–

em representação do Governo letão, inicialmente por V. Soņeca e K. Pommere, e em seguida por K. Pommere, na qualidade de agentes,

–

em representação do Governo neerlandês, por K. Bulterman e M. Noort, na qualidade de agentes,

–

em representação do Governo austríaco, por J. Schmoll e G. Kunnert, na qualidade de agentes,

–

em representação do Governo português, por L. Inez Fernandes, P. Barros da Costa, A. C. Guerra e I. Oliveira, na qualidade de agentes,

–

em representação do Governo sueco, por C. Meyer‑Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld, M. Salborn Hodgson, O. Simonsson e J. Lundberg, na qualidade de agentes,

–

em representação da Comissão Europeia, por D. Nardi, H. Kranenborg e I. Rubene, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 5.o, 6.o e 10.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»), do artigo 1.o, n.o 2, alínea c‑C), da Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa à reutilização de informações do setor público (JO 2003, L 345, p. 90), conforme alterada pela Diretiva 2013/37/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013 (JO 2013, L 175, p. 1) (a seguir «Diretiva 2003/98»), bem como dos princípios do primado do direito da União e da segurança jurídica.

2

Este pedido foi apresentado no âmbito de um processo instaurado por B a respeito da legalidade de uma legislação nacional que prevê o acesso do público aos dados pessoais relativos aos pontos de penalização por infrações rodoviárias.

3

A Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), foi revogada, com efeitos a partir de 25 de maio de 2018, pelo RGPD. O artigo 3.o desta diretiva, sob a epígrafe «Âmbito de aplicação», tinha a seguinte redação:

«1.   A presente diretiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

2.   A presente diretiva não se aplica ao tratamento de dados pessoais:

[…]»

4

Os considerandos 1, 4, 10, 16, 19, 39, 50 e 154 do RGPD enunciam:

[…]

[…]

[…]

[…]

[…]

[…]

[…]

5

O artigo 1.o deste regulamento, sob a epígrafe «Objeto e objetivos», dispõe:

«1.   O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2.   O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

3.   A livre circulação de dados pessoais no interior da União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.»

6

O artigo 2.o do referido regulamento, sob a epígrafe «Âmbito de aplicação material», prevê, nos seus n.os 1 e 2:

«1.   O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2.   O presente regulamento não se aplica ao tratamento de dados pessoais:

7

Nos termos do artigo 4.o do mesmo regulamento, sob a epígrafe «Definições»:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]»

8

O artigo 5.o do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», estabelece:

«1.   Os dados pessoais são:

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

9

O artigo 6.o deste regulamento, sob a epígrafe «Licitude do tratamento», prevê, no seu n.o 1:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

10

O artigo 10.o do referido regulamento, sob a epígrafe «Tratamento de dados pessoais relacionados com condenações penais e infrações», dispõe:

«O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.o, n.o 1, só é efetuado sob o controlo de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados. Os registos completos das condenações penais só são conservados sob o controlo das autoridades públicas.»

11

O artigo 51.o do mesmo regulamento, sob a epígrafe «Autoridade de controlo», estabelece, no seu n.o 1:

«Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (a seguir denominada “autoridade de controlo”).»

12

O artigo 85.o do RGPD, sob a epígrafe «Tratamento e liberdade de expressão e de informação», dispõe, no seu n.o 1:

«Os Estados‑Membros conciliam por lei o direito à proteção de dados pessoais nos termos do presente regulamento com o direito à liberdade de expressão e de informação, incluindo o tratamento para fins jornalísticos e para fins de expressão académica, artística ou literária.»

13

O artigo 86.o deste regulamento, sob a epígrafe «Tratamento e acesso do público aos documentos oficiais», prevê:

«Os dados pessoais que constem de documentos oficiais na posse de uma autoridade pública ou de um organismo público ou privado para a prossecução de atribuições de interesse público podem ser divulgados pela autoridade ou organismo nos termos do direito da União ou do Estado‑Membro que for aplicável à autoridade ou organismo público, a fim de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais nos termos do presente regulamento.»

14

Nos termos do artigo 87.o do referido regulamento, sob a epígrafe «Tratamento do número de identificação nacional»:

«Os Estados‑Membros podem determinar em pormenor as condições específicas aplicáveis ao tratamento de um número de identificação nacional ou de qualquer outro elemento de identificação de aplicação geral. Nesse caso, o número de identificação nacional ou qualquer outro elemento de identificação de aplicação geral é exclusivamente utilizado mediante garantias adequadas dos direitos e liberdades do titular dos dados nos termos do presente regulamento.»

15

O artigo 94.o do mesmo regulamento dispõe:

«1.   A Diretiva [95/46] é revogada com efeitos a partir de 25 de maio de 2018.

2.   As remissões para a diretiva revogada são consideradas remissões para [o] presente regulamento. […]»

16

Os considerandos 10, 11 e 13 da Diretiva 2016/680 enunciam:

[…]

17

O artigo 3.o desta diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

[…]

7.   “Autoridade competente”:

[…]».

18

Nos termos do considerando 21 da Diretiva 2003/98:

«A presente diretiva deve ser aplicada e executada no pleno cumprimento dos princípios relativos à proteção de dados pessoais, nos termos da Diretiva [95/46].»

19

O artigo 1.o da Diretiva 2003/98, sob a epígrafe «Objeto e âmbito de aplicação», prevê o seguinte:

«1.   A presente diretiva estabelece um conjunto mínimo de regras aplicáveis à reutilização e aos meios práticos de facilitar a reutilização de documentos na posse de organismos do setor público dos Estados‑Membros.

2.   A presente diretiva não é aplicável a:

[…]

[…]

3.   A presente diretiva baseia‑se nos regimes de acesso dos Estados‑Membros e é aplicável sem seu prejuízo.

4.   A presente diretiva não modifica, nem de modo algum afeta o nível de proteção dos indivíduos relativamente ao processamento de dados pessoais nos termos das disposições de direito nacional e da União, nem altera, em particular, as obrigações e direitos estabelecidos na Diretiva [95/46].

[…]».

20

O artigo 96.o da Latvijas Republikas Satversme (Constituição da República da Letónia, a seguir «Constituição letã») dispõe:

«Todas as pessoas têm direito ao respeito pela sua vida privada, pelo seu domicílio e pela sua correspondência.»

21

Segundo o artigo 1.o, n.o 5, da Informācijas atklātības likums (Lei da Liberdade de Informação), de 29 de outubro de 1998 (Latvijas Vēstnesis, 1998, n.o 334/335), a reutilização consiste na utilização de informações acessíveis ao público, detidas e criadas por uma autoridade para fins comerciais ou não comerciais diferentes do objetivo inicial para o qual foram criadas, se essa utilização for efetuada por um particular e não se enquadrar no exercício de funções de poder público.

22

Em conformidade com o artigo 4.o desta lei, as informações acessíveis ao público são as que não fazem parte da categoria das informações de acesso restrito.

23

O artigo 5.o da referida lei prevê, no seu n.o 1, que as informações são de acesso restrito quando se destinem a um grupo limitado de pessoas para efeitos do desempenho das suas funções ou das suas obrigações profissionais e quando a divulgação ou a perda dessas informações, pela sua natureza e conteúdo, obste ou possa obstar às atividades de uma autoridade, prejudique ou possa prejudicar os interesses legalmente protegidos dessas pessoas. Este artigo sublinha, no seu n.o 2, que as informações são consideradas informações de acesso restrito quando, nomeadamente, a lei o prevê, e determina com precisão, no seu n.o 6, que as informações já publicadas não podem ser consideradas informações de acesso restrito.

24

Segundo o artigo 10.o, n.o 3, da mesma lei, as informações acessíveis ao público podem ser fornecidas mediante pedido, não estando o requerente obrigado a justificar especificamente o seu interesse em obter essas informações e não lhe podendo o acesso às mesmas ser recusado com o fundamento de que não lhe dizem respeito.

25

O artigo 14.o1 do Ceļu satiksmes likums (Lei da Circulação Rodoviária), de 1 de outubro de 1997 (Latvijas Vēstnesis, 1997, n.o 274/276), na sua versão aplicável ao litígio no processo principal (a seguir «Lei da Circulação Rodoviária»), sob a epígrafe «Acesso às informações conservadas no registo nacional de veículos e condutores […]», enuncia, no seu n.o 2:

«A informação relativa […] ao direito de conduzir veículos automóveis, às coimas pelas infrações rodoviárias aplicadas a uma pessoa e não pagas nos prazos previstos na lei e restante informação inscrita no registo nacional de veículos e condutores […] é considerada informação acessível ao público.»

26

O artigo 43.o1 da Lei da Circulação Rodoviária, sob a epígrafe «Sistema de pontos de penalização», dispõe, no seu n.o 1:

«Com o objetivo de influenciar o comportamento dos condutores de veículos, promovendo uma condução segura e o cumprimento da regulamentação rodoviária, bem como com o objetivo de minimizar os riscos para a vida, a saúde e a propriedade das pessoas, as infrações administrativas cometidas pelos condutores de veículos são inscritas no registo de condenações e os pontos de penalização são inscritos no registo nacional de veículos e condutores.»

27

Em conformidade com os pontos 1 e 4 do Ministru kabineta noteikumi Nr. 551 «Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi» (Decreto n.o 551 do Conselho de Ministros, relativo às Regras de Execução do Sistema dos Pontos de Penalização), de 21 de junho de 2004 (Latvijas Vēstnesis, 2004, n.o 102), os pontos de penalização por infrações administrativas em matéria de circulação rodoviária cometidas pelos condutores de veículos são automaticamente registados no dia em que termina o prazo de interposição de recurso da decisão que aplica uma sanção administrativa.

28

Segundo o ponto 7 deste decreto, os pontos de penalização são retirados quando prescrevem.

29

Nos termos do ponto 12 do referido decreto, em função do número de pontos de penalização, podem ser aplicadas aos condutores medidas como advertências, formações ou exames em matéria de segurança rodoviária, ou uma proibição do exercício do direito de conduzir veículos por um período determinado.

30

Como resulta do artigo 32.o, n.o 1, do Satversmes tiesas likums (Lei do Tribunal Constitucional), de 5 de junho de 1996 (Latvijas Vēstnesis, 1996, n.o 103), um acórdão do Latvijas Republikas Satversmes tiesa (Tribunal Constitucional, Letónia) transita em julgado no momento da sua prolação. Em conformidade com o artigo 32.o, n.o 3, desta lei, uma disposição legal que o Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) tenha declarado não conforme com uma norma jurídica superior é considerada nula a contar da data da publicação do acórdão desse órgão jurisdicional, a menos que este decida em contrário.

31

B é uma pessoa singular a quem foram aplicados pontos de penalização pela prática de uma ou várias infrações rodoviárias. Em conformidade com a Lei da Circulação Rodoviária e com o Decreto n.o 551, de 21 de junho de 2004, a Ceļu satiksmes drošības direkcija (Direção da Segurança Rodoviária, Letónia) (a seguir «CSDD») registou esses pontos de penalização no registo nacional de veículos e condutores.

32

Uma vez que as informações relativas aos referidos pontos de penalização contidas nesse registo estavam acessíveis ao público e que, além disso, segundo B, foram comunicadas, para efeitos de reutilização, a vários operadores económicos, B interpôs um recurso constitucional no Latvijas Republikas Satversmes tiesa (Tribunal Constitucional), para que este examinasse a conformidade do artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária com o direito fundamental ao respeito pela vida privada, enunciado no artigo 96.o da Constituição letã.

33

O Latvijas Republikas Saeima (Parlamento da República da Letónia, a seguir «Parlamento letão») participou no processo enquanto instituição que aprovou a Lei da Circulação Rodoviária. Por outro lado, foi ouvida a CSDD, que procede ao tratamento dos dados relativos aos pontos de penalização por infrações rodoviárias, tal como a Datu valsts inspekcija (Autoridade para a Proteção de Dados), que, na Letónia, é a autoridade de controlo na aceção do artigo 51.o do RGPD, bem como várias outras autoridades e pessoas.

34

No âmbito do recurso no processo principal, o Parlamento letão confirmou que, nos termos do artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária, qualquer pessoa pode obter informações relativas aos pontos de penalização aplicados a outra pessoa, quer informando‑se diretamente junto da CSDD, quer recorrendo aos serviços prestados por reutilizadores comerciais.

35

Sublinhou que esta disposição é lícita, uma vez que é justificada pelo objetivo de melhoria da segurança rodoviária. Este interesse geral exige que os infratores ao Código da Estrada, em especial os que o violam de forma sistemática e de má‑fé, sejam abertamente identificados e que os condutores de veículos sejam, através dessa transparência, dissuadidos de cometer infrações.

36

Por outro lado, a referida disposição justifica‑se pelo direito de acesso à informação, previsto na Constituição letã.

37

O Parlamento letão precisou que, na prática, as informações contidas no registo nacional de veículos e condutores são comunicadas desde que o requerente da informação indique o número de identificação nacional do condutor sobre o qual pretende obter informações. Este requisito prévio para a obtenção da informação explica‑se pelo facto de, contrariamente ao nome da pessoa, que pode ser idêntico ao de outras pessoas, o número de identificação nacional ser um identificador único.

38

Por sua vez, a CSDD observou que o artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária não impõe limites ao acesso do público aos dados relativos aos pontos de penalização nem à reutilização desses dados. No que respeita aos contratos que celebra com os reutilizadores comerciais, a CSDD sublinhou que esses contratos não preveem a transferência jurídica dos dados e que os reutilizadores devem garantir que as informações transmitidas aos seus clientes não excedem as que podem ser obtidas junto da CSDD. Além disso, no âmbito desses contratos, o adquirente comprova que irá utilizar as informações obtidas em conformidade com os objetivos indicados no contrato e no respeito pela regulamentação em vigor.

39

Quanto à Datu valsts inspekcija (Autoridade para a Proteção de Dados), esta manifestou dúvidas quanto à conformidade do artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária com o artigo 96.o da Constituição letã, que estabelece o direito ao respeito pela vida privada. Na sua opinião, a importância e o objetivo do tratamento efetuado com base na disposição em causa no processo principal não estão claramente demonstrados, pelo que não está excluída a possibilidade de esse tratamento poder ser inadequado ou desproporcionado. Com efeito, embora as estatísticas relativas aos acidentes de viação na Letónia revelem uma redução do número de acidentes, não está, no entanto, demonstrado que o sistema dos pontos de penalização e o acesso do público às informações relativas a esse sistema tenham contribuído para essa evolução favorável.

40

O Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) declara, em primeiro lugar, que o recurso diz respeito ao artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária apenas na medida em que esta disposição torna acessíveis ao público os pontos de penalização inscritos no registo nacional de veículos e condutores.

41

O referido órgão jurisdicional salienta, em seguida, que os pontos de penalização são dados pessoais e que, no âmbito da apreciação do direito ao respeito pela vida privada previsto no artigo 96.o da Constituição letã, há que ter em conta o RGPD e, mais genericamente, o artigo 16.o TFUE e o artigo 8.o da Carta.

42

No que respeita aos objetivos da regulamentação letã em matéria de circulação rodoviária, o referido órgão jurisdicional indica que é, nomeadamente, para promover a segurança rodoviária que as infrações cometidas pelos condutores, que na Letónia são qualificadas de infrações administrativas, são inscritas no registo de condenações e que os pontos de penalização são inscritos no registo nacional de veículos e condutores.

43

No que respeita, em especial, ao registo nacional de veículos e condutores, o mesmo permite conhecer o número de infrações rodoviárias cometidas e aplicar medidas em função desse número. O sistema de pontos de penalização inscritos nesse registo visa, assim, melhorar a segurança rodoviária ao permitir, por um lado, distinguir os condutores de veículos que violam as regras da circulação rodoviária de forma sistemática e de má‑fé dos condutores que cometem infrações ocasionalmente. Por outro lado, um tal sistema é igualmente suscetível de influenciar preventivamente o comportamento dos utentes da estrada, incitando‑os a respeitar a regulamentação rodoviária.

44

O mesmo órgão jurisdicional observa que é dado assente que o artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária confere a qualquer pessoa o direito de solicitar e obter por parte da CSDD as informações contidas no registo nacional de veículos e condutores no que respeita aos pontos de penalização aplicados aos condutores. Confirma, a este respeito que, na prática, essas informações são fornecidas à pessoa que as solicita a partir do momento em que esta indica o número de identificação nacional do condutor em causa.

45

Em seguida, o Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) esclarece que os pontos de penalização, atendendo à sua classificação de informações acessíveis ao público, estão abrangidos pelo âmbito de aplicação da Lei da Liberdade de Informação e podem, portanto, ser reutilizados para fins comerciais ou não comerciais diferentes do objetivo inicial para o qual as informações foram criadas.

46

Para interpretar e aplicar o artigo 96.o da Constituição letã em conformidade com o direito da União, esse órgão jurisdicional pretende saber, em primeiro lugar, se as informações relativas aos pontos de penalização se enquadram nas informações previstas no artigo 10.o do RGPD, isto é, nos «dados pessoais relacionados com condenações penais e infrações». Em caso afirmativo, se se pode considerar que o artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária viola o requisito constante do referido artigo 10.o, segundo o qual o tratamento de dados nele previsto só pode ter lugar «sob o controlo da autoridade pública» ou desde que existam «garantias adequadas para os direitos e liberdades dos titulares dos dados».

47

O referido órgão jurisdicional observa que o artigo 8.o, n.o 5, da Diretiva 95/46, que deixava ao critério de cada Estado‑Membro apreciar se havia que estender as regras específicas em matéria de dados relativamente às infrações e condenações penais aos dados relativos às infrações e sanções administrativas, foi aplicado na Letónia, a partir de 1 de setembro de 2007, de modo que os dados pessoais relativos às infrações administrativas, à semelhança dos dados relativos às infrações e às condenações penais, só podiam ser objeto de tratamento pelas pessoas e nos casos previstos na lei.

48

Por outro lado, o referido órgão jurisdicional sublinha que o alcance do artigo 10.o do RGPD deve, em conformidade com o considerando 4 deste regulamento, ser apreciado tomando em consideração a função dos direitos fundamentais na sociedade. Ora, neste contexto, o objetivo de evitar que uma condenação anterior de uma pessoa tenha um impacto excessivamente negativo na sua vida privada e profissional pode aplicar‑se tanto no que respeita às condenações penais como às infrações administrativas. No mesmo contexto, há que tomar em consideração a jurisprudência do Tribunal Europeu dos Direitos do Homem sobre a equiparação de certos processos administrativos a processos penais.

49

O Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) interroga‑se, em segundo lugar, sobre o alcance do artigo 5.o do RGPD. Interroga‑se, em especial, sobre a questão de saber se o legislador letão cumpriu a obrigação, enunciada no n.o 1, alínea f), deste artigo, de tratar os dados pessoais com «integridade e confidencialidade». Observa que o artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária, que, ao facultar o acesso às informações sobre os pontos de penalização, permite saber se uma pessoa foi condenada por uma infração rodoviária, não foi acompanhado de medidas específicas que garantam a segurança desses dados.

50

Em terceiro lugar, esse órgão jurisdicional pretende saber se a Diretiva 2003/98 é pertinente para apreciar a compatibilidade do artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária com o direito ao respeito pela vida privada. Com efeito, resulta desta diretiva que a reutilização de dados pessoais só pode ser autorizada no respeito pelo referido direito.

51

Em quarto lugar, à luz da jurisprudência do Tribunal de Justiça segundo a qual a interpretação do direito da União feita nas decisões prejudiciais produz efeitos erga omnes e ex tunc, o referido órgão jurisdicional interroga‑se sobre a questão de saber se, em caso de incompatibilidade do artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária com o artigo 96.o da Constituição letã, lido à luz do RGPD e da Carta, pode, não obstante, manter os efeitos no tempo do referido artigo 14.o1, n.o 2, até à data da prolação do seu acórdão, tendo em conta o elevado número de relações jurídicas em causa.

52

A este respeito, a Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) refere que, segundo o direito letão, um ato que declare inconstitucional deve ser considerado nulo a contar do dia da prolação do seu acórdão, a menos que decida em contrário. Explica que, a este respeito, deve assegurar um equilíbrio entre, por um lado, o princípio da segurança jurídica e, por outro, os direitos fundamentais dos diferentes interessados.

53

Nestas circunstâncias, o Latvijas Republikas Satversmes tiesa (Tribunal Constitucional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

54

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 10.o do RGPD deve ser interpretado no sentido de que se aplica ao tratamento de dados pessoais relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias, que consiste na divulgação ao público desses dados.

55

Nos termos do artigo 10.o do RGPD, o tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.o, n.o 1, só é efetuado sob o controlo de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados.

56

Assim, a título preliminar, importa verificar se as informações relativas aos pontos de penalização comunicadas a terceiros nos termos da regulamentação em causa no processo principal constituem «dados pessoais», na aceção do artigo 4.o, ponto 1, do RGPD, e se a referida comunicação constitui um «tratamento» desses dados, na aceção deste artigo 4.o, ponto 2, deste regulamento, abrangido pelo seu âmbito de aplicação material, conforme definido pelo artigo 2.o deste.

57

A este respeito, há que observar, em primeiro lugar, que resulta da decisão de reenvio que a legislação letã prevê a aplicação de pontos de penalização aos condutores de veículos que tenham cometido uma infração rodoviária e aos quais tenha sido aplicada uma sanção pecuniária ou outra. Esses pontos são inscritos por um organismo público, a CSDD, no registo nacional de veículos e condutores no dia em que termina o prazo de interposição de recurso da decisão que aplica essa sanção.

58

Resulta igualmente da referida decisão que as infrações rodoviárias e as sanções destinadas a puni‑las são reguladas, na Letónia, pelo direito administrativo e que a aplicação de pontos de penalização não tem por objeto aplicar uma sanção suplementar, mas sensibilizar os condutores em causa, incitando‑os a adotar um modo de condução mais seguro. Quando atingido um determinado número de pontos de penalização, a pessoa em causa pode ser proibida de conduzir por um período determinado.

59

Resulta também desta decisão que a legislação em causa no processo principal obriga a CSDD a comunicar as informações relativas aos pontos de penalização aplicados a um determinado condutor a qualquer pessoa que solicite o acesso a essas informações. Para o efeito, a CSDD limita‑se a exigir ao requerente das referidas informações que identifique devidamente o condutor em causa fornecendo o respetivo número de identificação nacional.

60

Assim, há que concluir que as informações relativas aos pontos de penalização, que dizem respeito a uma pessoa singular identificada, são «dados pessoais», na aceção do artigo 4.o, ponto 1, do RGPD, e que a sua comunicação pela CSDD a terceiros constitui um «tratamento», na aceção do artigo 4.o, ponto 2, do RGPD.

61

Em segundo lugar, cabe observar que a comunicação destas informações está compreendida na definição muito ampla do âmbito de aplicação material do RGPD, conforme enunciada no seu artigo 2.o, n.o 1, e não figura entre os tratamentos de dados pessoais que o artigo 2.o, n.o 2, alíneas a) e d), do RGPD exclui desse âmbito de aplicação.

62

Com efeito, no que respeita, por um lado, ao artigo 2.o, n.o 2, alínea a), do RGPD, este prevê que este regulamento não se aplica ao tratamento de dados pessoais efetuado «no exercício de atividades não sujeitas à aplicação do direito da União». Esta exceção à aplicabilidade do RGPD deve, à semelhança das outras exceções previstas no seu artigo 2.o, n.o 2, ser objeto de interpretação estrita (v., neste sentido, Acórdãos de 9 de julho de 2020, Land Hessen, C‑272/19, EU:C:2020:535, n.o 68, e de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 84).

63

A este respeito, há que interpretar o artigo 2.o, n.o 2, alínea a), deste regulamento em conjugação com o seu artigo 2.o, n.o 2, alínea b), e o seu considerando 16, que precisa que o referido regulamento não se aplica ao tratamento de dados pessoais no contexto de «atividades que se encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a segurança nacional» e «atividades relacionadas com a política externa e de segurança comum da União».

64

Daqui resulta que o artigo 2.o, n.o 2, alíneas a) e b), do RGPD se inscreve parcialmente na continuidade ao artigo 3.o, n.o 2, primeiro travessão, da Diretiva 95/46. Daqui resulta que o artigo 2.o, n.o 2, alíneas a) e b), do RGPD não pode ser interpretado no sentido de que dispõe de um alcance mais amplo do que a exceção que decorre do artigo 3.o, n.o 2, primeiro travessão, da Diretiva 95/46, que já excluía do âmbito de aplicação desta diretiva, nomeadamente, o tratamento de dados pessoais efetuado no quadro de «atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado [UE, na sua versão anterior ao Tratado de Lisboa], e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado […]».

65

Ora, como o Tribunal de Justiça declarou reiteradamente, só os tratamentos de dados pessoais efetuados no âmbito de uma atividade própria dos Estados ou das autoridades estatais e expressamente mencionada no referido artigo 3.o, n.o 2, ou no âmbito de uma atividade que possa ser classificada na mesma categoria, estavam excluídos do âmbito de aplicação da referida diretiva (v., neste sentido, Acórdãos de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.os 42 a 44; de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.os 36 e 37; e de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 38).

66

Daqui resulta que se deve considerar que o artigo 2.o, n.o 2, alínea a), do RGPD, lido à luz do considerando 16 deste regulamento, tem por único objetivo excluir do âmbito de aplicação do referido regulamento os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria, pelo que o simples facto de uma atividade ser própria do Estado ou de uma autoridade pública não é suficiente para que essa exceção seja automaticamente aplicável a tal atividade (v., neste sentido, Acórdão de 9 de julho de 2020, Land Hessen, C‑272/19, EU:C:2020:535, n.o 70).

67

As atividades que têm por finalidade preservar a segurança nacional, referidas no artigo 2.o, n.o 2, alínea a), do RGPD, abrangem em especial, como também salientou, em substância, o advogado‑geral nos n.os 57 e 58 das suas conclusões, as que têm por objeto proteger as funções essenciais do Estado e os interesses fundamentais da sociedade.

68

Ora, as atividades relacionadas com a segurança rodoviária não prosseguem tal objetivo e não podem, por conseguinte, ser classificadas na categoria das atividades que têm por finalidade a preservação da segurança nacional, referidas no artigo 2.o, n.o 2, alínea a), do RGPD.

69

Por outro lado, no que respeita ao artigo 2.o, n.o 2, alínea d), do RGPD, o mesmo prevê que este regulamento não se aplica ao tratamento de dados pessoais efetuado «pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública». Como resulta do considerando 19 do referido regulamento, esta exceção é motivada pelo facto de o tratamento de dados pessoais efetuado para esses efeitos e pelas autoridades competentes ser regulado por um ato mais específico da União, a saber, a Diretiva 2016/680, que foi adotada no mesmo dia que o RGPD e que define, no seu artigo 3.o, n.o 7, o que se deve entender por «autoridade competente», devendo essa definição ser aplicada, por analogia, ao artigo 2.o, n.o 2, alínea d).

70

Resulta do considerando 10 da Diretiva 2016/680 que o conceito de «autoridade competente» deve ser entendido em correlação com a proteção dos dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial, tendo em conta as adaptações que se podem revelar necessárias, a este respeito, atendendo à especificidade dos domínios em causa. Além disso, o considerando 11 desta diretiva precisa que o RGPD se aplica ao tratamento de dados pessoais efetuado por uma «autoridade competente», na aceção do artigo 3.o, n.o 7, da referida diretiva, mas para efeitos que não sejam os nela previstos.

71

Tendo em conta os elementos de que o Tribunal de Justiça dispõe, não se afigura que, no exercício das atividades em causa no processo principal, que consistem em comunicar ao público, com um objetivo de segurança rodoviária, dados pessoais relativos aos pontos de penalização, a CSDD possa ser considerada uma «autoridade competente», na aceção do artigo 3.o, n.o 7, da Diretiva 2016/680, e, por conseguinte, que essas atividades possam estar abrangidas pela exceção prevista no artigo 2.o, n.o 2, alínea d), do RGPD.

72

Por conseguinte, a comunicação pela CSDD dos dados pessoais relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias é abrangida pelo âmbito de aplicação material do RGPD.

73

Quanto à aplicabilidade do artigo 10.o do RGPD a essa comunicação, trata‑se de saber se as informações assim comunicadas constituem dados pessoais «relacionados com condenações penais e infrações ou com medidas de segurança conexas», na aceção desta disposição, cujo tratamento «só é efetuado sob o controlo de uma autoridade pública», exceto se «for autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados».

74

A este respeito, importa recordar que o referido artigo 10.o visa assegurar uma maior proteção contra tratamentos que, devido à sensibilidade específica destes dados, podem constituir uma ingerência especialmente grave nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, garantidos pelos artigos 7.o e 8.o da Carta [v., neste sentido, Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, EU:C:2019:773, n.o 44].

75

Com efeito, uma vez que os dados a que se refere o artigo 10.o do RGPD dizem respeito a comportamentos que suscitam desaprovação social, a concessão de acesso a esses dados pode estigmatizar a pessoa em causa e constituir assim uma ingerência grave na sua vida privada ou profissional.

76

É verdade que, no caso em apreço, as decisões das autoridades letãs que visam punir as infrações rodoviárias estão, como sublinhou o Governo letão nas respostas às questões colocadas pelo Tribunal de Justiça, inscritas no registo de condenações, ao qual o público só tem acesso em casos limitados, e não no registo de veículos e condutores, a que o artigo 14.o1, n.o 2, da Lei da Circulação Rodoviária dá livre acesso. No entanto, como sublinhou o órgão jurisdicional de reenvio, a comunicação pela CSDD dos dados pessoais relativos aos pontos de penalização e inscritos neste último registo permite ao público saber se uma determinada pessoa cometeu infrações rodoviárias e, em caso afirmativo, daí deduzir a gravidade e a frequência dessas infrações. Tal regime de comunicação de pontos de penalização equivale, portanto, a dar acesso a dados pessoais relativos às infrações rodoviárias.

77

Para determinar se esse acesso constitui um tratamento de dados pessoais relativos a «infrações», na aceção do artigo 10.o do RGPD, importa observar, em primeiro lugar, que este conceito remete exclusivamente para as infrações penais, como resulta nomeadamente da génese do RGPD. Com efeito, apesar de o Parlamento Europeu ter proposto incluir expressamente nessa disposição os termos «sanções administrativas» (JO 2017, C 378, p. 430), esta proposta não foi acolhida. Esta circunstância é tanto mais relevante quanto o facto de a disposição que precedeu o artigo 10.o do RGPD, isto é, o artigo 8.o, n.o 5, da Diretiva 95/46, que se referia, no seu primeiro parágrafo, às «infrações» e às «condenações penais», dar aos Estados‑Membros, no seu segundo parágrafo, a possibilidade de «estabelecer que o tratamento de dados relativos a sanções administrativas [fique] igualmente sujeito ao controlo das autoridades públicas». Assim, resulta claramente de uma leitura global deste artigo 8.o, n.o 5, que o conceito de «infração» se referia unicamente às infrações penais.

78

Nestas circunstâncias, há que considerar que o legislador da União, ao não incluir deliberadamente o adjetivo «administrativo» no artigo 10.o do RGPD, pretendeu reservar a proteção acrescida prevista nesta disposição apenas ao domínio penal.

