1.

O Raad van State (Conselho de Estado, Países Baixos) apresentou ao Tribunal de Justiça uma questão prejudicial relativa à interpretação dos artigos 6.o e 12.o da Directiva 95/46/CE, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados ( 2 ). O despacho de reenvio aventura-se por um terreno difícil: a supressão de dados pessoais na posse de uma administração municipal transmitidos a terceiros, e o consequente direito de acesso aos dados do tratamento.

2.

Em princípio, a destruição dos dados é um acto de protecção da pessoa a quem esses dados dizem respeito. No entanto, acarreta outras consequências, uma vez que, com os ficheiros, perde-se também o rasto da sua utilização. Assim, quem aparentemente estava protegido também pode ser prejudicado, pois nunca conhecerá o uso feito pelo detentor dos seus dados pessoais ( 3 ).

3.

Com este debate como pano de fundo, o Tribunal de Justiça deve decidir se o prazo para supressão dos dados funciona como limite temporal do direito de acesso ao tratamento. Nesse caso, importaria esclarecer se o período de um ano é suficiente e proporcionado para garantir os direitos previstos na Directiva 95/46.

4.

A decisão de reenvio refere que M. E. E. Rijkeboer solicitou ao College van burgemeester en wethouders van Rotterdam (município de Roterdão, representado pelo burgomestre e pelos vereadores, a seguir «College») uma lista, de acordo com os arquivos da administração municipal, das comunicações a terceiros de informações a seu respeito realizadas durante os últimos dois anos. Por deliberações de 27 de Outubro e , o College indeferiu parcialmente o requerimento de M. Rijkeboer, fornecendo-lhe apenas os dados referentes ao ano anterior. Discordando desta decisão municipal, M. Rijkeboer apresentou uma reclamação que também foi indeferida em .

5.

Esgotada a via administrativa, o Rechtbank Rotterdam (Tribunal de Primeira Instância de Roterdão) deu provimento ao recurso interposto por M. Rijkeboer. Por sentença de 17 de Novembro de 2006, o Rechtbank Rotterdam anulou a deliberação que indeferia alguns dos pedidos do interessado e determinou que o College proferisse nova deliberação.

6.

Em 28 de Dezembro de 2006, o College recorreu para a Secção de Contencioso Administrativo do Raad van State que, por decisão de , suspendeu o processo principal e submeteu ao Tribunal de Justiça uma questão para decisão a título prejudicial.

7.

O artigo 6.o, n.os 1 e 2, UE enuncia, nos seguintes termos, o respeito dos direitos fundamentais, pela União:

«Artigo 6.o

1.   A União assenta nos princípios da liberdade, da democracia, do respeito pelos direitos do Homem e pelas liberdades fundamentais, bem como do Estado de direito, princípios que são comuns aos Estados-Membros.

2.   A União respeitará os direitos fundamentais tal como os garante a Convenção Europeia de Salvaguarda dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de Novembro de 1950, e tal como resultam das tradições constitucionais comuns aos Estados-Membros, enquanto princípios gerais do direito comunitário.

[…]»

8.

O direito fundamental à vida privada, como princípio geral de direito comunitário, teve acolhimento normativo na Directiva 95/46. Este diploma, cujos princípios foram codificados no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia, define o conceito de «dados» e determina a sua supressão quando são objecto de tratamento durante certo tempo. Os artigos 2.o, alínea a), e 6.o da referida directiva dispõem:

«Artigo 2.o

[…]

[…]

Artigo 6.o

1.   Os Estados-Membros devem estabelecer que os dados pessoais serão:

[…]

9.

Para assegurar a transparência no tratamento, os artigos 10.o e 11.o da Directiva 95/46 estabelecem obrigações de informação a favor da pessoa a quem os dados dizem respeito, que dependem de os dados terem sido recolhidos junto dessa pessoa. Entre outras obrigações, o encarregado da gestão dos ficheiros assume os seguintes compromissos:

«Artigo 10.o

Informação em caso de recolha de dados junto da pessoa em causa

Os Estados-Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

Artigo 11.o

Informação em caso de dados não recolhidos junto da pessoa em causa

1.   Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estados-Membros estabelecerão que o responsável pelo tratamento, ou o seu representante, deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

[…]»

10.

Os titulares dos dados tratados podem zelar pelo seu bom uso, exercendo o chamado «direito de acesso», cujas características principais são definidas no artigo 12.o da Directiva 95/46. Para os efeitos do presente processo, é relevante a primeira hipótese desse artigo:

«Artigo 12.o

Direito de acesso

Os Estados-Membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:

[…]».

11.

Os Estados-Membros podem restringir a obrigação de supressão, bem como o direito de acesso, nos casos previstos no artigo 13.o da Directiva 95/46:

«Artigo 13.o

[…]

1.   Os Estados-Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.o 1 do artigo 6.o, no artigo 10.o, no n.o 1 do artigo 11.o e nos artigos 12.o e 21.o, sempre que tal restrição constitua uma medida necessária à protecção:

[…]»

12.

A Directiva 95/46 foi transposta para a ordem jurídica neerlandesa por um texto geral, a Lei sobre a protecção de dados pessoais (Wet bescherming persoonsgegevens). No presente processo prejudicial, esta lei tem carácter subsidiário, uma vez que no âmbito municipal aplica-se um regime jurídico especial, a Lei sobre os dados pessoais na posse das administrações autárquicas (Wet gemeentelijke basisadministratie persoonsgegevens). O seu artigo 103.o, n.o 1, prevê as condições em que um particular pode aceder às informações relativas ao tratamento dos seus dados pessoais:

«Artigo 103.o

1.   O College van burgemeester en wethouders, a pedido do interessado, informa-o por escrito, no prazo de quatro semanas, dos dados que lhe digam respeito e que a administração da base de dados tenha transmitido a qualquer requerente ou a terceiros durante o ano anterior à data desse pedido.

[…]»

13.

Em 12 de Dezembro de 2007, deu entrada na Secretaria do Tribunal de Justiça o pedido de decisão prejudicial apresentado pelo Raad van State, colocando a seguinte questão:

«A restrição, prevista na lei, da [comunicação dos dados] ao ano anterior à data do respectivo pedido é compatível com o artigo 12.o, […] alínea a), da Directiva 95/46[…], lido, se for caso disso, em conjugação com o artigo 6.o, n.o 1, alínea e), dessa directiva e com o princípio da proporcionalidade?»

14.

Foram apresentadas observações, no prazo fixado pelo artigo 23.o do Estatuto do Tribunal de Justiça, pelo College, pelos Governos neerlandês, checo, helénico, espanhol e do Reino Unido, bem como pela Comissão das Comunidades Europeias.

15.

Na audiência, realizada em 20 de Novembro de 2008, compareceram, para apresentar oralmente as suas alegações, os representantes legais do College e de M. Rijkeboer, bem como os agentes dos Governos neerlandês, checo, espanhol, do Reino Unido e da Comissão.

16.

O presente processo suscita várias questões com alguma complexidade conceptual. Essencialmente, pretende-se saber se pode haver um prazo específico para eliminar a informação relativa ao tratamento de dados pessoais. Com o apagamento desses dados, nos termos da Directiva 95/46, fecha-se a porta ao direito de acesso, pois não se pode solicitar uma informação que já não existe. Por conseguinte, o debate gira em torno de uma restrição ao exercício de um poder que está também expressamente contemplado na Directiva 95/46. Esta tensão entre a supressão e o acesso revela a existência de um conflito interno no seio da referida directiva, sobre o qual o Tribunal de Justiça deve pronunciar-se.

17.

Importa, portanto, decidir se os dados relativos ao tratamento beneficiam ou podem beneficiar de um regime idêntico ao dos dados pessoais. Importa também determinar se o prazo para eliminação deve, em qualquer caso, funcionar como limite do direito de acesso. Estas dúvidas têm de ser resolvidas num quadro de facto e de direito algo confuso, pois o Raad van State não indicou se o prazo previsto para a eliminação dos dados de tratamento é igual ou inferior ao dos dados pessoais. Portanto, há que analisar as duas hipóteses, a fim de dar uma resposta útil ao órgão jurisdicional de reenvio.

18.

De acordo com os postulados da sua carta constitucional ( 4 ), a União Europeia funda-se no respeito dos direitos fundamentais, cuja protecção é garantida pelo Tribunal de Justiça ( 5 ). Após alguns lustros de evolução jurisprudencial, iniciada com os acórdãos Stauder ( 6 ) e Internationale Handelsgesellschaft ( 7 ), os Estados-Membros reconheceram sem limitações o carácter estrutural destes direitos ao aprovarem o artigo F do Acto Único Europeu que, posteriormente, passou a artigo 6.o UE. Esta disposição estipula que a União respeitará os direitos fundamentais tal como os garante a Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais (a seguir «CEDH») ( 8 ) e tal como resultam das tradições constitucionais comuns aos Estados-Membros.

19.

O direito à vida privada faz parte dessas tradições. Desde o acórdão Stauder ( 9 ), logo no início, a jurisprudência tem incluído a protecção da vida privada entre os princípios gerais de direito comunitário. Num primeiro momento, fê-lo ao abordar as obrigações de comunicar dados, como o nome ( 10 ) ou informações médicas ( 11 ), tanto a nível nacional ( 12 ) como comunitário ( 13 ). Pouco tempo depois, na década de 90, o Tribunal de Justiça reconheceu a incidência deste direito na esfera da vida privada ( 14 ) e familiar ( 15 ).

20.

No ano de 2005 deu-se uma inflexão, com a adopção da Directiva 95/46. A jurisprudência do Tribunal de Justiça nesta matéria, até então dispersa e casuística, encontrou uma estrutura mais sólida para fundamentar as suas decisões, pois a directiva delimita de forma detalhada o objecto ( 16 ), os sujeitos ( 17 ) e os possíveis recursos à disposição das pessoas singulares quando circulam informações a seu respeito ( 18 ). O décimo considerando da Directiva 95/46 reflecte a sua vocação de instrumento de protecção dos direitos fundamentais, tal como se encontram consagrados na CEDH e nos princípios gerais de direito comunitário ( 19 ). O acórdão Österreichischer Rundfunk e o. confirmou que, embora a Directiva 95/46 tenha como objectivo garantir a livre circulação dos dados, tem igualmente uma vertente importante de protecção dos direitos fundamentais ( 20 ).

21.

Em resumo, a Directiva 95/46 desenvolve o direito fundamental à vida privada na sua dimensão relativa ao tratamento automatizado dos dados pessoais ( 21 ).

22.

Como prova desta vontade de codificação, basta ver que o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia ( 22 ), dedicado à «protecção de dados pessoais», estipula que todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito, que esses dados devem ser objecto de um tratamento leal e que todas as pessoas têm o direito de aceder aos dados e de obter a sua rectificação. Apesar da precaução que convém ter no recurso à Carta ( 23 ), parece difícil ignorar o seu articulado e negar que estes princípios jurídicos fazem parte das tradições constitucionais comuns aos Estados-Membros ( 24 ). Esta consideração é reforçada pelo facto de terem decorrido mais de dez anos desde a aprovação da Directiva 95/46 e de se ter consolidado uma harmonização eficaz nesta matéria ( 25 ).

23.

O artigo 8.o da Carta destaca precisamente dois aspectos pertinentes para o litígio no processo principal. Esses dois aspectos ressaltam dos artigos 6.o e 12.o da Directiva 95/46; por um lado, a obrigação de eliminar os dados no final do período necessário para a prossecução das finalidades para que foram recolhidos [artigo 6.o, n.o 1, alínea e)] e, por outro, o direito de acesso, livremente e sem restrições, à informação sobre os destinatários a quem os dados tenham sido comunicados [artigo 12.o, alínea a)]. Como a Carta acolhe esses aspectos e os integra na substância do direito fundamental à vida privada, a questão submetida pelo Raad van State exige uma ponderação de bens e interesses para se chegar a uma resposta racional que integre essas disposições no seu correspondente quadro constitucional ( 26 ).

24.

A título preliminar, ao descrever os critérios de interpretação da Directiva 95/46, convém proceder ao estudo do aspecto teleológico da mesma, a fim de determinar o interesse predominante.

25.

O caso em apreço não diz respeito a dois direitos fundamentais, mas a dois aspectos de um mesmo direito. Diferentemente do que aconteceu em casos de conflito entre, por exemplo, o direito à honra e a liberdade de informação ou o direito à vida privada e o direito de propriedade, no caso sub iudice discutem-se duas obrigações que recaem sobre os poderes públicos: a de prever prazos para a destruição dos ficheiros com dados pessoais e a de garantir o acesso às pessoas a quem esses dados dizem respeito. Esta particularidade distingue o caso de M. Rijkeboer de outros em que o Tribunal de Justiça já proferiu uma decisão, como os processos Lindqvist ( 27 ) e Promusicae ( 28 ), nos quais o direito à vida privada colidia, respectivamente, com o direito à liberdade de religião e com o direito à propriedade ( 29 ). Aqui, pelo contrário, existe um único direito com um conflito interior, dividido entre dois entes, transformando-o numa espécie de Dr. Jekyll e Mr. Hyde, pois, como a seguir demonstro, nele a bondade coexiste com uma fria e calculada crueldade.

26.

A conservação de dados pelos responsáveis pelo seu tratamento é uma obrigação com prazo de caducidade, pois a Directiva 95/46 determina que esses dados sejam conservados apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou a que posteriormente se destinam. É com esta firmeza que o artigo 6.o assim o exprime, deixando aos Estados-Membros o estabelecimento dos prazos pertinentes em função dos sectores e das finalidades que servem de base à criação e posterior eliminação dos ficheiros. Apesar da flexibilidade que esta disposição confere a cada ordem jurídica nacional, o artigo 13.o da Directiva 95/46 permite excepções a este princípio, autorizando uma conservação mais prolongada do que o normal quando estiverem em causa interesses gerais, como a segurança do Estado, a luta contra a criminalidade ou a investigação científica.

27.

Sem fazer referência a esta circunstância, o preâmbulo da Directiva 95/46 não atribui relevância de maior aos limites para a conservação desses dados. Portanto, apenas os artigos 6.o e 12.o fazem referência a esta obrigação e, atendendo à ampla margem de apreciação que a Directiva 95/46 concede aos Estados-Membros, considero que o legislador comunitário não se concentrou neste aspecto, como fica demonstrado se cotejarmos as regras aplicáveis a este último com as que regem o direito de acesso ( 30 ).

28.

A possibilidade de a pessoa poder aceder aos dados que lhe dizem respeito e solicitar a sua rectificação, apagamento ou bloqueio é um dos aspectos essenciais da Directiva 95/46. O trigésimo oitavo e quadragésimo considerandos ilustram esta ideia, não só porque confirmam a importância do direito de acesso como também pelo nexo entre a informação de que dispõe a pessoa a quem os dados dizem respeito e o tratamento destes últimos. Com efeito, para que os poderes previstos no artigo 12.o sejam viáveis, há que ter em conta uma série de princípios fundamentais pois, de outro modo, as garantias previstas por esta disposição ficariam esvaziadas de substância. O quadragésimo primeiro considerando expressa-o claramente, ao considerar que «todas as pessoas devem poder beneficiar do direito de acesso aos dados que lhes dizem respeito e que estão em fase de tratamento, a fim de assegurarem, nomeadamente, a sua exactidão e a licitude» do seu tratamento ( 31 ). Neste ponto, fazem todo o sentido os chamados «princípios relativos à qualidade dos dados» enunciados no capítulo II, secção I, da Directiva 95/46, entre os quais figura também a obrigação de serem conservados por um período que não exceda o «necessário para a prossecução das finalidades para que foram recolhidos». A obrigação de destruir os ficheiros prende-se com a de os dados pessoais serem «objecto de um tratamento leal e lícito» e de garantir a sua qualidade, para que esta seja adequada, pertinente, não excessiva e exacta ( 32 ).

29.

