This document is an excerpt from the EUR-Lex website
Document 62022CC0033
Opinion of Advocate General Szpunar delivered on 11 May 2023.#Österreichische Datenschutzbehörde v WK.#Request for a preliminary ruling from the Verwaltungsgerichtshof.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Article 16 TFEU – Regulation (EU) 2016/679 – Article 2(2)(a) – Scope – Exclusions – Activities which fall outside the scope of Union law – Article 4(2) TEU – Activities concerning national security – Committee of inquiry set up by the parliament of a Member State – Article 23(1)(a) and (h), Articles 51 and 55 of Regulation (EU) 2016/679 – Competence of the supervisory authority responsible for data protection – Article 77 – Right to lodge a complaint with a supervisory authority – Direct effect.#Case C-33/22.
Conclusões do advogado-geral M. Szpunar apresentadas em 11 de maio de 2023.
Österreichische Datenschutzbehörde contra WK.
Pedido de decisão prejudicial apresentado pelo Verwaltungsgerichtshof.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Artigo 16.° TFUE — Regulamento (UE) 2016/679 — Artigo 2.°, n.° 2, alínea a) — Âmbito de aplicação — Exclusões — Atividades não sujeitas à aplicação do direito da União — Artigo 4.°, n.° 2, do TUE — Atividades que se prendem com a segurança nacional — Comissão de inquérito instituída pelo Parlamento de um Estado‑Membro — Artigo 23.°, n.° 1, alíneas a) e h), artigos 51.° e 55.° do Regulamento (UE) 2016/679 — Competência da autoridade de controlo responsável pela proteção de dados — Artigo 77.° — Direito de apresentar reclamação a uma autoridade de controlo — Efeito direto.
Processo C-33/22.
Conclusões do advogado-geral M. Szpunar apresentadas em 11 de maio de 2023.
Österreichische Datenschutzbehörde contra WK.
Pedido de decisão prejudicial apresentado pelo Verwaltungsgerichtshof.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Artigo 16.° TFUE — Regulamento (UE) 2016/679 — Artigo 2.°, n.° 2, alínea a) — Âmbito de aplicação — Exclusões — Atividades não sujeitas à aplicação do direito da União — Artigo 4.°, n.° 2, do TUE — Atividades que se prendem com a segurança nacional — Comissão de inquérito instituída pelo Parlamento de um Estado‑Membro — Artigo 23.°, n.° 1, alíneas a) e h), artigos 51.° e 55.° do Regulamento (UE) 2016/679 — Competência da autoridade de controlo responsável pela proteção de dados — Artigo 77.° — Direito de apresentar reclamação a uma autoridade de controlo — Efeito direto.
Processo C-33/22.
ECLI identifier: ECLI:EU:C:2023:397
MACIEJ SZPUNAR
apresentadas em 11 de maio de 2023 ( 1 )
Processo C‑33/22
Österreichische Datenschutzbehörde
sendo intervenientes:
WK,
Präsident des Nationalrates
[pedido de decisão prejudicial apresentado pelo Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria)]
«Reenvio prejudicial — Proteção de dados pessoais — Artigo 16.o, n.o 2, TFUE — Atividades relativas à aplicação do direito da União — Regulamento Geral sobre a Proteção de Dados Pessoais — Atividades relativas à segurança nacional — Comissão de inquérito do Parlamento de um Estado‑Membro — Fiscalização da atividade de uma autoridade policial — Competências da autoridade de controlo de proteção de dados — Artigo 55.o, n.o 1 — Artigo 77.o, n.o 1 — Efeito direto»
Introdução
1. |
Os trabalhos de uma comissão de inquérito do Parlamento de um Estado‑Membro são abrangidos pelo âmbito de aplicação do Regulamento (UE) 2016/679 ( 2 ), incluindo quando o inquérito incide sobre questões relacionadas com a segurança nacional? Na afirmativa, podem as disposições do RGPD relativas ao direito de reclamação a uma autoridade nacional de controlo ser diretamente aplicadas, a despeito de um princípio constitucional que se opõe à ingerência externa na atividade do Parlamento? Estas são, em substância, as questões suscitadas no presente processo pelo Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria). |
2. |
Em conformidade com a jurisprudência do Tribunal de Justiça, proporei que se responda a estas questões pela afirmativa. A meu ver, tal solução responde não só às intenções do legislador da União — que erigiu o RGPD como verdadeira lex generalis em matéria de proteção de dados pessoais — mas também aos motivos subjacentes ao disposto no artigo 16.o TFUE, cujo âmbito de aplicação se estende às atividades de fiscalização dos Estados‑Membros, como as que estão em causa no processo principal. |
3. |
No caso em apreço, um agente da Polícia Criminal, WK (a seguir «interessado»), foi ouvido por uma comissão de inquérito do Parlamento austríaco sobre as buscas efetuadas, designadamente, nas instalações do Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Serviço Federal para a Proteção da Constituição e Luta contra o Terrorismo, Áustria, a seguir «BVT»). O auto da audição foi depois publicado no sítio Internet do Parlamento, revelando o apelido e nome próprio do interessado, com a justificação de que a imprensa já tinha divulgado a sua identidade. |
4. |
Considerando que o seu direito à confidencialidade dos dados pessoais não tinha sido respeitado, o interessado apresentou no Österreichische Datenschutzbehörde (Autoridade Nacional de Proteção de Dados, Áustria, a seguir «Datenschutzbehörde») uma reclamação ao abrigo do artigo 77.o, n.o 1, do RGPD, que não foi, porém, objeto de apreciação quanto ao mérito. Atendendo ao princípio da separação de poderes consagrado no direito austríaco, o Datenschutzbehörde declinou a sua competência, considerando que, no caso em apreço, o seu poder de fiscalização colidia com a independência constitucional dos órgãos do Parlamento. |
5. |
Foi nestas circunstâncias que o interessado interpôs o recurso cujo êxito depende das respostas às questões prejudiciais apresentadas ao Tribunal de Justiça. Estas questões têm por objeto, em substância, o âmbito de aplicação material e o efeito direto das disposições pertinentes do RGPD com o seguinte teor. |
Quadro jurídico
Direito da União
6. |
Os considerandos 16, 20, e 117 do RGPD enunciam:
[…]
[…]
|
7. |
O artigo 2.o do RGPD, sob a epígrafe «Âmbito de aplicação material», dispõe: «1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados. 2. O presente regulamento não se aplica ao tratamento de dados pessoais:
[…]» |
8. |
O artigo 23.o, n.o 1, do RGPD, sob a epígrafe «Limitações», prevê: «1. O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
[…]
[…]» |
9. |
O artigo 51.o, n.o 1, do RGPD, sob a epígrafe «Autoridade de controlo», tem a seguinte redação: «1. Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”).» |
10. |
O artigo 55.o do RGPD, sob a epígrafe «Competência», é assim redigido: «1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro. […] 3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.» |
11. |
O artigo 77.o, n.o 1, do RGPD, sob a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», prevê: «1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, […] se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.» |
Direito austríaco
12. |
O artigo 53.o do Bundes‑Verfassungsgesetz (Lei Constitucional Federal), de 2 de janeiro de 1930 (BGBl. Nr. 1/1930), na versão de 30 de dezembro de 2021 (BGBl. I 235/2021), prevê: «(1) O Nationalrat pode decidir a constituição de comissões de inquérito. Além disso, é criada uma comissão de inquérito a pedido de um quarto dos seus membros. (2) O inquérito incide sobre uma atividade passada num domínio do poder executivo a nível federal. Estão incluídas todas as atividades dos órgãos federais por intermédio dos quais o Bund, independentemente da importância da sua participação, exerce direitos de participação e de supervisão. Está excluída uma reapreciação da jurisprudência. (3) Todos os órgãos do Bund, dos Länder, dos municípios e das associações de municípios, bem como dos outros órgãos autónomos, devem, a pedido, apresentar os seus dossiês e os seus documentos a uma comissão de inquérito na medida em que estes estejam abrangidos pelo objeto do inquérito e devem satisfazer os requerimentos de uma comissão de inquérito tendo em vista a recolha de elementos de prova relacionados com o objeto do inquérito. […] […]» |