79

Como salientou o advogado‑geral nos n.os 74 a 77 das suas conclusões, esta interpretação é corroborada pelo facto de várias versões linguísticas do artigo 10.o do RGPD fazerem expressa referência às «infrações penais», como as versões em língua alemã (Straftaten), espanhola (infracciones penales), italiana (reati), lituana (nusikalstamas veikas), maltesa (reati) e neerlandesa (strafbare feiten).

80

Em segundo lugar, o facto de na Letónia as infrações rodoviárias serem consideradas infrações administrativas não é determinante para apreciar se estão compreendidas no artigo 10.o do RGPD.

81

A este respeito, há que recordar que os termos de uma disposição do direito da União que não comporte uma remissão expressa para o direito dos Estados‑Membros para determinar o seu sentido e o seu alcance devem, em princípio, ser interpretados de modo autónomo e uniforme em toda a União Europeia (Acórdãos de 19 de setembro de 2000, Linster, C‑287/98, EU:C:2000:468, n.o 43, e de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 47).

82

No caso em apreço, há que começar por salientar que o RGPD não contém nenhuma remissão para os direitos nacionais no que respeita ao alcance dos termos que figuram no seu artigo 10.o, nomeadamente os termos «infrações» e «condenações penais».

83

Em seguida, resulta do considerando 10 do RGPD que este visa contribuir para a realização de um espaço de liberdade, segurança e justiça, assegurando um nível coerente e elevado de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, o que pressupõe que esse nível de proteção seja equivalente e homogéneo em todos os Estados‑Membros. Ora, seria contrário a essa finalidade que a proteção acrescida prevista nessa disposição só fosse aplicável ao tratamento de dados pessoais relativos às infrações rodoviárias em certos Estados‑Membros e não noutros, pelo simples facto de essas infrações não serem qualificadas de penais nestes últimos Estados‑Membros.

84

Por último, como salientou o advogado‑geral no n.o 84 das suas conclusões, esta constatação é corroborada pelo considerando 13 da Diretiva 2016/680, que indica que «o conceito de infração penal, na aceção [desta] diretiva, deverá ser um conceito autónomo do direito da União, tal como interpretado pelo Tribunal de Justiça da União Europeia».

85

Daqui resulta que o conceito de «infração penal», decisivo para determinar o âmbito de aplicação do artigo 10.o do RGPD aos dados pessoais relativos às infrações rodoviárias, como as que estão em causa no processo principal, requer, em toda a União, uma interpretação autónoma e uniforme, que deve ser procurada tendo em conta o contexto da disposição em que se insere e o objetivo prosseguido por essa disposição, sem que seja determinante a este respeito a qualificação dada pelo Estado‑Membro em causa a essas infrações, podendo essa qualificação variar de país para país (v., neste sentido, Acórdão de 14 de novembro de 2013, Baláž, C‑60/12, EU:C:2013:733, n.os 26 e 35).

86

Em terceiro lugar, há que examinar se as infrações rodoviárias, como as que dão lugar à inscrição, no registo de veículos e condutores, dos pontos de penalização cuja comunicação a terceiros está prevista na disposição controvertida, constituem uma «infração penal», na aceção do artigo 10.o do RGPD.

87

Segundo a jurisprudência do Tribunal de Justiça, são pertinentes três critérios para apreciar o caráter penal de uma infração. O primeiro é a qualificação jurídica da infração no direito interno, o segundo, a própria natureza da infração e, o terceiro, o grau de severidade da sanção suscetível de ser aplicada ao interessado (v., neste sentido, Acórdãos de 5 de junho de 2012, Bonda, C‑489/10, EU:C:2012:319, n.o 37; de 20 de março de 2018, Garlsson Real Estate e o., C‑537/16, EU:C:2018:193, n.o 28; e de 2 de fevereiro de 2021, Consob, C‑481/19, EU:C:2021:84, n.o 42).

88

Mesmo para infrações que o direito nacional não qualifica de «penais», tal caráter pode, no entanto, decorrer da própria natureza da infração em questão e da gravidade das sanções que é suscetível de implicar (v., neste sentido, Acórdão de 20 de março de 2018, Garlsson Real Estate e o., C‑537/16, EU:C:2018:193, n.os 28 e 32).

89

No que se refere ao critério relativo à própria natureza da infração, este implica verificar se a sanção em causa prossegue, nomeadamente, uma finalidade repressiva sem que a mera circunstância de prosseguir simultaneamente uma finalidade preventiva possa retirar‑lhe a sua qualificação como sanção penal. Com efeito, é próprio das sanções penais destinarem‑se tanto à repressão como à prevenção de condutas ilícitas. Em contrapartida, uma medida que se limita a reparar o prejuízo causado pela infração em causa não tem natureza penal (v., neste sentido, Acórdãos de 5 de junho de 2012, Bonda, C‑489/10, EU:C:2012:319, n.o 39, e de 20 de março de 2018, Garlsson Real Estate e o., C‑537/16, EU:C:2018:193, n.o 33). Ora, é pacífico que a atribuição dos pontos de penalização por infrações rodoviárias, como as coimas ou outras sanções que a prática destas infrações pode implicar, não têm apenas por objeto reparar os prejuízos eventualmente causados pelas referidas infrações, mas prosseguem igualmente uma finalidade repressiva.

90

No que respeita ao critério relativo ao grau de severidade das sanções que a prática destas mesmas infrações pode implicar, importa salientar, em primeiro lugar, que só infrações rodoviárias de uma certa gravidade implicam a atribuição de pontos de penalização e que, portanto, essas infrações são suscetíveis de dar lugar a sanções de uma certa gravidade. Em seguida, a aplicação de pontos de penalização acresce geralmente à sanção aplicada no caso de ser cometida tal infração, o que, de resto, é o caso, como foi salientado no n.o 58 do presente acórdão, da legislação em causa no processo principal. Por último, a cumulação dos referidos pontos tem em si mesma consequências jurídicas, como a obrigação de se submeter a um exame ou mesmo uma proibição de conduzir.

91

Esta análise é corroborada pela jurisprudência do Tribunal Europeu dos Direitos do Homem segundo a qual, não obstante a tendência para a «descriminalização» das infrações rodoviárias em determinados Estados, estas infrações devem geralmente, tendo em conta a finalidade simultaneamente preventiva e repressiva das sanções aplicadas e o grau de severidade que estas podem atingir, ser consideradas de natureza penal (v., neste sentido, TEDH, 21 de fevereiro de 1984, Öztürk c. Alemanha, CE:ECHR:1984:0221JUD000854479, §§ 49 a 53; 29 de junho de 2007, O’Halloran e Francis c. Reino Unido, CE:ECHR:2007:0629JUD001580902, §§ 33 a 36; e 4 de outubro de 2016, Rivard c. Suíça, CE:ECHR:2016:1004JUD002156312, §§ 23 e 24).

92

A qualificação das infrações rodoviárias suscetíveis de implicar a atribuição dos pontos de penalização como «infração penal», na aceção do artigo 10.o do RGPD, está também em conformidade com a finalidade desta disposição. Com efeito, a comunicação ao público de dados pessoais relativos às infrações rodoviárias, incluindo os pontos de penalização aplicados pela sua prática, é suscetível, tendo em conta o facto de essas infrações constituírem uma ameaça à segurança rodoviária, de suscitar a desaprovação social e a estigmatização da pessoa em causa, nomeadamente quando esses pontos evidenciam uma certa gravidade ou uma certa frequência das referidas infrações.

93

Daqui decorre que as infrações rodoviárias suscetíveis de implicar a atribuição de pontos de penalização são abrangidas pelo conceito de «infrações» previsto no artigo 10.o do RGPD.

94

Tendo em conta as considerações precedentes, há que responder à primeira questão submetida que o artigo 10.o do RGPD deve ser interpretado no sentido de que se aplica ao tratamento de dados pessoais relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias.

