This document is an excerpt from the EUR-Lex website
Document 62021CC0807
Opinion of Advocate General Campos Sánchez-Bordona delivered on 27 April 2023.#Deutsche Wohnen SE v Staatsanwaltschaft Berlin.#Request for a preliminary ruling from the Kammergericht Berlin.#Reference for a preliminary ruling – Protection of personal data – Regulation (EU) 2016/679 – Article 4(7) – Concept of ‘controller’ – Article 58(2) – Powers of supervisory authorities to apply corrective measures – Article 83 – Imposition of administrative fines on a legal person – Conditions – Discretion of the Member States – Requirement that the infringement be intentional or negligent.#Case C-807/21.
Conclusões do advogado-geral M. Campos Sánchez-Bordona apresentadas em 27 de abril de 2023.
Deutsche Wohnen SE contra Staatsanwaltschaft Berlin.
Pedido de decisão prejudicial apresentado pelo Kammergericht Berlin.
Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 4.°, ponto 7 — Conceito de “responsável pelo tratamento” — Artigo 58.°, n.° 2 — Poderes das autoridades de controlo para aplicar medidas de correção — Artigo 83.° — Aplicação de coimas a uma pessoa coletiva — Condições — Margem de manobra dos Estados‑Membros — Exigência do caráter intencional ou negligente da infração.
Processo C-807/21.
Conclusões do advogado-geral M. Campos Sánchez-Bordona apresentadas em 27 de abril de 2023.
Deutsche Wohnen SE contra Staatsanwaltschaft Berlin.
Pedido de decisão prejudicial apresentado pelo Kammergericht Berlin.
Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 4.°, ponto 7 — Conceito de “responsável pelo tratamento” — Artigo 58.°, n.° 2 — Poderes das autoridades de controlo para aplicar medidas de correção — Artigo 83.° — Aplicação de coimas a uma pessoa coletiva — Condições — Margem de manobra dos Estados‑Membros — Exigência do caráter intencional ou negligente da infração.
Processo C-807/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2023:360
MANUEL CAMPOS SÁNCHEZ‑BORDONA
apresentadas em 27 de abril de 2023 ( 1 )
Processo C‑807/21
Deutsche Wohnen SE
contra
Staatsanwaltschaft Berlin
[pedido de decisão prejudicial apresentado pelo Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha)]
«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Infrações — Imputação a uma empresa de uma infração cometida pelos seus trabalhadores — Eventual responsabilidade sem culpa — Transposição de conceitos desenvolvidos no âmbito do direito da concorrência»
1. |
O presente reenvio prejudicial confere ao Tribunal de Justiça a possibilidade de se pronunciar sobre as condições em que pode ser aplicada uma coima a uma pessoa coletiva por infração do Regulamento (UE) 2016/679 ( 2 ). |
2. |
Em especial, procura determinar‑se:
|
I. Quadro jurídico
A. Direito da União. RGPD
3. |
O considerando 74 enuncia: «Deverá ser consagrada a responsabilidade do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deverá ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento são efetuadas em conformidade com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.» |
4. |
O considerando 150 tem a seguinte redação: «A fim de reforçar e harmonizar as sanções administrativas para violações do presente regulamento, as autoridades de controlo deverão ter competência para impor coimas. O presente regulamento deverá definir as violações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes, que deverá ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente, em particular, a natureza, a gravidade e a duração da violação e das suas consequências e as medidas tomadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências da infração. Sempre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.o e 102.o do TFUE para esse efeito. […] O procedimento de controlo da coerência pode ser utilizado igualmente para a promoção de uma aplicação coerente das coimas […].» |
5. |
O artigo 4.o («Definições») prevê: «Para efeitos do presente regulamento, entende‑se por: […]
[…]
[…]» |
6. |
O artigo 58.o («Poderes»), n.o 2, dispõe: «Cada autoridade de controlo dispõe dos seguintes poderes de correção:
[…]
[…]» |
7. |
O artigo 83.o («Condições gerais para a aplicação de coimas») tem a seguinte redação: «1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva. 2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:
3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave. 4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10000000 euros ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado […]. 5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20000000 euros ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado: […] 6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20000000 euros ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado. […] 8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados‑Membros, incluindo o direito à ação judicial e a um processo equitativo. […]» |
B. Direito nacional. Ordnungswidrigkeitengesetz (Lei relativa às Infrações Administrativas) ( 3 )
8. |
Nos termos do § 9, n.o 1, quando uma pessoa atua na qualidade de a) órgão (ou de membro desse órgão) habilitado a representar uma pessoa coletiva, b) sócio habilitado a representar uma sociedade de pessoas com capacidade jurídica ou c) representante legal de um terceiro, é‑lhe aplicável qualquer lei por força da qual as funções, as relações ou as circunstâncias pessoais específicas justifiquem uma eventual sanção quando essas circunstâncias não se verifiquem no seu caso, mas sim no da pessoa representada. |
9. |
Por força do § 9, n.o 2, o mesmo se aplica no caso do proprietário de um estabelecimento (empresa) que confie a outra pessoa, no todo ou em parte, a direção do mesmo ou o cumprimento, sob a sua própria responsabilidade, das tarefas que incumbem ao proprietário. |
10. |
O § 30, n.o 1, permite a aplicação de uma coima a uma pessoa coletiva quando a pessoa singular que a representa, que a dirige ou que é responsável pela sua gestão tenha cometido uma infração penal ou tenha infringido as obrigações que incumbem à pessoa coletiva. |
11. |
Em conformidade com o § 30, n.o 4 a aplicação de uma sanção autónoma a uma pessoa coletiva exige que não se tenha iniciado qualquer procedimento contra o membro do órgão ou o representante da pessoa coletiva ou, se tal procedimento tiver sido iniciado, que tenha sido arquivado. |
12. |
Nos termos do § 130, n.o 1, quem, enquanto proprietário de uma exploração ou empresa, se abstiver, intencionalmente ou por negligência, de tomar as medidas de vigilância necessárias para impedir, no âmbito da exploração ou da empresa, a infração das obrigações a que o seu operador está sujeito e cuja violação seja punível com pena ou coima, comete uma contraordenação se essa infração pudesse ter sido impedida ou dificultada por medidas de vigilância adequadas, entre as quais constam a designação, a seleção cuidadosa e a fiscalização dos responsáveis pelos controlos. |
II. Matéria de facto, litígio e questões prejudiciais
13. |
A Deutsche Wohnen SE (a seguir «Deutsche Wohnen») é uma empresa imobiliária cotada na bolsa com sede social em Berlim (Alemanha). Detém indiretamente, através de participações, cerca de 163000 unidades habitacionais e 3000 comerciais. |
14. |
Os proprietários dessas unidades são filiais ligadas à Deutsche Wohnen (holdings) que gerem as atividades operacionais, enquanto a Deutsche Wohnen é responsável pela direção central do grupo. As empresas holding arrendam as unidades habitacionais e comerciais que são geridas por outras sociedades do grupo, as denominadas sociedades de serviços. |
15. |
No âmbito das suas atividades comerciais, a Deutsche Wohnen e as sociedades do grupo processam dados pessoais dos inquilinos dos imóveis. Esses dados são, nomeadamente, provas de identidade, dados fiscais, de segurança social e de seguro de doença, bem como informações sobre arrendamentos anteriores. |
16. |
Em 23 de junho de 2017, a Berliner Beauftragte für den Datenschutz (Autoridade Competente em Berlim em Matéria da Proteção de Dados, a seguir «autoridade de proteção de dados»), indicou à Deutsche Wohnen, no âmbito de um controlo in loco, que as sociedades do seu grupo armazenavam dados pessoais dos inquilinos num sistema de arquivo eletrónico relativamente ao qual não era possível determinar se o armazenamento era necessário e se era garantido que os dados que já não eram necessários eram apagados. |
17. |
A autoridade de proteção de dados solicitou depois à Deutsche Wohnen que eliminasse certos documentos do sistema de arquivo eletrónico até ao final de 2017. |
18. |
A Deutsche Wohnen recusou‑se a fazê‑lo, alegando que a eliminação não era possível por razões técnicas e legais. Esta objeção foi abordada numa reunião da Deutsche Wohnen com a autoridade encarregada da proteção de dados, durante a qual esta última afirmou que existiam soluções técnicas para o apagamento dos dados. As discussões prosseguiram e a Deutsche Wohnen anunciou que tencionava instituir um novo sistema em substituição do rejeitado pela autoridade de proteção de dados. |
19. |
Em 5 de março de 2020, a autoridade de proteção de dados realizou uma auditoria na sede do grupo da empresa, durante a qual um total de 16 amostras foram retiradas da base de dados. Simultaneamente, a Deutsche Wohnen informou a autoridade que o sistema de arquivo controvertido já tinha sido desativado e que a migração dos dados para o novo sistema estava iminente. |
20. |
Em 30 de outubro de 2020, a autoridade de proteção de dados aplicou uma sanção à Deutsche Wohnen por:
|
21. |
As coimas aplicadas foram de 14385000 euros pela violação intencional dos artigos 25.o, n.o 1, e 5.o, n.o 1, alíneas a), c) e e), do RGPD, e de montantes entre 3000 e 17000 euros, pelas 15 violações do artigo 6.o, n.o 1, do RGPD. |
22. |
A Deutsche Wohnen recorreu das sanções no Landgericht Berlin (Tribunal Regional de Berlim, Alemanha), órgão jurisdicional que decidiu em seu favor. |
23. |
O Staatsanwaltschaft Berlin (Ministério Público em Berlim, Alemanha) recorreu da decisão da primeira instância no Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha), que submete ao Tribunal de Justiça as seguintes questões prejudiciais:
|
III. Tramitação do processo no Tribunal de Justiça
24. |
O pedido de decisão prejudicial foi registado no Tribunal de Justiça em 23 de dezembro de 2021. |
25. |
Apresentaram observações escritas a Deutsche Wohnen, os Governos alemão, estónio e norueguês e a Comissão Europeia. |
26. |
Em 9 de novembro de 2022, em aplicação do artigo 101.o, n.o 1, do Regulamento de Processo, o Tribunal de Justiça convidou o órgão jurisdicional de reenvio a esclarecer:
|
27. |
Os esclarecimentos prestados foram registados no Tribunal de Justiça em 11 de janeiro de 2023. |
28. |
Na audiência, realizada em 17 de janeiro de 2023, compareceram, além de quem tinha apresentado observações escritas, o Governo neerlandês, o Parlamento Europeu e o Conselho da União Europeia. |
IV. Análise
A. Primeira questão prejudicial
1. Observações preliminares
29. |
Em substância, a primeira questão submetida pelo órgão jurisdicional de reenvio consiste em saber se, à luz do direito da União, pode ser aplicada uma sanção a uma pessoa coletiva por infração do RGPD sem que seja necessário imputar previamente essa infração a uma pessoa singular. |
30. |
Todavia, o órgão jurisdicional de reenvio introduziu diversos elementos de complexidade na sua questão:
|
31. |
O órgão jurisdicional de reenvio afirma que a legislação interna só permite a aplicação de coimas às empresas se lhes puderem ser imputadas determinadas contraordenações cometidas (apenas) pelos seus dirigentes com funções de representação ( 5 ). |
32. |
A Deutsche Wohnen e o Governo alemão discordam desta formulação. Na sua opinião, o § 30 da OWiG deve ser interpretado em conjugação com os §§ 9 e 130, ambos da OWiG, com os quais forma um sistema de sanções coerente. Em conformidade com este sistema, podem ser aplicadas sanções administrativas a uma empresa sem que seja necessário um processo contra a pessoa singular que tenha agido por conta dessa pessoa coletiva ( 6 ). |
33. |
Tendo sido instado pelo Tribunal de Justiça a pronunciar‑se sobre a eventual incidência do § 130 da OWiG, o órgão jurisdicional de reenvio respondeu que não é pertinente para a primeira questão prejudicial. Para fundamentar a sua posição, alega que:
|
34. |
Estes esclarecimentos demonstram que a primeira das questões prejudiciais do órgão jurisdicional de reenvio corresponde a uma interpretação do direito nacional que, contrariamente à opinião do Governo alemão, acolhe um regime de responsabilidade das pessoas coletivas cujas características poderiam torná‑lo incompatível com o direito da União. |
35. |
O Tribunal de Justiça tem de respeitar o quadro jurídico nacional conforme este é descrito pelo órgão jurisdicional de reenvio ( 7 ), que é o intérprete autorizado do seu direito interno. As questões relativas à interpretação do direito da União submetidas pelo juiz nacional devem ser apreciadas à luz do quadro regulamentar e factual que o mesmo define sob sua responsabilidade, e cuja exatidão não cabe ao Tribunal de Justiça verificar ( 8 ). |
36. |
Por conseguinte, com base nestas premissas, abordarei a análise da primeira questão prejudicial. |
2. Pessoas coletivas destinatárias da sanção no RGPD
37. |
Segundo o direito da União, não existe nenhuma objeção ao facto de se considerar a Deutsche Wohnen autora da infração e sujeito passivo da sanção aplicada. Essa possibilidade encontra‑se no RGPD, in abstrato, e foi utilizada nesse caso, em concreto:
|
38. |
Quanto à abordagem em abstrato, não são necessárias muitas considerações para confirmar o postulado segundo o qual podem ser impostas sanções diretamente a uma pessoa coletiva enquanto infratora do RGPD. Esse postulado deduz‑se sem dificuldades hermenêuticas da leitura dos artigos 4.o, 58.o e 83.o do RGPD:
|
39. |
Resulta naturalmente do conjunto dessas disposições que o RGPD prevê que as coimas decorrentes da sua infração tenham como eventual destinatário direto uma pessoa coletiva ( 12 ). Essa mesma naturalidade foi assumida pelas autoridades nacionais competentes na matéria, que não hesitaram em punir com coimas, por vezes significativas, as pessoas coletivas que infringiram o RGPD ( 13 ). |
40. |
Quanto à abordagem em concreto, reitero que a autoridade de proteção de dados se dirigiu à Deutsche Wohnen na sua qualidade de responsável pelo tratamento de dados, ordenando‑lhe que apagasse dos seus arquivos determinados dados pessoais dos inquilinos, instrução que essa empresa ignorou durante um determinado período, até que alterou os seus sistemas de armazenamento. |