Tenho consciência da dificuldade inerente à tentativa de descortinar um interesse prioritário entre os artigos 6.o e 12.o da Directiva 95/46. Há fortes razões para defender que a eliminação dos dados é a chave do sistema estabelecido pela Directiva 95/46, ao abrigo do qual se cria um direito de acesso que facilita à pessoa em causa controlar o apagamento dos dados. Do mesmo modo, o direito à protecção da vida privada consubstancia-se no artigo 12.o, pois o acesso constitui a verdadeira dimensão subjectiva da directiva que, em substância, permite ao indivíduo reagir em defesa dos seus interesses.

30.

Neste contexto, não resisto a lembrar o velho dilema sobre o ovo e a galinha. Qual deles surgiu primeiro? É possível viver perpetuamente com esta questão e admitir que nunca haverá solução, pois os dois conceitos são realidades eternas, como escrevia Aristóteles ( 33 )?

31.

Os tribunais não gozam da mesma liberdade de pensamento que o filósofo e têm de esforçar-se por dar uma resposta, mesmo que não seja a mais acertada. Por conseguinte, assim como há cientistas que tomaram posição na sempiterna batalha entre galinhas e ovos ( 34 ), sinto-me tentado a propor uma solução para o conflito entre os artigos 6.o e 12.o da Directiva 95/46.

32.

Do exposto nos n.os 29 a 35 das presentes conclusões deduzo que, na Directiva 95/46, o direito de acesso tem prioridade sobre a eliminação de dados. As disposições da directiva conferem um direito que nasce com a preparação do ficheiro e morre com a sua supressão. Por conseguinte, a supressão dos dados é apenas um momento na vida do direito de acesso, um traço que o artigo 12.o condiciona e justifica.

33.

Se aprofundarmos esta linha de raciocínio, chega-se à convicção de que o objectivo do direito de acesso é permitir que a pessoa a quem os dados dizem respeito conheça a informação que sobre ela existe. Além disso, se se colocar a questão dos objectivos das suas buscas, é possível aprofundar ainda mais este raciocínio. Muitas vezes, o titular do direito de acesso pretende investigar a licitude do tratamento dos seus dados. A Directiva 95/46 impõe aos responsáveis pelo tratamento determinados princípios para o exercício da sua função, mas reforça também os mecanismos de protecção, entre os quais figura o direito de acesso, como instrumento que permite à pessoa a quem os dados dizem respeito controlar e fazer respeitar a ordem jurídica.

34.

Assim, o artigo 12.o, como eixo do sistema de garantias da Directiva 95/46, não teria lógica se quem tiver em seu poder dados alheios não estiver sujeito a qualquer regra. Segundo a Comissão observou, com razão, na audiência, é justamente porque existem princípios de tratamento (artigo 6.o) que foi estabelecido o direito de acesso ( 35 ), que se ergue como um pilar básico da referida directiva, como decorre do seu artigo 12.o, ao insistir na expressão «sem restrições» ( 36 ). Atendendo ao carácter garantístico da Directiva 95/46, que se concentra na protecção das pessoas a quem os dados dizem respeito, é evidente que a obrigação de conservação é subsidiária da do direito de acesso. A forte vocação subjectiva da directiva e a sua intenção de proteger direitos fundamentais (neste caso, o direito à vida privada) consolidam esta ideia e colocam a um nível normativo inferior os interesses subjacentes ao artigo 6.o

35.

Este argumento é confirmado pela sistemática do artigo 8.o da Carta dos Direitos Fundamentais da União Europeia, cujo valor hermenêutico não oferece dúvida ( 37 ) e que insere o direito de acesso no n.o 1 desta disposição. Seguidamente, o n.o 2 enuncia os princípios relativos ao tratamento, mas mantendo uma ordem hierárquica na qual o direito da pessoa a quem os dados dizem respeito tem prioridade sobre as responsabilidades de quem os utiliza.

36.

Com esta perspectiva como premissa, e chamando a atenção do Tribunal de Justiça para a dimensão subjectiva da Directiva 95/46, na qual o artigo 12.o reveste especial autoridade face ao artigo 6.o, passo a analisar a questão do Raad van State.

37.

Conforme refiro nos n.os 16 e 17 das presentes conclusões, convém considerar separadamente duas hipóteses cuja aplicação depende das circunstâncias de cada caso, analisando a licitude do prazo quando, por um lado, este é mais curto do que o previsto para os dados principais e, por outro, quando o prazo para aceder aos dados do tratamento é idêntico ao dos dados principais. No primeiro caso, há que determinar se a directiva admite esta independência de vias de acesso fundada na natureza dos dados solicitados. Na segunda hipótese, surge a dificuldade de apurar a possibilidade de acesso posteriormente à supressão.

38.

Para resolver com rigor a questão do Raad van State, é indispensável determinar previamente se os prazos de eliminação devem ser aplicados de forma comum a todos os dados, incluindo os relativos ao tratamento, ou se podem ser diferenciados segundo os tipos de informação de carácter pessoal. Há uma diferença essencial que resulta das finalidades de cada categoria de informação.

39.

Na audiência, os Governos helénico e checo salientaram que cada tipo de dados tem finalidades distintas. Vale a pena explicar seguidamente as vantagens e inconvenientes deste percurso lógico, bem como as suas consequências no processo principal.

40.

A destruição dos dados pessoais visa proteger a pessoa a quem dizem respeito, pois eliminar a informação extingue qualquer risco de tratamento ilícito. O facto de a Directiva 95/46 não fixar um prazo no artigo 6.o tem uma certa lógica, pois cada ficheiro serve os seus próprios objectivos e, de acordo com o princípio da subsidiariedade, o legislador nacional está melhor colocado para decidir o tempo que têm os responsáveis pelo tratamento antes da destruição. Em contrapartida, o objectivo da eliminação dos dados relativos ao tratamento é diferente, pois não protege a pessoa a quem os dados dizem respeito, já que esta perde o rasto das informações sem exercer o direito de acesso, porque os dados relevantes já não estão na posse do responsável pelo tratamento; quem beneficia da eliminação são os terceiros que receberam os dados e cuja identidade e intenções ficam apagadas.

41.

Esta tese realça as dificuldades conceptuais latentes no caso em apreço. É claro que se pode estabelecer uma diferença entre a supressão dos dados e a dos dados relativos ao tratamento ( 38 ). Há bens jurídicos desiguais afectados e funções autónomas que a Directiva 95/46 regula separadamente. Mas, levada ao seu extremo, tal construção provoca consequências pouco desejáveis. Em primeiro lugar, a desigualdade entre as duas categorias de dados não está literalmente prevista na Directiva 95/46, uma vez que o artigo 6.o trata da eliminação dos dados in totum, ao passo que o artigo 12.o, embora enumere vários tipos de dados, fá-lo, não com um propósito de diferenciação, mas sim para dar conteúdo ao direito de acesso ( 39 ). Em segundo lugar, na sua acepção ampla, o direito de acesso está concebido para ser exercido «sem restrições». Como refiro adiante, é possível delimitar o grau de protecção deste direito em função das circunstâncias, mas a redacção do artigo 12.o exclui a possibilidade de acessos de primeira e de segunda classe. Em terceiro lugar, como salientaram na audiência a Comissão, o Reino de Espanha e o Reino Unido da Grã-Bretanha e da Irlanda do Norte, as duas categorias de dados formam uma unidade tecnológica, são habitualmente tratadas nos mesmos ficheiros e a sua gestão conjunta não envolve um encargo especialmente gravoso para os responsáveis pelo tratamento.

42.

Por conseguinte, não aceito a teoria de que os dados relativos ao tratamento têm uma vida e um regime jurídico próprios. Esta informação afecta os dados pessoais que são objecto de tratamento, uma vez que explica de que modo e em que condições foram manipulados, o que me leva a defender que esses dados são parte essencial da definição comunitária de «dados», para os efeitos do artigo 2.o, alínea a), da Directiva 95/46. Para idealizar uma resposta útil ao órgão jurisdicional de reenvio, esta afirmação tem de ser matizada à luz dos dois casos que referi nos n.os 16 e 17 das presentes conclusões.

43.

A questão apresentada pelo Raad van State parece referir-se ao seguinte caso: a legislação neerlandesa prevê um prazo prolongado para conservação dos dados pessoais, mas fixa um período mais curto, de um ano, para a supressão dos dados relativos ao tratamento. No entanto, o despacho de reenvio não indica pormenores dos dados em causa no processo principal, pelo que me aventuro a propor esta primeira resposta tendo em vista a referida hipótese.

44.

Pelos motivos expostos nos n.os 37 e 42 das presentes conclusões, entendo que a Directiva 95/46 não consagrou uma distinção entre dados de carácter pessoal e dados relativos ao tratamento. Consciente das dificuldades de conservação que implicaria aceitar essa tese, penso que o prazo de eliminação do artigo 6.o da Directiva 95/46 é o mesmo para ambas as categorias de dados. Embora o objectivo da supressão varie em função do tipo de dados, tenho dificuldade em conceber regimes divergentes baseados numa separação tão artificial, sobretudo quando está em questão um direito fundamental.

45.

Segundo refiro nos n.os 29 a 35 das presentes conclusões, o texto da directiva reconhece prioridade ao direito de acesso, ao qual se subordinam as obrigações de supressão. Para alcançar esse objectivo, tanto os dados pessoais como os relativos ao tratamento ficam mais bem tutelados se forem conservados durante um período idêntico.

46.

Em certos casos, o período de conservação é longo; mas esta duração justifica-se pelo interesse geral, o que valeria igualmente para prolongar a vida dos dados relativos ao tratamento. Quando a conservação se tornar insustentavelmente extensa devido ao uso dos ficheiros para fins históricos, estatísticos ou científicos, a Directiva 95/46 obriga os Estados-Membros a adoptar medidas específicas que adaptem o uso destes ficheiros às circunstâncias que justificam a sua conservação prolongada ( 40 ). Por conseguinte, há que definir outras medidas que garantam a protecção da pessoa a quem os dados dizem respeito, mesmo que adaptadas aos fins de natureza histórica ou cultural previstos no artigo 6.o, n.o 1, alínea e), da Directiva 95/46.

47.

Além disso, como o College refere nas suas observações escritas, que confirmou na audiência, existem outros limites para esta obrigação de conservar os dados de tratamento durante prazos comuns aos dos dados pessoais. O exemplo apresentado pelo College parece-me decisivo no que se refere à protecção das informações relativas ao terceiro que, por sua vez, seriam objecto de protecção pela Directiva 95/46, o que não significa que se deva privar totalmente dos seus direitos a pessoa a quem originalmente diziam respeito as informações comunicadas. Esta restrição implica, exclusivamente no que diz respeito aos dados pessoais do destinatário, que a pessoa a quem os dados originalmente diziam respeito está sujeita às mesmas limitações que qualquer outra pessoa a quem os dados foram transmitidos, para efeitos da Directiva 95/46.

48.

Por conseguinte, se o prazo de supressão for comum aos dados pessoais e aos relativos ao tratamento, seria desnecessário apreciar a proporcionalidade do prazo de um ano fixado pela legislação neerlandesa. Se o período de conservação dos dados pessoais fosse mais extenso do que o fixado para os dados do tratamento, a resposta à questão prejudicial terminaria.

49.

Se o contexto normativo do processo principal fosse diferente, a solução do reenvio prejudicial variaria sempre que existisse coincidência entre os prazos e se a pessoa a quem os dados dizem respeito solicitasse o acesso a uma informação já destruída.

50.

O Reino de Espanha, a República Checa e o Reino dos Países Baixos alegam que, tendo em consideração o disposto na sua alínea a), segundo travessão, o artigo 12.o estabelece o vínculo entre o acesso e a supressão prevista no artigo 6.o Segundo essa disposição, os Estados-Membros garantirão às pessoas em causa «o direito de obterem do responsável pelo tratamento a comunicação, sob forma inteligível, dos dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem dos dados». Do seu teor decorre que a Directiva 95/46 limita o direito de acesso aos dados tratados, excluindo esses pedidos de acesso quando apresentados após o final do tratamento, ou seja, depois da supressão dos dados. Esta interpretação é reforçada se compararmos as numerosas versões linguísticas, que variam na intensidade com que sublinham o carácter temporário e fixo do direito de acesso.

51.

Este argumento não convence, uma vez que, mesmo que a versão inglesa se refira aos dados «undergoing processing» ( 41 ), a versão castelhana tem um tom mais ambíguo. Reconheço que uma interpretação rigorosa do texto seria mais coerente com a obrigação de supressão prevista no artigo 6.o No entanto, não me parece que do cotejo resulte algo determinante, maxime quando existem motivos, que exponho mais adiante, para excepcionar a construção gramatical do artigo 12.o ( 42 ).

52.

Também não subscrevo a posição do Reino de Espanha, de que seria necessário acrescentar outra excepção ao artigo 12.o, que viria somar-se às do artigo 13.o da Directiva 95/46 ( 43 ). Tendo aceite que o acesso ficaria restrito aos dados objecto de tratamento em curso, o Governo espanhol considera que às condições do artigo 13.o há que acrescentar uma outra, de natureza tácita, cujo teor decorre da referida obrigação do artigo 6.o da Directiva 95/46. Esta explicação não me convence e acaba por constituir um esteio significativo da tese que pretende contrariar: se o artigo 13.o agrupa as excepções a um amplo direito de acesso, estas, como excepções que são, têm de ser interpretadas em sentido estrito. Não sendo aceitável uma excepção generosa a essas restrições, ainda mais intolerável seria criar outras categorias ex novo.

53.

Em resumo, o teor literal das disposições da Directiva 95/46 inclina-me a afastar um entendimento reducionista do direito de acesso. Estas razões não conduziriam a uma concepção unitária do prazo, já que, segundo a hierarquia interna da Directiva 95/46, o direito de acesso prima sobre a supressão. Por conseguinte, a supressão do ficheiro constitui uma restrição ao acesso, que só é lícita se forem cumpridas determinadas garantias. Por outras palavras: o exercício do direito de acesso (por exemplo, através da fixação de um prazo) só deve ser condicionado quando a pessoa a quem os dados dizem respeito estiver protegida por outros meios. Se assim não fosse, haveria prazos de supressão que seriam ilícitos por paralisarem o direito de acesso, o que não significa que deva estabelecer-se uma diferenciação entre a informação e obrigar os responsáveis a conservar eternamente os dados relativos ao tratamento. Pelo contrário, implica que o prazo de supressão deve ser alargado, de forma a garantir o acesso.

54.

Por conseguinte, defendo que o prazo de supressão também constitui uma restrição do direito previsto no artigo 12.o da Directiva 95/46. No entanto, esse período pode violar o texto da directiva se dificultar excessivamente os objectivos que esta prossegue.

55.

Em face do exposto, considero que o prazo de supressão funciona como um travão ao exercício do direito de acesso, embora haja circunstâncias em que se verifica um desfasamento entre os prazos de supressão e os de acesso. Ao utilizar o termo «desfasamento», refiro-me à possibilidade de a duração ser proporcionada para a supressão e desproporcionada para o acesso ou vice-versa. Tenho consciência das complicações práticas desta abordagem, mas essa consequência pode ocorrer num contexto muito particular, quando a pessoa em causa não foi suficientemente informada dos seus direitos.

56.

Segundo observaram a República Helénica e a Comissão, esta consequência verifica-se se existir um défice informativo que prejudique a pessoa a quem os dados dizem respeito. Para explicar este ponto, convém recordar que, nos seus artigos 10.o e 11.o, a Directiva 95/46 prevê a obrigação de notificar e exigir à pessoa em causa uma série de referências e/ou autorizações, entre as quais se inclui a informação relativa à comunicação de dados a terceiros; esta obrigação está formulada em termos vagos, conferindo a cada Estado-Membro uma ampla margem de actuação. O modo como cada ordem jurídica nacional tiver estruturado estas obrigações condiciona a resposta num caso como o presente. Nada obsta a que uma pessoa que, anteriormente à comunicação, não foi informada da identidade do destinatário dos dados ou dos prazos para exercer o direito de acesso beneficie de um nível de protecção elevado ( 44 ). Este corolário está em harmonia com o primado que a Directiva 95/46 confere ao direito subjectivo da pessoa a quem os dados dizem respeito, cuja limitação tem de ser feita de modo que, mesmo que consumada a supressão, o seu exercício seja garantido.

57.

Nalguns casos, aplicando esta doutrina, o processo leva a uma decisão impossível de executar. Se o College destruiu oficiosamente todos os dados de M. Rijkeboer anteriores ao ano precedente, a reclamação do interessado poderia cair em saco roto. É óbvio que o município de Roterdão não está em situação de dar o que já não tem. É possível que este inconveniente seja comum a outras ordens jurídicas nacionais, mas apenas por um período limitado de tempo até à adaptação da legislação não conforme com o direito comunitário. Todavia, entretanto, a pessoa em causa conserva uma salvaguarda — a da responsabilidade patrimonial do Estado por incumprimento das obrigações comunitárias. Na falta de uma execução que satisfaça plenamente a pessoa, estas normas permitem, pelo menos, uma reparação de carácter pecuniário, a cujo reconhecimento estão obrigados os órgãos jurisdicionais nacionais ( 45 ).

58.

Em suma, o caso em apreço deve ser resolvido, para utilizar uma expressão norte-americana, mediante um hard look no tocante à proporcionalidade ( 46 ), se o Raad van State verificar que houve défices de informação no processo principal. Nesses casos, é imprescindível que o prazo de supressão de dados não funcione automaticamente como barreira ao direito de acesso. O controlo da proporcionalidade deve ser efectuado ao seu maior nível de protecção tornando difícil de avalizar um prazo tão efémero como o de um ano.

59.

Face a estes antecedentes, associo-me aos que concebem a supressão e o acesso como elementos de uma única realidade e, por conseguinte, com prazos uniformes. A supressão prevista no artigo 6.o da Directiva 95/46 abrange todos os elementos de informação, incluindo as comunicações a terceiros. Consequentemente, o limite temporal para a supressão funciona também, indirectamente, como um prazo para determinar a duração do direito de acesso. Proceder a uma distinção das categorias de dados para o acesso implica estabelecer uma distinção que não se encontra na Directiva 95/46 e cuja eficácia prática, além disso, não é evidente ( 47 ).

60.

São admissíveis excepções quando exista um défice de transparência na comunicação dos seus direitos à pessoa em causa. Nesses casos, o limite para efectivar a supressão deve ser alargado, a fim de se salvaguardar o direito de acesso.

61.

A legislação neerlandesa prevê um regime especial para o tratamento dos dados pessoais por parte dos municípios, no qual sobressai, no que ao presente caso interessa, o prazo geral de um ano para a destruição dos dados. Já referi as razões pelas quais este período deve ser considerado conjuntamente, tanto para os efeitos do artigo 6.o como para os do artigo 12.o da Directiva 95/46. Convém, agora, determinar a compatibilidade do referido período com o princípio da proporcionalidade, cuja aplicabilidade é um pressuposto dos artigos referidos, pois ambos conferem sentido a um direito fundamental.

62.

Os Governos do Reino Unido, espanhol e checo procuraram justificar as dificuldades de garantir o direito de acesso quando os dados foram apagados. Por isso, não deram grande atenção ao prazo em questão; em contrapartida, o Governo helénico e o College, nas suas observações, vão mais fundo no que se refere às implicações do prazo neerlandês à luz da Directiva 95/46 e do princípio da proporcionalidade. Na opinião da República Helénica e da Comissão, este período é extremamente curto e, portanto, incompatível com a ordem jurídica comunitária. O College refugia-se na licitude do prazo, invocando as peculiaridades do sistema neerlandês, que compensa a exiguidade dos prazos com outras precauções que visam proteger a pessoa a quem os dados dizem respeito.

63.

Ao abordar a proporcionalidade do prazo nacional, convém recordar previamente algumas regras, uma vez que o Tribunal de Justiça já noutras ocasiões se debruçou sobre prazos semelhantes. Da jurisprudência pode retirar-se uma posição variável e dependente do contexto de cada caso, com um controlo mais ou menos rigoroso em função das circunstâncias ( 48 ). Quando existe uma eventual violação de direitos fundamentais, o exame do prazo para o seu exercício tem de ser meticuloso ( 49 ). No entanto, esta fiscalização depende de diversos factores.

64.

Como referi nos n.os 55 a 60 das presentes conclusões, há que ponderar o nível de informação recebido pela pessoa a quem os dados dizem respeito, durante o seu tratamento, sendo possível definir os critérios seguintes.

65.

Nos termos dos artigos 10.o e 11.o da directiva, a pessoa em causa tem direito a que lhe sejam fornecidas uma série de informações, entre as quais ressalta a identidade «dos destinatários ou categorias de destinatários dos dados […], desde que sejam necessárias tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos». As duas disposições distinguem entre os dados recolhidos junto da pessoa em causa e os que tenham outra origem, embora em ambos os casos deva ser fornecida informação sobre as comunicações de dados a terceiros.

66.

O legislador nacional dispõe de uma ampla margem no que respeita à concretização da obrigação imposta pelos artigos 10.o e 11.o da Directiva 95/46, mas a finalidade destas disposições é informar a pessoa em causa de que os seus dados foram cedidos, dando-lhe a oportunidade de, se quiser, aceder ao tratamento dos dados e controlar a sua conformidade com os princípios do artigo 6.o da Directiva 95/46. Todavia, as informações variam em cada conjuntura, incumbindo ao órgão jurisdicional de reenvio verificar se a ordem jurídica neerlandesa assim como a correspondente prática municipal respeitam o disposto nos referidos artigos 10.o e 11.o Importa saber se M. Rijkeboer foi informado da comunicação dos seus dados pessoais e de que dispunha do prazo de um ano para exercer o seu direito de acesso. Os Estados-Membros não são obrigados a notificar o prazo, pois tal não está previsto nos artigos 10.o e 11.o ( 50 ). Contudo, ao apreciar a sua duração, é muito importante averiguar se a pessoa em causa foi informada deste pormenor. Caso contrário, será difícil admitir que, na falta de mais explicações do responsável pelo tratamento, um período tão curto como um ano seja conforme com o princípio da proporcionalidade e, por conseguinte, com a Directiva 95/46.

67.

Também reveste significado especial o tipo de informação transmitida pois, como a directiva reconhece, os dados a notificar podem incluir não só a identidade dos destinatários como as «categorias de destinatários». Esta segunda opção implica que as listas fornecidas nem sempre indicam quem teve acesso aos ficheiros, deixando a pessoa em causa numa situação de desvantagem ao exercer o direito de acesso. Cabe ao órgão jurisdicional nacional determinar em que medida e em que termos M. Rijkeboer foi informado dos destinatários da comunicação dos dados e dos termos em que esta foi efectuada. Nessa análise, o controlo do prazo deve ser mais rigoroso se a identidade dos terceiros não tiver sido fornecida, já que a pessoa a quem os dados dizem respeito pode recear que o tratamento não seja conforme com os princípios do artigo 6.o

68.

Por último, seria necessário fixar algumas regras sobre o ónus da prova. M. Rijkeboer, enquanto titular de um direito fundamental, teve de recorrer a um processo judicial para saber que tratamento tiveram os seus dados pessoais ( 51 ). A conformidade com a Directiva 95/46 depende de uma série de elementos casuísticos que decorrem da própria legislação nacional e da prática da administração municipal. Ao invocar o seu direito fundamental, M. Rijkeboer teve necessidade de recorrer à via judicial, mas não deveria ter de demonstrar as insuficiências da ordem jurídica do seu país nesta matéria, pois o teor da Directiva 95/46 leva a pensar, como observei nos n.os 29 a 35 das presentes conclusões, que o direito de acesso é prioritário e que qualquer excepção deve ser apreciada com extrema cautela. Assim, visto o primado da dimensão subjectiva das normas comunitárias de protecção de dados, é ao responsável por esses dados que incumbe demonstrar que o quadro jurídico e as práticas vigentes no tratamento dos dados oferecem garantias que justificam um prazo tão curto como o de um ano para exercer o direito previsto no artigo 12.o da Directiva 95/46.

69.

Nas suas observações no presente processo prejudicial, o College deu alguns indícios a este respeito. A legislação nacional estabelece um sistema de pesos e contrapesos («checks and balances», na terminologia usada pelo College) que harmoniza o direito de acesso com determinadas salvaguardas, como as limitações de destinatários, a vinculação a fins específicos em determinados casos, a autorização prévia da pessoa em causa ou um mecanismo de supervisão a cargo de uma autoridade independente. Além disso, segundo alega o College, o interessado é notificado no prazo de um ano, tanto individual como colectivamente (através da Internet e através de folhetos à disposição da população) ( 52 ).

70.

Estou consciente das repercussões que este processo pode ter para os responsáveis dos ficheiros sujeitos à Directiva 95/46. No entanto, o valor preeminente da protecção da pessoa induz-me a conciliar a defesa dos direitos com a gestão eficaz dos ficheiros. Por conseguinte, os artigos 6.o e 12.o da Directiva 95/46 deveriam ser interpretados no sentido de que são incompatíveis com o prazo de um ano para exercer o direito de acesso ao tratamento dos dados, sempre que:

71.

Estando em causa um direito fundamental, é ao College que incumbe provar que as disposições nacionais e a prática administrativa asseguram um nível adequado de informação à pessoa em causa que lhe permita exercer, sem restrições, o seu direito de acesso.

72.

Cabe ao Raad van State, à luz dos critérios indicados e dos elementos de direito e de facto referidos, tanto neste processo prejudicial como no processo principal, aplicar os artigos 6.o e 12.o da Directiva 95/46 conforme indico nos n.os 70 e 71 das presentes conclusões.

73.

Tendo em conta todas as considerações precedentes, proponho que o Tribunal de Justiça responda à questão prejudicial submetida pelo Raad van State do seguinte modo:

«Os dados relativos ao tratamento, incluindo os respeitantes a comunicações a terceiros, são dados pessoais na acepção do artigo 2.o, alínea a), da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Para garantir o efeito útil da Directiva 95/46, o prazo de eliminação aplicável aos dados relativos ao tratamento coincide com o previsto para os dados pessoais, sem prejuízo dos direitos e obrigações que da referida directiva resultam para os terceiros a quem os dados foram comunicados.

Os artigos 6.o e 12.o da Directiva 95/46 são incompatíveis com o prazo de um ano para exercer o direito de acesso ao tratamento, sempre que:

É ao responsável pelo tratamento dos dados que incumbe provar que as disposições nacionais e a prática administrativa asseguram um nível adequado de informação à pessoa em causa que lhe permita exercer, sem restrições, o seu direito de acesso.»