13. |
Nos termos do § 18.o, n.o 1, do Datenschutzgesetz (Lei da Proteção de Dados Pessoais), de 17 de agosto de 1999 (BGBl. I 165/1999), na versão de 26 de julho de 2021 (BGBl. I 148/2021, a seguir «DSG»), sob a epígrafe «Organização»: «(1) O Datenschutzbehörde é instituído enquanto autoridade nacional de controlo nos termos do artigo 51.o do [RGPD].» |
14. |
O artigo 24.o do DSG, sob a epígrafe «Reclamação ao Datenschutzbehörde», tem a seguinte redação: «(1) Todo o interessado tem direito a apresentar reclamação ao Datenschutzbehörde se considerar que o tratamento dos dados pessoais que lhe diz respeito viola o RGPD […]» |
15. |
O artigo 35.o, do DSG sob a epígrafe «Poderes específicos da autoridade de controlo da proteção de dados» prevê no seu n.o 1: «O Datenschutzbehörde tem a função de garantir a proteção dos dados em conformidade com as disposições do RGPD e da presente lei federal.» |
Factos na origem do litígio, processo principal e questões prejudiciais
Antecedentes do litígio
16. |
Em 20 de abril de 2018, a Câmara Baixa do Parlamento austríaco criou uma comissão de inquérito encarregada de examinar as influências que teriam sido exercidas sobre o BVT no intuito de instrumentalizar as suas atividades. As afirmações feitas pelos deputados na origem do pedido de inquérito eram referentes, em especial, a casos de abuso de autoridade imputados aos agentes do BVT, a rumores relativos a uma escuta instalada nos escritórios da Chancelaria Federal, à alegada instrumentalização das investigações dirigidas a determinados movimentos extremistas, bem como a nomeações por motivos políticos, ocorridas no BVT e em gabinetes ministeriais. |
17. |
Em 19 de setembro de 2018, o interessado foi ouvido pela comissão de inquérito na qualidade de testemunha. Agente de uma brigada da polícia federal responsável pela luta contra a criminalidade, foi interrogado sobre as buscas e as apreensões de dados realizadas pela sua unidade nos escritórios do BVT e no domicílio dos seus funcionários. |
18. |
Apesar da prática adotada em relação a algumas outras testemunhas, e não obstante o pedido de anonimização apresentado pelo interessado, a comissão de inquérito revelou a sua identidade ao publicar a versão integral do auto de audição no sítio Internet do Parlamento austríaco. |
Tramitação processual no processo principal
19. |
A reclamação apresentada pelo interessado ao Datenschutzbehörde, ao abrigo do artigo 77.o, n.o 1, do RGPD, foi indeferida por falta de competência. Na sua Decisão de 18 de setembro de 2019, esta autoridade alegou que o princípio da separação de poderes se opunha a que se imiscuísse nos trabalhos de um órgão do Parlamento. |
20. |
O recurso interposto pelo interessado da Decisão de 18 de setembro de 2019 foi julgado procedente pelo Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria) por Sentença de 23 de novembro de 2020. Esse tribunal anulou a decisão do Datenschutzbehörde, com o fundamento de que as disposições do RGPD não previam exceções suscetíveis de limitar o seu âmbito de aplicação no que respeita aos órgãos do poder legislativo. |
21. |
O Datenschutzbehörde interpôs recurso de Revisão dessa sentença no Verwaltungsgerichtshof (Supremo Tribunal Administrativo), que questiona se as disposições do RGPD podem ser aplicadas no processo principal. |
Questões prejudiciais
22. |
Em primeiro lugar — e independentemente do objeto do inquérito no processo principal — o órgão jurisdicional de reenvio questiona se as atividades de uma comissão parlamentar de inquérito são «relativas à aplicação do direito da União» na aceção do artigo 16.o, n.o 2, TFUE. Esta disposição determina a competência do Parlamento Europeu e do Conselho para adotar as normas relativas ao tratamento de dados pessoais efetuado pelos Estados‑Membros. |
23. |
A este respeito, na medida em que as competências da União permanecem limitadas pelo princípio da atribuição, o órgão jurisdicional de reenvio questiona se o RGPD se destina a ser aplicado às atividades de um órgão parlamentar investido de uma missão de fiscalização política, que não lhe parecem ser reguladas por qualquer disposição específica do direito da União. |
24. |
Preocupado em preservar a identidade nacional e as funções essenciais dos Estados‑Membros, em conformidade com o artigo 4.o, n.o 2, TUE, o órgão jurisdicional de reenvio salienta, além disso, que a ingerência de um órgão administrativo, como o Datenschutzbehörde, nos trabalhos do Parlamento, viola o princípio da separação de poderes consagrado na Constituição austríaca. |
25. |
À luz do Acórdão Land Hessen ( 3 ), no qual o Tribunal de Justiça confirmou que as disposições do RGPD se aplicam aos trabalhos da Comissão das Petições do Parlamento do Land do Hesse, o órgão jurisdicional de reenvio questiona, por último, se as funções que incumbem a esta última comissão, cuja contribuição para os trabalhos parlamentares é apenas indireta, não devem ser distinguidas das que são atribuídas às comissões de inquérito. Segundo ele, estas encontram‑se no centro da atividade do Parlamento e podem, a este título, estar fora do âmbito de aplicação do direito da União. |
26. |
Em segundo lugar, na hipótese de o Tribunal de Justiça declarar que as disposições do RGPD se destinam a regular as atividades das comissões de inquérito, o órgão jurisdicional de reenvio questiona, todavia, se a comissão em causa no processo principal não deve ser excluída, na medida em que o objeto dos seus trabalhos apresenta ligações com assuntos de segurança nacional. |
27. |
Quanto a este ponto, o órgão jurisdicional de reenvio recorda que, nos termos do considerando 16 do RGPD, as «atividades como as que se prendem com a segurança nacional» não estão abrangidas pela aplicação deste regulamento. Em seu entender, pode ser o caso do inquérito que tem por objeto as pressões políticas exercidas sobre o BVT, órgão federal responsável pela preservação das funções essenciais do Estado. |
28. |
Em terceiro lugar, na eventualidade de o Tribunal de Justiça concluir que as disposições do RGPD são, apesar de tudo, aplicáveis no caso em apreço, o órgão jurisdicional de reenvio interroga‑se sobre a aplicação direta deste regulamento. |
29. |
Com efeito, na falta de uma derrogação adequada de ordem constitucional, a competência do Datenschutzbehörde continua limitada pelo princípio da separação de poderes que prevalece no direito austríaco. Por conseguinte, o órgão jurisdicional de reenvio questiona se a competência dessa autoridade em relação aos órgãos do Parlamento austríaco pode decorrer diretamente das disposições conjugadas do artigo 77.o, n.o 1, e do artigo 55.o, n.o 1, do RGPD, quando o legislador nacional instituiu apenas uma autoridade de controlo ao abrigo do artigo 51.o, n.o 1, do referido regulamento. |
30. |
Foi neste contexto que o Verwaltungsgerichtshof (Supremo Tribunal Administrativo) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
Em caso de resposta afirmativa à primeira questão:
Em caso de resposta negativa à segunda questão:
|
31. |
Foram apresentadas observações escritas pelo interessado, pelo Präsident des Nationalrates (Presidente da Assembleia Nacional, Áustria), pelo Datenschutzbehörde, pelos Governos austríaco e checo, bem como pela Comissão Europeia. As mesmas partes estiveram representadas na audiência realizada em 6 de março de 2023. |
Apreciação
Quanto à primeira questão prejudicial
32. |
Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta se os trabalhos de uma comissão de inquérito instituída por um Parlamento de um Estado‑Membro no exercício do seu direito de fiscalização do poder executivo são relativos à aplicação do direito da União, na aceção do artigo 16.o, n.o 2, primeiro período, TFUE. |
33. |
A resposta a esta questão depende, por um lado, da interpretação que deve ser dada ao conceito de «atividades relativas à aplicação do direito da União», referido no artigo 16.o, n.o 2, primeiro período, TFUE. Formulado de forma negativa, este conceito consta igualmente do artigo 2.o, n.o 2, alínea a), do RGPD, que exclui da aplicação deste regulamento as «atividades não sujeitas à aplicação do direito da União». Estas duas disposições delimitam, respetivamente, a competência dos órgãos da União para adotar as regras relativas à proteção dos dados pessoais e o âmbito de aplicação material do RGPD. |
34. |
Por outro lado, a resposta à primeira questão prejudicial depende da qualificação a dar às atividades das comissões parlamentares de inquérito à luz das disposições acima referidas do Tratado FUE e do RGPD. |
Quanto ao conceito de «atividades relativas à aplicação do direito da União»
35. |
Como me esforcei por mostrar noutro processo ( 4 ), este conceito não está isento de ambiguidade, na medida em que se presta a duas leituras diferentes. Tendo em conta as controvérsias que a sua interpretação suscita no presente processo e apesar de jurisprudência assente do Tribunal de Justiça ( 5 ), parece‑me necessário expor de forma exaustiva as razões que presidiram aos desenvolvimentos jurisprudenciais nesta matéria. |
– Interpretação especificadora
36. |
A primeira das interpretações possíveis de «aplicação do direito da União» pode ser qualificada de especificadora, no sentido de que leva a perguntar se uma determinada atividade está enquadrada por uma disposição específica do direito da União. |
37. |
Em substância, esta interpretação corresponde ao conceito de «aplicação do direito da União», que delimita o âmbito de aplicação da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»). Num contexto alheio ao da proteção dos dados pessoais, este conceito é equiparado na jurisprudência do Tribunal de Justiça ao «âmbito de aplicação do direito da União» ( 6 ). |
38. |
É nesta interpretação que o órgão jurisdicional de reenvio se baseia no seu pedido de decisão prejudicial, salientando que as atividades das comissões parlamentares de inquérito são exclusivamente reguladas pelo direito nacional, o que suscita as suas dúvidas de que o RGPD se destine a ser aplicado no processo principal. |
39. |
Foi também nesta interpretação que se baseou o advogado‑geral A. Tizzano nas suas conclusões nos processos apensos Österreichischer Rundfunk e o. ( 7 ) e no processo Lindqvist ( 8 ), na vigência da Diretiva 95/46/CE ( 9 ), que não foram seguidas pelo Tribunal de Justiça. |
40. |
Importa recordar que a Diretiva 95/46 tinha sido adotada com fundamento no antigo artigo 100.o do Tratado CE, posteriormente artigo 95.o CE e atual artigo 114.o TFUE, no âmbito das medidas que tinham por objeto o estabelecimento e funcionamento do mercado interno. Destinada a assegurar a livre circulação e o nível de proteção equivalente dos dados pessoais na União, esta diretiva não se aplica, nos termos do seu artigo 3.o, n.o 2, às atividades «não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado […] e as atividades do Estado no domínio do direito penal», bem como ao tratamento de dados efetuado «por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas». |
41. |
À luz destas disposições o advogado‑geral A. Tizzano concluiu que a Diretiva 95/46 não podia ter aplicação nos processos apensos Österreichischer Rundfunk e o. ( 10 ) Assim, entendeu, no que respeita ao tratamento de dados relativos às remunerações pagas por entidade públicas, destinados a constar de um relatório entregue ao Parlamento pelo Tribunal de Contas austríaco, que este último exercia, nesse caso, uma «atividade pública de auditoria, prevista e regulada pelas autoridades austríacas (através de uma lei constitucional) com base numa opção político‑[institucional] por elas feita autonomamente, e não para dar execução a uma obrigação comunitária. Não sendo objeto de uma disciplina comunitária específica, tal atividade não pode deixar de ser da competência dos Estados‑Membros» ( 11 ). |
42. |
Seguindo a mesma interpretação no processo Lindqvist, o advogado‑geral A. Tizzano considerou que a página Internet criada por B. Lindqvist no âmbito da sua atividade benévola de catequista era uma «atividade de caráter não económico, que não apresenta qualquer nexo (ou, pelo menos, qualquer nexo direto) com o exercício das liberdades fundamentais garantidas pelo Tratado e que não é objeto de qualquer regulamentação específica a nível comunitário» ( 12 ). Segundo o advogado‑geral, essa atividade exorbitava, deste modo, do âmbito de aplicação do direito comunitário, na aceção do artigo 3.o, n.o 2, da Diretiva 95/46. |
43. |
Estas conclusões não foram seguidas pelo Tribunal de Justiça, por razões que podemos associar à vontade de preservar a segurança jurídica e à necessidade de assegurar o efeito útil da Diretiva 95/46. |
44. |
Com efeito, atendendo à especificidade dos dados pessoais, cuja circulação e exploração económica são facilitadas pela sua digitalização, é muito difícil determinar, na prática, caso a caso, se o seu tratamento apresenta um nexo com disposições particulares do direito da União ou com as liberdades que regem o mercado interno, como exige a interpretação especificadora. |
45. |
Para retomar o exemplo do processo que deu origem ao Acórdão Lindqvist ( 13 ), seria difícil determinar, na prática, se o funcionamento de uma página Internet destinada a um círculo limitado de paroquianos apresentou uma ligação concreta com as disposições da Diretiva 95/46 relativas à livre circulação de dados entre os Estados‑Membros no mercado comum. A resposta a esta questão poderia depender, designadamente, da localização física dos servidores que albergavam o sítio Internet em questão ( 14 ). |
46. |
Acrescento que existiria o risco de surgirem dificuldades de natureza semelhante se devesse prevalecer a interpretação especificadora no presente processo na vigência do RGPD. |
47. |
A título exemplificativo, seria difícil determinar com precisão em que medida as atividades de certos responsáveis pelo tratamento — como as igrejas ou as associações religiosas, que são expressamente visadas por este regulamento ( 15 ) — permanecem efetivamente sujeitas a disposições específicas do direito da União ( 16 ). A mesma questão poderia colocar‑se para os organismos sem fins lucrativos que não exercessem atividades económicas. Daqui resultaria uma insegurança jurídica quanto ao âmbito de aplicação do RGPD. |
48. |
Perante tais dificuldades, o Tribunal de Justiça rejeitou a interpretação especificadora de «aplicação do direito comunitário», na vigência da Diretiva 95/46. Nos Acórdãos Österreichischer Rundfunk e o. ( 17 ) e Lindqvist ( 18 ), declarou que, «[v]isto que qualquer dado pessoal é suscetível de circular entre os Estados‑Membros, a Diretiva 95/46 impõe, em princípio, o respeito pelas regras de proteção desses dados em relação a qualquer tratamento dos mesmos, conforme definido pelo seu artigo 3.o […] Nestas condições, a aplicabilidade da Diretiva 95/46 não pode depender da questão de saber se as situações concretas em causa […] têm uma ligação suficiente com o exercício das liberdades fundamentais garantidas pelo Tratado […]. Com efeito, uma interpretação contrária poderia tornar os limites do domínio de aplicação da referida diretiva particularmente incertos e aleatórios, o que seria contrário ao objetivo essencial desta, que é aproximar as disposições legislativas, regulamentares e administrativas dos Estados‑Membros a fim de eliminar os obstáculos ao funcionamento do mercado interno que decorrem precisamente das disparidades entre as legislações nacionais» ( 19 ). |
49. |
Foi assim que prevaleceu a interpretação «generalizante» da Diretiva 95/46 na jurisprudência do Tribunal de Justiça. |
– Interpretação generalizante
50. |
Esta interpretação conduz a incluir no âmbito de aplicação do direito da União todas as atividades que podem estar compreendidas neste, no sentido de que não foram excluídas do mesmo devido às competências exclusivas dos Estados‑Membros. |
51. |
Na vigência da Diretiva 95/46, esta interpretação levou o Tribunal de Justiça a fazer uma leitura restritiva da exceção relativa às atividades não sujeitas à aplicação do direito comunitário. Assim, no Acórdão Lindqvist, o Tribunal de Justiça declarou que «as atividades mencionadas a título de exemplo no artigo 3.o, n.o 2, primeiro travessão, da Diretiva 95/46 destinam‑se a definir o alcance da exceção aí prevista, de maneira que essa exceção só se aplica às atividades aí expressamente mencionadas ou que podem ser classificadas na mesma categoria (ejusdem generis)» ( 20 ). |
52. |
Antes da entrada em vigor do Tratado de Lisboa, as atividades abrangidas por esta exceção — relativas à segurança pública, à defesa, à segurança do Estado, ao domínio penal, bem como as previstas nos títulos V e VI do Tratado da União Europeia, faziam parte do segundo e do terceiro pilares da União e estavam excluídas, a esse título, da cooperação intergovernamental. Estas atividades não podiam, portanto, ser objeto de regulamentação comunitária, tendo em conta a repartição de competências entre a União e os Estados‑Membros prevista à época pelos Tratados. |
53. |
É neste contexto que deve ser lida a exclusão das «atividades não sujeitas à aplicação do direito comunitário» constante do artigo 3.o, n.o 2, primeiro travessão, da Diretiva 95/46. Ora, o âmbito de aplicação do RGPD foi definido em termos semelhantes. |
54. |
Nos termos do seu artigo 2.o, n.o 2, alíneas a) a d), o RGPD não se aplica ao tratamento de dados pessoais «a) [e]fetuado no exercício de atividades não sujeitas à aplicação do direito da União; b) [e]fetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE; c) [e]fetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas; d) [e]fetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública». Este último tipo de tratamento foi sujeito às disposições da Diretiva (UE) 2016/680 ( 21 ). |
55. |
À luz do considerando 16 do RGPD, as atividades não sujeitas à aplicação do direito da União são, designadamente, as atividades que se prendem com a segurança nacional. |
56. |
Com base em todas estas disposições, o Tribunal de Justiça declarou no Acórdão Land Hessen que a exceção prevista no artigo 2.o, n.o 2, alínea a), do RGPD, que abrange as «atividades não sujeitas à aplicação do direito da União», é de interpretação estrita, pelo que «o facto de uma atividade ser própria do Estado ou de uma autoridade pública não é suficiente para que esta exceção seja automaticamente aplicável a tal atividade. Com efeito, é necessário que esta atividade figure de entre as que estão expressamente mencionadas na referida disposição ou que possa ser classificada na mesma categoria que estas» ( 22 ). |
57. |
Nenhum dos argumentos invocados no presente processo me parece suscetível de pôr em causa esta interpretação. |
58. |
Em particular, não subscrevo os argumentos relativos ao princípio da atribuição, que foram suscitados, designadamente, pelo órgão jurisdicional de reenvio e pelo Präsident des Nationalrates (Presidente da Assembleia Nacional). |
59. |
Em conformidade com o princípio da atribuição enunciado no artigo 5.o, n.o 2, TUE ( 23 ), a União dispõe unicamente das competências que lhe foram conferidas nos Tratados pelos Estados‑Membros. |
60. |
Num plano puramente lexical, o conceito de «atividades relativas à aplicação do direito da União» é ambíguo, a este respeito. À primeira vista, a interpretação generalizante deste conceito adotada na jurisprudência do Tribunal de Justiça pode parecer duvidosa, na medida em que leva a submeter às disposições do RGPD todas as atividades que não foram excluídas deste regulamento, o que parece contrário ao princípio acima recordado. |
61. |
Todavia, segundo jurisprudência constante, na interpretação de uma disposição de direito da União, há que ter em conta não só os seus termos e os objetivos que prossegue, mas também o seu contexto e o conjunto das disposições do direito da União. A génese de uma disposição do direito da União pode igualmente revestir elementos pertinentes para a sua interpretação ( 24 ). |
62. |
Ora, se for descartada a interpretação literal, que me parece pouco conclusiva atendendo ao teor equívoco da «aplicação do direito da União», a análise contextual ( 25 ) e teleológica abona claramente a favor da interpretação generalizante do artigo 16.o, n.o 2, TFUE, de modo que o alcance desta disposição ultrapassa o da «aplicação do direito da União» na aceção do artigo 51.o, n.o 1, da Carta. |
63. |
Em primeiro lugar, esta conclusão impõe‑se à luz da sistemática do Tratado FUE e do lugar específico do artigo 16.o, n.o 2, na arquitetura deste Tratado. |
64. |
O artigo em questão figura no título II da parte I do Tratado FUE, que contém as «disposições de aplicação geral». Daqui resulta que o direito das pessoas singulares à proteção dos dados pessoais, consagrado nesta disposição, se reveste de uma importância singular em relação aos outros direitos fundamentais que encontraram o seu lugar na Carta anexada ao Tratado. |
65. |
Mais concretamente, a localização privilegiada do artigo 16.o TFUE na economia do Tratado leva a pensar que a «aplicação» a que se refere esta disposição não se limita às únicas situações em que os Estados‑Membros «apliquem o direito da União» na aceção do artigo 51.o, n.o 1, da Carta, o que corresponderia à interpretação especificadora acima evocada. |
66. |
Sobre este ponto, tenho de sublinhar a existência de uma diferença de natureza entre as disposições do artigo 16.o, n.o 2, TFUE e as disposições da Carta. |
67. |
Nos termos do seu artigo 51.o, n.o 2, a Carta «não cria quaisquer novas atribuições ou competências para a União, nem modifica as atribuições e competências definidas pelos Tratados». As suas disposições têm por destinatários os Estados‑Membros, na medida em que estes aplicam o direito da União nos domínios já abrangidos pelo âmbito de aplicação desse direito. |
68. |
Não é o que se passa com o artigo 16.o, n.o 2, TFUE, cujas disposições constituem e delegam na União uma competência legislativa em matéria de proteção e de livre circulação de dados pessoais, e definem, para esse efeito, um âmbito de aplicação específico, baseado nas disposições da Diretiva 95/46, como confirma a génese desta disposição. |
69. |
Em segundo lugar, com efeito, resulta claramente dos trabalhos preparatórios do Tratado de Lisboa que os autores do Tratado FUE pretenderam reafirmar o âmbito de aplicação das regras relativas à proteção dos dados pessoais, tal como tinha sido definido na vigência da Diretiva 95/46. |
70. |
A este respeito, importa recordar que o teor do artigo 16.o TFUE é diretamente inspirado do Projeto de Tratado que estabelece uma Constituição para a Europa, cujo artigo 36.o‑A, n.o 2 (artigo 50.o, n.o 2, na versão final do projeto de 18 de julho de 2003) ( 26 ) previa a competência do Parlamento e do Conselho para aprovar «as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas Instituições e órgãos da União, bem como pelos Estados‑Membros no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados» ( 27 ). |
71. |
Ora, em conformidade com as explicações fornecidas pelos seus autores, «[o] projeto de artigo 36.o‑A destina‑se a criar uma base jurídica única para a proteção dos dados pessoais, tanto por parte das Instituições como por parte dos Estados‑Membros, no exercício de atividades relativas à aplicação do direito da União. O texto baseia‑se no regime comunitário atual, que resulta da [Diretiva 95/46] (baseada no artigo 95.o do TCE), no que respeita à ação dos Estados‑Membros» ( 28 ). |
72. |
Daqui resulta claramente que se o conceito de «aplicação do direito da União» que figura no artigo 2.o, n.o 2, alínea a), do RGPD devesse ser interpretado de forma a restringir a aplicação deste regulamento em relação à da Diretiva 95/46, esta interpretação seria contrária à vontade dos Estados‑Membros expressa no Tratado FUE. |
73. |
Em terceiro lugar, há que ter em conta as considerações teleológicas, ligadas à dinâmica e aos objetivos específicos da proteção dos dados pessoais em que se inscreve a adoção do RGPD. |
74. |
Nesta perspetiva, não há dúvida de que o legislador da União procurou reforçar essa proteção e consolidar o âmbito de aplicação das regras correspondentes. São prova disso a substituição deliberada da Diretiva 95/46 por um dispositivo regulamentar mais exigente e, de forma explícita, o teor dos considerandos 9, 11 e 13 do RGPD. |
75. |
Os objetivos perseguidos com esta medida decorrem da especificidade do fenómeno do tratamento dos dados pessoais, que extravasa o âmbito das atividades em que esses dados podem ser recolhidos. |
76. |
Por outro lado, estas últimas não são necessariamente atividades económicas, que já estariam sujeitas às regras do direito da União que regem o mercado interno, o que em nada diminui o valor de mercado dos dados recolhidos e não suprime os riscos associados ao seu tratamento. |
77. |
A problemática dos dados pessoais apresenta, a este respeito, caráter transversal, pelo que as regras relativas à sua proteção não podem ser circunscritas ao âmbito de aplicação das categorias preexistentes do direito da União. |
78. |
Por outras palavras, se a «aplicação do direito da União» a que se refere o artigo 16.o, n.o 2, TFUE vai além das hipóteses de «aplicação do direito da União», na aceção do artigo 51.o, n.o 1, da Carta, é devido à natureza autónoma das problemáticas ligadas ao tratamento de dados pessoais que apelaram a uma intervenção legislativa própria cujo alcance vai além da soma das disposições preexistentes do direito da União. Deste ponto de vista, o amplo âmbito de aplicação do RGPD reflete a vontade de responder às questões de proteção dos dados pessoais através da adoção de um dispositivo concebido «à medida». |
79. |
Tendo em conta a convergência das conclusões decorrentes da análise contextual e teleológica do artigo 16.o, n.o 2, TFUE, proponho ao Tribunal de Justiça que confirme a sua jurisprudência anterior ( 29 ), adotando uma interpretação estrita da exceção relativa às «atividades não sujeitas à aplicação do direito da União», constante do artigo 2.o, n.o 2, alínea a), do RGPD. |
80. |
É à luz desta interpretação que proponho que o Tribunal de Justiça aprecie se este regulamento é aplicável aos trabalhos da comissão parlamentar de inquérito em causa no processo principal. |
Quanto à aplicação do RGPD aos trabalhos da comissão parlamentar de inquérito
81. |
Parece‑me que se impõe uma observação preliminar no que respeita ao modo como as disposições pertinentes do RGPD definem o âmbito de aplicação deste regulamento. |
– A importância secundária dos critérios institucionais para a definição do âmbito de aplicação do RGPD
82. |
Importa sublinhar que as considerações orgânicas ou institucionais, atinentes à natureza dos órgãos ou das pessoas responsáveis pelo tratamento de dados pessoais, têm importância secundária na definição do âmbito de aplicação do RGPD. |
83. |
Com efeito, por um lado, o âmbito de aplicação do RGPD assenta no conceito material de «tratamento» de dados pessoais, nos termos do artigo 2.o, n.o 1, deste regulamento. O conceito orgânico de «responsável pelo tratamento», constante do artigo 4.o, ponto 7, do RGPD, tem, deste ponto de vista, apenas caráter acessório, no sentido de que assenta, em substância, no conceito material de tratamento. Com efeito, embora a definição de responsável pelo tratamento refira «a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo», esta referência equivale a neutralizar os critérios orgânicos para efeitos da sua aplicação. |
84. |
Por outro lado, ainda que as disposições que limitam o âmbito de aplicação material do RGPD, constantes do artigo 2.o, n.o 2, deste regulamento, façam referência a determinadas categorias de pessoas ou de órgãos, a saber, aos Estados‑Membros, às pessoas singulares e às autoridades competentes em matéria penal, é sempre no contexto das atividades excluídas da aplicação deste regulamento. Por conseguinte, não são pessoas, enquanto tais, que estão excluídas da aplicação do RGPD, mas apenas algumas das suas atividades. |
85. |
A importância secundária dos critérios institucionais é igualmente confirmada pela forma como são definidas as derrogações parciais, que limitam o alcance das disposições específicas do RGPD. A título de exemplo ( 30 ), se os órgãos jurisdicionais não estão abrangidos pela competência das autoridades nacionais de controlo, nos termos do artigo 55.o, n.o 3, do RGPD, é apenas na medida em que exercem funções jurisdicionais. O alcance desta exceção é, portanto, determinado não pelo estatuto dos órgãos jurisdicionais, mas pela natureza particular das suas atividades. |
86. |
Na falta de qualquer disposição do RGPD que vise especificamente os órgãos parlamentares, daqui resulta, a meu ver, que não é o estatuto dos órgãos do Parlamento em direito austríaco, mas sim a natureza das suas atividades, que deve determinar a possibilidade de aplicar este regulamento. |
– Quanto à natureza das atividades da comissão de inquérito no processo principal
87. |
À luz de todos os elementos levados ao conhecimento do Tribunal de Justiça, considero que as missões confiadas a esta comissão podem ser qualificadas de atividades de controlo público que implicam o exercício da autoridade pública. |
88. |
Esta qualificação decorre do próprio teor das primeira e segunda questões prejudiciais, relativas às atividades exercidas no âmbito do controlo do poder executivo. Em conformidade com as explicações fornecidas pelo órgão jurisdicional de reenvio, «[o] objetivo das comissões de inquérito é esclarecer determinados pontos para fins políticos […]. A este respeito, compete às comissões de inquérito desempenhar a missão de fiscalização que lhes foi confiada constitucionalmente» ( 31 ). |
89. |
Esta qualificação é corroborada pelas observações escritas submetidas ao Tribunal de Justiça ( 32 ). |
90. |
Atendendo às explicações fornecidas na audiência pelo Präsident des Nationalrates (Presidente da Assembleia Nacional), é, além disso, pacífico que a comissão de inquérito em questão dispõe de determinadas prerrogativas de autoridade pública, como o direito de convocar testemunhas ou de obter acesso aos documentos relativos ao objeto dos seus trabalhos, que são acompanhadas do poder de aplicar sanções pecuniárias, destinado a assegurar a boa marcha do inquérito. |
91. |
Parece‑me, em contrapartida, que existe uma certa confusão no que respeita à natureza legislativa das atividades desta comissão e às suas eventuais consequências para a aplicabilidade do RGPD. |
92. |
O Präsident des Nationalrates (Presidente da Assembleia Nacional) observa, a este respeito, que «[a]s comissões de inquérito dependem, tanto do ponto de vista organizacional como funcional, do poder legislativo. Os atos praticados pelas comissões de inquérito ou em seu nome fazem parte assim da função legislativa do Estado» ( 33 ). Na opinião deste órgão, daqui resulta que «[o] trabalho de uma comissão de inquérito se inscreve assim no cerne do domínio legislativo e, enquanto atividade (de fiscalização) de natureza exclusivamente parlamentar e política, está abrangido pela exceção prevista no artigo 2.o, n.o 2, alínea a), do RGPD» ( 34 ). |
93. |
Estas afirmações merecem três observações da minha parte. |
94. |
Em primeiro lugar, independentemente da eventual participação das comissões de inquérito nos trabalhos legislativos, devo sublinhar que as atividades legislativas ou parlamentares não foram excluídas da aplicação do RGPD ( 35 ), ao contrário das atividades ligadas ao exercício das funções jurisdicionais, que estão abrangidas pela derrogação parcial prevista no artigo 55.o, n.o 3, deste regulamento. |
95. |
Sobre este ponto, contrariamente a alguns interessados, duvido que se possa interpretar esta derrogação por analogia, de modo a alargar às funções legislativas a exceção relativa às funções jurisdicionais. Muito pelo contrário, se a derrogação constante do artigo 55.o, n.o 3, do RGPD devesse inspirar o raciocínio do Tribunal de Justiça no presente processo, só poderia suscitar uma interpretação a contrario. Tendo em conta o amplo âmbito de aplicação do RGPD, a exceção relativa às funções jurisdicionais não pode ser interpretada de forma extensiva. |
96. |
Em segundo lugar, a meu ver, nenhum dos elementos levados ao conhecimento do Tribunal de Justiça permite sustentar que a atividade da comissão de inquérito no processo principal reveste uma função legislativa. |
97. |
Em especial, a comissão de inquérito em questão não está habilitada a tomar iniciativas legislativas nem participa de outra forma nos trabalhos legislativos do Parlamento austríaco. Por outro lado, ainda que o relatório final do inquérito possa constituir uma fonte de inspiração para o legislador, esta circunstância não me parece de molde a conferir caráter legislativo às suas atividades. Os trabalhos de certos órgãos extraparlamentares — como o Tribunal de Contas austríaco, cujos relatórios são remetidos ao Parlamento — podem igualmente inspirar o legislador, sem que tal implique associá‑los ao exercício do poder legislativo. |
98. |
Em terceiro lugar, e independentemente da sua eventual importância à luz do direito austríaco, as considerações institucionais não podem ter quaisquer consequências para a aplicabilidade do RGPD, pelo que a ligação organizacional da comissão parlamentar de inquérito não pode ser determinante para a resposta a dar à primeira questão prejudicial. |
– Quanto à aplicabilidade do RGPD às atividades de fiscalização pública
99. |
À luz das considerações precedentes, importa questionar‑se se as atividades de fiscalização pública exercidas por uma comissão parlamentar de inquérito estão abrangidas pelo âmbito de aplicação do RGPD. |
100. |
Em meu entender, esta questão apela a uma resposta afirmativa devido a três razões principais. |
101. |
Em primeiro lugar, os tratamentos de dados pessoais efetuados pela comissão em causa estão abrangidos pelo conceito material de “tratamento”, definido no artigo 2.o, n.o 1, do RGPD. Esta qualificação não é contestada por qualquer das partes interessadas no presente processo. |
102. |
Em segundo lugar, as atividades de fiscalização pública são relativas à aplicação do direito da União na aceção do artigo 16.o, n.o 2, TFUE e do artigo 2.o, n.o 2, alínea a), do RGPD, conforme interpretados na jurisprudência do Tribunal de Justiça, na medida em que, nomeadamente, nenhuma disposição deste regulamento as excluí da sua aplicação. |
103. |
Pelo contrário, as atividades de fiscalização estão expressamente referidas no artigo 23.o, n.o 1, alínea h), do RGPD, que prevê a possibilidade de limitar o alcance de determinados direitos e obrigações previstos neste regulamento, desde que tal limitação seja necessária para assegurar o exercício de «[u]ma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública» em determinados casos previstos nesta disposição. |
104. |
Daqui resulta que as disposições do RGPD se destinam a regular as atividades de fiscalização pública, mesmo que possam ser previstas adaptações especiais para este efeito. A possível limitação das proteções decorrentes do RGPD não conduz, no entanto, à exclusão da sua aplicação. |
105. |
Por último, em terceiro lugar, tendo em conta a repartição geral das competências entre a União e os Estados‑Membros, não se afigura que as atividades de fiscalização pública estejam exclusivamente reservadas a estes últimos. |
106. |
Para se ater especificamente a um exemplo de fiscalização parlamentar, a duplicação dos inquéritos no processo «Dieselgate», instaurados concomitantemente pelo Parlamento Europeu ( 36 ) e pelo Bundestag (Parlamento Federal) alemão, ilustra bem o concurso de competências na matéria. |
107. |
É certo que se poderia alegar que o âmbito de aplicação do direito da União abrange apenas as atividades de fiscalização que estejam relacionadas com a aplicação das disposições deste direito. |
108. |
Tal abordagem equivaleria, no entanto, a reintroduzir a interpretação especificadora da «aplicação do direito da União» e apresentaria, por isso, os mesmos riscos de insegurança jurídica. Atendendo à própria natureza do inquérito parlamentar, que tem por objetivo esclarecer as circunstâncias em causa, parece‑me difícil determinar antecipadamente se os trabalhos de uma comissão de inquérito têm uma ligação concreta com a aplicação das disposições do direito da União ( 37 ). |
109. |
Neste contexto, há que ter em conta o objetivo de segurança jurídica prosseguido pelas disposições do RGPD, que visam evitar a fragmentação da aplicação da proteção de dados pessoais ( 38 ). |
110. |
Atendendo a este objetivo, em conformidade com a solução adotada pelo Tribunal de Justiça no Acórdão Österreichischer Rundfunk e o. ( 39 ), proferido na vigência da Diretiva 95/46, o âmbito de aplicação do RGPD deve ser interpretado de modo a incluir as atividades de fiscalização pública, independentemente da ligação que apresentem com a aplicação das disposições específicas do direito da União. |
111. |
Tendo em conta o que precede, proponho que se responda à primeira questão prejudicial que os trabalhos de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu direito de fiscalização do poder executivo são relativos à aplicação do direito da União, na aceção do artigo 16.o, n.o 2, primeiro período, TFUE. |
Quanto à segunda questão prejudicial
112. |
Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta se as atividades da comissão de inquérito no processo principal estão abrangidas pela exceção prevista no artigo 2.o, n.o 2, alínea a), do RGPD, lido à luz do considerando 16 deste regulamento, tendo em conta o objeto específico dos seus trabalhos ligado a assuntos de segurança nacional. |
113. |
Não creio que assim seja por várias razões. |
114. |
Em primeiro lugar, atendendo ao amplo âmbito de aplicação do RGPD, a exceção que abrange as atividades relativas à segurança nacional deve ser objeto de interpretação estrita. Daqui deduzo que apenas as atividades que têm por objeto imediato a segurança nacional estão abrangidas por esta exceção. |
115. |
Não é manifestamente o caso das atividades da comissão de inquérito no processo principal, que foi investida de uma missão de fiscalização dos órgãos do Governo federal. |
116. |
É certo que, na medida em que a fiscalização em questão incide sobre o funcionamento do BVT, cuja missão consistia em assegurar a integridade e a continuidade das instituições estatais, a atividade desta comissão pôde contribuir indiretamente para a salvaguarda da segurança nacional. |
117. |
Esta contribuição não altera, porém, a natureza das atividades confiadas a uma comissão de inquérito nem pode levar a excluí‑las das disposições do RGPD. Caso devesse prevalecer a solução contrária, poder‑se‑ia perguntar se uma agência de publicidade, contratada pelo Ministério da Defesa com vista a promover a carreira militar do exército, não deveria ser excluída, pelo mesmo motivo. |
118. |
Em segundo lugar, se a aplicação do RGPD dependesse do objeto de um inquérito parlamentar, tal seria contrário ao objetivo de segurança jurídica prosseguido pelo legislador da União. |
119. |
Dada a sua natureza mutável, o objeto de um inquérito parlamentar não constitui uma base suficientemente consistente para determinar o âmbito de aplicação do RGPD. Fatores conjunturais, como o envolvimento pessoal de um Ministro da Defesa num processo de corrupção — que possa ser revelado (ou desmentido) durante o inquérito — não podem servir de referência para esse efeito. |
120. |
Em terceiro lugar, a interpretação da exceção constante do artigo 2.o, n.o 2, alínea a), do RGPD deve ter em conta a ratio legis desta disposição. Esta parece‑me ligada à impossibilidade de conciliar determinados aspetos fundamentais do direito ao respeito dos dados pessoais com o segredo inerente a determinadas atividades relativas à segurança nacional. |
121. |
A título exemplificativo, não vejo como é que os serviços de informação interna podem assegurar o respeito dos direitos à informação e de acesso, consagrados nos artigos 14.o e 15.o do RGPD, sem comprometer ao mesmo tempo as atividades de vigilância dirigidas às pessoas suspeitas de pertencer a um movimento terrorista. Nesta hipótese, as exigências decorrentes do RGPD afiguram‑se profundamente incompatíveis com os imperativos de segurança nacional. |
122. |
Em contrapartida, creio que a atividade de uma comissão parlamentar de inquérito não encontra nenhum obstáculo intransponível deste tipo e não vislumbro por que razão o cumprimento das obrigações decorrentes do RGPD poderia comprometer a sua eventual contribuição para a salvaguarda da segurança nacional. |
123. |
É certo que a publicidade que acompanha habitualmente os trabalhos das comissões de inquérito faz parte da dimensão pública do escrutínio parlamentar. O objetivo de transparência contrasta, no entanto, com a ratio legis do artigo 2.o, n.o 2, alínea a), do RGPD, que visa preservar os segredos da segurança nacional. |
124. |
Em quarto lugar, ainda que a boa marcha de um inquérito parlamentar possa, em certos casos, colidir com o cumprimento das obrigações decorrentes do RGPD — por exemplo, na hipótese de a comissão obter acesso a documentos confidenciais que contenham dados pessoais —, recordo que o artigo 23.o, n.o 1, alíneas a) e h), do RGPD prevê a possibilidade de limitar os direitos e as obrigações consagrados nos artigos 5.o, 12.o a 22.o e 34.o deste regulamento, no caso de esta limitação ser necessária para assegurar uma missão de controlo tendo em conta os imperativos da segurança nacional. |
125. |
Daqui resulta, a meu ver, que a conexão que o objeto de um inquérito parlamentar pode apresentar com questões de segurança nacional não deve levar a excluir a comissão de inquérito da aplicação do RGPD. Considerado o contexto institucional em que se inscreve a atividade dessas comissões, cujos membros participam nos trabalhos dos órgãos legislativos do Parlamento, parece‑me, além disso, relativamente fácil proceder às necessárias adaptações legislativas, que permitam ter em conta o objeto específico de certos inquéritos parlamentares, como preveem as disposições do artigo 23.o, n.o 1, do RGPD. |
126. |
Por todas estas razões, proponho que o Tribunal de Justiça responda à segunda questão prejudicial declarando que os trabalhos de uma comissão parlamentar de inquérito sobre atividades de uma autoridade policial de proteção do Estado relativas à proteção da segurança nacional, na aceção do considerando 16 do RGPD, não estão abrangidos pela derrogação prevista no artigo 2.o, n.o 2, alínea a), deste regulamento. |
Quanto à terceira questão prejudicial
127. |
Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta se a competência de uma única autoridade de controlo, instituída ao abrigo do artigo 51.o, n.o 1, do RGPD para conhecer das reclamações previstas no artigo 77.o, n.o 1, deste regulamento, pode decorrer diretamente desta última disposição, lida em conjugação com o artigo 55.o, n.o 1, do RGPD. |
128. |
Esta questão, que é colocada para a eventualidade de o RGPD ser aplicável aos trabalhos da comissão de inquérito no processo principal, explica‑se por obstáculos de natureza constitucional. No entendimento do Verwaltungsgerichtshof (Supremo Tribunal Administrativo) e de alguns interessados, o princípio da separação dos poderes próprio do direito austríaco opõe‑se a que um órgão administrativo, no caso em apreço o Datenschutzbehörde, se imiscua nas atividades do Parlamento ao apreciar as reclamações que lhe dizem respeito. |
129. |
A terceira questão prejudicial visa, assim, estabelecer o alcance do efeito direto das disposições conjugadas do artigo 55.o, n.o 1, e do artigo 77.o, n.o 1, do RGPD, quando a competência da única autoridade de controlo instituída por um Estado‑Membro corre o risco de se encontrar limitada por um princípio de ordem constitucional. |
130. |
Tratando‑se de um regulamento da União, há que recordar que é, em princípio, diretamente aplicável em todos os seus elementos, nos termos do artigo 288.o, segundo parágrafo, TFUE, como confirma o artigo 99.o, n.o 2, segundo parágrafo, do RGPD ( 40 ). |
131. |
Em conformidade com a jurisprudência do Tribunal de Justiça, só não é assim no caso de uma disposição regulamentar necessitar da adoção de medidas de aplicação, tendo em conta a margem de apreciação deixada aos Estados‑Membros para a sua execução ( 41 ). |
132. |
A este respeito, considero que as disposições conjugadas do artigo 77.o, n.o 1, do RGPD, que prevê a competência das autoridades de controlo para examinar as reclamações nele previstas, e do artigo 55.o, n.o 1, deste regulamento, são suficientemente claras e incondicionais para serem diretamente aplicadas. |
133. |
Acrescento que o Tribunal de Justiça já confirmou o efeito direto do artigo 58.o, n.o 5, do RGPD, ao declarar que uma autoridade nacional de controlo pode invocar a capacidade judiciária que lhe é reconhecida por esta disposição para intentar ou dar continuidade a uma ação judicial contra particulares, mesmo na falta de qualquer medida de aplicação legislativa adotada para o efeito pelo Estado‑Membro em causa ( 42 ). |
134. |
Por outro lado, nas circunstâncias do processo principal, não me parece necessária uma medida de aplicação adicional para regular as modalidades processuais da reclamação referida no artigo 77.o do RGPD. O Datenschutzbehörde examina regularmente essas reclamações, colocando‑se como única questão a da sua competência em relação aos órgãos do Parlamento. |
135. |
Ora, esta questão não foi deixada à livre apreciação dos Estados‑Membros. |
136. |
É certo que o exercício efetivo do direito de apresentar uma reclamação pressupõe a criação prévia de uma ou mais autoridades de controlo, nos termos do artigo 51.o, n.o 1, do RGPD, o que exige a intervenção dos Estados‑Membros. Trata‑se, no entanto, de uma questão relativa ao efeito direto desta última disposição, que não se coloca no processo principal. |
137. |
No que respeita ao número de autoridades de controlo a instituir ao abrigo do artigo 51.o, n.o 1, do RGPD, a escolha institucional deixada nesta matéria aos Estados‑Membros não pode resultar na limitação das competências da única autoridade criada pelo legislador austríaco. A interpretação contrária privaria o artigo 55.o, n.o 1, e o artigo 77.o, n.o 1, do RGPD do seu efeito direto e arriscar‑se‑ia a enfraquecer o efeito útil de todas as outras disposições deste regulamento que podem ser afetadas por uma reclamação. |
138. |
Por último, no que respeita aos obstáculos de natureza constitucional existentes no direito austríaco, estes não podem conduzir a uma recusa de aplicação das disposições do RGPD. Em conformidade com jurisprudência constante do Tribunal de Justiça, a invocação de violações aos princípios da estrutura constitucional nacional não pode afetar o efeito de um ato da União ( 43 ). |
139. |
Em resposta à terceira questão prejudicial, proponho, portanto, que o Tribunal de Justiça declare que, no caso de um Estado‑Membro ter instituído uma única autoridade de controlo, na aceção do artigo 51.o, n.o 1, do RGPD, a sua competência para conhecer das reclamações referidas no artigo 77.o, n.o 1, deste regulamento decorre diretamente desta última disposição, lida em conjugação com o artigo 55.o, n.o 1, do referido regulamento. |
Conclusão
140. |
Tendo em conta todas as considerações precedentes, proponho que o Tribunal de Justiça responda às questões submetidas pelo Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria) do seguinte modo:
|
( 1 ) Língua original: francês.
( 2 ) Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação no JO 2018, L 127, p. 2, a seguir «RGPD»).
( 3 ) Acórdão de 9 de julho de 2020 (C‑272/19, EU:C:2020:535).
( 4 ) V. as minhas Conclusões no processo Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2020:1054, n.os 44 e segs.).
( 5 ) V. Acórdãos de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294), de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596), de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535) e de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504).
( 6 ) Acórdãos de 26 de fevereiro de 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, n.o 21); de 21 de dezembro de 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, n.o 62); de 21 de maio de 2019, Comissão/Hungria (Usufrutos sobre terrenos agrícolas) (C‑235/17, EU:C:2019:432, n.o 63); e de 24 de setembro de 2020, YS (Pensões de empresa do pessoal dos quadros superiores de empresa) (C‑223/19, EU:C:2020:753, n.o 78).
( 7 ) C‑465/00, C‑138/01, C‑139/01, EU:C:2002:662.
( 8 ) C‑101/01, EU:C:2002:513.
( 9 ) Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31). Esta diretiva foi substituída pelo RGPD.
( 10 ) C‑465/00, C‑138/01, C‑139/01, EU:C:2002:662.
( 11 ) Conclusões do advogado‑geral A. Tizzano nos processos apensos Österreichischer Rundfunk e o. (C‑465/00, C‑138/01, C‑139/01, EU:C:2002:662, n.o 43). O sublinhado é meu.
( 12 ) Conclusões do advogado‑geral A. Tizzano no processo Lindqvist (C‑101/01, EU:C:2002:513, n.o 36).
( 13 ) Acórdão de 6 de novembro de 2003 (C‑101/01, EU:C:2003:596).
( 14 ) Sobre esta questão, v. Acórdão de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.o 59).
( 15 ) V. artigo 91.o do RGPD.
( 16 ) Por um lado, o direito da União não é vocacionado para regular especificamente as atividades confessionais. Por outro lado, essas atividades não estão, porém, excluídas do respeito do direito da União e dos seus princípios gerais, como o princípio da não discriminação. Sobre esta questão, v. Conclusões do advogado‑geral E. Tanchev no processo Egenberger (C‑414/16, EU:C:2017:851, n.os 46 a 51).
( 17 ) Acórdão de 20 de maio de 2003 (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294).
( 18 ) Acórdão de 6 de novembro de 2003 (C‑101/01, EU:C:2003:596).
( 19 ) Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.os 40 e 42). V., igualmente, Acórdão de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.os 40 e segs.).
( 20 ) Acórdão de 6 de novembro de 2003, Lindqvist (C‑101/01, EU:C:2003:596, n.o 44). O sublinhado é meu.
( 21 ) Diretiva do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).
( 22 ) Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.o 70). O sublinhado é meu.
( 23 ) Há que recordar que o artigo 5.o, n.o 2, TUE dispõe que, «[e]m virtude do princípio da atribuição, a União atua unicamente dentro dos limites das competências que os Estados‑Membros lhe tenham atribuído nos Tratados para alcançar os objetivos fixados por estes últimos. As competências que não sejam atribuídas à União nos Tratados pertencem aos Estados‑Membros».
( 24 ) A título exemplificativo, v. Acórdão de 10 de dezembro de 2018, Wightman e o. (C‑621/18, EU:C:2018:999, n.o 47 e jurisprudência aí referida).
( 25 ) Quero com isto dizer uma interpretação baseada em considerações sistemáticas e históricas, de acordo com a tipologia geralmente aceite dos métodos de interpretação (v. Lenaerts, K., e Gutierrez‑Fons, J. A., Les méthodes d’interprétation de la Cour de justice de l’Union européenne, Bruylant, Bruxelas, 2020, Capítulo I).
( 26 ) Projeto de Tratado que estabelece uma Constituição para a Europa (JO 2003, C 169, p. 1).
( 27 ) Artigo 36.o‑A, n.o 2, do projeto de Título VI do Tratado constitucional relativo à vida democrática da União (Nota do Praesidium da Convenção Europeia à Convenção de 2 de abril de 2003, Bruxelas, CONV 650/03, p. 6). O sublinhado é meu.
( 28 ) Nota do Praesidium da Convenção Europeia à Convenção de 2 de abril de 2003, Bruxelas, CONV 650/03, p. 3. O sublinhado é meu.
( 29 ) V. jurisprudência referida na nota 5 das presentes conclusões.
( 30 ) V., igualmente, artigo 20.o, n.o 3, artigo 49.o, n.o 3, e artigo 79.o, n.o 2, do RGPD.
( 31 ) Ponto 25 do pedido de decisão prejudicial. O sublinhado é meu.
( 32 ) A título de exemplo, no ponto 13 das suas observações escritas, o Präsident des Nationalrates (Presidente da Assembleia Nacional) explica que o Parlamento austríaco «tem o direito de decidir sobre a constituição de comissões de inquérito para efeitos de investigação de determinados atos do domínio do poder executivo a nível federal. Uma comissão de inquérito é assim dotada de uma missão de fiscalização pela Constituição. O objetivo de uma comissão de inquérito é clarificar, com um objetivo político, o curso de determinados eventos e assegurar assim uma fiscalização parlamentar efetiva […]».
( 33 ) Ponto 14 das observações escritas do Präsident des Nationalrates (Presidente da Assembleia Nacional).
( 34 ) Ponto 15 das observações escritas do Präsident des Nationalrates (Presidente da Assembleia Nacional).
( 35 ) V. Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.o 72).
( 36 ) V. Decisão (UE) 2016/34 do Parlamento Europeu, de 17 de dezembro de 2015, referente à criação, às atribuições, à composição numérica e à duração do mandato da Comissão de Inquérito sobre a Medição das Emissões no Setor Automóvel (JO 2016, L 10, p. 13).
( 37 ) Deste ponto de vista, pergunto‑me como deve ser qualificado o inquérito do Parlamento austríaco relativo ao processo «Ibizagate» sobre irregularidades que afetaram a adjudicação de contratos públicos; o inquérito do Senado belga instaurado em 1995 que visava «examinar a criminalidade organizada na Bélgica»; ou ainda os trabalhos atualmente conduzidos pela comissão de inquérito da Assembleia Nacional francesa sobre «as razões da perda de soberania e de independência energética da França».
( 38 ) V. considerandos 9 e 13 do RGPD.
( 39 ) Acórdão de 20 de maio de 2003 (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.os 45 a 47).
( 40 ) V., igualmente, Acórdão de 15 de março de 2017, Al Chodor (C‑528/15, EU:C:2017:213, n.o 27 e jurisprudência aí referida).
( 41 ) V. Acórdãos de 11 de janeiro de 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, n.o 28), e de 14 de abril de 2011, Vlaamse Dierenartsenvereniging e Janssens (C‑42/10, C‑45/10, C‑57/10, EU:C:2011:253, n.o 48).
( 42 ) Acórdão de 15 de junho de 2021, Facebook Ireland e o. (C‑645/19, EU:C:2021:483, n.o 113).
( 43 ) Acórdão de 17 de dezembro de 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, n.o 3).