3. Necessidade de imputação prévia a uma pessoa singular?
41. |
Segundo o órgão jurisdicional de reenvio, o direito interno exige que, para aplicar diretamente sanções a uma empresa por violação do RGPD, seja previamente estabelecida a responsabilidade de uma pessoa singular. Isto resultaria do § 30 da OWiG: só podem ser aplicadas coimas às empresas se lhes puderem ser imputadas determinadas contraordenações cometidas pelos seus dirigentes com funções de representação, sendo que, para isso, o representante deve ter praticado atos violando ilegal e culposamente a norma que prevê a coima ( 14 ). |
42. |
Perante a objeção do Governo alemão, que invoca o § 130 da OWiG para fazer face à interpretação do órgão jurisdicional de reenvio, este pronuncia‑se nos termos que já referi ao transcrever a sua resposta ao Tribunal de Justiça ( 15 ). Em resumo, considera que a proteção dos bens jurídicos conferida por essa disposição é muito restrita comparativamente com o regime de responsabilidade que resultaria dos artigos 101.o e 102.o TFUE |
43. |
Todavia, a regra da declaração prévia de responsabilidade da pessoa singular, invocada pelo órgão jurisdicional de reenvio, não seria aplicável se o artigo 83.o, n.os 4 a 6, do RGPD adotasse, integrando‑o no direito nacional, o «conceito funcional de empresa» característico dos artigos 101.o e 102.o TFUE. |
a) Incidência do conceito utilizado nos artigos 101.o e 102.o TFUE
44. |
O artigo 83.o, n.os 4 a 6, do RGPD tem por objeto o cálculo do montante das sanções relativas às violações do RGPD aí referidas. Em especial, esses três números preveem a eventualidade de a sanção ser aplicada a uma «empresa». |
45. |
Neste contexto, compreende‑se a remissão do considerando 150 do RGPD para o conceito de empresa na aceção dos artigos 101.o e 102.o TFUE. Recordo que, para o Tribunal de Justiça, «o direito da concorrência da União visa as atividades das empresas e […] o conceito de empresa abrange qualquer entidade que exerça uma atividade económica, independentemente do seu estatuto jurídico e do seu modo de financiamento» ( 16 ). |
46. |
Na medida em que o montante máximo das sanções por violação do RGPD é fixado, para as empresas responsáveis pelo tratamento dos dados ou para os subcontratantes, numa percentagem do «volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior», a referência para a determinação desse montante não pode ser conferida pela personalidade jurídica formal de uma sociedade, mas sim pelo conceito de «unidade económica», na aceção acima indicada. |
47. |
Isto porque, nos termos do artigo 83.o, n.o 1, do RGPD, cada coima prevista nos seus n.os 4 a 6 deve ser «efetiva, proporcionada e dissuasiva». Três características que só podem ser associadas a uma coima cujo montante seja determinado em função da capacidade económica real ou material do seu destinatário. Daí a necessidade de utilizar um conceito material ou económico de «empresa», em vez de recorrer a um conceito estritamente formal, para o cálculo da sanção. |
48. |
Por conseguinte, a definição real ou material de «empresa», característica do direito da concorrência ( 17 ), é assumida pelo legislador europeu para a determinação do montante das coimas por violação do RGPD. Mas, insisto, é apenas para este efeito que o RGPD evoca esse conceito. |
49. |
Consequentemente, no presente processo, o conceito de empresa adotado nos artigos 101.o e 102.o TFUE poderia ser relevante para determinar o montante da coima aplicável à Deutsche Wohnen. O facto de se atribuir, ou não, a esta última a qualidade de entidade objeto de sanção (rectius, a autoria da infração), não depende estritamente da aplicação desses dois artigos do TFUE. |
50. |
Isso não impede que, por analogia, os princípios gerais que regulam o regime das sanções do direito da concorrência (que beneficiam de uma interpretação abundante do Tribunal de Justiça) se apliquem mutatis mutandis em matéria de responsabilidade das pessoas coletivas pelas suas infrações no âmbito da proteção de dados pessoais ( 18 ). |
b) Imputação direta a uma pessoa coletiva
51. |
É compatível com o RGPD uma regulamentação nacional que subordine a aplicação de sanções administrativas a pessoas coletivas à ação prévia contra uma pessoa singular? |
52. |
A natureza do RGPD comporta, além do seu alcance geral, a sua obrigatoriedade e a sua aplicabilidade direta em todos os Estados‑Membros, nos termos do artigo 288.o TFUE. Estas características seriam postas em causa se os Estados‑Membros pudessem afastar‑se da configuração definitiva das prescrições impostas pelo legislador da União no RGPD. |
53. |
É verdade que, precisamente devido à singularidade e às características do seu objeto, certas disposições do RGPD conferem aos Estados‑Membros uma determinada margem de manobra para manter ou aprovar regras nacionais para especificar algumas dessas disposições. É o que acontece, nomeadamente:
|
54. |
Na minha opinião, essa margem de apreciação estatal, que foi objeto de discussão na audiência, não pode ser alargada ao ponto de reduzir a imputabilidade de uma pessoa coletiva como, segundo o órgão jurisdicional de reenvio, resultaria do § 30 da OWiG. |
55. |
Tal configuração do regime de responsabilidade das pessoas coletivas permitiria deixar fora do âmbito de aplicação do sistema de sanções do RGPD infrações que, segundo este regulamento, devem ser imputadas a uma pessoa coletiva desde que tenha a qualidade de responsável pelo tratamento ou de subcontratante. Assim aconteceria quando as pessoas singulares que representam, dirigem ou assumem a gestão da pessoa coletiva não tivessem participado nessas infrações. |
56. |
Na medida em que, repito, uma pessoa coletiva pode ser responsável pelo tratamento de dados e, nessa qualidade, autora das violações do RGPD que lhe sejam imputáveis, a aplicação do § 30 da OWiG poderia conduzir a um enfraquecimento ou a uma redução injustificada do âmbito dos comportamentos passíveis de sanção, que não é conforme com a previsão geral do próprio RGPD. |
57. |
Uma pessoa coletiva que possa ser qualificada de responsável pelo tratamento de dados pessoais ou de subcontratante deve sofrer as consequências, em termos de sanções, das violações do RGPD cometidas não apenas pelos seus representantes, diretores ou gerentes, mas também pelas pessoas singulares (trabalhadores em sentido amplo) que atuam no âmbito próprio da sua atividade empresarial e sob a supervisão dos primeiros. |
58. |
Na realidade, essas pessoas singulares conformam e definem a vontade da pessoa coletiva, materializando‑a através de atos específicos e concretos. Atos específicos que, enquanto manifestação in concreto dessa vontade, são imputáveis, em última instância, à própria pessoa coletiva. |
59. |
Em suma, trata‑se de pessoas singulares que, sem serem propriamente representantes de uma pessoa coletiva, atuam sob a autoridade daqueles que, representando esta última, incorreram na falta de vigilância ou de controlo sobre as primeiras. Em última análise, a imputação acaba por conduzir à própria pessoa coletiva, na medida em que a infração do trabalhador que atua sob a autoridade dos seus órgãos de direção constitui uma falha do sistema de controlo e de vigilância, cuja responsabilidade lhes incumbe de forma direta. |
60. |
O que precede corresponde à leitura que o órgão jurisdicional de reenvio faz do seu direito interno. Ora, o Governo alemão considera que a aplicação conjugada dos §§ 9, 30 e 130 da OWiG configura um sistema em que podem ser aplicadas sanções por infrações imputadas a pessoas coletivas, cometidas por pessoas singulares sem funções de direção ou de representação dessas pessoas coletivas, sem que seja necessário identificá‑las ( 21 ). |
61. |
Como já referi, é ao órgão jurisdicional de reenvio que compete interpretar as disposições do seu direito nacional. A resposta à questão de saber se, em conformidade com a jurisprudência nacional e com a doutrina invocadas pelo Governo alemão ( 22 ), essas disposições admitem uma interpretação do direito interno conforme com as exigências do direito da União, tem de ser dada pelos seus órgãos jurisdicionais. |
62. |
Se essa interpretação fosse contra legem e fosse impossível, devido à estrutura específica do seu sistema nacional de sanções, conferir aplicação plena às regras do RGPD na matéria, o órgão jurisdicional de reenvio teria de afastar a aplicação da norma nacional incompatível com o direito da União, a fim de assegurar o primado do RGPD. |
B. Segunda questão prejudicial
63. |
O órgão jurisdicional de reenvio pretende saber se, em conformidade com o artigo 83.o, n.os 4 a 6, do RGPD, «a empresa deve ter atuado culposamente quando foi cometida a infração por um dos seus trabalhadores […], ou é em princípio suficiente, para efeitos de aplicação de uma sanção à empresa, que lhe possa ser imputada uma infração objetiva das obrigações (“strict liability”)» ( 23 ). |
64. |
A questão assim formulada é de natureza hipotética, o que a torna inadmissível por duas razões. |
65. |
Em primeiro lugar, segundo o despacho de reenvio, a sanção aplicada à Deutsche Wohnen foi aplicada devido a uma conduta dolosa (deliberada) e não relativamente à simples «infração objetiva» do RGPD. A exposição dos factos acima transcritos demonstra que, de forma consciente e deliberada, essa empresa não cumpriu a ordem da autoridade de proteção de dados e prosseguiu o tratamento dos dados censurado. Para essa qualificação, é irrelevante que tenha alegado um conjunto de dificuldades técnicas e jurídicas no âmbito da alteração dos seus sistemas de tratamento de dados. |
66. |
Em segundo lugar, convidado pelo Tribunal de Justiça a clarificar a sua questão, o órgão jurisdicional de reenvio indicou que o tribunal de primeira instância não se encontra vinculado pelas conclusões da decisão sancionatória e que, no futuro, esse tribunal poderia pronunciar‑se sobre os fundamentos do recurso contra a sanção. Se ficar convencido da ocorrência da infração, será necessário determinar que tipo de violação teve lugar, o que dependerá da resposta a esta segunda questão prejudicial. |
67. |
Com base neste esclarecimento, a segunda questão prejudicial volta a revelar a sua natureza hipotética: a decisão sobre a qualificação da conduta não é indispensável para a solução do litígio no órgão jurisdicional de reenvio mas sim, se for caso disso, após a devolução do processo ao tribunal de primeira instância, para que este se pronuncie no futuro. |
68. |
Em todo o caso, e se o Tribunal de Justiça decidir apreciar o mérito, considero que a resposta a esta questão não depende da interpretação dos n.os 4 a 6 do artigo 83.o do RGPD, que têm por objeto a quantificação das coimas. |
69. |
O órgão jurisdicional de reenvio distingue entre: a) a infração cometida por um trabalhador de uma pessoa coletiva e b) a existência de intencionalidade ou de negligência, por parte da pessoa coletiva, nessa infração. |
70. |
Na minha opinião, a «infração cometida por um trabalhador» é, na realidade, e pelas razões expostas no âmbito da primeira questão, uma infração cometida pela pessoa coletiva sob a autoridade da qual esse trabalhador atuou. |
71. |
Por conseguinte, corretamente formulada, a questão diz respeito à possibilidade de uma pessoa coletiva poder ser objeto de uma sanção pela infração objetiva (sem culpa) das obrigações que lhe incumbem enquanto responsável pelo tratamento de dados ou subcontratante. |
72. |
Para responder a esta questão, pode ser útil fazer referência à jurisprudência do Tribunal Europeu dos Direitos do Homem (TEDH) relativa ao princípio da legalidade em matéria penal, garantido pelo artigo 7.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais (CEDH). |
73. |
Embora a CEDH não constitua, na falta de adesão da União a esta, um instrumento jurídico formalmente integrado na sua ordem jurídica, do direito da União fazem parte, enquanto princípios gerais, os direitos fundamentais reconhecidos nessa convenção (artigo 6.o, n.o 3, TUE). |
74. |
Segundo o Tribunal de Justiça, «o artigo 52.o, n.o 3, da Carta, que dispõe que os direitos nela contidos que correspondam aos direitos garantidos pela CEDH têm o mesmo sentido e o mesmo alcance que os que lhes são conferidos pela referida convenção, visa garantir a coerência necessária entre estes direitos respetivos, sem que tal atente contra a autonomia do direito da União e do Tribunal de Justiça» ( 24 ). |
75. |
Ora, da jurisprudência do TEDH no âmbito da interpretação do artigo 7.o da CEDH constam matizes não inteiramente coincidentes:
|
76. |
Na realidade, a importação das categorias dogmáticas do direito penal (nulla poena sine culpa) para a sua aplicação ao direito administrativo sancionatório suscita dificuldades hermenêuticas significativas. No conceito de culpa (na sua modalidade de negligência) podem incluir‑se situações de simples inobservância de uma disposição legal, quando o seu autor tinha o dever de saber que conduta lhe era exigível. |
77. |
Sob este ponto de vista, as diversas modalidades de culpa, incluindo as de menor gravidade, e os diferentes tipos de imputação (culpa in vigilando ou culpa in eligendo, por exemplo) poderiam considerar‑se comportamentos que, sob outra perspetiva, algum tribunal qualificaria como situações de responsabilidade objetiva. Por conseguinte, as fronteiras entre as categorias não são tão nítidas no âmbito do direito administrativo sancionatório como parece resultar do despacho de reenvio. |
78. |
É certo que, no que respeita ao direito da União, o Tribunal de Justiça admitiu, em determinadas situações, um regime que qualifica de responsabilidade objetiva no quadro sancionatório. Fê‑lo, por exemplo, no Acórdão de 22 de março de 2017, Euro‑Team e Spirál‑Gép, nos seguintes termos:
|
79. |
Todavia, essa jurisprudência foi estabelecida em setores diferentes do da proteção de dados, a respeito da infração de obrigações de fazer com conotações preferencialmente formais: estavam em causa sanções aplicadas pela utilização de um troço de autoestrada sem pagar a respetiva portagem ( 29 ), ou pelo não cumprimento das disposições relativas à utilização da folha de registo de um aparelho de controlo de um veículo pesado ( 30 ). |
80. |
No que respeita às obrigações previstas pelo RGPD, entre as quais figuram as que condicionam o tratamento dos dados (artigo 5.o do RGPD) e a sua licitude (artigo 6.o do RGPD), a apreciação da questão de saber se foram respeitadas implica um processo complexo de ponderação e de julgamento, além da simples declaração de uma infração formal. |
81. |
Em todo o caso, entendo que o artigo 83.o do RGPD corrobora a exclusão de um regime de responsabilidade objetiva (sem culpa) em matéria de sanções, ou seja, exige a presença de intencionalidade ou de negligência no comportamento objeto de sanção. Na minha opinião, isto resulta de alguns dos seus números:
|
82. |
A tese que acabo de expor poderia não ser viável se, como defendem alguns dos governos intervenientes, a inexistência de previsões explícitas sobre este aspeto no RGPD implicasse que fosse concedida aos Estados‑Membros a possibilidade de optar por um sistema de responsabilidade subjetiva (intencionalidade ou negligência) ou por um sistema que inclua igualmente a responsabilidade objetiva. |
83. |
Reconheço que a posição desses governos assenta em alguns argumentos: uma vez que o artigo 83.o, n.o 2, do RGPD faz referência à intencionalidade ou à negligência enquanto fatores de fixação do montante da coima, e não enquanto elementos incontornáveis (essenciais) do próprio comportamento infrator, esta disposição permitiria aos Estados‑Membros estabelecerem livremente esses elementos essenciais da infração. |
84. |
Todavia, à semelhança da Comissão, considero que a leitura correta do sistema de sanções instituído pelo RGPD, cuja vocação de aplicabilidade direta é inegável, milita a favor de uma solução unitária e coerente ( 33 ) para todos os Estados‑Membros e não a favor da possibilidade de cada um deles decidir se as infrações passíveis de sanções devem ou não ser alargadas às que não têm caráter intencional ou negligente. |
85. |
Na minha opinião, a pertinência da solução unitária (e a inviabilidade da solução divisiva) é corroborada pelos considerandos do RGPD referidos pelo órgão jurisdicional de reenvio no seu pedido de decisão prejudicial, nos quais é reiterada a necessidade de punir as infrações com sanções equivalentes ( 34 ). A equivalência não ocorreria se cada Estado‑Membro pudesse tipificar infrações de natureza diversa, abrangendo as que consistam em simples infrações objetivas sem um elemento intencional ou negligente. |
V. Conclusão
86. |
Atendendo ao exposto, proponho que o Tribunal de Justiça responda ao Kammergericht Berlin (Tribunal Regional Superior de Berlim, Alemanha) nos seguintes termos: «O artigo 58.o, n.o 2, alínea i), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), em conjugação com os artigos 4.o, ponto 7, e 83.o do mesmo regulamento, deve ser interpretado no sentido de que a aplicação de uma coima a uma pessoa coletiva responsável pelo tratamento de dados pessoais não está subordinada à determinação prévia da existência de uma infração cometida por uma ou várias pessoas singulares e concretas ao serviço dessa pessoa coletiva. As coimas que podem ser aplicadas em conformidade com o Regulamento 2016/679 exigem a presença do caráter intencional ou negligente na conduta constitutiva da infração objeto de sanção.» |
( 1 ) Língua original: espanhol.
( 2 ) Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1). A seguir «RGPD».
( 3 ) Lei de 24 de maio de 1968 (BGBl. I 481; III 454‑1), na versão de 19 de fevereiro de 1987 (BGBl. I, p. 602), conforme alterada pela Lei de 19 de junho de 2020 (BGBl. I, p. 1328). A seguir «OWiG».
( 4 ) Regulamento do Conselho, de 16 de dezembro de 2002, relativo à execução das regras de concorrência estabelecidas nos artigos 81.o e 82.o do Tratado (JO 2003, L 1, p. 1).
( 5 ) Fundamento II, n.o 1, do despacho de reenvio. V. n.os 41 e segs. das presentes conclusões.
( 6 ) N.o 45 das observações da Deutsche Wohnen e n.os 24 e 25 das observações do Governo alemão.
( 7 ) No âmbito de um processo nos termos do artigo 267.o TFUE, fundado numa nítida separação de funções entre os tribunais nacionais e o Tribunal de Justiça, o juiz nacional é o único competente para verificar e apreciar os factos do litígio no processo principal, e para interpretar e aplicar o direito nacional. Acórdão de 26 de abril de 2017, Farkas (C‑564/15, EU:C:2017:302, n.o 37).
( 8 ) O Tribunal de Justiça só pode recusar pronunciar‑se sobre um pedido de decisão prejudicial quando for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas [de forma genérica, Acórdão de 27 de setembro de 2017, Puškár (C‑73/16, EU:C:2017:725, n.o 50)]. Nenhuma destas situações se verifica no presente processo.
( 9 ) Apesar das hesitações da Deutsche Wohnen em admitir essa qualidade na audiência pública, a verdade é que o seu perfil corresponde à definição de «responsável pelo tratamento» enunciada no artigo 4.o do RGPD. Tal é o caso, independentemente da responsabilidade que de facto lhe corresponda pelas infrações que lhe são imputadas enquanto «responsável» pelo tratamento.
( 10 ) Aspeto distinto consiste no facto de, para determinar o montante da sanção correspondente, ser necessário ter em conta, sendo caso disso, a eventual integração da Deutsche Wohnen e das suas filiais numa unidade económica superior. Apesar das aparências, em rigor, os problemas clássicos de atribuição de responsabilidade entre sociedades‑mãe e filiais ou grupos de sociedades não se colocam no presente reenvio.
( 11 ) O artigo 4.o, ponto 7, do RGPD define como «responsável pelo tratamento», no que aqui interessa, a «pessoa […] coletiva […] que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais»; no seu ponto 8 caracteriza o «subcontratante» como «uma pessoa […] coletiva […] que trate os dados pessoais por conta do responsável pelo tratamento destes».
( 12 ) Que beneficia igualmente, como é natural, do direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhe digam respeito (artigo 78.o, n.o 1, do RGPD) e, por conseguinte, também contra qualquer coima suscetível de lhe ser aplicada.
( 13 ) A título de exemplo, a autoridade irlandesa de proteção de dados aplicou, em 31 de dezembro de 2022, coimas de 210 milhões de euros à Facebook e de 180 milhões de euros à Instagram.
( 14 ) Fundamento II, n.o 1, do despacho de reenvio.
( 15 ) V. n.o 32 das presentes conclusões.
( 16 ) Acórdão de 27 de abril de 2017, Akzo Nobel e o./Comissão (C‑516/15 P, EU:C:2017:314, n.o 47).
( 17 ) De forma genérica, Acórdão de 10 de abril de 2014, Areva e o./Comissão (C‑247/11 P e C‑253/11 P, EU:C:2014:257, n.o 123).
( 18 ) Como já referi, os problemas relativos à relação entre as sociedades‑mães e as filiais, para efeitos de aplicação de sanções, permanecem fora do âmbito do presente processo prejudicial. No reenvio prejudicial também não foram colocadas questões relativas ao ónus da prova dos factos imputados.
( 19 ) Considerando 10 do RGPD.
( 20 ) Loc. ult. cit.
( 21 ) N.o 25 das observações do Governo alemão. Quanto a esta tese, o órgão jurisdicional de reenvio entende, nos termos reproduzidos supra, que, mesmo em conjugação com os §§ 9 e 30 da OWiG, a proteção de bens jurídicos conferida pelo direito interno seria muito restrita em comparação com o regime de responsabilidade resultante dos artigos 101.o e 102.o TFUE.
( 22 ) N.o 25 das observações do Governo alemão, notas 16 a 18.
( 23 ) O sintagma strict liability corresponde, na tradução inglesa habitual dos acórdãos do Tribunal de Justiça, às expressões responsabilidad objetiva (versão espanhola); responsabilité objective (versão francesa); responsabilità oggettiva (versão italiana); responsabilidade objetiva (versão portuguesa); objektiven Verantwortlichkeit (versão alemã) e objectieve aansprakelijkheid (versão neerlandesa).
( 24 ) De forma genérica, Acórdão de 2 de fevereiro de 2021, Consob (C‑481/19, EU:C:2021:84, n.o 36).
( 25 ) Acórdão do TEDH de 20 de janeiro de 2009, Sud Fondi e o. c. Itália (CE:ECHR:2009:0120JUD007590901, § 116).
( 26 ) CE:ECHR:1988:1007JUD001051983.
( 27 ) Acórdão do TEDH de 7 de outubro de 1988, Salabiaku c. França, §§ 27 e 28.
( 28 ) Acórdão de 22 de março de 2017, Euro‑Team e Spirál‑Gép (C‑497/15 e C‑498/15, EU:C:2017:229, n.os 53 e 54), com referência ao Acórdão de 9 de fevereiro de 2012, Urbán (C‑210/10, EU:C:2012:64, n.os 47 e 48) respetivamente.
( 29 ) Acórdão de 22 de março de 2017, Euro‑Team e Spirál‑Gép (C‑497/15 e C‑498/15, EU:C:2017:229).
( 30 ) Acórdão de 9 de fevereiro de 2012, Urbán (C‑210/10, EU:C:2012:64).
( 31 ) V., todavia, n.os 82 e 83 das presentes conclusões.
( 32 ) Assim, por exemplo, a alínea a) refere‑se ao objetivo do tratamento de dados. A alínea c), a iniciativas tomadas para atenuar danos. A alínea d), ao grau de responsabilidade em função das medidas implementadas. A alínea f), ao grau de cooperação com a autoridade de controlo.
( 33 ) O considerando 150 do RGPD refere‑se à aplicação coerente das coimas pelos Estados‑Membros. Em contrapartida, a estes últimos é permitido determinar «se as autoridades públicas deverão estar sujeitas a coimas, e em que medida». Isto não prejudica as previsões específicas para a Dinamarca e para a Estónia a que é feita referência no considerando 151 e as situações constantes do considerando 152.
( 34 ) O considerando 10 do RGPD propugna a «aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais» (o sublinhado é meu). O considerando 11 refere‑se a sanções equivalentes para as infrações, expressão textual repetida no considerando 13.