95

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se as disposições do RGPD devem ser interpretadas no sentido de que se opõem a uma legislação nacional que obriga o organismo público responsável pelo registo em que estão inscritos os pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a comunicar esses dados a qualquer pessoa que o solicite, sem que tenha de demonstrar um interesse específico em obter os referidos dados.

96

A este respeito, importa recordar que qualquer tratamento de dados pessoais deve, por um lado, ser conforme com os princípios relativos ao tratamento de dados, enunciados no artigo 5.o do RGPD, e, por outro, cumprir um dos princípios relativos à licitude do tratamento, enumerados no artigo 6.o do referido regulamento (v., neste sentido, Acórdão de 16 de janeiro de 2019, Deutsche Post, C‑496/17, EU:C:2019:26, n.o 57 e jurisprudência referida).

97

No que respeita aos princípios relativos ao tratamento de dados pessoais, é verdade que o órgão jurisdicional de reenvio se refere especificamente aos princípios da «integridade» e da «confidencialidade», consagrados no artigo 5.o, n.o 1, alínea f), do RGPD. Sendo assim, resulta das interrogações do referido órgão jurisdicional que este pretende determinar de forma mais geral se o tratamento dos dados pessoais em causa no processo principal pode ser considerado lícito à luz de todas as disposições do referido regulamento e, nomeadamente, à luz do princípio da proporcionalidade.

98

Daqui resulta que importa ter em conta, na resposta a dar a esse órgão jurisdicional, também outros princípios enunciados no artigo 5.o, n.o 1, do referido regulamento e, em especial, o princípio da «minimização dos dados» que figura na alínea c) desta disposição, segundo o qual os dados pessoais devem ser adequados, pertinentes e limitados ao necessário relativamente às finalidades para que são tratados e que dá expressão ao referido princípio da proporcionalidade (v., neste sentido, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.o 48).

99

No que respeita aos princípios relativos à licitude do tratamento, o artigo 6.o do RGPD prevê uma lista exaustiva e taxativa dos casos em que o tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, o tratamento deve integrar‑se num dos casos previstos no referido artigo 6.o (v., neste sentido, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.os 37 e 38). A este respeito, o tratamento dos dados pessoais em causa no processo principal, isto é, a comunicação ao público dos dados relativos aos pontos de penalização por infrações rodoviárias, efetuado pela CSDD é suscetível de ser abrangido pelo artigo 6.o, n.o 1, alínea e), do RGPD, nos termos do qual o tratamento é lícito se, e na medida em que, for «necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento».

100

Além disso, na medida em que, como foi declarado no n.o 94 do presente acórdão, os dados pessoais relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias estão abrangidos pelo artigo 10.o do RGPD, o seu tratamento está sujeito às restrições adicionais previstas nesta disposição. Assim, em conformidade com esta, o tratamento desses dados «só é efetuado sob o controlo da autoridade pública», a menos que seja «autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados». Por outro lado, a referida disposição estabelece com precisão que «[o]s registos completos das condenações penais só são conservados sob o controlo das autoridades públicas».

101

No caso em apreço, é pacífico que o tratamento de dados pessoais em causa no processo principal, isto é, a comunicação ao público dos dados relativos aos pontos de penalização aplicados por infrações rodoviárias, é efetuado por um organismo público, a CSDD, que é o responsável pelo tratamento, na aceção do artigo 4.o, ponto 7, do RGPD (v., por analogia, Acórdão de 9 de março de 2017, Manni, C‑398/15, EU:C:2017:197, n.o 35). Todavia, é igualmente pacífico que, uma vez comunicados, esses dados são consultados pelas pessoas que solicitaram a respetiva comunicação e, se for caso disso, são conservados ou divulgados por essas pessoas. Uma vez que esses tratamentos ulteriores de dados deixam de ser efetuados «sob o controlo» da CSDD ou de outra autoridade pública, o direito nacional que autoriza a comunicação dos referidos dados pela CSDD deve prever «garantias adequadas para os direitos e liberdades dos titulares dos dados».

102

Por conseguinte, é à luz tanto das condições gerais de licitude, nomeadamente as previstas no artigo 5.o, n.o 1, alínea c), e no artigo 6.o, n.o 1, alínea e), do RGPD, como das restrições específicas previstas no artigo 10.o do mesmo que há que examinar a conformidade de uma legislação nacional, como a que está em causa no processo principal, com o referido regulamento.

103

A este respeito, importa observar que nenhuma destas disposições proíbe, de uma forma geral e absoluta, que, por força da legislação nacional, uma autoridade pública esteja habilitada, ou mesmo obrigada, a comunicar dados pessoais às pessoas que o solicitem.

104

Com efeito, embora o artigo 5.o, n.o 1, alínea c), do RGPD sujeite ao respeito pelo princípio da «minimização dos dados» o tratamento dos dados pessoais, resulta claramente da redação desta disposição que a mesma não visa instituir tal proibição geral e absoluta e que, em especial, não se opõe a que os dados pessoais sejam comunicados ao público quando essa comunicação for necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública, na aceção do artigo 6.o, n.o 1, alínea e), deste regulamento. O mesmo se aplica quando os dados em questão estão abrangidos pelo artigo 10.o do RGPD, desde que a legislação que autoriza essa comunicação preveja garantias adequadas para os direitos e liberdades dos titulares dos dados [v., neste sentido, Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, EU:C:2019:773, n.o 73].

105

Neste contexto, importa recordar que os direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais não são prerrogativas absolutas, mas devem ser tomados em consideração de acordo com a sua função na sociedade e ser objeto de ponderação juntamente com outros direitos fundamentais. Podem, assim, ser introduzidas restrições, desde que, em conformidade com o artigo 52.o, n.o 1, da Carta, sejam previstas por lei e respeitem o conteúdo essencial dos direitos fundamentais e o princípio da proporcionalidade. Por força deste último princípio, só podem ser introduzidas restrições se forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União, ou à necessidade de proteção dos direitos e liberdades de terceiros. Tais restrições devem ocorrer na estrita medida do necessário e a regulamentação que contenha a ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação da medida em causa (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.os 172 a 176).

106

Por conseguinte, para determinar se uma comunicação ao público de dados pessoais relativos aos pontos de penalização, como a que está em causa no processo principal, é necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública, na aceção do artigo 6.o, n.o 1, alínea e), do RGPD, e se a legislação que autoriza essa comunicação prevê garantias adequadas para os direitos e liberdades dos titulares dos dados, na aceção do artigo 10.o deste regulamento, há que verificar, em especial, se, tendo em conta a gravidade da ingerência nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, causada pela referida comunicação, se afigura justificada e, nomeadamente, proporcionada para efeitos da realização dos objetivos prosseguidos.

107

No caso em apreço, o Parlamento letão, nas observações que apresentou no órgão jurisdicional de reenvio, e o Governo letão, nas observações que apresentou no Tribunal de Justiça, alegam que a comunicação pela CSDD a qualquer pessoa que solicite dados pessoais relativos aos pontos de penalização corresponde ao exercício das funções de interesse público, que incumbem a esse órgão, de melhorar a segurança rodoviária e visa, neste contexto, permitir nomeadamente a identificação dos condutores de veículos que infringem sistematicamente as regras da circulação rodoviária e influenciar o comportamento dos utentes da estrada, incitando‑os a adotar um comportamento conforme às referidas regras.

108

A este respeito, deve recordar‑se que a melhoria da segurança rodoviária constitui um objetivo de interesse geral reconhecido pela União (v, neste sentido, Acórdão de 23 de abril de 2015, Aykul, C‑260/13, EU:C:2015:257, n.o 69 e jurisprudência referida). Por conseguinte, Estados‑Membros podem qualificar a segurança rodoviária de «função de interesse público», na aceção do artigo 6.o, n.o 1, alínea e), do RGPD.

109

No entanto, para cumprir os requisitos previstos nesta última disposição, é necessário que a comunicação dos dados pessoais relativos aos pontos de penalização inscritos no registo mantido pela CSDD corresponda efetivamente ao objetivo de interesse geral de melhoria da segurança rodoviária, sem ir além do que é necessário para alcançar esse objetivo.

