1.

O Regulamento (UE) 2016/679 (a seguir «RGPD») ( 2 ) não é um ato legislativo circunscrito. O seu âmbito de aplicação amplamente definido, o esvaziamento jurisdicional efetivo de qualquer exceção ao mesmo ( 3 ), bem como a abordagem baseada em definições, abstrata e, por conseguinte, bastante abrangente da sua interpretação ( 4 ), contribuíram para tornar o alcance do RGPD praticamente ilimitado. Com efeito, nestes moldes, é bastante difícil hoje em dia encontrar uma situação em que alguém não esteja a proceder ao tratamento de dados pessoais em algum momento.

2.

Esta abordagem, fundada na proteção de dados pessoais que o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia eleva a (super) direito fundamental prioritário, produz, no entanto, efeitos centrípetos distintos que a proteção dos dados pessoais começou a exercer no âmbito de litígios que surgiram noutros ramos de direito. Vários processos começaram, de repente, a ser apresentados como litígios em matéria de proteção de dados pessoais submetidos ao Tribunal de Justiça (e não só) no âmbito da interpretação do RGPD. Todavia, as questões específicas suscitadas nestes litígios não são, por vezes, as que se espera que sejam regidas por um ato legislativo como o RGPD, apesar do seu âmbito de aplicação bastante amplo.

3.

Com efeito, provavelmente poucos teriam considerado, antecipadamente, que o RGPD ou a Diretiva 95/46/CE ( 5 ) que o antecedeu, pudessem ser interpretados no sentido de regular o acesso dos contabilistas estagiários às suas folhas de respostas do exame, eventualmente associado ao direito de correção desses dados pessoais após a realização do exame ( 6 ), ou de impedir a identificação pelos agentes da autoridade de um particular num acidente de viação, de modo a que a parte lesada não possa instaurar uma ação de indemnização num tribunal cível por danos causados ao seu veículo ( 7 ), ou de limitar a divulgação de informações sobre o imposto anteriormente pago por uma sociedade insolvente ao respetivo administrador da insolvência, a fim de restabelecer a igualdade entre os credores de direito privado e os de direito público no contexto das pretensões cíveis de impugnação da insolvência ( 8 ), para citar apenas alguns dos exemplos mais intrigantes.

4.

O presente processo é mais um exemplo desses efeitos centrípetos do RGPD. A SIA «SS» é um prestador de serviços de publicação de anúncios na Internet. No âmbito desta atividade comercial, obtém os dados pessoais das pessoas que publicam anúncios publicitários no seu sítio Internet. A Autoridade Tributária nacional competente pediu à referida sociedade que lhe transmitisse alguns dados relativos aos anúncios de veículos usados publicados no respetivo sítio Internet, a fim de garantir que os impostos sobre a venda de veículos automóveis são devidamente cobrados. A Autoridade Tributária indicou especificamente o formato em que pretendida os dados. Precisou igualmente que tais transferências de dados devem ser permanentes e aparentemente sem compensação financeira.

5.

Neste contexto, o órgão jurisdicional de reenvio questiona o Tribunal de Justiça sobre o âmbito admissível de tais pedidos de transferência de dados. Tal como em processos anteriores, afigura‑se que o RGPD é aplicável no presente processo. O tratamento de dados pessoais é ou será realizado por alguém algures, certamente mais tarde, no momento em que é efetuada a transferência. No âmbito desse tratamento, devem ser protegidos os direitos dos titulares dos dados, bem como os seus dados pessoais. Contudo, isso não implica que o RGPD regule especificamente a relação entre um responsável futuro pelo tratamento de dados (uma autoridade pública) e um responsável atual por esse tratamento (uma empresa privada). Com efeito, o RGPD acompanha e protege os dados seja qual for o seu destino, regulando assim as obrigações de qualquer responsável sucessivo pelo tratamento face aos dados e aos seus titulares. Por outro lado, o RGPD não regula, salvo algumas exceções expressamente previstas, as especificidades da relação mútua entre dois responsáveis sucessivos pelo tratamento desses dados. Em especial, o RGPD não prevê as modalidades exatas da relação entre os responsáveis pelo tratamento, seja de origem contratual ou de direito público, nos termos do qual um pode solicitar e obter dados fornecidos pelo outro.

6.

O considerando 31 do RGPD tem a seguinte redação:

«As autoridades públicas a quem forem divulgados dados pessoais em conformidade com obrigações jurídicas para o exercício da sua missão oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigação financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsáveis pela regulamentação e supervisão dos mercados de valores mobiliários, não deverão ser consideradas destinatárias se receberem dados pessoais que sejam necessários para efetuar um inquérito específico de interesse geral, em conformidade com o direito da União ou dos Estados‑Membros. Os pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros. O tratamento desses dados pessoais por essas autoridades públicas deverá respeitar as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento.»

7.

O considerando 45 do RGPD tem a seguinte redação:

«Sempre que o tratamento dos dados for realizado em conformidade com uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública, o tratamento deverá assentar no direito da União ou de um Estado‑Membro. O presente regulamento não exige uma lei específica para cada tratamento de dados. Poderá ser suficiente uma lei para diversas operações de tratamento baseadas numa obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública. Deverá também caber ao direito da União ou dos Estados‑Membros determinar qual a finalidade do tratamento dos dados. Além disso, a referida lei poderá especificar as condições gerais do presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras específicas para determinar os responsáveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em questão, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do tratamento devem obedecer, os prazos de conservação e outras medidas destinadas a garantir a licitude e equidade do tratamento. Deverá igualmente caber ao direito da União ou dos Estados‑Membros determinar se o responsável pelo tratamento que exerce funções de interesse público ou prerrogativas de autoridade pública deverá ser uma autoridade pública ou outra pessoa singular ou coletiva de direito público, ou, caso tal seja do interesse público, incluindo por motivos de saúde, como motivos de saúde pública e proteção social e de gestão dos serviços de saúde, de direito privado, por exemplo uma associação profissional.»

8.

O artigo 2.o define o âmbito de aplicação material do RGPD:

«1.   O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2.   O presente regulamento não se aplica ao tratamento de dados pessoais:

[…]

[…]»

9.

O artigo 4.o contém definições para efeitos do RGPD e dispõe que se entende por:

«1)   “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); […]

2)   “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

7)   “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

8)   “Subcontratante”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

9)   “Destinatário”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados‑Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

[…]»

10.

O artigo 5.o do RGPD estabelece os princípios relativos ao tratamento de dados pessoais:

«1.   Os dados pessoais são:

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

11.

Nos termos do artigo 6.o do RGPD:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

[…]

[…]

2.   Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.»

12.

O capítulo III, sob a epígrafe «Direitos do titular dos dados», enuncia, nos artigos 12.o a 22.o, os direitos e as obrigações correspondentes dos responsáveis pelo tratamento. O capítulo é encerrado pelo artigo 23.o do RGPD que, sob a epígrafe «Limitações», dispõe:

«1.   O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

[…]

2.   Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:

13.

Por força do artigo 15.o, n.o 6, da Likums «Par nodokļiem un nodevām» (a seguir «Lei Tributária»), na versão em vigor à data dos factos do presente processo, os prestadores de serviços publicitários na Internet estão obrigados a fornecer, a pedido da Administração Tributária do Estado, os dados de que dispõem sobre os sujeitos passivos que tenham publicado anúncios utilizando os referidos serviços e sobre os anúncios publicados pelos mesmos.

14.

Em 28 de agosto de 2018, o diretor do Nodokļu kontroles pārvalde (Serviço de Inspeção Tributária) da Valsts ieņēmumu dienests (Autoridade Tributária da Letónia; a seguir «demandada») enviou à SIA «SS» (a seguir «demandante») um pedido de informações com base no artigo 15.o, n.o 6, da Lei Tributária.

15.

Nesse pedido, a demandante era convidada a renovar o acesso da demandada aos dados relativos aos números de telefone dos anunciantes e aos números dos chassis dos veículos que constavam dos anúncios publicados no sítio Internet da demandante (www.ss.com). A demandada pediu ainda à demandante que fornecesse, até 3 de setembro de 2018, dados relativos aos anúncios publicados na secção «veículos de passageiros» do referido sítio Internet durante o período compreendido entre 14 de julho e 31 de agosto de 2018. Era pedido à demandante que transmitisse as informações eletronicamente, num formato que permitisse filtrar e selecionar os dados. A demandada pediu igualmente que o ficheiro contivesse os seguintes dados: endereço eletrónico do anúncio, texto do anúncio, marca do veículo, modelo, número de chassis, preço, números de telefone do vendedor.

16.

Caso não fosse possível renovar o acesso, a demandante devia comunicar o(s) motivo(s) para tal, sendo‑lhe igualmente pedido que fornecesse, de forma regular, os dados relativos aos anúncios publicados, até ao terceiro dia de cada mês.

17.

A demandante apresentou uma reclamação administrativa ao diretor‑geral da demandada em exercício contestando esse pedido de informações. Segundo a demandante, o alcance do pedido de informações, que constituem dados pessoais na aceção do artigo 4.o, n.o 1, do RGPD, não é justificado pela lei. O pedido de informações não indica um grupo de titulares de dados específico, nem a finalidade ou o alcance do tratamento previsto, ou sequer o período de tempo que durará a obrigação de fornecer os dados. Como tal, a demandada, enquanto responsável pelo tratamento, não agiu em conformidade com o princípio da proporcionalidade, nem com o princípio da minimização do tratamento dos dados pessoais previstos no RGPD a que está sujeita.

18.

Por Decisão de 30 de outubro de 2018 (a seguir «decisão impugnada»), a demandada indeferiu essa reclamação e confirmou o pedido de informações.

19.

Os fundamentos da decisão enunciavam, em substância, que, no âmbito do tratamento desses dados, a Autoridade Tributária exerce as funções e os poderes que lhe são conferidos por lei. Esta autoridade é responsável pela cobrança e pelo controlo dos impostos, das taxas e das outras imposições. Está legalmente obrigada a supervisionar as atividades económicas e financeiras das pessoas singulares e coletivas, a fim de assegurar que esses encargos são pagos ao Estado e ao orçamento da União. Para desempenhar estas funções, a lei confere à demandada o poder de recolher os documentos e as informações necessárias à contabilização e ao registo dos factos tributários ou para proceder à fiscalização dos impostos e taxas. Em especial, por força do artigo 15.o, n.o 6, da Lei Tributária, os prestadores de serviços de publicação de anúncios na Internet são obrigados a fornecer, a pedido da Autoridade Tributária do Estado, os dados de que dispõem sobre os sujeitos passivos que tenham publicado anúncios utilizando os referidos serviços e sobre os anúncios publicados pelos mesmos. As informações confidenciais detidas pela demandada estão protegidas por lei, designadamente pela proibição de as divulgar imposta aos trabalhadores da Autoridade Tributária. Daqui decorre a licitude do pedido de informações.

20.

A demandante pediu a anulação da decisão impugnada no Administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância, Letónia), alegando que a fundamentação da decisão não indicava a finalidade concreta do tratamento dos dados, nem os critérios com base nos quais serão escolhidos os dados pedidos relativos a um grupo específico de pessoas identificáveis.

21.

Por Sentença de 21 de maio de 2019, o Administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância) julgou a ação improcedente. Em substância, concordou com a argumentação da demandada segundo a qual não podia ser imposta qualquer restrição à quantidade de informações a que a Autoridade Tributária pode ter acesso, relativamente a qualquer pessoa, a menos que se considere que os dados em questão são incompatíveis com os objetivos da administração fiscal. Segundo esse órgão jurisdicional, as informações pedidas eram necessárias para identificar atividades económicas não declaradas. As disposições do RGPD apenas são aplicáveis à demandante na sua qualidade de prestadora de serviços e não à Autoridade Tributária.

22.

A demandante interpôs recurso da referida sentença no Administratīvā apgabaltiesa (Tribunal Regional Administrativo, Letónia). Segundo a demandante, o RGPD é aplicável no caso em apreço. No que respeita aos dados pessoais recolhidos através do pedido de informações, deve considerar‑se que a demandada é responsável pelo tratamento na aceção do referido regulamento e, por conseguinte, deve preencher os requisitos nele previstos. No entanto, com a emissão do pedido de informações, a demandada violou o princípio da proporcionalidade, dado que exige que, mensalmente, lhe seja fornecida uma grande quantidade de dados relativos a um número indefinido de anúncios, sem indicar os contribuintes específicos relativamente aos quais tenha sido iniciada uma inspeção. A demandante afirma que o pedido de informações não indica a duração da obrigação que lhe incumbe de fornecer à demandada os dados referidos nesse pedido. Por conseguinte, considera que a demandada violou os princípios do tratamento de dados pessoais enunciados no artigo 5.o do RGPD (licitude, lealdade e transparência). Alega que nem o pedido de informações nem a fundamentação da decisão precisam o âmbito específico (finalidade) em que se insere o tratamento dos dados previsto pela demandada ou a quantidade de informações necessária (minimização dos dados). Em seu entender, no pedido de informações, a autoridade administrativa deve incluir critérios claramente definidos com base nos quais serão escolhidas as informações pedidas pela referida autoridade relativas a um grupo específico de pessoas identificáveis.

23.

Segundo o órgão jurisdicional de reenvio, não é possível concluir inequivocamente que esse pedido de informações pode ser considerado «adequadamente fundamentado» e «ocasional» e que não diz respeito à totalidade das informações constantes da rubrica «veículos de passageiros» do sítio Internet da demandante, uma vez que a Autoridade Tributária pretende, no essencial, proceder a uma fiscalização contínua e exaustiva. O órgão jurisdicional de reenvio manifesta dúvidas quanto à questão de saber se o tratamento de dados pessoais previsto pela demandada respeita as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento, na aceção do considerando 31 do RGPD. Por conseguinte, é necessário determinar os critérios com base nos quais se deve apreciar se o pedido de informações da demandante respeita os direitos e liberdades fundamentais e pode ser considerado como constituindo uma medida necessária e proporcionada numa sociedade democrática para assegurar os objetivos importantes do interesse público da União e da Letónia nos domínios orçamental ou fiscal.

24.

Segundo o órgão jurisdicional de reenvio, o pedido de informações em causa não contém nenhuma referência a um «inquérito específico» efetuado pela demandante na aceção das disposições do RGPD. O pedido tem por objeto informação relativa não a pessoas concretas, mas a todos os titulares de dados que tenham publicado anúncios na secção «veículos de passageiros» do sítio Internet. Além disso, a Autoridade Tributária pede que essa informação seja transmitida até ao terceiro dia de cada mês (o que significa que a demandante deve proceder à divulgação à demandada de todos os dados relativos aos anúncios publicados no mês anterior). À luz do que precede, o órgão jurisdicional de reenvio tem dúvidas sobre se esta atuação de uma Administração nacional é compatível com os requisitos previstos no RGPD.

25.

Foi neste contexto factual e jurídico que o Administratīvā apgabaltiesa (Tribunal Administrativo Regional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

26.

Foram apresentadas observações escritas pelos Governos letão, belga, helénico e espanhol, bem como pela Comissão Europeia. A demandante, os Governos letão, belga e espanhol, bem como a Comissão, responderam às perguntas escritas colocadas pelo Tribunal de Justiça nos termos do artigo 61.o, n.o 1, do Regulamento de Processo do Tribunal de Justiça.

27.

As presentes conclusões estão estruturadas da seguinte forma. Começarei por analisar se o RGPD é aplicável a um pedido de uma autoridade pública dirigido a um responsável pelo tratamento para a transferência de uma certa quantidade de dados pessoais. Atendendo às questões suscitadas pelo órgão jurisdicional de reenvio, é necessário, em primeiro lugar, um duplo esclarecimento: quem é quem exatamente no processo principal e que regras específicas prevê o RGPD em tais casos (A). Em seguida, debruçar‑me‑ei sobre o quadro jurídico (bastante sumário) que decorre do RGPD em relação aos pedidos de transferência de dados de empresas privadas para autoridades públicas (B). Concluirei com várias observações sobre o que constitui, pelo menos na minha opinião, a verdadeira questão polémica do presente processo, embora não tenha sido expressamente suscitada pelo órgão jurisdicional de reenvio (C).

28.

São nove as questões prejudiciais submetidas pelo órgão jurisdicional de reenvio, cada uma delas relativa, de uma forma ou de outra, à licitude do(s) pedido(s) específico(s) de transferência de certos dados pessoais por empresas privadas, emitidos por uma Autoridade Tributária para efeitos de cobrança de impostos e deteção de evasão fiscal. Os dados pessoais em questão foram recolhidos junto dos seus titulares pela empresa privada no âmbito da sua atividade empresarial habitual.

29.

No entanto, das nove questões suscitadas não se depreende de forma clara quem se encontra sujeito à obrigação e em que consiste essa obrigação, e com base em que disposição do RGPD. Esta ambiguidade é bastante reveladora de uma grande incerteza quanto à configuração do presente processo, que se manifesta pelo menos de duas formas.

30.

Em primeiro lugar, nas categorias estabelecidas pelo RGPD, quem é quem no caso em apreço? O presente processo tem por objeto a transferência, de uma empresa privada para uma autoridade pública, de certos dados provenientes de um conjunto mais vasto de dados cuja recolha e controlo é feito pela referida empresa. Esta é a operação específica de tratamento na aceção do artigo 4.o, n.o 2, do RGPD que constitui o pressuposto subjacente às questões submetidas ao Tribunal de Justiça.

31.

Contudo, verifica‑se também que, no que diz respeito à operação de tratamento específica em causa, o órgão jurisdicional de reenvio considera que a Autoridade Tributária (demandada) já é responsável pelo seu tratamento ( 9 ). Este pressuposto, que está na base de todo o despacho de reenvio, está expressamente articulado na sexta e na nona questões. Isso requer um esclarecimento preliminar: quem, exatamente, deveria ser o responsável pelo cumprimento do RGPD no presente processo? Quem é responsável por esse tratamento específico? (2)

32.

Em segundo lugar, devido a essa incerteza, coloca‑se outra questão importante: quais são as disposições específicas do RGPD que se aplicam aos pedidos de transferência de dados, e quais dessas disposições são relativas, nomeadamente, ao tipo e à quantidade de dados que uma autoridade pública pode exigir a uma empresa privada? A este respeito, é bastante revelador que três das questões do órgão jurisdicional de reenvio mencionem apenas o artigo 5.o, n.o 1, do RGPD, uma disposição transversal que estabelece os princípios relativos ao tratamento de dados pessoais por qualquer responsável pelo tratamento. Em contrapartida, as outras questões referem‑se simplesmente aos «requisitos previstos no RGPD», sem precisar as disposições específicas que devem conter esses requisitos.

33.

Assim, impõe‑se uma outra clarificação preliminar quanto à disposição ou disposições aplicáveis do RGPD, nomeadamente no que respeita à relação entre a empresa demandante e a Autoridade Tributária demandada. De que forma o RGPD regula especificamente esses pedidos de transferência de dados e os direitos e obrigações mútuos entre uma empresa privada e uma autoridade pública? (3)

34.

Dito isto, antes de abordar estas duas questões, devo lembrar a razão pela qual considero que a aplicação e o cumprimento do RGPD não podem ser vistos de maneira abstrata, interpretando definições que não dizem respeito a uma operação de tratamento específica que deveria ser tomada como ponto de partida. Depois de isso ter sido explicado, só então será possível analisar corretamente os intervenientes e as respetivas obrigações (1).

35.

No presente processo, todas as partes interessadas, entre as quais o Governo letão, concordam que, se o ponto de partida da análise se basear nas definições legislativas dos conceitos de «dados pessoais» e «tratamento» previstos no artigo 4.o do RGPD, então este instrumento é indubitavelmente aplicável ao processo principal.

36.

Em primeiro lugar, os dados a que se refere o pedido de informações são dados pessoais na aceção do artigo 4.o, n.o 1, do RGPD. As informações pedidas, como o número de telefone dos titulares dos dados ou o número do chassis do veículo, constituem «informações relativas a uma pessoa identificada ou identificável». Com efeito, tal informação permite identificar os vendedores de veículos automóveis e, portanto, os eventuais contribuintes.

37.

Em segundo lugar, é jurisprudência constante que a comunicação de dados ( 10 ) ou a divulgação de dados pessoais por transmissão, tal como a conservação de dados ou qualquer outra forma de disponibilização, constitui um tratamento ( 11 ). Afinal, a «divulgação por transmissão» está incluída na lista descritiva de operações de tratamento constante do artigo 4.o, n.o 2, do RGPD.

38.

Em terceiro lugar, esse tratamento de dados pessoais é claramente efetuado por meios automatizados, na aceção do artigo 2.o, n.o 1, do RGPD.

39.

Além disso, nenhuma das exceções, que devem, em todo o caso, ser interpretadas de forma restritiva ( 12 ), é aplicável no caso em apreço. À luz do Acórdão Österreischischer Rundfunk e o. ( 13 ), e, em particular, após o recente processo relativo aos Pontos de Penalização ( 14 ), não se pode argumentar que o tratamento dos dados pessoais em questão foi efetuado «no exercício de atividades não sujeitas à aplicação do direito da União», na aceção do artigo 2.o, n.o 2, alínea a), do RGPD.

40.

Do mesmo modo, a exceção prevista no artigo 2.o, n.o 2, alínea d), do RGPD também não parece aplicável. Ao abrigo desta disposição, as «autoridades competentes» parecem ser organismos como as autoridades policiais ou o Ministério Público ( 15 ). Não incluem as autoridades tributárias que atuem para efeitos de cobrança de impostos e menos ainda prestadores de serviços de publicação de anúncios na Internet. Além disso, mesmo que o tratamento de dados efetuado pelas autoridades tributárias competentes possa, em alguns casos, resultar na deteção de uma infração penal sob a forma de fraude fiscal, trata‑se apenas de uma possibilidade hipotética nesta fase ( 16 ).

41.

Assim, se abordado nestes moldes, pode‑se concluir que o RGPD é aplicável: verifica‑se a existência neste processo de dados pessoais que são objeto de tratamento por meios automatizados. Todavia, como já foi referido na introdução às presentes conclusões, tal abordagem, baseada nos conceitos relevantes ao abrigo do artigo 4.o do RGPD, tais como «tratamento» ( 17 ), «dados pessoais» ( 18 ) ou «responsável pelo tratamento» ( 19 ), sendo interpretada de forma extensiva e à margem de qualquer operação de tratamento específica, implica que qualquer comunicação de quaisquer dados seja regida pelo RGPD.

42.

De forma a interpretar corretamente as obrigações de todos os intervenientes, o ponto de partida de uma análise no âmbito do RGPD deve ser a identificação clara de uma operação de tratamento específica. Só assim será possível proceder adequadamente à apreciação das obrigações decorrentes do RGPD para a operação específica em causa no que concerne aos próprios intervenientes nesse tratamento ( 20 ). É a operação de tratamento específica, o trabalho feito com os dados e através deles, que é objeto de regulamentação. A lógica regulamentar e o cerne do RGPD baseiam‑se no desempenho e tratamento processual, sendo, portanto, necessariamente dinâmicos.

43.

Qual é a operação de tratamento específica no caso em apreço? A execução de pedidos de informações como os do processo principal exige, sem dúvida, o tratamento de dados pessoais ao qual o RGPD será, em princípio, aplicável. No presente processo, existem duas entidades diferentes que efetuam o tratamento de dados numa determinada fase. Nas suas questões, o órgão jurisdicional de reenvio centra‑se no tratamento efetuado pela demandada, a saber, a Autoridade Tributária letã. No entanto, resulta dos elementos dos autos que o tratamento pela demandante, ou seja, pela empresa privada, devia ser efetuado em primeiro lugar.

44.

No Acórdão Fashion ID ( 21 ), o Tribunal de Justiça analisou as operações específicas em causa no âmbito do tratamento de dados a fim de identificar o ou os responsáveis pelo tratamento. Assim, considerou que o conceito de «responsável pelo tratamento» não se refere necessariamente a um único organismo e pode dizer respeito a vários atores que participam nesse tratamento, estando assim cada um deles sujeito às disposições aplicáveis em matéria de proteção de dados ( 22 ). Contudo, uma pessoa singular ou coletiva não pode ser considerada responsável por operações anteriores ou posteriores da cadeia de tratamento cujas finalidades e meios não são por ela determinados ( 23 ).

45.

No caso em apreço, é provável que a demandada seja a responsável, uma vez recebidos os dados pedidos à demandante e iniciado o seu tratamento na aceção do artigo 4.o, n.o 2, do RGPD ( 24 ). Nessa fase, a demandada não só começará a proceder ao tratamento dos dados, mas também deverá definir os meios e as finalidades do seu próprio tratamento para efeitos do artigo 4.o, n.o 7, do RGPD. Ao efetuar, por sua iniciativa, quaisquer futuras operações de tratamento de dados, a demandada deverá então respeitar — desde que nenhuma restrição ao abrigo do artigo 23.o do RGPD tenha sido adotada pelo Estado‑Membro a este respeito — os princípios relativos à qualidade dos dados enunciados no artigo 5.o do RGPD, e fundamentar a(s) sua(s) operação(ões) de tratamento numa das situações previstas no artigo 6.o, n.o 1, do RGPD ( 25 ).

46.

Decorre, porém, do despacho de reenvio que o presente processo ainda não atingiu essa fase. A Autoridade Tributária não dispõe dos dados pedidos. Por conseguinte, não poderia ter iniciado nenhuma operação de tratamento desses dados. Além disso, o Tribunal de Justiça não recebeu nenhuma informação sobre o que a demandante pretende fazer com os dados ou o tipo de tratamento a que iria proceder.

47.

Até agora, a Autoridade Tributária apenas pediu a uma empresa privada que lhe fornecesse um determinado conjunto de dados. Isso, por si só, não constitui um tratamento de dados pessoais, pelo menos não dos dados aos quais ainda não tem acesso. Nestas circunstâncias factuais, a demandante, a saber, a empresa privada, continua a ser responsável pelo tratamento dos dados na medida em que os obteve através da sua própria atividade, ou seja, pelos meios e finalidades que ela própria definiu. Durante o tratamento dos dados de que dispõe a fim de os comunicar à demandada em conformidade com as respetivas condições, a demandante continua a ser responsável também pela operação de tratamento em causa. É a demandante que procede a esse tratamento posterior ( 26 ).

48.

Neste contexto, e em conformidade com o artigo 6.o, n.o 1, alínea c), do RGPD, a demandante garante assim o cumprimento de uma obrigação jurídica a que está sujeita enquanto responsável pelo tratamento, a saber, a do artigo 15.o, n.o 6, do Lei Tributária. Na qualidade de responsável pelo tratamento, a demandante está igualmente obrigada a respeitar o RGPD no tratamento de dados pessoais e na comunicação desses dados à demandada. No entanto, o órgão jurisdicional de reenvio não se interroga sobre o alcance do tratamento de dados exigido à demandante para a execução do pedido em questão. Na verdade, não submeteu nenhuma questão relativa às obrigações decorrentes do RGPD às quais a demandante se encontre eventualmente sujeita ao efetuar esse tratamento.

49.

Ao destacar a demandada como presumível titular das obrigações decorrentes do RGPD, o que parece estar em causa, segundo o órgão jurisdicional de reenvio, é o fundamento (jurídico) para o tratamento na aceção do artigo 6.o, n.o 3, do RGPD, ou seja, o artigo 15.o, n.o 6, da Lei Tributária, conforme posteriormente aplicado pelos pedidos de informações apresentados pela demandada.

50.

Em suma, o ponto fulcral subjacente à totalidade das questões submetidas pelo órgão jurisdicional de reenvio parece ser o do alcance e das condições das transferências de dados pessoais entre dois responsáveis pelo tratamento sucessivos ( 27 ). Quais são as disposições do RGPD, caso existam, que regulam as relações entre responsáveis sucessivos? O RGPD contém algum limite (material ou temporal) ao alcance e ao tipo de transferência de dados pessoais entre dois responsáveis pelo tratamento, no caso vertente uma empresa privada e uma autoridade pública? Todas estas questões dizem respeito precisamente ao fundamento jurídico da recolha de dados pessoais e, na realidade, não têm por objeto a operação de tratamento.

51.

O RGPD diz principalmente respeito à proteção dos dados pessoais dos titulares dos dados e à relação entre essas pessoas e qualquer entidade que proceda ao tratamento dos seus dados. Para o efeito, o RGPD estabelece os direitos dos titulares dos dados e as obrigações dos responsáveis em causa no âmbito do tratamento de dados pessoais.

52.

Esta lógica regulamentar centra‑se nos dados e nos organismos que a eles acedem e com eles trabalham. São muito poucas as disposições no RGPD que regulam direta e expressamente a relação entre os organismos de tratamento de dados ( 28 ). É certo que o RGPD abarca indiretamente essas relações. Obriga qualquer entidade que tenha posteriormente acesso aos dados a protegê‑los, bem como aos direitos dos titulares dos dados. Desta forma, o RGPD prevê efetivamente determinadas condições para a divulgação e transferência de dados. No entanto, isso certamente não significa que o RGPD regula diretamente as relações entre essas entidades.

53.

De certa forma, se os dados devessem ser considerados bens, então a lógica regulamentar do RGPD seria análoga a um regime de direito público específico para determinados tipos de bens (preciosos, artísticos, históricos). Um tal regime impõe certas limitações a esses bens: a forma como os bens podem ser fabricados, utilizados, em que condições podem ser modificados, armazenados, revendidos ou destruídos. Tal regime específico protege os bens e, portanto, vincula indiretamente qualquer proprietário ou detentor sucessivo dos mesmos. No entanto, por si só, esse regime específico continua vinculado aos bens. Não regulamenta nem os acordos privados ao abrigo dos quais esses bens podem ser vendidos entre dois particulares, nem as condições em que os mesmos bens podem ou devem ser transmitidos de uma entidade privada para uma pública. A regulamentação dos bens difere da regulamentação do título jurídico subjacente e do comércio desses bens.

54.

O RGPD apenas pode ser razoavelmente interpretado se se clarificar a sua lógica regulamentar e colocar a tónica na operação de tratamento específica como ponto de partida para as eventuais obrigações dele decorrentes. Caso contrário, o RGPD seria sempre aplicável apesar de, em qualquer leitura criativa do mesmo, simplesmente não existir nenhuma disposição que regule a questão específica submetida. Tais processos terão como consequência inevitável que o RGPD não se opõe a certas legislações ou práticas nacionais. No entanto, essa «falta de oposição» não será necessariamente o resultado de os regimes nacionais serem em princípio legais, mas ao facto de tal questão simplesmente não ser regulamentada pelo RGPD, mesmo que incida, de uma forma ou de outra, sobre dados pessoais.

55.

A jurisprudência do Tribunal de Justiça está familiarizada com estes «falsos positivos» no que respeita às diferentes obrigações de comunicação de dados previstas no direito nacional por diferentes razões. Mais uma vez, a maioria desses processos não se refere a nenhuma operação de tratamento em curso enquanto tal, mas sim à questão a montante do fundamento jurídico para uma operação futura. Variam desde a instauração de um processo cível para fazer cumprir os direitos de autor ( 29 ), à gestão adequada de fundos públicos ( 30 ) ou à salvaguarda da segurança nacional ( 31 ). Entre os exemplos a este respeito, podem‑se incluir os processos Rigas satiksme ( 32 ), Promusicae ( 33 ), Bonnier ( 34 ), ou J & S Service ( 35 ).

56.

É certo que, em todas estas situações, o RGPD era aplicável no que se referia aos direitos dos titulares dos dados em relação ao responsável ou responsáveis pelo tratamento no âmbito de operações de tratamento específicas que tinham acabado de ser efetuadas ou estavam prestes a ser efetuadas. No entanto, e mais uma vez, a lógica regulamentar e o âmbito de aplicação adequado do RGPD devem seguir o fluxo de dados e assegurar a proteção dos dados pessoais no âmbito das operações de tratamento. Não se destina a regulamentar toda e qualquer relação a montante entre vários organismos que possam dispor de dados, incluindo as razões e as formas pelas quais podem vir a ter acessos a esses dados. Por outras palavras, o RGPD não confere nenhum «direito» de um responsável pelo tratamento que possa ser invocado contra outro responsável.

57.

Isso não significa, no entanto, que tais questões não sejam regidas por lei. São‑no, mas por outros instrumentos principalmente destinados a garantir a aplicação do direito. É nesses instrumentos que se encontra o fundamento jurídico para o tratamento exigido pelo artigo 6.o, n.o 3, do RGPD em primeiro lugar. Quando se trata de transferências obrigatórias de dados pessoais, estas tendem a ser, de facto, de forma bastante lógica, previstas em «instrumentos de aplicação da lei», ao abrigo quer do direito da União ( 36 ), quer do direito nacional. Quando se trata de transferências voluntárias de dados pessoais, na medida do possível e permitido pelo regime de direito público constituído pelo RGPD, o fundamento para essas transferências será o direito comercial ou contratual nacional, tendo em conta o tipo de acordos em vigor entre os responsáveis sucessivos pelo tratamento.

58.

Tendo em conta estes esclarecimentos, considero que o presente processo (ainda) não versa sobre qualquer operação de tratamento. Incide antes sobre o fundamento jurídico desse tratamento, matéria a que o RGPD apenas faz referência mas não regula diretamente. No entanto, dito isto, e no intuito de ajudar plenamente o órgão jurisdicional de reenvio, exporei na parte seguinte das presentes conclusões o quadro de base que decorre do RGPD e que será aplicável à operação de tratamento, uma vez efetuada pelo responsável, a empresa privada (B). O RGPD visa proteger o titular dos dados, e não uma empresa privada, contra uma interferência pública na sua liberdade de empresa ou no seu direito de propriedade sob a forma de exploração de dados. Isso não significa que tal questão não possa dar origem a uma preocupação válida, mas que dificilmente poderá ser regulada pelo RGPD (C).

59.

Segue‑se uma análise bastante geral sobre o fundamento jurídico do tratamento de dados que a demandante deverá efetuar ao executar o pedido de informações da demandada. A este respeito, é provável que a disposição aplicável seja o artigo 6.o do RGPD e, em especial, os seus n.os 1 e 3, interpretados à luz do considerando 45.

60.

A título preliminar, importa referir que o Tribunal de Justiça não recebeu qualquer informação específica a respeito de eventuais regras nacionais adicionais aplicáveis em matéria de proteção de dados em circunstâncias como as do processo principal. Além disso, o Tribunal de Justiça também não recebeu informações sobre se, além do artigo 15.o, n.o 6, da Lei Tributária, existem outros atos nacionais de aplicação geral (por exemplo, um decreto ou orientações de execução) que reforcem a obrigação em causa que recai sobre os prestadores de serviços (de publicação de anúncios na Internet) no sentido de comunicarem determinados dados às autoridades tributárias. Também há muito pouca informação sobre o quadro legislativo nacional que aplica o RGPD em geral.

61.

Além disso, não ficou claro se o artigo 23.o, n.o 1, alínea e), do RGPD foi transposto para o direito nacional de alguma forma. O facto de esta disposição do direito da União ter sido ou não aplicada não condiciona a legalidade do pedido de transferência de informações. No entanto, seria relevante para determinar o alcance e a natureza das obrigações que um responsável posterior pelo tratamento (uma autoridade pública) pode ter em relação aos titulares dos dados, bem como para determinar as obrigações do responsável inicial e as informações que este último deverá fornecer aos titulares dos dados.

62.

Por conseguinte, a análise seguinte não pode deixar de ser senão algo genérica. Abordarei os princípios decorrentes do artigo 6.o do RGPD relativos ao futuro tratamento a efetuar por uma empresa privada a fim de atender a um pedido de dados formulado por uma autoridade pública, em primeiro lugar tendo em conta a finalidade dessas transferências de dados (1) e o seu alcance e duração (2). Em seguida, debruçar‑me‑ei sobre o fundamento jurídico de tais transferências, uma vez que os requisitos relativos a esse fundamento se tornam mais claros após as questões anteriores terem sido abordadas (3).

63.

De um modo geral, a finalidade global para a qual a Administração Tributária solicita a comunicação dos dados pessoais no processo principal é sem dúvida legítima. Com efeito, assegurar a correta cobrança do imposto e detetar eventuais infrações ao dever de pagamento do imposto pode certamente inserir‑se nos objetivos e finalidades legítimos do tratamento de dados, nos termos do artigo 6.o, n.os 1 e 3, do RGPD ( 37 ).

64.

O que está em causa nas questões suscitadas pelo presente processo é o grau de abstração com que tal objetivo deve ser enunciado. A este respeito, existe, aparentemente, uma certa confusão entre dois tipos de objetivos específicos: por um lado, i) investigar determinados tipos de informação (a fim de detetar violações da lei), por outro, ii) verificar a existência de determinadas infrações (e procurar obter a comunicação de dados específicos, a fim de confirmar essa hipótese).

65.

A natureza (e, portanto, o alcance) dos dois tipos de transferência de dados é necessariamente diferente. A lógica da investigação e deteção aplica‑se ex ante, e é amplamente indefinida quanto aos concretos titulares dos dados. Se o objetivo é detetar possíveis violações, então a rede metafórica deve ser bastante ampla. Por outro lado, a lógica da verificação de possíveis violações por meio da comunicação de dados relevantes pode ser muito mais multifacetada e direcionada. Neste caso, a lógica é muito mais ex post, centrada na verificação de determinadas suspeitas que incidem normalmente sobre um titular de dados já identificável.

66.

Considero que o artigo 6.o do RGPD permite ambas as situações. Dito isto, o artigo 6.o, n.o 3, do RGPD exige um fundamento jurídico claro para qualquer uma dessas transferências de dados.

67.

Todavia, compreendo as hesitações do órgão jurisdicional de reenvio no âmbito do presente processo, tendo em conta a redação do artigo 15.o, n.o 6, da Lei Tributária. Assim, na redação aparentemente em vigor no momento em que o órgão jurisdicional de reenvio apresentou o seu pedido de decisão prejudicial, o referido artigo dispunha que os prestadores de serviços de publicação de anúncios na Internet podiam ser obrigados, a pedido da Administração Tributária do Estado, a fornecer informações sobre os (respetivos) sujeitos passivos.

68.

Verifica‑se, portanto, que, no caso em apreço, a finalidade da comunicação, enunciada no fundamento jurídico aplicável, se assemelha à segunda situação acima descrita: a verificação de determinadas informações relativas a sujeitos passivos específicos. No entanto, afigura‑se que a Autoridade Tributária nacional utilizou este fundamento jurídico para o que parece ser um pedido de transferência (ilimitada) de dados, ou mesmo uma manifesta recolha de dados, a fim de realizar um exercício geral de investigação e deteção, que se enquadra na primeira situação acima descrita. É aqui que se encontra a dissonância lógica que parece estar na base deste processo a nível nacional e que suscita confusão sobre a proporcionalidade de tal medida (2) e sobre o seu fundamento jurídico adequado (3).

69.

A proporcionalidade, bem como a «minimização», é a análise da relação entre os objetivos (declarados) e os meios (escolhidos). O problema no presente processo é que a apreciação da proporcionalidade provavelmente será diferente em função do objetivo escolhido no âmbito das duas situações (ideais) ( 38 ) acima expostas.

70.

No âmbito de um objetivo de «investigação e deteção», a abordagem das autoridades públicas parece ser a mais ampla possível para garantir a obtenção de informações relevantes. Tal pode implicar o tratamento de uma quantidade significativa de dados. Com efeito, a necessidade de recolher e tratar conjuntos mais vastos de dados é inerente a este tipo de investigação em busca de informação geral e indeterminada. Nesta situação, a proporcionalidade e a minimização do tratamento de dados só podem verdadeiramente incidir sobre o tipo de dados pedidos onde as informações necessárias podem potencialmente ser encontradas ( 39 ).

71.

No âmbito de um objetivo de «verificação», em que as autoridades públicas precisam de obter provas relativas ao conteúdo de uma determinada operação ou conjunto de operações, a apreciação da proporcionalidade pode naturalmente ser mais exigente. Neste caso, a Autoridade Tributária apenas pode solicitar operações específicas, dentro de um determinado prazo, para proceder a verificações ex post, normalmente no que se refere a um ou vários sujeitos passivos específicos. Os pedidos de informações são, portanto, suscetíveis de ser adaptados aos dados específicos que contêm esse tipo de informação.

72.

A lógica do considerando 31 do RGPD, na medida em que a consigo identificar, parece referir‑se apenas a esta última situação. O segundo período deste considerando, invocado e amplamente discutido pelas partes interessadas, em especial pela Comissão, prevê que os pedidos de comunicação de dados enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros.

73.

No entanto, considero que não é possível descontextualizar (parte de) um considerando de um regulamento, tratá‑lo como uma disposição autónoma e vinculativa, sem sequer que o texto juridicamente vinculativo desse instrumento dele faça eco ( 40 ), e, com base nisso, afirmar que qualquer transferência de dados pessoais para autoridades públicas apenas pode ocorrer nestas condições. Não posso simplesmente aceitar a sugestão de que uma parte do considerando 31, considerado isoladamente, proíbe todas as transferências de dados em grande escala para autoridades públicas, mesmo as que têm um fundamento jurídico adequado (na legislação nacional e/ou da União) e respeitam todas as disposições vinculativas do RGPD.

74.

No âmbito do presente processo, o Governo letão sustentou que a quantidade de informações pedidas pode ser considerada razoável, na medida em que o pedido de comunicação apenas inclui anúncios publicados na secção «veículos de passageiros», que é apenas uma secção de um total de 112 secções do sítio Internet em questão gerido pela demandante. Os Governos belga e espanhol acrescentaram que, na sua opinião, a questão não é a quantidade de dados, mas sim o tipo de dados pedidos.

75.

Concordo com estas observações.

76.

A proporcionalidade da investigação e deteção ex ante implica um «controlo da qualidade» no que diz respeito ao tipo de dados pedidos. É apenas aquando da verificação ex post de determinados factos que o «controlo da quantidade» mais tradicional pode ser plenamente executado. Se assim não fosse, a maioria dos meios de controlo ou de vigilância de dados seria, na prática, excluída.

77.

Desde que exista fundamento jurídico adequado no direito da União ou no direito nacional, uma Autoridade Tributária nacional pode, em princípio, pedir todos os dados necessários para o tipo de exame que deve efetuar, sem qualquer limitação temporal. O único limite que decorre do RGPD é a proporcionalidade em relação ao tipo de dados pedidos. Como o Governo helénico corretamente salienta, os pedidos de informação devem limitar‑se ao tipo de dados relativos à atividade económica dos contribuintes, e não à sua vida privada.

78.

Para dar um exemplo, se a finalidade indicada for detetar os rendimentos não declarados da venda de veículos usados, a Autoridade Tributária não tem o direito de pedir igualmente informações no sentido de saber se a pessoa que vende o carro é ou não ruiva, se segue uma dieta específica, ou se dispõe de uma piscina. Portanto, o tipo de informação solicitada deve claramente ser relativo à pesquisa e à investigação efetuadas.

79.

Além disso, cabe ao órgão jurisdicional de reenvio a apreciação da proporcionalidade em qualquer das duas situações acima expostas, nas circunstâncias de facto e de direito de cada processo ( 41 ). Em suma, a questão que se deve colocar é a de saber se o tipo de dados solicitados é adequado para facultar à demandada as informações necessárias à realização do objetivo declarado.

80.

Por último, só agora pode ser convenientemente apreciada a questão essencial do fundamento jurídico à luz das considerações precedentes. É evidente que as duas situações descritas nas subsecções anteriores das presentes conclusões («investigação e deteção» e «verificação») exigem um fundamento jurídico nos termos do artigo 6.o, n.o 3, do RGPD para que seja efetuado o tratamento pela demandante. Esta disposição permite expressamente a adaptação específica da adaptação das regras gerais do RGPD, seja pelo direito da União ou pelo direito dos Estados‑Membros.

81.

Em qualquer caso, porém, o fundamento jurídico previsto deve logicamente abranger a finalidade específica e o tipo de tratamento efetuado para esse efeito. A forma como deverá proceder‑se exatamente depende das disposições específicas de adaptação adotadas pelo Estado‑Membro ou pela União ao abrigo do artigo 6.o, n.o 3, do RGPD. Em geral, quanto mais generalizadas, amplas e permanentes forem as transferências de dados, mais sólida, detalhada e explícita deve ser a base legislativa, uma vez que tais transferências de dados representam uma maior interferência na salvaguarda da proteção de dados. Em contrapartida, quanto mais individualizados e limitados forem os pedidos de comunicação — habitualmente relativos a apenas um ou alguns titulares de dados, ou mesmo a uma quantidade limitada de dados — mais provável se torna que esses pedidos sejam efetuados ao nível de pedidos administrativos específicos, mantendo‑se bastante ampla e genérica a disposição de habilitação legislativa.

82.

Por outras palavras, os dois níveis de regulação, a saber, o nível legislativo e o nível administrativo, que afinal constituem fundamento jurídico do tratamento de dados, funcionam em conjunto. Pelo menos um deles deve ser suficientemente específico e adaptado a um determinado tipo ou quantidade de dados pessoais solicitados. Quanto mais detalhado for o nível legislativo estrutural no que se refere a essas transferências de dados, menos tem que constar dos pedidos administrativos individuais. O nível legislativo pode até ser tão minucioso e abrangente que se torne completamente autónomo e diretamente aplicável. Em contrapartida, quanto mais genérico e vago for o nível legislativo, mais elementos deverão constar do pedido administrativo de alcance individual, incluindo uma clara declaração da finalidade que delimitará o alcance do mesmo.

83.

Este aspeto permite responder indiretamente à questão suscitada pelo órgão jurisdicional de reenvio a respeito da proporcionalidade, a qual poderia, com efeito, ser abordada de forma mais adequada determinando se as autoridades tributárias podem formular pedidos de dados que sejam ilimitados no tempo. Considero que, ao abrigo do RGPD, podem fazê‑lo. Contudo, a questão mais pertinente deveria ser a de saber se existe fundamento jurídico adequado no direito nacional para o que constitui efetivamente, em substância, uma transferência de dados contínua e permanente. O artigo 6.o, n.o 3, do RGPD não se opõe a tais transferências desde que estas encontrem claramente o seu fundamento, bem como a sua duração, no direito nacional. Mais uma vez, o considerando 31 do RGPD pouco indica a este respeito ( 42 ). Não vejo qualquer sentido prático em interpretar este considerando no sentido de que obriga efetivamente as autoridades administrativas a emitirem repetidamente (com periodicidade diária, mensal ou anual) pedidos individuais idênticos, a fim de obter o que já poderiam ter obtido com base na legislação nacional.

84.

No caso em apreço, o fundamento jurídico para o tratamento parece ser constituído tanto pelo artigo 15.o, n.o 6, da Lei Tributária, como pelos pedidos específicos de comunicação de dados formulados pela Autoridade Tributária. Verifica‑se, assim, um duplo fundamento jurídico, que inclui uma cláusula geral de habilitação legislativa e a aplicação administrativa específica e direcionada dessa disposição.

85.

De um modo geral, esse duplo fundamento jurídico afigura‑se suficiente para justificar o tratamento de dados pessoais pela demandante para efeitos da sua transferência para uma autoridade pública nos termos do artigo 6.o, n.o 1, alínea c), e n.o 3, do RGPD. Embora a legislação nacional que habilita as autoridades tributárias a pedir informações seja de aplicação geral, os pedidos específicos de dados parecem visar, em grande medida, um certo tipo de dados, pese embora a quantidade eventualmente grande dos mesmos.

86.

No entanto, em última análise, cabe ao órgão jurisdicional nacional verificar, com pleno conhecimento do direito nacional, incluindo de quaisquer outras disposições nacionais de execução não mencionadas no âmbito do presente processo, se o tratamento pedido pela demandante no processo principal preenche ou não os requisitos expostos na presente secção destas conclusões.

87.

A questão que está no cerne desta apreciação, que requer especial atenção, é a de saber se o artigo 15.o, n.o 6, da Lei Tributária, conjuntamente com os pedidos específicos de informação, cumpre a exigência de previsibilidade ( 43 ) no âmbito da análise do fundamento jurídico. A legislação que permite a transferência de dados deve prever normas claras e precisas que regulem o âmbito e a aplicação da medida em causa e impor requisitos mínimos, de modo que as pessoas cujos dados pessoais são abrangidos disponham de garantias suficientes de que os mesmos serão eficazmente protegidos contra os riscos de abuso ( 44 ).

88.

Por conseguinte, o fundamento jurídico considerado no seu conjunto (legislativo e administrativo) deve ser formulado com suficiente precisão para todas as pessoas em causa: as autoridades públicas quanto ao que podem pedir, as empresas quanto ao que podem fornecer e, sobretudo, os titulares dos dados para que saibam quem pode ter acesso aos seus dados e para que fins. Convém recordar que as informações relativas ao tratamento de dados constituem, efetivamente, um requisito fundamental no âmbito do RGPD. Os titulares dos dados devem estar cientes da existência de tal tratamento e essa informação é o pressuposto necessário ao exercício de outros direitos de acesso ou de eliminação ou retificação ( 45 ).

89.

A menos que o artigo 23.o do RGPD tenha sido de alguma forma transposto para o direito nacional a fim de restringir os direitos dos titulares dos dados ao abrigo do capítulo III do RGPD, decorre dos artigos 13.o e 14.o do RGPD que o responsável pelo tratamento deve fornecer informações ao titular dos dados. No contexto de sucessivas transferências de dados, pode ser difícil determinar a quem incumbe o dever de informação ( 46 ). Além disso, em termos práticos, na falta de quaisquer restrições adotadas nos termos do artigo 23.o, n.o 1, do RGPD, que na legislação nacional devem cumprir o requisito do artigo 23.o, n.o 2, do RGPD, uma autoridade pública que obteve os dados pode ter a obrigação de fornecer as informações adequadas, nos termos do artigo 14.o do RGPD, a todos os titulares dos dados em causa. Se não existir um fundamento jurídico claro e previsível que permita, em definitivo, tais transferências de dados, dificilmente se pode esperar que o responsável pelo tratamento que recolheu os dados faculte logo as informações ao titular dos dados em conformidade com o artigo 13.o do RGPD.

90.

Concluindo, considero pois que o artigo 6.o, n.o 1, alínea c), e n.o 3, do RGPD não se opõe a que uma regulamentação nacional preveja, sem qualquer limite temporal, a obrigação de os prestadores de serviços de publicação de anúncios na Internet comunicarem certos dados pessoais a uma Autoridade Tributária, desde que haja um fundamento jurídico claro assente no direito nacional para esse tipo de transferência de dados e os dados pedidos sejam adequados e necessários ao cumprimento, pela Administração Tributária, das suas atribuições oficiais.

91.

Não me compete especular sobre as verdadeiras razões das partes perante o órgão jurisdicional de reenvio. Devo, portanto, manter‑me fiel à minha esperança de que existam bons samaritanos, que se erguem desinteressadamente em defesa dos outros. Por que razão é que uma empresa privada não poderia estar simplesmente a defender os direitos dos titulares cujos dados pessoais foram recolhidos?

92.

Embora não possamos deixar de nos regozijar quando as sociedades comerciais se comprometem com a causa da proteção de dados, suponho que algumas outras empresas também podem ter outras razões para se opor às transferências dos dados pessoais recolhidos, decretadas pelo poder público. Uma razão pode estar relacionada com os custos inerentes a esse esforço. Deverão as autoridades públicas ser autorizadas a externalizar efetivamente parte do exercício da administração pública, obrigando as empresas privadas a suportar os custos do que constitui essencialmente exercício da administração pública? Esta questão torna‑se importante nos casos de transferências de dados permanentes e em grande escala que deveriam ser efetuadas por empresas privadas para o bem comum sem qualquer compensação ( 47 ). Outras razões podem ser de ordem empresarial. Se presumirmos por breves instantes, evidentemente num plano meramente hipotético, que as pessoas em geral não gostam de pagar impostos, poderá não ser tão rebuscado presumir também que algumas dessas pessoas podem escolher, para publicar anúncios dos seus veículos automóveis usados, soluções diferentes de um sítio Internet que comunica, posteriormente, essa informação às autoridades tributárias.

93.

Encontrar um equilíbrio entre todos os interesses presentes em tal situação está longe de ser simples. Por um lado, o facto de o poder público pedir a empresas privadas dados que devem ser elaborados e apresentados segundo requisitos específicos, pode aproximar‑se perigosamente de uma externalização forçada do exercício da administração pública. Pode ser o caso, nomeadamente, dos dados que, de outra forma, estão disponíveis gratuitamente e os próprios organismos públicos poderiam ter recolhido com um pequeno esforço técnico. Por outro lado, conforme o Governo belga sublinhou com pertinência ao apontar o alcance mais amplo da situação no processo principal, talvez seja necessária uma resposta ligeiramente multifacetada nas situações de diversas plataformas de economia partilhada, ou noutras situações em que as autoridades públicas pedem o acesso a dados essenciais à finalidade pública legítima declarada, mas que não estão livremente disponíveis e, como tal, não podem ser recolhidos pelas próprias autoridades públicas. Contudo, mesmo em tais circunstâncias, a questão de uma possível compensação continua em aberto.

94.

Existem certamente tais questões latentes no âmbito do processo principal. No entanto, encontrar um equilíbrio razoável em semelhantes situações deve ocorrer principalmente a nível nacional ou da União, adotando a legislação pertinente que fornece o fundamento jurídico para esse tipo de transferências. Não deve ser uma questão de intervenção judicial, a fortiori num processo em que o órgão jurisdicional de reenvio nem sequer suscitou expressamente nenhuma dessas questões. Além disso, há pelo menos duas razões adicionais pelas quais o presente processo não é o adequado para este tipo de discussão.

95.

Em primeiro lugar, à semelhança das outras questões que gravitam de alguma forma em torno do fluxo de dados pessoais mas não se prendem necessariamente com a proteção dos direitos dos titulares dos dados, o RGPD não regula especificamente tais questões. A questão da proteção jurídica dos responsáveis pelo tratamento de dados — empresas privadas perante a interferência eventualmente ilícita ou desproporcionada na sua livre condução dos negócios, no seu eventual direito de propriedade ( 48 ), ou mesmo no seu eventual direito a uma compensação equitativa pelos dados transferidos — não é uma questão regulada pelo RGPD.

96.

Em segundo lugar, uma vez que o fundamento jurídico para tal transferência de dados não está previsto pelo direito da União ( 49 ), a questão de uma eventual compensação pelas transferências de dados impostas dificilmente poderá ser considerada matéria de direito da União. Isto não quer dizer, mais uma vez, que tais questões não possam surgir, mesmo em matéria de proteção dos direitos fundamentais (dos responsáveis pelo tratamento dos dados em causa). No entanto, essas questões deveriam então ser devidamente abordadas pelos órgãos jurisdicionais do Estado‑Membro antes de este impor essas transferências. Qualquer processo neste sentido deve, portanto, ser submetido a um órgão jurisdicional nacional (constitucional).

97.

Proponho que o Tribunal de Justiça responda às questões prejudiciais submetidas pelo Administratīvā apgabaltiesa (Tribunal Regional Administrativo, Letónia) da seguinte forma: