menos um deles deve ser suficientemente específico e adaptado a um determinado tipo ou quantidade de dados pessoais solicitados. Quanto mais detalhado for o nível legislativo estrutural no que se refere a essas transferências de dados, menos tem que constar dos pedidos administrativos individuais. O nível legislativo pode até ser tão minucioso e abrangente que se torne completamente autónomo e diretamente aplicável. Em contrapartida, quanto mais genérico e vago for o nível legislativo, mais elementos deverão constar do pedido administrativo de alcance individual, incluindo uma clara declaração da finalidade que delimitará o alcance do mesmo. |
83. |
Este aspeto permite responder indiretamente à questão suscitada pelo órgão jurisdicional de reenvio a respeito da proporcionalidade, a qual poderia, com efeito, ser abordada de forma mais adequada determinando se as autoridades tributárias podem formular pedidos de dados que sejam ilimitados no tempo. Considero que, ao abrigo do RGPD, podem fazê‑lo. Contudo, a questão mais pertinente deveria ser a de saber se existe fundamento jurídico adequado no direito nacional para o que constitui efetivamente, em substância, uma transferência de dados contínua e permanente. O artigo 6.o, n.o 3, do RGPD não se opõe a tais transferências desde que estas encontrem claramente o seu fundamento, bem como a sua duração, no direito nacional. Mais uma vez, o considerando 31 do RGPD pouco indica a este respeito ( 42 ). Não vejo qualquer sentido prático em interpretar este considerando no sentido de que obriga efetivamente as autoridades administrativas a emitirem repetidamente (com periodicidade diária, mensal ou anual) pedidos individuais idênticos, a fim de obter o que já poderiam ter obtido com base na legislação nacional. |
84. |
No caso em apreço, o fundamento jurídico para o tratamento parece ser constituído tanto pelo artigo 15.o, n.o 6, da Lei Tributária, como pelos pedidos específicos de comunicação de dados formulados pela Autoridade Tributária. Verifica‑se, assim, um duplo fundamento jurídico, que inclui uma cláusula geral de habilitação legislativa e a aplicação administrativa específica e direcionada dessa disposição. |
85. |
De um modo geral, esse duplo fundamento jurídico afigura‑se suficiente para justificar o tratamento de dados pessoais pela demandante para efeitos da sua transferência para uma autoridade pública nos termos do artigo 6.o, n.o 1, alínea c), e n.o 3, do RGPD. Embora a legislação nacional que habilita as autoridades tributárias a pedir informações seja de aplicação geral, os pedidos específicos de dados parecem visar, em grande medida, um certo tipo de dados, pese embora a quantidade eventualmente grande dos mesmos. |
86. |
No entanto, em última análise, cabe ao órgão jurisdicional nacional verificar, com pleno conhecimento do direito nacional, incluindo de quaisquer outras disposições nacionais de execução não mencionadas no âmbito do presente processo, se o tratamento pedido pela demandante no processo principal preenche ou não os requisitos expostos na presente secção destas conclusões. |
87. |
A questão que está no cerne desta apreciação, que requer especial atenção, é a de saber se o artigo 15.o, n.o 6, da Lei Tributária, conjuntamente com os pedidos específicos de informação, cumpre a exigência de previsibilidade ( 43 ) no âmbito da análise do fundamento jurídico. A legislação que permite a transferência de dados deve prever normas claras e precisas que regulem o âmbito e a aplicação da medida em causa e impor requisitos mínimos, de modo que as pessoas cujos dados pessoais são abrangidos disponham de garantias suficientes de que os mesmos serão eficazmente protegidos contra os riscos de abuso ( 44 ). |
88. |
Por conseguinte, o fundamento jurídico considerado no seu conjunto (legislativo e administrativo) deve ser formulado com suficiente precisão para todas as pessoas em causa: as autoridades públicas quanto ao que podem pedir, as empresas quanto ao que podem fornecer e, sobretudo, os titulares dos dados para que saibam quem pode ter acesso aos seus dados e para que fins. Convém recordar que as informações relativas ao tratamento de dados constituem, efetivamente, um requisito fundamental no âmbito do RGPD. Os titulares dos dados devem estar cientes da existência de tal tratamento e essa informação é o pressuposto necessário ao exercício de outros direitos de acesso ou de eliminação ou retificação ( 45 ). |
89. |
A menos que o artigo 23.o do RGPD tenha sido de alguma forma transposto para o direito nacional a fim de restringir os direitos dos titulares dos dados ao abrigo do capítulo III do RGPD, decorre dos artigos 13.o e 14.o do RGPD que o responsável pelo tratamento deve fornecer informações ao titular dos dados. No contexto de sucessivas transferências de dados, pode ser difícil determinar a quem incumbe o dever de informação ( 46 ). Além disso, em termos práticos, na falta de quaisquer restrições adotadas nos termos do artigo 23.o, n.o 1, do RGPD, que na legislação nacional devem cumprir o requisito do artigo 23.o, n.o 2, do RGPD, uma autoridade pública que obteve os dados pode ter a obrigação de fornecer as informações adequadas, nos termos do artigo 14.o do RGPD, a todos os titulares dos dados em causa. Se não existir um fundamento jurídico claro e previsível que permita, em definitivo, tais transferências de dados, dificilmente se pode esperar que o responsável pelo tratamento que recolheu os dados faculte logo as informações ao titular dos dados em conformidade com o artigo 13.o do RGPD. |
90. |
Concluindo, considero pois que o artigo 6.o, n.o 1, alínea c), e n.o 3, do RGPD não se opõe a que uma regulamentação nacional preveja, sem qualquer limite temporal, a obrigação de os prestadores de serviços de publicação de anúncios na Internet comunicarem certos dados pessoais a uma Autoridade Tributária, desde que haja um fundamento jurídico claro assente no direito nacional para esse tipo de transferência de dados e os dados pedidos sejam adequados e necessários ao cumprimento, pela Administração Tributária, das suas atribuições oficiais. |
C. Observações finais: a questão que não foi suscitada no presente processo
91. |
Não me compete especular sobre as verdadeiras razões das partes perante o órgão jurisdicional de reenvio. Devo, portanto, manter‑me fiel à minha esperança de que existam bons samaritanos, que se erguem desinteressadamente em defesa dos outros. Por que razão é que uma empresa privada não poderia estar simplesmente a defender os direitos dos titulares cujos dados pessoais foram recolhidos? |
92. |
Embora não possamos deixar de nos regozijar quando as sociedades comerciais se comprometem com a causa da proteção de dados, suponho que algumas outras empresas também podem ter outras razões para se opor às transferências dos dados pessoais recolhidos, decretadas pelo poder público. Uma razão pode estar relacionada com os custos inerentes a esse esforço. Deverão as autoridades públicas ser autorizadas a externalizar efetivamente parte do exercício da administração pública, obrigando as empresas privadas a suportar os custos do que constitui essencialmente exercício da administração pública? Esta questão torna‑se importante nos casos de transferências de dados permanentes e em grande escala que deveriam ser efetuadas por empresas privadas para o bem comum sem qualquer compensação ( 47 ). Outras razões podem ser de ordem empresarial. Se presumirmos por breves instantes, evidentemente num plano meramente hipotético, que as pessoas em geral não gostam de pagar impostos, poderá não ser tão rebuscado presumir também que algumas dessas pessoas podem escolher, para publicar anúncios dos seus veículos automóveis usados, soluções diferentes de um sítio Internet que comunica, posteriormente, essa informação às autoridades tributárias. |
93. |
Encontrar um equilíbrio entre todos os interesses presentes em tal situação está longe de ser simples. Por um lado, o facto de o poder público pedir a empresas privadas dados que devem ser elaborados e apresentados segundo requisitos específicos, pode aproximar‑se perigosamente de uma externalização forçada do exercício da administração pública. Pode ser o caso, nomeadamente, dos dados que, de outra forma, estão disponíveis gratuitamente e os próprios organismos públicos poderiam ter recolhido com um pequeno esforço técnico. Por outro lado, conforme o Governo belga sublinhou com pertinência ao apontar o alcance mais amplo da situação no processo principal, talvez seja necessária uma resposta ligeiramente multifacetada nas situações de diversas plataformas de economia partilhada, ou noutras situações em que as autoridades públicas pedem o acesso a dados essenciais à finalidade pública legítima declarada, mas que não estão livremente disponíveis e, como tal, não podem ser recolhidos pelas próprias autoridades públicas. Contudo, mesmo em tais circunstâncias, a questão de uma possível compensação continua em aberto. |
94. |
Existem certamente tais questões latentes no âmbito do processo principal. No entanto, encontrar um equilíbrio razoável em semelhantes situações deve ocorrer principalmente a nível nacional ou da União, adotando a legislação pertinente que fornece o fundamento jurídico para esse tipo de transferências. Não deve ser uma questão de intervenção judicial, a fortiori num processo em que o órgão jurisdicional de reenvio nem sequer suscitou expressamente nenhuma dessas questões. Além disso, há pelo menos duas razões adicionais pelas quais o presente processo não é o adequado para este tipo de discussão. |
95. |
Em primeiro lugar, à semelhança das outras questões que gravitam de alguma forma em torno do fluxo de dados pessoais mas não se prendem necessariamente com a proteção dos direitos dos titulares dos dados, o RGPD não regula especificamente tais questões. A questão da proteção jurídica dos responsáveis pelo tratamento de dados — empresas privadas perante a interferência eventualmente ilícita ou desproporcionada na sua livre condução dos negócios, no seu eventual direito de propriedade ( 48 ), ou mesmo no seu eventual direito a uma compensação equitativa pelos dados transferidos — não é uma questão regulada pelo RGPD. |
96. |
Em segundo lugar, uma vez que o fundamento jurídico para tal transferência de dados não está previsto pelo direito da União ( 49 ), a questão de uma eventual compensação pelas transferências de dados impostas dificilmente poderá ser considerada matéria de direito da União. Isto não quer dizer, mais uma vez, que tais questões não possam surgir, mesmo em matéria de proteção dos direitos fundamentais (dos responsáveis pelo tratamento dos dados em causa). No entanto, essas questões deveriam então ser devidamente abordadas pelos órgãos jurisdicionais do Estado‑Membro antes de este impor essas transferências. Qualquer processo neste sentido deve, portanto, ser submetido a um órgão jurisdicional nacional (constitucional). |
V. Conclusão
97. |
Proponho que o Tribunal de Justiça responda às questões prejudiciais submetidas pelo Administratīvā apgabaltiesa (Tribunal Regional Administrativo, Letónia) da seguinte forma:
|
( 1 ) Língua original: inglês.
( 2 ) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).
( 3 ) A começar, no que diz respeito às exceções formuladas na Diretiva 95/46, v. Acórdãos de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.o 41), e de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.os 37 a 48). Mais recentemente, no que diz respeito ao RGPD, v. Acórdão de 22 de junho de 2021, B (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.os 61 a 72).
( 4 ) V, por exemplo, Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, n.os 29 a 39). V., no entanto, Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.o 74).
( 5 ) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).
( 6 ) Acórdão de 20 de dezembro de 2017, Nowak (C‑434/16, EU:C:2017:994, n.os 18 a 23).
( 7 ) Acórdão de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.os 12 a 17).
( 8 ) Acórdão de 10 de dezembro de 2020, J & S Service (C‑620/19, EU:C:2020:1011, n.os 15 a 29).
( 9 ) Contrariamente ao que parecia ser a posição do órgão jurisdicional de primeira instância, o Administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância), que considerou que, nesta fase do tratamento de dados, o responsável pelo tratamento era a demandante (v., supra, n.o 21 das presentes conclusões).
( 10 ) V., por exemplo, Acórdãos de 29 de junho de 2010, Comissão/Bavarian Lager (C‑28/08 P, EU:C:2010:378, n.o 69), e de 19 de abril de 2012, Bonnier Audio e o. (C‑461/10, EU:C:2012:219, n.o 52).
( 11 ) V., por exemplo, Acórdãos de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.o 45), e de 6 de outubro de 2020, Privacy International (C‑623/17, EU:C:2020:790, n.o 41), no âmbito da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37). V., igualmente, Acórdão de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.o 45), no contexto de transferências de dados para um país terceiro.
( 12 ) V., por exemplo, Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.o 68).
( 13 ) Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.os 39 a 47).
( 14 ) Acórdão de 22 de junho de 2021, B (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.os 61 a 72).
( 15 ) V., neste sentido, artigo 3.o, n.o 7, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).
( 16 ) Esta hipotética possibilidade futura não é muito determinante para definir ex ante o âmbito de aplicação normativo de um instrumento de direito da União. V., igualmente, as minhas Conclusões nos processos apensos Ministerul Public – Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie e o. (C‑357/19 e C‑547/19, EU:C:2021:170, n.os 109 a 115), sobre um argumento semelhante no que diz respeito ao âmbito de aplicação do artigo 325.o, n.o 1, TFUE.
( 17 ) V., por exemplo, neste sentido, Acórdãos de 11 de dezembro de 2014, Ryneš (C‑212/13, EU:C:2014:2428, n.o 30), e de 10 de julho de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, n.o 51). No caso deste último, o Tribunal de Justiça considerou que a recolha de dados pessoais por parte dos membros de uma comunidade religiosa no contexto da sua atividade de pregação porta a porta e o subsequente tratamento desses dados são suscetíveis de estar abrangidos pelo âmbito de aplicação material do RGPD.
( 18 ) V., por exemplo, Acórdão de 20 de dezembro de 2017, Nowak (C‑434/16, EU:C:2017:994, n.o 62), em que o Tribunal de Justiça considerou que as respostas escritas dadas por um candidato num exame profissional e as eventuais anotações do examinador relativas a essas respostas constituem dados pessoais.
( 19 ) V., por exemplo, Acórdãos de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.o 34), e de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388, n.os 28 a 44), em que o Tribunal de Justiça considerou que o conceito de «responsável pelo tratamento» engloba o administrador de uma página de fãs alojada numa rede social.
( 20 ) V. Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.os 72 e 74).
( 21 ) Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629).
( 22 ) Ibid., n.o 67.
( 23 ) Ibid., n.o 74.
( 24 ) V., para um exemplo recente de tratamento por autoridades públicas, Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.os 64 e 65).
( 25 ) V., por exemplo, Acórdão de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.o 57). V., igualmente, neste sentido, Acórdãos de 1 de outubro de 2015, Bara e o. (C‑201/14, EU:C:2015:638, n.o 30), e de 27 de setembro de 2017, Puškár (C‑73/16, EU:C:2017:725, n.o 104).
( 26 ) Tal como previsto nomeadamente no artigo 13.o, n.o 2, do RGPD, embora noutro contexto, concretamente o da informação a facultar.
( 27 ) A título exaustivo, pode‑se acrescentar que outras situações previstas no RGPD, como o controlo conjunto entre a Autoridade Tributária e a empresa privada sobre essa determinada fase de tratamento (artigo 26.o), ou a relação entre um responsável de facto e um subcontratante (artigo 28.o), parecem estar excluídas segundo os factos expostos pelo órgão jurisdicional de reenvio.
( 28 ) Com as duas exceções notórias que figuram nos artigos 26.o e 28.o do RGPD mencionadas na nota anterior, ou, por exemplo, no artigo 19.o do RGPD. No entanto, também no que diz respeito a estas disposições, a inclusão regulamentar destas categorias pode ainda ser considerada como proteção de dados que garante essencialmente que o responsável pelo tratamento não pode abdicar da responsabilidade nem subtrair‑se à mesma, quer partilhando os dados, quer externalizando o seu tratamento.
( 29 ) V., por exemplo, Acórdãos de 24 de novembro de 2011, Scarlet Extended (C‑70/10, EU:C:2011:771).
( 30 ) Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294).
( 31 ) V., por exemplo, Acórdãos de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970), e de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791).
( 32 ) Acórdão de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336).
( 33 ) Acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54).
( 34 ) Acórdão de 19 de abril de 2012, Bonnier Audio e o. (C‑461/10, EU:C:2012:219).
( 35 ) Acórdão de 10 de dezembro de 2020, J & S Service (C‑620/19, EU:C:2020:1011).
( 36 ) V., por exemplo, no direito da União, o artigo 4.o da anterior Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva 2002/58/CE (JO 2006, L 105, p. 54), ou o artigo 8.o da Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave (JO 2016, L 119, p. 132).
( 37 ) V., por exemplo, neste sentido, Acórdão de 27 de setembro de 2017, Puškár (C‑73/16, EU:C:2017:725, n.o 108), no que diz respeito à criação de uma lista por uma autoridade pública para efeitos de cobrança de impostos e luta contra a fraude fiscal.
( 38 ) Ideais no sentido de que as duas situações delineadas representam duas extremidades numa linha imaginária, mais do que caixas estanques no plano hermenêutico.
( 39 ) O que sublinha mais uma vez a verdadeira natureza deste processo, que se aproxima muito mais dos casos em que o Tribunal de Justiça foi chamado a analisar várias situações de conservação ou transferência de dados para países terceiros do que um «verdadeiro» processo em matéria de RGPD (v., supra, n.os 56 e 57 das presentes Conclusões, bem como jurisprudência referida nas notas 11, 31 e 44).
( 40 ) V., por exemplo, Acórdãos de 12 de julho de 2005, Alliance for Natural Health e o. (C‑154/04 e C‑155/04, EU:C:2005:449, n.os 91 e 92); de 21 de dezembro de 2011, Ziolkowski e Szeja (C‑424/10 e C‑425/10, EU:C:2011:866, n.os 42 e 43); ou de 25 de julho de 2018, Confédération paysanne e o. (C‑528/16, EU:C:2018:583, n.os 44 a 46 e 51).
( 41 ) V. igualmente, neste sentido, Acórdão de 27 de setembro de 2017, Puškár (C‑73/16, EU:C:2017:725, n.o 113).
( 42 ) V., supra, n.os 72 a 73 das presentes conclusões.
( 43 ) V., por exemplo, Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.os 77 e 79).
( 44 ) V., por exemplo, mais recentemente Acórdão de 6 de outubro de 2020, Privacy International (C‑623/17, EU:C:2020:790, n.o 68).
( 45 ) V., neste sentido, Acórdão de 1 de outubro de 2015, Bara e o. (C‑201/14, EU:C:2015:638, n.o 33).
( 46 ) V., neste sentido, Acórdãos de 1 de outubro de 2015, Bara e o. (C‑201/14, EU:C:2015:638, n.os 34 a 38), e de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.o 69).
( 47 ) V., para uma questão semelhante no contexto dos custos de conservação de dados, Despacho de 26 de novembro de 2020, Colt Technology Services e o. (C‑318/20, não publicado, EU:C:2020:969).
( 48 ) Em economias modernas cada vez mais baseadas em dados, é apenas uma questão de tempo até que os dados sejam reconhecidos como um bem, ou mesmo direito patrimonial, do mesmo modo que vários outros ativos incorpóreos com valor económico, incluindo vários tipos de propriedade intelectual. V., a este respeito, a postura aberta à inclusão de vários tipos de «bens» no âmbito do artigo 1.o do Primeiro Protocolo Adicional na jurisprudência do Tribunal Europeu dos Direitos do Homem, conforme demonstrado, por exemplo, no Acórdão do TEDH de 11 de janeiro de 2007, Anheuser‑Busch Inc/Portugal (CE:ECHR:2007:0111JUD007304901, §§ 63 a 65).
( 49 ) Como seria, pelo contrário, a situação nos casos em que as transferências, conservação ou tratamento de dados são previstos por um instrumento legislativo de direito da União, como é o caso com os exemplos apresentados supra na nota 36. A propósito, a Proposta de Diretiva do Parlamento Europeu e do Conselho relativa à conservação de dados tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis e que altera a Diretiva 2002/58/CE {SEC(2005) 1131}, COM/2005/0438 final — COD 2005/0182, apresentada pela Comissão, parecia reconhecê‑lo indiretamente no artigo 10.o e no considerando 13 inicialmente propostos. Estas disposições, no entanto, não foram mantidas na versão da diretiva que foi adotada.