110

Como sublinha o considerando 39 do RGPD, este requisito da necessidade não está preenchido quando o objetivo de interesse geral visado possa ser razoavelmente alcançado de modo igualmente eficaz através de outros meios menos atentatórios dos direitos fundamentais dos titulares dos dados, em especial os direitos ao respeito pela vida privada e à proteção dos dados pessoais garantidos nos artigos 7.o e 8.o da Carta, devendo as derrogações e as restrições ao princípio da proteção desses dados ocorrer nos limites do estritamente necessário (v., neste sentido, Acórdão de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA, C‑708/18, EU:C:2019:1064, n.os 46 e 47).

111

Ora, como resulta da prática dos Estados‑Membros, cada um deles dispõe de uma multiplicidade de vias de atuação, entre as quais figuram, nomeadamente, a que consiste em reprimir de forma dissuasiva as infrações rodoviárias, em particular privando os condutores em causa do direito de conduzir um veículo, podendo a violação dessa proibição, por sua vez, ser reprimida através de penas efetivas, sem que seja necessário comunicar a adoção de tais medidas ao público. Além disso, resulta igualmente dessa prática que podem ser adotadas várias medidas preventivas, que vão desde campanhas de sensibilização coletiva até à adoção de medidas individuais que consistem em obrigar um condutor a seguir formações e a submeter‑se a exames, sem que seja necessário comunicar ao público a adoção de tais medidas individuais. Ora, não resulta dos autos de que o Tribunal de Justiça dispõe que essas medidas tivessem sido examinadas e privilegiadas pelo legislador letão em vez da adoção da regulamentação em causa no processo principal.

112

Além disso, como salientado no n.o 92 do presente acórdão, a comunicação ao público dos dados pessoais relativos às infrações rodoviárias, incluindo os dados relativos aos pontos de penalização aplicados pela sua prática, é suscetível de constituir uma ingerência grave nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, uma vez que pode suscitar a desaprovação social e a estigmatização do titular dos dados.

113

Tendo em conta, por um lado, o caráter sensível dos dados em questão e a gravidade da referida ingerência nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais dos titulares dos dados, bem como, por outro, o facto de, tendo em conta o declarado no n.o 111 do presente acórdão, não se afigurar que o objetivo da melhoria da segurança rodoviária não possa ser razoavelmente alcançado de maneira igualmente eficaz por outros meios menos atentatórios, não se pode considerar que esteja demonstrada a necessidade, para garantir esse objetivo, de um tal regime de comunicação de dados pessoais relativos a pontos de penalização por infrações rodoviárias (v., por analogia, Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, n.o 86).

114

Assim, embora se possa justificar distinguir os condutores que violam as regras da circulação rodoviária de forma sistemática e de má‑fé em relação aos condutores que cometem infrações ocasionalmente, não se pode considerar que a identificação da primeira categoria de condutores deva, para efeitos de melhoria da segurança rodoviária, ser efetuada pelo grande público ou partilhada com o grande público, pelo que se pode mesmo duvidar da aptidão da regulamentação em causa no processo principal para alcançar o primeiro dos objetivos evocados no n.o 107 do presente acórdão.

115

De resto, resulta dos autos de que dispõe o Tribunal de Justiça que a CSDD comunica ao público não apenas os dados relativos aos pontos de penalização aplicados aos condutores que infringem as regras da circulação rodoviária de forma sistemática e de má‑fé mas também os dados relativos aos pontos de penalização aplicados aos condutores que cometem infrações ocasionalmente. Assim, afigura‑se que, ao prever um acesso generalizado do público aos pontos de penalização, a regulamentação em causa no processo principal vai, em todo o caso, além do que é necessário para garantir o objetivo de combater a violação sistemática e de má‑fé das regras de circulação rodoviária.

116

No que respeita ao segundo dos objetivos prosseguidos pela regulamentação em causa no processo principal, recordado no n.o 107 do presente acórdão, resulta dos referidos autos que, embora tenha sido possível observar uma tendência de diminuição do número de acidentes de viação na Letónia, nada permite concluir que essa tendência esteja ligada à divulgação das informações relativas aos pontos de penalização em vez da instituição do sistema dos pontos de penalização enquanto tal.

117

A conclusão enunciada no n.o 113 do presente acórdão não é infirmada pela circunstância de a CSDD submeter, na prática, a comunicação dos dados pessoais em causa ao requisito de o requerente indicar o número de identificação nacional do condutor sobre o qual pretende informar‑se.

118

Com efeito, mesmo admitindo, como precisou o Governo letão, que a comunicação dos números de identificação nacional pelos organismos públicos responsáveis pelos registos da população está sujeita a requisitos estritos e cumpre assim o artigo 87.o do RGPD, também é verdade que a regulamentação em causa no processo principal, conforme aplicada pela CSDD, permite a qualquer pessoa que conheça o número de identificação nacional de um determinado condutor obter, sem outro requisito, os dados pessoais relativos aos pontos de penalização que lhe foram aplicados. Tal regime de divulgação pode conduzir a uma situação em que esses dados sejam comunicados a pessoas que procuram, por razões alheias ao objetivo de interesse geral de melhoria da segurança rodoviária, informar‑se sobre os pontos de penalização aplicados a uma determinada pessoa.

119

A conclusão enunciada no n.o 113 do presente acórdão também não é infirmada pela circunstância de o registo nacional de veículos e condutores ser um documento oficial, na aceção do artigo 86.o do RGPD.

120

Com efeito, embora o acesso do público aos documentos oficiais constitua, como resulta do considerando 154 deste regulamento, um interesse público suscetível de legitimar a comunicação de dados pessoais que figuram nesses documentos, esse acesso deve, no entanto, ser conciliado com os direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais, como aliás exige expressamente o referido artigo 86.o Ora, tendo nomeadamente em conta o caráter sensível dos dados relativos aos pontos de penalização por infrações rodoviárias e a gravidade da ingerência nos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais dos titulares dos dados que a divulgação desses dados provoca, deve considerar‑se que esses direitos prevalecem sobre o interesse do público em aceder aos documentos oficiais, nomeadamente ao registo nacional de veículos e condutores.

121

Além disso, por esta mesma razão, o direito à liberdade de informação previsto no artigo 85.o do RGPD não pode ser interpretado no sentido de que justifica a comunicação de dados pessoais relativos aos pontos de penalização por infrações rodoviárias a qualquer pessoa que o solicite.

122

Em face do exposto, há que responder à segunda questão que as disposições do RGPD, nomeadamente o artigo 5.o, n.o 1, o artigo 6.o, n.o 1, alínea e), e o artigo 10.o do mesmo, devem ser interpretadas no sentido de que se opõem a uma legislação nacional que obriga o organismo público responsável pelo registo em que estão inscritos os pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a tornar esses dados acessíveis ao público, sem que a pessoa que solicita o acesso tenha de demonstrar um interesse específico em obter os referidos dados.

123

Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se as disposições do RGPD, nomeadamente o artigo 5.o, n.o 1, alínea b), e o artigo 10.o do mesmo, bem como o artigo 1.o, n.o 2, alínea c‑C), da Diretiva 2003/98, devem ser interpretadas no sentido de que se opõem a uma legislação nacional que autoriza o organismo público responsável pelo registo em que estão inscritos os pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a comunicar esses dados a operadores económicos para efeitos de reutilização.

124

Como sublinha o órgão jurisdicional de reenvio, esta questão tem origem no facto de a CSDD celebrar contratos com operadores económicos, nos termos dos quais a primeira transmite aos segundos os dados pessoais relativos aos pontos de penalização inscritos no registo nacional de veículos e condutores, de modo a que, nomeadamente, qualquer pessoa que pretenda informar‑se sobre os pontos de penalização aplicados a determinado condutor possa obter esses dados junto não só da CSDD mas também desses operadores económicos.

125

Resulta da resposta à segunda questão que as disposições do RGPD, nomeadamente o artigo 5.o, n.o 1, o artigo 6.o, n.o 1, alínea e), e o artigo 10.o do mesmo, devem ser interpretadas no sentido de que se opõem a uma legislação nacional que obriga o organismo público responsável pelo registo em que estão inscritos os pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a tornar esses dados acessíveis ao público, sem que a pessoa que solicita o acesso tenha de demonstrar um interesse específico em obter os referidos dados.

126

Estas mesmas disposições devem, por razões idênticas às que foram expostas na resposta à segunda questão, ser interpretadas no sentido de que se opõem igualmente a uma legislação nacional que autoriza um organismo público a comunicar dados dessa natureza a operadores económicos para que estes últimos os possam reutilizar e comunicar ao público.

127

Por último, no que respeita ao artigo 1.o, n.o 2, alínea c‑C), da Diretiva 2003/98, igualmente visado pela terceira questão submetida, há que observar, como salientou o advogado‑geral nos n.os 128 e 129 das suas conclusões, que esta disposição não é pertinente para determinar se as regras do direito da União em matéria de proteção de dados pessoais se opõem a uma legislação como a que está em causa no processo principal.

128

Com efeito, independentemente da questão de saber se os dados relativos aos pontos de penalização aplicados aos condutores por infrações rodoviárias são ou não abrangidos pelo âmbito de aplicação da Diretiva 2003/98, o alcance da proteção desses dados deve, em todo o caso, ser determinado com base no RGPD, como decorre, por um lado, do considerando 154 deste regulamento e, por outro, do considerando 21 e do artigo 1.o, n.o 4, desta diretiva, lidos em conjugação com o artigo 94.o, n.o 2, do RGPD, uma vez que o artigo 1.o, n.o 4, da referida diretiva prevê, em substância, que esta deixa intacta e em nada afeta o nível de proteção individual relativamente ao tratamento de dados pessoais garantido, nomeadamente, pelo direito da União e, em especial, em nada altera os direitos e obrigações previstos no RGPD.

129

Em face do exposto, há que responder à terceira questão que as disposições do RGPD, nomeadamente o artigo 5.o, n.o 1, o artigo 6.o, n.o 1, alínea e), e o artigo 10.o do mesmo diploma, devem ser interpretadas no sentido de que se opõem a uma legislação nacional que autoriza o organismo público responsável pelo registo em que estão inscritos os pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a comunicar esses dados a operadores económicos para efeitos de reutilização.

130

Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o princípio do primado do direito da União deve ser interpretado no sentido de que se opõe a que o tribunal constitucional de um Estado‑Membro, chamado a pronunciar‑se num recurso contra uma legislação nacional que se afigura, à luz de uma decisão do Tribunal de Justiça proferida sobre um reenvio prejudicial, incompatível com o direito da União, decida, em aplicação do princípio da segurança jurídica, que os efeitos jurídicos dessa legislação sejam mantidos até à data da prolação do acórdão pelo qual decide definitivamente esse recurso constitucional.

131

Como resulta da decisão de reenvio, esta questão é submetida devido ao elevado número de relações jurídicas afetadas pela regulamentação nacional em causa no processo principal e pelo facto de, por força do artigo 32.o, n.o 3, da Lei do Tribunal Constitucional e da jurisprudência relativa ao mesmo, o órgão jurisdicional de reenvio, no exercício da sua função de assegurar um equilíbrio entre o princípio da segurança jurídica e os direitos fundamentais dos titulares dos dados, poder limitar o efeito retroativo dos seus acórdãos a fim de evitar que estes prejudiquem gravemente os direitos de terceiros.

132

A este respeito, deve recordar‑se que a interpretação que o Tribunal de Justiça faz de uma norma de direito da União, no exercício da competência que lhe é atribuída pelo artigo 267.o TFUE, esclarece e precisa o significado e o alcance dessa norma, tal como deve ou deveria ter sido entendida e aplicada desde o momento da sua entrada em vigor. Só a título excecional é que o Tribunal de Justiça pode, aplicando o princípio geral da segurança jurídica inerente à ordem jurídica da União, ser levado a limitar a possibilidade de qualquer interessado invocar uma disposição por si interpretada para pôr em causa relações jurídicas estabelecidas de boa‑fé. Para que se possa decidir por esta limitação, é necessário que se encontrem preenchidos dois requisitos essenciais, a saber, a boa‑fé dos meios interessados e o risco de perturbações graves (Acórdãos de 6 de março de 2007, Meilicke, C‑292/04, EU:C:2007:132, n.os 34 e 35; de 22 de janeiro de 2015, Balazs, C‑401/13 e C‑432/13, EU:C:2015:26, n.os 49 e 50; e de 29 de setembro de 2015, Gmina Wrocław, C‑276/14, EU:C:2015:635, n.os 44 e 45).

133

Segundo jurisprudência constante do Tribunal de Justiça, essa limitação só pode ser admitida no próprio acórdão que decide quanto à interpretação solicitada. Na verdade, os efeitos no tempo da solicitada interpretação de uma disposição de direito da União têm necessariamente de ser determinados pelo Tribunal de Justiça num momento preciso. O princípio de que uma limitação só pode ser admitida no próprio acórdão que decide quanto à interpretação solicitada garante a igualdade de tratamento dos Estados‑Membros e demais interessados face a esse direito e, simultaneamente, cumpre as exigências decorrentes do princípio da segurança jurídica (Acórdão de 6 de março de 2007, Meilicke, C‑292/04, EU:C:2007:132, n.os 36 e 37; v., neste sentido, Acórdãos de 23 de outubro de 2012, Nelson e o., C‑581/10 e C‑629/10, EU:C:2012:657, n.o 91, e de 7 de novembro de 2018, O’Brien, C‑432/17, EU:C:2018:879, n.o 34).

134

Por conseguinte, os efeitos no tempo de uma decisão proferida pelo Tribunal de Justiça sobre um reenvio prejudicial não podem depender da data de prolação do acórdão pelo qual o órgão jurisdicional de reenvio decide definitivamente o processo principal, nem mesmo da apreciação feita por este da necessidade de preservar os efeitos jurídicos da regulamentação nacional em causa.

135

Por força do princípio do primado do direito da União, não se pode, com efeito, admitir que a unidade e a eficácia do direito da União sejam postas em causa por normas de direito nacional, mesmo que de ordem constitucional (v., neste sentido, Acórdãos de 26 de fevereiro de 2013, Melloni, C‑399/11, EU:C:2013:107, n.o 59, e de 29 de julho de 2019, Pelham e o., C‑476/17, EU:C:2019:624, n.o 78). Mesmo admitindo que considerações imperiosas de segurança jurídica fossem suscetíveis de levar, a título excecional, a uma suspensão provisória do efeito de exclusão exercido por uma norma de direito da União diretamente aplicável em face do direito nacional a ela contrário, as condições dessa suspensão só poderiam ser determinadas pelo Tribunal de Justiça (v., neste sentido, Acórdão de 8 de setembro de 2010, Winner Wetten, C‑409/06, EU:C:2010:503, n.os 61 e 67).

136

No caso em apreço, não estando demonstrada a existência de um risco de perturbações graves decorrente da interpretação adotada pelo Tribunal de Justiça no presente acórdão, não há que limitar no tempo os efeitos deste, na medida em que os critérios evocados no n.o 132 do presente acórdão são cumulativos.

137

Tendo em conta o que precede, há que responder à quarta questão que o princípio do primado do direito da União deve ser interpretado no sentido de que se opõe a que o tribunal constitucional de um Estado‑Membro, chamado a pronunciar‑se num recurso contra uma legislação nacional que se afigura, à luz de uma decisão do Tribunal de Justiça proferida sobre um reenvio prejudicial, incompatível com o direito da União, decida, em aplicação do princípio da segurança jurídica, que os efeitos jurídicos dessa legislação sejam mantidos até à data da prolação do acórdão no qual decide definitivamente esse recurso constitucional.

138

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara: