1.

«A publicidade é a alma da justiça. É o maior incentivo ao esforço, e a mais segura de todas as proteções contra as irregularidades […] É apenas através da publicidade que a justiça se torna a mãe da segurança. Por meio da publicidade, o templo da justiça converte‑se numa escola fundamental, em que são aplicados os mais importantes ramos da moralidade […]» ( 2 ).

2.

Embora escritas no início do século XIX ( 3 ), as palavras de Jeremy Bentham não perderam a sua força. Sem dúvida que o contexto naquela época era muito diferente. A justiça aberta e a sua publicidade precisavam de ser justificadas não só perante certos monarcas iluminados (mais frequentemente, monarcas absolutistas não muito iluminados), mas também, ou mais exatamente em particular, face a uma série de visões medievais peculiares, mas ainda persistentes, da natureza da lei e do processo judicial ( 4 ).

3.

Não há informação explícita no processo principal sobre a conversão dos templos da justiça em escolas. Não obstante, afigura‑se ainda assim que, nos Países Baixos, o princípio da publicidade da justiça resultou na capacidade de a imprensa aceder, na data da audiência, a determinados documentos dos autos nos processos agendados para esse dia no tribunal. O objetivo desse acesso consiste em ajudar os jornalistas a fazer uma melhor cobertura do caso a ser julgado ( 5 ).

4.

Os recorrentes no processo principal são pessoas singulares que discordam desta política. Estes sustentam que não autorizaram a divulgação a um jornalista de documentos selecionados dos autos relativos ao seu processo, pendente no Raad van State (Conselho de Estado, em formação jurisdicional, Países Baixos). Os recorrentes alegaram terem sido violados, perante a autoridade nacional de controlo, diversos direitos e obrigações nos termos do Regulamento (UE) 2016/679 (a seguir «RGPD») ( 6 ). No entanto, a autoridade de controlo recorrida não se considerou competente para apreciar a reclamação. Na sua opinião, o tratamento em causa foi efetuado por tribunais nacionais no exercício da sua «função jurisdicional», nos termos do artigo 55.o, n.o 3, do RGPD.

5.

É neste contexto que o Rechtbank Midden‑Nederland (Tribunal de Primeira Instância dos Países Baixos Centrais, Países Baixos) procura primordialmente orientações sobre a questão de saber se a divulgação à imprensa de determinados documentos dos autos para efeitos de uma melhor cobertura do caso a ser julgado em audiência pública constitui uma atividade exercida por «tribunais que atuam no exercício da sua função jurisdicional», na aceção do artigo 55.o, n.o 3, do RGPD.

6.

O considerando 20 do RGPD dispõe:

«Na medida em que o presente regulamento é igualmente aplicável, entre outras, às atividades dos tribunais e de outras autoridades judiciais, poderá determinar‑se no direito da União ou dos Estados‑Membros quais as operações e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados pessoais. A competência das autoridades de controlo não abrange o tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a tomada de decisões. Deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado‑Membro, que deverão, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforçar a sensibilização dos membros do poder judicial para as obrigações que lhe são impostas pelo presente regulamento e tratar reclamações relativas às operações de tratamento dos dados.»

7.

Nos termos do n.o 1 do artigo 2.o do mesmo regulamento:

«O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.»

8.

O artigo 4.o, ponto 2, do RGPD define o conceito de «tratamento» como:

«[U]ma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.»

9.

O artigo 6.o do mesmo regulamento, sob a epígrafe «Licitude do tratamento», dispõe, na parte relevante, o seguinte:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2.   Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

10.

Nos termos do artigo 51.o, n.o 1, do RGPD:

«Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”).»

11.

No entanto, nos termos do artigo 55.o, n.o 3, do referido regulamento, «as autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional».

12.

A Uitvoeringswet AVG de 16 de maio de 2016 (a seguir «UAVG») transpõe o RGPD para a ordem jurídica neerlandesa. O seu artigo 6.o confia à recorrida a obrigação de controlar o cumprimento do RGPD nos Países Baixos. A UAVG não reproduz a exceção prevista no artigo 55.o, n.o 3, do RGPD.

13.

Em 31 de maio de 2018, o presidente da Afdeling bestuursrechtspraak van de Raad van State (Secção de Contencioso Administrativo do Conselho de Estado), as administrações judiciais do Centrale Raad van Beroep (Tribunal de Recurso da Segurança Social e da Função Pública, Países Baixos) e o College van Beroep voor het bedrijfsleven (Tribunal de Recurso do Contencioso Administrativo em Matéria Económica, Países Baixos) adotaram um regulamento sobre o tratamento de dados pessoais nos tribunais administrativos. Este regulamento instituiu os AVG‑commissie bestuursrechtelijke colleges (colégios de contencioso administrativo da Comissão do Regulamento Geral de Proteção de Dados) (a seguir «Comissão RGPD»). Esta Comissão é responsável por aconselhar o Raad van State, as administrações judiciais do Centrale Raad van Beroep, e o College van Beroep voor het bedrijfsleven na decisão de reclamações relativas ao respeito dos direitos garantidos pelo RGPD.

14.

Em 30 de outubro de 2018, realizou‑se no Raad van State (Conselho de Estado, em formação jurisdicional, Países Baixos) uma audiência no âmbito de um contencioso administrativo entre Z (a seguir «cidadão Z») e o presidente da câmara de Utrecht (Países Baixos) (a seguir «presidente da câmara M»). Para efeitos desse litígio, X (a seguir «advogado X») interveio no referido processo como mandatário do cidadão Z (a seguir designados no seu conjunto «recorrentes») ( 7 ).

15.

Após a audiência, e na presença do advogado X, o cidadão Z foi abordado por uma pessoa que se apresentou como sendo jornalista (a seguir «jornalista J»). Este jornalista dispunha de vários documentos dos autos. Interrogado a esse respeito, o jornalista J informou que tinha tido acesso a esses documentos ao abrigo do direito de acesso ao processo concedido aos jornalistas pelo Raad van State (Conselho de Estado, em formação jurisdicional).

16.

No mesmo dia, o advogado X escreveu ao presidente da Afdeling bestuursrechtspraak van de Raad van State (Secção de Contencioso Administrativo do Conselho de Estado) (a seguir «presidente P») para confirmar se tinha sido concedido acesso ao processo e, em caso afirmativo, por quem; e se tinham sido efetuadas cópias com o conhecimento ou o acordo dos funcionários do Raad van State (Conselho de Estado, em formação jurisdicional).

17.

Por carta de 21 de novembro de 2018, o presidente P respondeu que, por vezes, o Raad van State (Conselho de Estado, em formação jurisdicional) deve facultar aos meios de comunicação informações sobre as audiências. Para o efeito, o Raad van State faculta, designadamente, o acesso a informações aos jornalistas que se encontram nesse momento no edifício para fazer a cobertura de uma audiência específica. Estas informações incluem uma cópia da petição de recurso (ou de segunda instância), da contestação e, no caso de se tratar de um processo de recurso de segunda instância, da decisão Rechtbank (Tribunal de Primeira Instância, Países Baixos). O acesso às cópias só está disponível no próprio dia da audiência, significando isto que as informações não são previamente enviadas nem partilhadas com os meios de comunicação social. Os documentos relevantes não podem sair do edifício do Tribunal, nem ser levados para casa. No final do dia da audiência, os funcionários do departamento de comunicação do Raad van State (Conselho de Estado, em formação jurisdicional) destroem as cópias.

18.

O cidadão Z e o advogado X apresentaram à Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais, Países Baixos) pedidos de medidas coercivas. A autoridade declarou‑se incompetente e reenviou os referidos pedidos para a Comissão RGPD.

19.

O órgão jurisdicional de reenvio explica que a política sobre o acesso dos jornalistas a documentos do Raad van State (Conselho de Estado, em formação jurisdicional) tem por efeito permitir a terceiros, que não são partes no processo, aceder a certos dados pessoais das partes no litígio e do seu ou dos seus eventuais mandatários. Esses documentos dos autos podem conter dados pessoais derivados, por exemplo, no papel de carta do mandatário, que podem conduzir à identificação. É ainda provável que o conteúdo dos documentos dos autos contenha um ou mais dados pessoais (especiais) do recorrente e/ou de terceiros, como informações sobre antecedentes criminais, informações comerciais ou informações médicas.

20.

No caso em apreço, com a divulgação dos documentos dos autos em causa o jornalista J teve acesso à petição de recurso, à contestação e à decisão do tribunal de primeira instância. Deste modo, o jornalista teve acesso a alguns dados pessoais dos recorrentes no processo principal, nomeadamente o nome e o endereço do advogado X e o «número de identificação civil» do cidadão Z.

21.

O órgão jurisdicional de reenvio considera que esse acesso a documentos dos autos e a disponibilização (temporária) de cópias desses documentos constituem o «tratamento» de dados pessoais na aceção do artigo 4.o, ponto 2, do RGPD. O órgão jurisdicional de reenvio constata que esse tratamento ocorreu sem o consentimento dos recorrentes. Contudo, a fim de determinar se a Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais) podia, de facto, concluir que não tinha competência para fiscalizar a decisão do Raad van State (Conselho de Estado, em formação jurisdicional) de conceder acesso aos documentos dos autos em causa, o órgão jurisdicional de reenvio deve interpretar o conceito de «tribunais que atuem no exercício da sua função jurisdicional», tal como previsto no artigo 55.o, n.o 3, do RGPD.

22.

Tendo dúvidas quanto à questão de saber se o Raad van State (Conselho de Estado, em formação jurisdicional) atuou no exercício da sua «função jurisdicional», na aceção do artigo 55.o, n.o 3, do RGPD, ao divulgar ao jornalista J documentos dos autos relativos ao litígio, que opõe o cidadão Z ao presidente da câmara M, para que este jornalista realizasse uma melhor cobertura da audiência nesse processo, o Rechtbank Midden‑Nederland (Tribunal de Primeira Instância dos Países Baixos Centrais) decidiu suspender a instância e submeter à apreciação do Tribunal de Justiça as seguintes questões prejudiciais:

23.

Foram apresentadas observações escritas pelo cidadão Z, pela Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais), pelos Governos espanhol, neerlandês, polaco e finlandês, bem como pela Comissão Europeia. A Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais), os Governos espanhol e neerlandês, bem como a Comissão apresentaram igualmente alegações orais na audiência realizada em 14 de julho de 2021.

24.

As presentes conclusões estão estruturadas da seguinte forma. Começarei por abordar sucintamente a questão da admissibilidade (A). Em seguida, debruçar‑me‑ei sobre o artigo 55.o, n.o 3, do RGPD e analisarei os elementos substantivos e institucionais desta disposição (B). Posteriormente, aplicarei as minhas considerações ao caso em apreço (C). Concluirei com diversas observações sobre a questão central que está, e ao mesmo tempo não está, em causa no presente processo: a aplicação do RGPD aos tribunais nacionais (D).

25.

O cidadão Z alega que as questões prejudiciais têm caráter hipotético e são, portanto, inadmissíveis. O cidadão Z apresentou um pedido de medidas coercivas devido não só à política de acesso alegadamente incompatível com o RGPD mas também à não notificação em tempo oportuno de uma fuga de dados (ou seja, a divulgação, sem consentimento, de dados pessoais a um jornalista). Além disso, existem falhas factuais no despacho do órgão jurisdicional de reenvio, uma vez que a divulgação dos documentos dos autos em causa não foi feita pelo Raad van State (Conselho de Estado, em formação jurisdicional), mas sim por funcionários do seu departamento de comunicação. Por conseguinte, uma vez que o despacho de reenvio não teve origem num tribunal na aceção do artigo 55.o, n.o 3, do RGPD, a Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais) tinha competência para controlar operações de tratamento efetuadas por esse departamento.

26.

Proponho que estas alegações sejam rejeitadas.

27.

As questões relativas à interpretação do direito da União submetidas por um órgão jurisdicional nacional gozam geralmente de uma presunção de pertinência ( 8 ). O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ( 9 ). Consequentemente, desde que as questões submetidas sejam relativas à interpretação do direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se ( 10 ).

28.

Esta última situação é claramente o caso do litígio no processo principal. O órgão jurisdicional de reenvio tem a obrigação de aplicar o RGPD, e, em particular, o n.o 3 do seu artigo 55.o, para determinar em que medida a Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais) tinha efetivamente competência para controlar operações de tratamento (se existentes) de dados pessoais efetuadas pelo Raad van State (Conselho de Estado, em formação jurisdicional). Na medida em que o órgão jurisdicional de reenvio solicita orientações sobre a interpretação desta disposição, este órgão pode submeter à apreciação do Tribunal de Justiça um pedido de decisão prejudicial.

29.

Além disso, o órgão jurisdicional de reenvio define exclusivamente sob a sua responsabilidade o quadro factual nos termos do qual pretende obter orientações do Tribunal de Justiça ( 11 ). Assim, ainda que um pedido de decisão prejudicial sofra de certas lacunas factuais, não cabe ao Tribunal de Justiça questionar a exaustividade do despacho do órgão jurisdicional de reenvio, nem tomar posição sobre uma determinada leitura da legislação ou prática nacional.

30.

Em todo o caso, a questão de quem divulga o quê e sob cujas instruções é, de facto, um elemento substantivo que pode ser relevante quando o RGPD e as orientações transmitidas pelo Tribunal de Justiça devem ser aplicados pelo órgão jurisdicional de reenvio. Esta questão não diz, contudo, respeito à admissibilidade do processo.

31.

Consequentemente, o caso em apreço é claramente admissível.

32.

É evidente que o RGPD se destina a ser aplicado aos tribunais dos Estados‑Membros. Com efeito, este regulamento aplica‑se a uma [qualquer] operação ou a um conjunto de operações efetuadas sobre dados pessoais. Não existe qualquer exceção institucional aplicável aos tribunais, ou quaisquer outros órgãos específicos do Estado ( 12 ). O RGPD é, pela sua conceção, institucionalmente omisso ( 13 ). Toda e qualquer atividade que envolva o tratamento de dados pessoais encontra‑se abrangida, independentemente da sua natureza. Por último, o considerando 20 do RGPD confirma esta conceção legislativa declarando expressamente que o presente regulamento é «aplicável, entre outras, às atividades dos tribunais e de outras autoridades judiciais».

33.

Distinta da questão da aplicabilidade material das regras previstas no RGPD, mas ainda indissociavelmente ligada a esta, encontra‑se a questão do controlo do cumprimento dessas regras. É certo que a questão de «quem deve controlar» pode, em parte, ser separada da questão «do que deve ser controlado». Todavia, ainda existe necessariamente uma ligação. Para começar, se certas regras não fossem sequer materialmente aplicáveis, ou fossem objeto de amplas exceções, quase não haveria, então, necessidade de discutir quaisquer questões relativas ao controlo. Na verdade, não haveria nada para controlar.

34.

A questão da competência em matéria de controlo é abordada no artigo 55.o do RGPD. Esta disposição dá início à secção 2 («Competência, atribuições e poderes») do capítulo VI («Autoridades de controlo independentes») do RGPD. Neste contexto, o artigo 55.o do referido regulamento atribui três tipos de competência.

35.

Em primeiro lugar, o artigo 55.o, n.o 1, do RGPD exige que os Estados‑Membros nomeiem autoridades de controlo para assegurar o cumprimento do RGPD e respeitem as obrigações dos diferentes intervenientes ( 14 ). As autoridades nacionais de controlo exercerão os poderes que lhe são conferidos, por este regulamento, no território do seu próprio Estado‑Membro.

36.

Em segundo lugar, o artigo 55.o, n.o 2, do mesmo regulamento estabelece a competência da autoridade de controlo do Estado‑Membro em causa para o tratamento efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.o, n.o 1, alínea c) ou e). Como tal, esta disposição prevê uma exceção ao n.o 1 do artigo 56.o, que, por sua vez, atribui a competência a uma autoridade de controlo principal em casos de tratamento transfronteiriço.

37.

Em terceiro lugar, é neste contexto que o artigo 55.o, n.o 3, do RGPD distingue outro tipo específico de operação de tratamento, nomeadamente o tratamento efetuado por tribunais que atuem no exercício da sua função jurisdicional. As autoridades de controlo «ordinárias», nos termos do artigo 55.o, n.o 1, do RGPD, não são competentes para estas atividades. Ao invés, o considerando 20 do RGPD explica que «deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado‑Membro».

38.

Retiro duas consequências desta conceção legislativa.

39.

Primeiramente, os artigos 55.o e 56.o do RGPD dizem, essencialmente, respeito à atribuição de competências. Neste contexto, talvez se pudesse argumentar que o artigo 55.o, n.o 1, do RGPD deve ser considerado a «regra», ao passo que todas as outras disposições, incluindo o artigo 55.o, n.o 3, do RGPD, devem ser consideradas «exceções». No entanto, o Tribunal de Justiça recusou‑se recentemente a aceitar esta lógica ( 15 ). A meu ver, por uma boa razão: os artigos 55.o e 56.o do RGPD dizem respeito à atribuição de competências em função do território, do tipo de operação de tratamento e também dos intervenientes. Certamente não faria jus a esta conceção, se a lógica, um tanto ou quanto redutora, de que «todas as exceções devem ser interpretadas de forma restritiva», emprestada do contexto do artigo 2.o, n.o 2, do RGPD, fosse aplicada à teia bastante delicada que é a atribuição de competências.

40.

Em segundo lugar, a aplicabilidade do artigo 55.o, n.o 3, do RGPD está sujeita a duas condições. Deve existir uma «operação de tratamento» na aceção do RGPD (1). Em seguida, esta deve ser efetuada por um «tribunal que atue no exercício da sua função jurisdicional» (2). Só depois se poderá determinar qual a instituição responsável pelo controlo do cumprimento do RGPD por esta atividade. Debruçar‑me‑ei agora sobre estas duas condições.

41.

O âmbito de aplicação do RGPD é definido em termos amplos. Por força do artigo 2.o, n.o 1, do RGPD, o presente regulamento aplica‑se «ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados».

42.

O ponto 2 do artigo 4.o acrescenta que por «tratamento» entende‑se «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados», e menciona, a título de exemplo, a «divulgação por transmissão, difusão ou qualquer outra forma de disponibilização». Este conceito tem sido interpretado como tendo em conta toda a cadeia de transações que envolvem dados pessoais ( 16 ).

43.

O artigo 4.o, ponto 6, do RGPD define um «ficheiro» como «qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico». Tendo em conta esta formulação alargada, o Tribunal de Justiça considerou que não existem requisitos quanto aos meios ou estrutura de um «ficheiro», desde que os dados pessoais estejam estruturados de um modo que permita encontrá‑los facilmente ( 17 ).

44.

Todos estes elementos, considerados no seu conjunto, significam que o tratamento de dados pessoais na aceção do RGPD ocorre quando existem (i) dados pessoais que (ii) são tratados (iii) através de meios automatizados ou fazem parte de um ficheiro. Neste contexto, qual é então a operação de tratamento em causa no caso em apreço?

45.

Resulta dos autos que o cidadão Z contesta o ato de mostrar fisicamente os três documentos dos autos ao jornalista J, para que este último pudesse cobrir melhor a audiência no litígio que opõe o cidadão Z ao presidente da câmara M. Deste modo, os dados pessoais contidos nesses (pelo menos em alguns desses) documentos foram divulgados pelo Raad van State (Conselho de Estado, em formação jurisdicional), agindo como responsável pelo tratamento, sem o consentimento do titular dos dados, equivalendo, portanto, a uma operação de tratamento (provavelmente ilícita) na aceção do artigo 4.o, ponto 2, do RGPD.

46.

Não parece haver qualquer divergência quanto ao facto de que os documentos dos autos em causa continham alguns dados pessoais, na aceção do artigo 4.o, ponto 1, do RGPD. As informações como o nome e o endereço do advogado X e o «número de identificação civil» do cidadão Z referem‑se obviamente «a uma pessoa identificada ou identificável» ( 18 ).

47.

As partes também não parecem contestar a presença de uma «operação de tratamento», na aceção do artigo 4.o, ponto 2, do RGPD. É aqui, todavia, que podem surgir algumas dúvidas. Qual foi exatamente a operação de tratamento específica ( 19 ) que desencadeou a aplicação do RGPD?

48.

A escolha mais óbvia a este respeito é a «divulgação por transmissão» ( 20 ) a um terceiro por funcionários do Raad van State (Conselho de Estado, em formação jurisdicional) dos documentos em causa. A jurisprudência apoia esta proposição, dado que o Tribunal de Justiça considerou a comunicação ( 21 ) ou divulgação geral ( 22 ) de dados pessoais como constituindo um «tratamento» na aceção do artigo 4.o, ponto 2, do RGPD.

49.

No entanto, nos termos do artigo 2.o, n.o 1, do RGPD, esta atividade deve, pelo menos em parte, ser realizada por meios automatizados. Os autos do processo nada referem sobre se esta atividade envolveu tais meios. A verdade é que, na sociedade atual, verificar‑se‑á, em determinado momento, pelo menos alguma utilização de meios automatizados. Além disso, uma vez que se deve ter em conta a totalidade da cadeia das operações de tratamento ( 23 ), desde que alguém, em algum momento anterior à divulgação dos documentos dos autos em causa, tenha digitalizado, copiado, imprimido, enviado por correio eletrónico ou extraído de outra forma esses documentos de uma base de dados, tal tratamento realizou‑se, pelo menos parcialmente, através da utilização de meios automatizados, na aceção do artigo 2.o, n.o 1, do RGPD.

50.

A título subsidiário, e em todo o caso, os dados pessoais foram aparentemente extraídos dos próprios autos do processo para efeitos da sua divulgação ao jornalista J. Isto implica, logicamente, que o Raad van State (Conselho de Estado, em formação jurisdicional) terá criado esse documento através de algum tipo de informação de identificação (o número de referência do processo, a data do litígio ou os nomes das partes intervenientes). Tal documento constitui, poderia mesmo dizer‑se por definição, um «ficheiro», na aceção do artigo 4.o, ponto 6, do RGPD, uma vez que estabelece um conjunto estruturado de dados (pessoais), acessível segundo critérios específicos ( 24 ).

51.

Assim, mesmo que se ignore a parte «por meios automatizados» da definição prevista no artigo 2.o, n.o 1, do RGPD, ainda é bastante claro que três documentos retirados e copiados a partir dos autos de um processo pendente num tribunal nacional fazem parte de um ficheiro, ou seja, os próprios autos do processo.

52.

Por último, nenhuma das exceções previstas no artigo 2.o, n.o 2, do RGPD, que devem ser objeto de uma interpretação restritiva ( 25 ), é aplicável no caso em apreço. A divulgação dos documentos em causa não se enquadra «fora do âmbito de aplicação do direito da União», pelo menos não da forma como esta expressão tem sido interpretada pelo Tribunal de Justiça neste contexto específico. Com efeito, poderia considerar‑se que a divulgação de documentos dos autos em processos perante tribunais nacionais não é abrangida pelo âmbito de aplicação do direito da União, certamente não no sentido convencional de ser regulamentada por qualquer ato do direito da União. Todavia, no recente Acórdão Latvijas Republikas Saeima (Pontos de penalização) do Tribunal de Justiça, a exceção prevista no artigo 2.o, n.o 2, alínea a), do RGPD foi interpretada no sentido de que se aplica exclusivamente às funções essenciais dos Estados‑Membros, na medida em que essas funções possam ser classificadas na mesma categoria que a segurança nacional ( 26 ). De facto, se não se considerou que assegurar a segurança rodoviária preenche o considerando 16 do RGPD ( 27 ), é pouco provável que a publicidade da justiça o faça.

53.

Além disso, não há qualquer indicação de que a divulgação no presente processo estivesse relacionada com uma investigação em matéria de infrações penais ou a execução de sanções penais (mesmo que, por qualquer motivo distante, houvesse necessidade de o fazer nestas circunstâncias) ( 28 ). Por conseguinte, exclui‑se igualmente a aplicabilidade do artigo 2.o, n.o 2, alínea d), do RGPD.

54.

Em conclusão, de acordo com a formulação e a interpretação amplas dos artigos 2.o, n.o 1, 4.o, ponto 2 e 4.o, ponto 6, do RGPD, e o âmbito de aplicação extremamente limitado das exceções previstas nos termos do artigo 2.o, n.o 2, do RGPD, afigura‑se que a divulgação dos documentos dos autos no caso em apreço é abrangida pelo âmbito de aplicação material do RGPD, quer como uma operação relativa ao tratamento de dados pessoais realizada total ou parcialmente por meios automatizados, quer pelo tratamento desses dados que fazem parte de um ficheiro.

55.

Fornecer a um jornalista três documentos dos autos, para que este possa compreender melhor a audiência que deve cobrir, constitui o tratamento de dados pessoais ao abrigo do RGPD. Esta conclusão é tanto uma resposta quanto a articulação de um problema. Os seres humanos são seres sociais. A maioria das nossas interações envolve a partilha de algum tipo de informação, mais frequentemente com outros seres humanos. Deverão todas e praticamente quaisquer trocas de tais informações estar sujeitas ao RGPD?

56.

Se eu for a um bar numa noite e partilhar com quatro dos meus amigos a uma mesa num espaço público [portanto, improvável que preencha a exceção relativa à atividade pessoal ou doméstica prevista no artigo 2.o, n.o 2, alínea c), do RGPD ( 29 )] uma observação pouco lisonjeira acerca do meu vizinho contendo os seus dados pessoais, que eu acabei de receber por correio eletrónico (portanto, por meios automatizados e/ou que faz parte do meu ficheiro), torno‑me o responsável por esses dados, e todas as obrigações (bastante pesadas) do RGPD são‑me de repente aplicáveis? Uma vez que o meu vizinho nunca deu o seu consentimento para esse tratamento (divulgação por transmissão), e uma vez que a coscuvilhice provavelmente nunca figurará entre os interesses legítimos enumerados no artigo 6.o do RGPD ( 30 ), sou obrigado a violar uma série de disposições do RGPD devido a essa divulgação, incluindo a maioria dos direitos do titular dos dados contidos no capítulo III.

57.

Na audiência, confrontada com tais questões, deveras excêntricas, por parte do advogado‑geral, a Comissão insistiu na existência de limites ao âmbito de aplicação do RGPD. No entanto, a Comissão não conseguiu explicar onde se situam exatamente esses limites. Com efeito, a Comissão admitiu que mesmo o «tratamento» incidental de dados pessoais parece desencadear a aplicação deste regulamento, e, portanto, os direitos e as obrigações dele decorrentes ( 31 ).

58.

É precisamente esta a questão que o caso em apreço, uma vez mais, põe em evidência: não deverá ser fixado qualquer limite material ao âmbito de aplicação do RGPD? Deverão todas as formas de interação humana, em que se divulgam informações sobre outros seres humanos, independentemente da forma como essas informações são divulgadas, estar sujeitas às suas regras bastante onerosas?

59.

Nesta nova era, em que se verifica uma tendência interminável para o aumento da autonomização, parece que quase todos os aspetos de qualquer atividade podem, mais cedo ou mais tarde, estar ligados a uma máquina que, cada vez mais, tem a sua própria capacidade de tratamento de dados. A maioria das vezes, a utilização desses dados será acessória ou «de minimis», pelo que em muitos casos não se realiza qualquer atividade «real» de tratamento. No entanto, e ainda assim, afigura‑se que nem a natureza da operação (a mera transmissão contra um trabalho efetivo sobre e com os dados), nem o método da eventual divulgação (por escrito, manual ou eletronicamente, contra oralmente), ou a quantidade de dados pessoais (inexistência da regra de minimis, inexistência de diferenças entre a divulgação de dados individualizados relativos a uma pessoa específica e o trabalho com ou sobre conjuntos de dados) parecem ser relevantes para a aplicabilidade do RGPD.

60.

Não sou, seguramente, o primeiro a ficar perplexo com a amplitude do que, aparentemente, constitui uma «operação de tratamento» para efeitos do RGPD, ou anteriormente, da Diretiva 95/46/CE ( 32 ). Nas suas Conclusões apresentadas no processo Comissão/Bavarian Lager, a advogada‑geral E. Sharpston tentou sugerir que fosse introduzido algum tipo de limiar mínimo como facto gerador para a presença de uma operação de tratamento ( 33 ).

61.

O Grupo de Trabalho do Artigo 29.o para a Proteção de Dados também já tinha anteriormente sugerido uma abordagem mais cautelosa dos conceitos de «dados pessoais» e de «tratamento» ( 34 ). Este grupo de trabalho observou que «o simples facto de uma certa situação poder ser considerada como envolvendo o “tratamento de dados pessoais”, na aceção da definição, não determina, por si só, que esta situação deve estar sujeita às regras da [Diretiva 95/46], nos termos nomeadamente do seu artigo 3.o» ( 35 ). Este grupo de trabalho salientou igualmente que «o âmbito de aplicação das regras em matéria de proteção de dados não deve ser demasiado amplo». O grupo de trabalho previu mesmo sabiamente que «uma aplicação mecanicista de cada uma das disposições da diretiva» poderia conduzir a «consequências excessivamente onerosas ou talvez mesmo absurdas» ( 36 ).

62.

O que talvez, então, se deva exigir, no mínimo, é uma mudança, alteração, manipulação, ou qualquer outro tratamento no sentido de «valor acrescentado» ou «justa utilização» dos dados pessoais em causa. Em alternativa, ou em conexão, deve dar‑se uma maior importância ao conceito de meios automatizados, excluindo todas as outras formas de mera divulgação por meios não automatizados, quer seja oralmente ou por mera inspeção de um documento escrito. A inclusão de um tal, ou qualquer outro, teste de avaliação de um limiar poderia, assim, ajudar a recentrar as regras relativas à proteção de dados em atividades que deveriam ser desde logo abrangidas ( 37 ), afastando quaisquer outras utilizações acidentais, incidentais ou mínimas de dados pessoais que, de outra forma, estariam sujeitas a toda a ira e força dos direitos e obrigações do RGPD.

63.

Seja como for, não ignoro o facto de que o Tribunal de Justiça, em formação de Grande Secção, já rejeitou não há muito tempo a adoção de qualquer teste deste tipo no Acórdão Comissão/Bavarian Lager ( 38 ). Numa ótica semelhante, o Tribunal de Justiça prosseguiu, desde então, uma trajetória bastante expansionista na interpretação do âmbito de aplicação da Diretiva 95/46 e do do RGPD ( 39 ).

64.

Por esta razão, sou, por conseguinte, obrigado a concluir que, também no caso em apreço, houve lugar a um tratamento de dados pessoais na aceção do artigo 2.o, n.o 1, do RGPD e, portanto, na aceção também do seu artigo 55.o, n.o 3.

65.

Na minha opinião, porém, creio que quer o Tribunal de Justiça, quer, de resto, o legislador da União, poderão ver‑se, um dia, obrigados a reexaminar o âmbito de aplicação do RGPD. A abordagem atual está gradualmente a transformar o RGPD num dos quadros regulamentares mais desrespeitado de facto do direito da União. Esta situação não é necessariamente intencional. Trata‑se antes do subproduto natural decorrente dos excessos na aplicação do RGPD, que, por sua vez, conduz a que uma série de indivíduos simplesmente ignorem inocentemente o facto de que as suas atividades também estão sujeitas ao RGPD. Embora seja certamente possível que tal proteção dos dados pessoais ainda seja capaz de «servir as pessoas» ( 40 ), estou bastante confiante de que ser ignorado em resultado de ser irrazoável não serve, de facto, bem ou sequer contribui para a autoridade ou a legitimidade de nenhuma lei, incluindo o RGPD.

66.

Tendo admitido que existe uma «operação de tratamento» na aceção do artigo 55.o, n.o 3, do RGPD, é necessário explorar o segundo elemento, mais institucional, contido nesta disposição. Como deve ser interpretado o conceito de «tribunais que atuem no exercício da sua função jurisdicional»?

67.

Esta disposição procura estabelecer uma distinção entre as atividades que devem ser consideradas como tendo sido realizadas no exercício da «função jurisdicional» e as atividades que não se inserem nesta categoria, tais como, presumivelmente, as funções administrativas. É possível encontrar uma distinção semelhante em diversos outros contextos legislativos, nomeadamente no que se refere ao acesso a documentos e ao princípio da transparência enunciado no quarto parágrafo do artigo 15.o, n.o 3, TFUE ( 41 ). Todavia, após um exame mais profundo, o artigo 55.o, n.o 3, do RGPD parece ser, por si só, uma disposição específica.

68.

A Comissão defende que o conceito de «atuar no exercício da sua função jurisdicional» deveria seguir uma abordagem puramente funcional e ser objeto de uma interpretação restritiva. A Comissão sustenta que deve ser dada particular atenção ao considerando 20 do RGPD e ao objetivo de salvaguarda da independência do poder judicial. Deste ponto de vista, só as atividades que tenham ou possam ter uma ligação direta com a «tomada de decisões» judiciais devem ser incluídas no conceito de «função jurisdicional», pelo que só estas atividades não se enquadrarão na competência das autoridades de controlo competentes.

69.

Todas as restantes partes no presente processo defendem a posição contrária. No essencial, estas afirmam que o uso da palavra «nomeadamente», no considerando 20 do RGPD, indica que o legislador da União não pretendeu associar uma leitura restritiva ao conceito de «atuar no exercício da função jurisdicional» e que o objetivo de salvaguardar a independência do poder judicial deve ser interpretado em sentido lato.

70.

Concordo em grande parte com a última posição.

71.

O artigo 55.o, n.o 3, do RGPD define a competência da autoridade de controlo competente. Tal como a Comissão salientou corretamente na audiência, este artigo não atua como uma exceção face à exigência global de fiscalização. De facto, uma vez abrangida pelo âmbito de aplicação material do RGPD, a operação de tratamento fica igualmente sujeita à fiscalização por parte de uma autoridade independente nos termos do artigo 8.o, n.o 3, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») e, de um modo mais geral, do artigo 16.o, n.o 2, TFUE. Este controlo deve ser feito por um órgão diferente da autoridade de controlo designada nos termos do artigo 51.o, n.o 1, RGPD.

72.

Para que a competência de controlo seja atribuída a um órgão diferente da autoridade geral de controlo nos termos do artigo 55.o, n.o 1, do RGPD, o n.o 3 do artigo 55.o do mesmo regulamento exige, além da existência de uma operação de tratamento, em primeiro lugar, a intervenção de um tipo de instituição («tribunais») e, em segundo lugar, o exercício de uma atividade específica por parte destes tribunais («atuar no exercício de uma função jurisdicional»). Isto implica a necessidade de um teste que tenha em conta ambas as características.

73.

No que se refere à primeira característica, é evidente que, fora do domínio necessariamente autónomo do artigo 267.o TFUE, o conceito de «tribunal» implica um órgão que faz parte da estrutura judicial dos Estados‑Membros e que é reconhecido como tal ( 42 ). Como já referi anteriormente, e o Governo neerlandês observou na audiência, para este tipo de entidades, a natureza «jurisdicional» da sua atividade é a regra, ao passo que o desempenho de quaisquer atividades «administrativas» deve ser considerado a exceção, dado que tais atividades são acessórias ou transitivas relativamente à sua atividade principal, que é a jurisdicional ( 43 ). Dito de outro modo, se o órgão em causa for designado um «tribunal» no sistema judicial dos Estados‑Membros, então presumir‑se‑á, por defeito, que este atua no exercício da «função jurisdicional», a menos que se prove o contrário num caso concreto ( 44 ).

74.

No que se refere à segunda característica, o corretivo funcional aplicado a esta determinação institucional verifica‑se, então, através da avaliação do tipo ou natureza de uma determinada atividade ( 45 ). A Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais) e os Governos espanhol e neerlandês apontam corretamente para o considerando 20 do RGPD para salientar que, no caso específico do artigo 55.o, n.o 3, RGPD, este corretivo deve ser interpretado em sentido lato.

75.

Não obstante, a título preliminar, gostaria de sublinhar que a definição prevista no artigo 55.o, n.o 3, RGPD contém corretamente dois elementos da definição: o elemento institucional e o corretivo (ou ajustamento) funcional. É por esse motivo que esta definição pretende logicamente abranger determinadas funções (jurisdicional) dentro de determinadas instituições (tribunais). Esta definição não é, nem pode ser puramente funcional. Se o fosse, e se «atuar no exercício da sua função jurisdicional» prevalecesse sobre o conceito de «tribunais», então, outros órgãos e autoridades nos Estados‑Membros que exercem em casos concretos alguma função jurisdicional poderiam pretender ser considerados órgãos fora da alçada das autoridades de controlo do artigo 55.o, n.o 1, do RGPD. No entanto, o artigo 55.o, n.o 3, do RGPD limita‑se a tribunais que atuam no exercício da sua função jurisdicional. Este artigo não abrange órgãos que atuem no exercício da sua função jurisdicional.

76.

Por que razão deverá, na segunda fase, o conceito de «atuar no exercício da sua função jurisdicional» ser interpretado em sentido lato, e assim, mais provavelmente, incluir em vez de excluir casos‑limite?

77.

Em primeiro lugar, ao contrário da Comissão, não subscrevo a ideia de que a relação entre o n.o 1 e o n.o 3 do artigo 55.o do RGPD deve ser reduzida à lógica simplista da «exceção à regra». Como já foi explicado acima ( 46 ), os artigos 55.o e 56.o do RGPD introduzem um sistema mitigado de atribuição do controlo em função de certos territórios, certos tipos de tratamento e certos intervenientes.

78.

Em segundo lugar, importa recordar que o segundo período do considerando 20 do RGPD estabelece que «a competência das autoridades de controlo não abrange o tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a tomada de decisões» ( 47 ).

79.

Neste contexto, as formulações «a fim de» e «nomeadamente» indicam a interpretação lata de que deve ser objeto o conceito de «atuar no exercício na sua função jurisdicional».

80.

Por um lado, a formulação «a fim de» nesta frase constitui uma explicação da finalidade e não uma limitação. Esta estabelece, através de uma declaração abstrata, que o objetivo da atribuição de competências contida no artigo 55.o, n.o 3, do RGPD é a proteção da independência do poder judicial. Com efeito, e contrariamente ao que a Comissão sugeriu na audiência, a formulação «a fim de» não implica que cada operação de tratamento deva servir para salvaguardar a independência judiciária. Simplificando, o considerando 20 não estabelece que, a fim de ser excluído da fiscalização da autoridade de controlo nos termos do artigo 55.o, n.o 1, cada tratamento efetuado pelo tribunal deva salvaguardar, de forma individual e concreta, a independência judiciária. Este considerando limita‑se a afirmar que, a nível sistemático, o sistema específico de controlo foi introduzido a fim de salvaguardar a independência judiciária. Estes são, em meu entender, muito diferentes tipos de «a fim de».

81.

Por outro lado, a necessidade de uma interpretação ampla dos termos «função jurisdicional» é também confirmada pela inclusão da palavra «nomeadamente» antes de «tomada de decisões», no segundo período do considerando 20 do RGPD. Com efeito, o vínculo assim criado indica igualmente que o conceito de «função jurisdicional» deve ser interpretado de forma mais ampla do que meras decisões individuais relativas a um caso concreto. Por conseguinte, não há novamente necessidade de garantir que cada atividade individual de tratamento deve assegurar, visível e claramente, a tarefa de salvaguarda da independência judiciária. Pelo contrário, pode, de facto, considerar‑se que um tribunal atua no exercício de uma «função jurisdicional» mesmo quando desempenha atividades relacionadas com o funcionamento geral do poder judicial ou com o funcionamento e administração gerais do processo judicial, seja, por exemplo, a compilação e arquivamento de ficheiros, a atribuição de processos aos juízes, a apensação de processos, a prorrogação de prazos, a conduta e organização das audiências, a publicação e difusão dos seus acórdãos no interesse do público em geral (seguramente no caso dos tribunais superiores), ou mesmo a formação de novos juízes.

82.

Em terceiro lugar, a mesma conclusão pode também ser retirada do objetivo declarado de salvaguardar a «independência do poder judicial no exercício da sua função jurisdicional». Ao longo da sua jurisprudência, em particular nos seus casos mais recentes, o Tribunal de Justiça tem interpretado o conceito de «independência judiciária» em sentido lato, de forma a abranger a capacidade dos juízes de exercerem as suas funções sem qualquer forma de pressão (direta ou indireta, efetiva ou potencial) ( 48 ).

83.

Não vejo qualquer razão para não adotar a mesma interpretação como base de entendimento do conceito de «independência do poder judicial» também para efeitos do RGPD. A este respeito, contudo, a menos que se pretenda incumbir a autoridade competente de controlo de avaliar, a nível individual, se a sua fiscalização num determinado caso poderá interferir nesta independência, não se justifica certamente uma leitura restritiva do considerando 20 e do artigo 55.o, n.o 3, do RGPD.

84.

É neste contexto que considero difícil aceitar os argumentos da Comissão e o seu entendimento do conceito de independência judiciária. Na audiência, a Comissão insistiu sempre que, para acionar o artigo 55.o, n.o 3, do RGPD, deve existir uma ligação direta entre o tratamento de dados pessoais em causa e o processo judicial em curso real. Se assim fosse, fico confuso quanto à forma como, exatamente, o conceito de independência judiciária, claramente invocado pelo legislador da União, poderia ser tido em linha de conta para definir o âmbito da atividade judicial.

85.

Se o conceito de independência judiciária deve ter algum significado neste contexto, então este será, sobretudo, o de salvaguardar a função jurisdicional contra palpites, pressões ou influências indiretas. Se a mais recente jurisprudência deste Tribunal é prova de alguma coisa, é de que as ameaças indiretas à independência judiciária ocorrem na prática com mais frequência do que as diretas. Um exemplo recente digno de nota nesta categoria pode incluir o sistema de processos disciplinares contra juízes ( 49 ). Em sentido estrito, tais processos (ou o eventual recurso aos mesmos) não estão diretamente ligados à tomada de decisões individuais pelos tribunais. No entanto, poucos contestarão a sua relevância no que se refere ao contexto em que tais decisões são proferidas, e que tais decisões estão claramente abrangidas pelo conceito de independência judiciária.

86.

Por todas estas razões, não posso aceitar a abordagem da Comissão para a construção do conceito de atuar no exercício de uma função jurisdicional nos termos do artigo 55.o, n.o 3, RGPD. Tal abordagem equivaleria, em substância, a permitir um controlo administrativo, ao abrigo do artigo 55.o, n.o 1, do RGPD, de todos os casos, a menos que exista uma ligação direta, presumivelmente mesmo um impacto percetível, com a tomada de decisões judiciais. Em meu entender, esta abordagem ignora qual deve ser exatamente o objetivo de salvaguarda da independência judiciária. A independência judiciária não se trata (apenas) de constatar ex post que algo já aconteceu. Trata‑se, acima de tudo, de pôr em prática salvaguardas ex ante, para que certas coisas não possam acontecer.

87.

O mesmo se aplica ao argumento de que, naturalmente, não se pode presumir que, mesmo que sejam autorizadas a examinar todas as atividades judiciais, as autoridades de controlo do n.o 1 do artigo 55.o podem ter a intenção ex ante de influenciar o processo judicial. Posso apenas concordar com este ponto. No entanto, isto é, uma vez mais, irrelevante se o objetivo a alcançar é o da salvaguarda da independência judiciária. A interpretação e o desenvolvimento institucional em tais casos não podem partir de uma lógica factual (já aconteceu?), devendo antes basear‑se numa lógica preventiva (certificar‑se de que tais coisas não podem acontecer, independentemente do comportamento específico dos intervenientes em causa) ( 50 ).

88.

Em quarto e último lugar, a finalidade declarada a nível legislativo no n.o 3 do artigo 55.o do RGPD dá, a meu ver, igualmente resposta à questão de como abordar os cenários‑limite, ou a zona cinzenta entre claramente o judicial e claramente outra coisa, provavelmente o administrativo.

89.

Na prática, existe naturalmente uma série de atividades‑limite desempenhadas pelos tribunais que não estão diretamente relacionadas com uma decisão judicial num determinado caso, mas que podem ter uma influência direta ou indireta no processo judicial. Pode tomar‑se como exemplo a atribuição de processos pelo presidente de um tribunal, desde que, naturalmente, um sistema jurídico conceda a um presidente qualquer discricionariedade a este respeito. Se se adotasse uma leitura redutora daquilo que se deve considerar ser a «função jurisdicional», então é pouco provável que essa atividade seja abrangida pelo artigo 55.o, n.o 3, do RGPD. Uma autoridade de controlo seria, portanto, competente para fiscalizar o tratamento de dados pessoais efetuado no âmbito dessa atividade. Contudo, tal decisão também não reveste natureza administrativa. Na realidade, poucos serão os que discordam que atribuir um processo a um juiz‑relator é uma tarefa inerentemente judicial, sendo que interferir nesta atividade pode ter um impacto significativo na independência judiciária.

90.

Outras atividades que se enquadram na mesma categoria são, por exemplo: a organização; a ordem dos assentos ou a gestão das salas do tribunal quando este está em sessão; a utilização de medidas de segurança para os visitantes, as partes e os seus representantes; a gravação em vídeo ou possivelmente mesmo a transmissão em vídeo das audiências; o acesso da imprensa às audiências; ou mesmo a informação disponível no sítio Internet de um tribunal acerca das audiências e das sentenças. Nenhumas destas atividades (meramente exemplificativas) é puramente judicial no sentido de estar diretamente ligada ao resultado de um caso concreto, nem apenas administrativa. Em diversos casos deste tipo, estas atividades podem, em determinadas circunstâncias, ter um impacto na independência judiciária de um tribunal. Seria, por conseguinte, adequado que as mesmas fossem controladas, quanto ao eventual cumprimento das obrigações decorrentes do RGPD, pela mesma autoridade que também pode comparecer perante esses tribunais como demandada em processos instaurados contra decisões adotadas por essa autoridade?

91.

No outro extremo encontram‑se, a priori, funções puramente administrativas, como a manutenção dos edifícios do tribunal; a contratação de serviços de catering; ou a gestão normal de aprovisionamentos e a manutenção de uma instituição e de um local de trabalho. É certo que, também nesta categoria, podem surgir casos‑limite. O pagamento dos salários de juízes pode ser um exemplo ilustrativo ( 51 ). Se estas funções implicarem apenas o tratamento mecânico de folhas de vencimento fixas, então, estas funções revestem natureza essencialmente administrativa. Assim sendo, o controlo destas atividades poderia ser da competência da autoridade de controlo designada nos termos do artigo 51.o, n.o 1, do RGPD. No entanto, assim que um elemento discricionário é incluído nesta função, como a decisão sobre o tipo de subsídio de férias, o subsídio de Natal, ou o subsídio de instalação que um determinado juiz pode auferir, essa atividade pode rapidamente perder o seu inocente estatuto meramente administrativo ( 52 ).

92.

Com efeito, seria incompatível com a lógica do considerando 20 do RGPD se estas atividades fossem revistas, devido simplesmente à sua categorização geral, pela autoridade de controlo do n.o 1 do artigo 51.o e não a autoridade «interna» designada especificamente para atividades com um impacto potencial sobre a independência judiciária. A questão aqui torna‑se uma questão de coerência: não é possível dissociar a decisão política específica tomada no exercício de uma função jurisdicional da sua execução, se uma revisão da decisão de execução daí resultante, por parte de pessoal geral administrativo, conduzir ao mesmo problema de prejudicar a independência do poder judicial. Como tal, mesmo a execução de uma decisão política tomada no exercício de uma função jurisdicional não deve inserir‑se no âmbito da fiscalização da autoridade de controlo (administrativo) competente.

93.

Por conseguinte, em conclusão e à luz da intenção do legislador expressa no considerando 20 do RGPD, a abordagem baseada na categorização das atividades que são efetuadas no exercício de uma «função jurisdicional» não pode ser uma abordagem individual e casuística, centrando‑se na possível ingerência no que é «judicial» nas circunstâncias de um caso concreto. Tal abordagem seria, por definição, factual e circunstancial, por vezes mais ampla e por vezes mais estrita. Por conseguinte, a abordagem adotada para a interpretação deste conceito deve ser estrutural (isto é, basear‑se no tipo de atividade) e, pela sua própria natureza, preventiva. É por isso que, para casos‑limite de atividades exercidas pelos tribunais, tendo em conta o princípio da independência judiciária, se existirem dúvidas quanto à natureza de um tipo de atividade, ou se houver o simples risco de o controlo dessa atividade poder ter um impacto na independência judiciária, tal controlo não deve inserir‑se (estruturalmente) no âmbito de competências da autoridade de controlo do artigo 55.o, n.o 1.

94.

Tendo respondido à definição de tribunais que atuam no exercício de uma função jurisdicional, terminaria reagindo, por uma questão de exaustividade, a outros três argumentos invocados por diversas partes interessadas no decurso do presente processo.

95.

Em primeiro lugar, considero ser de pouca utilidade prática dar ênfase à génese do considerando 20 do RGPD. O órgão jurisdicional de reenvio explica que os documentos preparatórios do RGPD mostram que a versão inicial do considerando 20 do RGPD foi elaborada de forma semelhante ao considerando 80 da Diretiva (UE) 2016/680 ( 53 ). Este último limita o conceito de «atuar no exercício da sua função jurisdicional» às «atividades judiciais relativas a processos judiciais, não se aplicando a outras atividades a que os juízes possam estar associados por força do direito do Estado‑Membro». No entanto, a versão final do considerando 20 do RGPD não manteve, finalmente, essa restrição da competência. Se há uma lição a retirar deste facto, é antes uma lição de contraste, e não de analogia. Afinal, o legislador da União afastou‑se claramente da redação anterior, rejeitando presumivelmente uma leitura restritiva que distingue entre diferentes tipos de «atividades judiciais».

96.

Em segundo lugar, para efeitos do presente caso, não é possível reproduzir simplesmente a lógica subjacente às distinções feitas no âmbito da legislação e da jurisprudência relativas ao acesso a documentos. O objetivo subjacente à distinção feita no quarto parágrafo do artigo 15.o, n.o 3, TFUE (proteção da integridade do processo judicial e do processo judicial em curso) é diferente do da distinção supostamente igual feita no artigo 55.o, n.o 3, do RGPD (proteção da independência judiciária dos tribunais).

97.

Mais concretamente, no que respeita aos Acórdãos Suécia e o./API e Comissão ( 54 ) e Breyer/Comissão ( 55 ), em que a Comissão procurou basear‑se para efeitos do presente processo, estes acórdãos dizem respeito à proteção de «processos judiciais», que constitui uma das exceções abrangidas pelo artigo 4.o do Regulamento (CE) n.o 1049/2001 ( 56 ). Como expliquei nas minhas Conclusões apresentadas no processo Friends of the Irish Environment, esta exceção coloca a tónica na duração finita de um litígio individual e não nas atividades permanentes do poder judicial ( 57 ). Por conseguinte, esta exceção encara as atividades previstas no artigo 4.o, n.o 2, do Regulamento n.o 1049/2001 principalmente através do prisma da temporalidade. No entanto, esta exceção temporal à lógica de divulgação é inteiramente alheia ao artigo 55.o, n.o 3, do RGPD, que se refere à atribuição permanente de competências em termos de controlo. Assim, também neste contexto, tal como a advogada‑geral E. Sharpston observou acertadamente no processo Flachglas Torgau, uma atividade judicial verdadeira «não tem princípio, nem fim» ( 58 ).

98.

Em terceiro e último lugar, gostaria de abordar a razão pela qual o exercício de ponderação, proposto pelo Governo espanhol, entre o direito à proteção de dados e certos outros direitos fundamentais (como é necessário nos termos do artigo 85.o do RGPD) não se insere no âmbito da avaliação prevista no artigo 55.o, n.o 3, deste regulamento. Isto advém do facto de a avaliação objetiva, para a atribuição da competência de controlo, da questão de saber se uma atividade é realizada no exercício de numa «função jurisdicional» não depender da ponderação de direitos fundamentais. Ao invés, nos termos do artigo 55.o, n.o 3, do RGPD, deve proceder‑se a uma «avaliação do tipo» que esteja ligada, como expliquei nos pontos anteriores, ao funcionamento geral do poder judicial e às políticas que lhe estão associadas.

99.

Não quero com isto dizer, de forma alguma, que não é necessário um exercício de ponderação para avaliar se a divulgação de documentos está em consonância com o direito à proteção de dados pessoais. É seguramente necessário, mas apenas mais tarde, ao se avaliar se a divulgação em causa (efetuada no exercício de uma «função jurisdicional») era proporcional ao objetivo que pretendia atingir e, assim, conforme com as disposições substantivas do RGPD ( 59 ).

100.

Em síntese, proponho que o conceito de «atuar no exercício da sua função jurisdicional», na aceção do artigo 55.o, n.o 3, do RGPD, seja abordado numa perspetiva institucional («trata‑se de um tribunal?»), que é, depois, potencialmente corrigida por uma avaliação funcional do tipo de atividade em causa («que tipo específico de atividade efetuou o tribunal?»). À luz do objetivo previsto no considerando 20.o do RGPD, esta última avaliação da atividade deve aplicar uma interpretação ampla do conceito de «função jurisdicional» que vá para além da mera tomada da decisão judicial num caso concreto. Tal avaliação deve igualmente abranger todas as atividades suscetíveis de ter um impacto indireto na independência judiciária dos tribunais. Como tal, deve considerar‑se que os tribunais atuam, por defeito, no exercício de uma «função jurisdicional», salvo se se demonstrar, no que respeita a um tipo específico de atividade, que esta reveste apenas natureza administrativa.

101.

Depois de ter proposto um teste geral que resulta, em meu entender, do artigo 55.o, n.o 3, do RGPD, debruçar‑me‑ei agora sobre as questões colocadas pelo órgão jurisdicional de reenvio.

102.

Recordando, na questão 1 pergunta‑se essencialmente se os tribunais nacionais atuam no exercício «da sua função jurisdicional», na aceção do artigo 55.o, n.o 3, do RGPD, ao divulgarem determinados documentos dos autos a um jornalista, de modo a que este esteja em condições de fazer uma melhor cobertura de um caso concreto. As restantes questões baseiam‑se na resposta que o Tribunal de Justiça dará a esta questão inicial, solicitando‑se orientações sobre se a avaliação ao abrigo da questão 1 é afetada, em primeiro lugar, pela eventual interferência da autoridade nacional de controlo na independência judiciária num caso concreto (questão 1a); em segundo lugar, pela natureza e finalidade do tratamento de dados, isto é, informar o jornalista a fim de permitir que este proceda a uma melhor cobertura da audiência no processo judicial (questão 1b); ou, em terceiro lugar, pelo facto de existir ou não uma base jurídica para essa divulgação de documentos (questão 1c).

103.

Começando pela questão 1, como expliquei na secção anterior das presentes conclusões, o conceito de «tribunais que atuam no exercício da sua função jurisdicional», na aceção do artigo 55.o, n.o 3, do RGPD, deve ser objeto de uma interpretação institucional, que é depois reajustada, se necessário, por um amplo «corretivo atividade‑tipo».

104.

No caso em apreço, a designação institucional é clara. Com efeito, o Raad van State (Conselho de Estado, em formação jurisdicional) funciona como um tribunal superior em matéria administrativa nos Países Baixos. Do mesmo modo, no que se refere à questão de saber se a atividade em causa se enquadra na categoria de tratamento efetuado no exercício de uma «função jurisdicional», as partes interessadas concordam de um modo geral que a divulgação de documentos dos autos a um jornalista, a fim de permitir que este proceda a uma melhor cobertura de uma audiência, se insere no tipo de atividade judicial abrangido pelo artigo 55.o, n.o 3, do RGPD.

105.

Concordo. Uma política, como a do presente caso, de divulgação de documentos processuais selecionados à imprensa a fim de tornar o trabalho dos tribunais mais transparente e compreensível atinge o cerne do direito a um tribunal imparcial ( 60 ), e diz claramente respeito a uma atuação no exercício de uma «função jurisdicional». Tal divulgação faz parte de uma função mais ampla do poder judicial moderno de manter o público informado sobre como a justiça foi alcançada em seu nome ( 61 ).

106.

Contrariamente ao alegado pelo cidadão Z, nesta linha de raciocínio, é irrelevante que tenha sido o departamento de comunicação do Raad van State (Conselho de Estado, em formação jurisdicional), que, tanto quanto sei, é composto por outros funcionários judiciais que não juízes, a divulgar os documentos em causa. Para além do facto de, devido à independência institucional dos tribunais, esta instituição decidir, ela própria, sobre a distribuição interna das tarefas, o órgão jurisdicional de reenvio explica, como foi confirmado na audiência pelo Governo neerlandês, que a divulgação em causa ocorreu sob a supervisão do presidente P.

107.

No entanto, mesmo que a decisão de divulgação em causa não tivesse sido tomada por um departamento do tribunal nacional, mas sim por um órgão externo geralmente sobre o controlo do tribunal nacional, o resultado seria o mesmo. Por um lado, isto acontece porque se o tipo de atividade é abrangido, então a designação de quem desempenha essa atividade nos termos da legislação nacional é irrelevante. Por outro lado, a diversidade de estruturas a nível nacional não pode conduzir a um resultado diferente numa situação em que uma determinada atividade serve apenas como corretivo de uma simples designação nacional ( 62 ). Caso contrário, uma autoridade de controlo como a Autoriteit Persoonsgegevens (Autoridade para a Proteção dos Dados Pessoais) passaria a controlar a política de imprensa do Raad van State (Conselho de Estado, em formação jurisdicional), o que, indiretamente, lhe permitiria rever uma decisão substantiva adotada por este tribunal no que respeita à publicidade da justiça num caso concreto.

108.

Isto leva‑me à questão 1a. Nesta questão, o órgão jurisdicional de reenvio pergunta se deve determinar em cada caso concreto se o controlo exercido afeta a independência judiciária.

109.

A resposta é «não». Como expliquei acima ( 63 ), a referência à «função jurisdicional» no considerando 20 do RGPD não deve ser entendida como exigindo uma análise sobre se existe, em cada caso concreto, uma ameaça à independência do poder judicial. Pelo contrário, esta referência representa a declaração geral de intenções subjacente à disposição prevista no artigo 55.o, n.o 3, do RGPD, que reveste natureza institucional. Esta declaração de intenções conduz a uma inclusão bastante preventiva de todos os tipos de atividades do tribunal, cujo controlo, quanto à sua conformidade com o RGPD, pode inclusive ter um impacto indireto na independência judiciária no âmbito de aplicação do artigo 55.o, n.o 3, do RGPD.

110.

De um ponto de vista mais prático, pode acrescentar‑se que, além dos argumentos de natureza estrutural e constitucional, tal solução é também a única solução razoável e prática. De facto, poderá alguém propor, com seriedade, que uma autoridade nacional de controlo nos termos do artigo 55.o, n.o 1, do RGPD deve efetuar, relativamente à decisão sobre a sua competência para lidar de todo com uma questão, uma avaliação individualizada em larga escala de cada tipo de operação de tratamento? Essas autoridades deverão realmente iniciar a complicada tarefa de determinar, caso a caso, as operações de tratamento em relação às quais o exercício de controlo poderia afetar a independência do tribunal nacional em questão, e em relação às quais tal não aconteceria, e filtrar imediatamente o que lhes é permitido analisar em conformidade?

111.

Isto diz respeito à resposta a dar à questão 1b. Com efeito, a natureza e a finalidade exatas de uma determinada operação de tratamento não são concludentes para responder à questão estrutural de quando é que o tribunal atua no exercício de uma «função jurisdicional». É certo que a publicidade da justiça e a sua administração são particularmente importantes para as funções do poder judicial moderno numa sociedade democrática. No entanto, estas considerações não assumem qualquer relevância na avaliação prevista ao abrigo do artigo 55.o, n.o 3, do RGPD, desde que a operação de tratamento em causa integre o conceito mais amplo de «função jurisdicional». Na verdade, qualquer outra conclusão restabeleceria dissimuladamente o tipo de leitura restritiva, proposta pela Comissão, do artigo 55.o, n.o 3, do RGPD.

112.

De resto, este mesmo aspeto destaca precisamente a razão pela qual a salvaguarda da independência do poder judicial só pode estar relacionada com o objetivo estrutural global que estimulou a introdução do artigo 55.o, n.o 3, do RGPD, e não com uma condição a estabelecer em cada caso concreto ( 64 ). Se fosse de outra forma, seria, então, bastante claro que «os interesses da publicidade e da transparência da justiça», declarados pelo órgão jurisdicional de reenvio como a finalidade relevante para o tratamento de dados em causa no presente caso, são diferentes da «salvaguarda da independência judiciária».

113.

Apenas duas vias de argumentação estariam, então, disponíveis. Primeiro, ter‑se‑ia de concluir que a publicidade da justiça é um objetivo diferente da independência do poder judicial. Em seguida, a divulgação aos jornalistas não se enquadraria no âmbito de aplicação do artigo 55.o, n.o 3, do RGPD, um resultado que todas as partes interessadas, incluindo a Comissão, dizem simplesmente não poder ser o caso. Segundo, ter‑se‑ia de alargar o conceito (já não muito restrito) de «independência judiciária», de modo a incluir também a publicidade e a transparência judiciais, e possivelmente qualquer outro valor, tornando tudo e qualquer coisa que ocorra no foro judicial num interesse ou valor inerente à independência judiciária. Porém, isto equivaleria, por sua vez, a virar do avesso toda a estrutura. A independência judiciária não constitui um fim em si. Não representa um valor intrínseco. A independência judiciária é, em si mesmo, um valor transitivo, um meio para um fim que deve ser alcançado através de juízes independentes: resolução de litígios justa e imparcial.

114.

Isto não quer dizer que uma análise da natureza e da finalidade de uma atividade de tratamento nunca possa ser útil. Claro que pode. Contudo, não na fase de decisão sobre o âmbito de aplicação do artigo 55.o, n.o 3, do RGPD, mas sim na fase de decisão sobre a licitude do tratamento nos termos do artigo 6.o, n.o 1, do RGPD, ou quaisquer outras disposições substantivas deste regulamento. Poderá, de facto, ser bastante pertinente avaliar a razão pela qual ocorreu uma certa atividade de tratamento ao determinar se tal atividade foi, por exemplo,«necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento», na aceção do artigo 6.o, n.o 1, alínea e), do RGPD. Do mesmo modo, a natureza e a finalidade de uma operação de tratamento inserir‑se‑ão naturalmente numa avaliação do cumprimento dos princípios estabelecidos no artigo 5.o do RGPD.

115.

Aqui entra a questão 1c, que prossegue com o mesmo tipo de discussão. A análise sobre a necessidade de uma base jurídica no direito nacional, e o tipo de base jurídica necessária, é novamente uma questão relativa ao próprio mérito e à licitude do tratamento. Trata‑se de uma questão que deve ser apreciada ao abrigo do artigo 6.o RGPD. No entanto, embora os autos do processo mencionem, em termos gerais, que a UAVG «transpõe» o RGPD, os autos são omissos quanto à forma como o artigo 6.o do RGPD foi tido em consideração no tratamento em causa no caso em apreço. Além disso, a licitude do tratamento não é uma questão diretamente colocada pelo órgão jurisdicional de reenvio.

116.

Em termos gerais, não posso deixar de me referir às observações recentemente feitas a este respeito nas minhas Conclusões apresentadas no processo Valsts ieņēmumu dienests ( 65 ). Com efeito, qualquer base jurídica nacional criada nos termos do artigo 6.o do RGPD só deve abranger aquilo que é, quanto à sua substância, uma prática geral e constante de divulgação dos documentos à imprensa. Nos casos em que essa base jurídica geral está disponível, não compreendo nem a finalidade nem a proporcionalidade por detrás da necessidade de uma decisão individual para cada operação de tratamento ( 66 ).

117.

Este caso é como uma cebola. Tem muitas camadas. Permanecendo‑se na camada exterior das questões colocadas pelo órgão jurisdicional de reenvio, tomando‑as em consideração e respondendo‑lhes de forma efetivamente literal, pode‑se de facto, incluindo o Tribunal de Justiça, parar nesta fase. A principal problemática com que o órgão jurisdicional de reenvio se confrontou, contida na sua primeira questão, relativamente ao artigo 55.o, n.o 3, do RGPD, teria obtido resposta.

118.

Acredito que seria possível, e no contexto do presente caso completamente justificado, permanecer nesta camada exterior. Nada de descascar cebolas a menos que expressamente solicitado.

119.

No entanto, ao mesmo tempo, não há como disfarçar o facto de que, no que respeita ao verdadeiro conteúdo das questões colocadas, o órgão jurisdicional de reenvio desliza gradualmente da problemática da competência ao abrigo do artigo 55.o, n.o 3, do RGPD para a apreciação substantiva do processo eventualmente nos termos do artigo 6.o do RGPD, em particular através das suas questões 1b e 1c. Certamente que este deslize e cruzamento se podem atribuir à questão inédita colocada pelo órgão jurisdicional de reenvio e aos contornos pouco claros da interpretação do artigo 55.o, n.o 3, do RGPD. Uma vez realizada essa interpretação, todas as questões se tornam claras e estas considerações redundantes.

120.

Não obstante, tudo isto pode, de facto, ser considerado uma indicação de outra coisa: nomeadamente, de que é bastante difícil separar perfeitamente a problemática da competência ao abrigo do artigo 55.o, n.o 3, do RGPD das, antes de mais, considerações quanto ao mérito e ao âmbito de aplicação da totalidade do diploma. Com efeito, se o RGPD não fosse de todo aplicável a determinados tipos de atividades, então, de que serviria deliberar sobre quem deve controlar isso ( 67 )? O mesmo se aplica a uma situação em que um Estado‑Membro excluísse legalmente os tribunais das obrigações decorrentes do RGPD: a não imposição de obrigações substantivas significaria que não há nada à partida a controlar.

121.

Ao mesmo tempo, no que se refere, em maior medida, à camada institucional e procedimental do caso, nas suas observações escritas, o cidadão Z levantou dúvidas quanto à compatibilidade do artigo 55.o, n.o 3, do RGPD com os artigos 8.o, n.o 3 e 47.o da Carta. Este considerou inválido no n.o 3 do artigo 55.o do RGPD, na medida em que esta disposição exclui as competências da autoridade de controlo (geralmente competente) do artigo 55.o, n.o 1, sem, simultaneamente, impor aos Estados‑Membros a obrigação de criar outra autoridade independente em conformidade com a redação do artigo 8.o, n.o 3, da Carta e do artigo 16.o, n.o 2, TFUE. Esta lacuna legislativa gera forçosamente violações do artigo 47.o da Carta e, potencialmente, até do artigo 19.o, n.o 1, TUE. Foi dito que priva o cidadão Z de qualquer ação perante um tribunal independente.

122.

No entanto, tendo em devida conta todos estes aspetos, dado que nenhuma destas questões foi de facto expressamente colocada pelo órgão jurisdicional de reenvio, mas também dado o âmbito de aplicação, o contexto e os argumentos debatidos no decurso do presente processo, creio que é melhor deixar estas questões para outro processo, se surgir realmente essa necessidade.

123.

Por conseguinte, termino simplesmente com várias considerações sobre a conceção legislativa do RGPD no que respeita à função jurisdicional dos tribunais. Esforcei‑me por compreender o pensamento legislativo por detrás do mecanismo em matéria de substância, exceções e controlo da conformidade com o RGPD. Não obstante, continuo perplexo com o resultado exato que se deveria alcançar ao submeter a atividade judicial dos tribunais às obrigações decorrentes do RGPD. Isto acontece em relação à natureza intrínseca desta atividade (1), mas também a quem deve ser encarregado do controlo do cumprimento pelo poder judicial do RGPD (2).

124.

De que forma é que o RGPD, uma vez aplicado aos tribunais, altera o modo como a função jurisdicional deve ser exercida? Dado o âmbito de aplicação aparentemente sem fronteiras do RGPD, pode parecer surpreendente que as obrigações resultantes desta função se afigurem surpreendentemente leves. As disposições substantivas do RGPD ou já preveem que qualquer tratamento normal para fins judiciais é legal; ou remetem para disposições complementares (e possivelmente restritivas) dos Estados‑Membros; ou, no mínimo, permitem uma ampla ponderação face a certos direitos e princípios fundamentais da sociedade democrática, que autorizará, uma vez mais, praticamente qualquer derrogação no que respeita à função jurisdicional.

125.

O artigo 6.o, n.o 1, alínea e), do RGPD constitui um exemplo a este respeito. Esta disposição considera lícitas quaisquer operações «necessárias ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido» um tribunal nacional «ex lege». Uma derrogação semelhante (embora mais explícita) resulta do artigo 9.o, n.o 2, alínea f), do mesmo regulamento para o tratamento de categorias especiais de dados pessoais. Nos casos em que uma destas disposições é aplicável, não é necessário qualquer consentimento por parte do titular dos dados, cabendo aos Estados‑Membros especificar mais precisamente de que forma se deverá proceder ao tratamento nessa situação ( 68 ). Por outras palavras, e sob reserva dos princípios relativos ao tratamento de dados estabelecidos no seu artigo 5.o ( 69 ), o próprio RGPD fornece uma base jurídica para considerar lícito qualquer tratamento de dados pessoais efetuado pelos tribunais nacionais que seja necessário para o desempenho das suas funções oficiais.

126.

Além disso, por força do artigo 23.o, n.o 1, alínea f), do RGPD, os Estados‑Membros estão igualmente autorizados a restringir o alcance dos direitos e obrigações previstos nos artigos 12.o a 22.o e 34.o do RGPD, bem como, em alguns casos, no artigo 5.o do mesmo regulamento, a fim de defender a «independência judiciária e os processos judiciais». Na audiência, a Comissão explicou que o artigo 23.o, n.o 1, alínea f), do RGPD deve ser entendido como funcionando de forma semelhante ao artigo 52.o, n.o 1, da Carta, e não deve ser considerado mais uma disposição que limita a competência da autoridade de controlo.

127.

Concordo com a Comissão neste aspeto: o artigo 23.o, n.o 1, alínea f), do RGPD não tem ligação direta com o artigo 55.o, n.o 3, do RGPD ( 70 ). Não obstante, este artigo permite uma derrogação global, por parte dos Estados‑Membros, a todos os direitos dos titulares de dados ao abrigo do capítulo III do RGPD para o que se afigura também como algum tipo de atividade judicial («independência judiciária e processos judiciais»).

128.

Por último, tudo isto é possível sem ter mesmo (ainda) dado início a um exercício de ponderação de direitos ou interesses fundamentais que não a proteção de dados, que diria respeito à apreciação da licitude das operações individuais de tratamento (e à minimização — exigência de proporcionalidade nele incorporada). Tendo em conta os imperativos da transparência judicial e da publicidade da justiça, estes são suscetíveis de abranger quaisquer utilizações normais de dados pessoais para efeitos de julgamento.

129.

O resultado afigura‑se auto‑derrotista: o direito da União sobrepõe um quadro global de proteção de dados à função judiciária, que deve ser respeitado, embora permitindo ao mesmo tempo inúmeras saídas substantivas. Acresce que a «captura de competências» introduzida pelo artigo 55.o, n.o 3, do RGPD e a lei em vigor fecham o círculo com a conservação do «modus operandi» dos tribunais nacionais antes da introdução destas regras. Isto levanta a questão: por que razão, então, houve a necessidade de um tal mosaico de regras se, na realidade, estas regras pouco se alteraram a nível nacional?

130.

Isto não quer dizer que esse resultado não é bem‑vindo. A meu ver, concordo inteiramente que não pode ser de outra forma. Não se trata apenas de adaptar as várias tradições judiciais e constitucionais dos Estados‑Membros no que diz respeito à publicidade da justiça ( 71 ). Este resultado é acima de tudo inerente à própria função jurisdicional. Julgar significa trazer aspetos individualizados para o fórum público. Gostaria muito de sublinhar ambos os elementos desta proposta.

131.

Por um lado, as bases da legitimidade judicial num caso concreto são os seus factos e detalhes. O juiz resolve um caso concreto. O seu trabalho não consiste em elaborar regras abstratas, gerais, e anónimas separadas de factos ou situações individuais. Este é o trabalho do legislador. Quanto mais uma decisão judicial se afasta ou esconde o contexto factual num processo judicial público, ou se for posteriormente declarada como tendo limitações significativas, mais frequentemente se torna incompreensível, e menos legítima se torna enquanto decisão judicial ( 72 ).

132.

Por outro lado, desde a época romana, mas presumivelmente já antes, se um requerente pedisse a ajuda da comunidade e, mais tarde, do Estado para que o seu pedido fosse mantido e executado pelo Estado, este era obrigado a entrar no fórum público e deixar que o seu caso fosse ouvido aí. Nos tempos da Roma clássica, o requerente tinha mesmo o direito de usar violência contra o requerido que recusasse aparecer em público (na parte nordeste do Fórum Romano, designado comitium), perante o magistrado (sentado numa cadeira giratória numa tribuna mais elevada do que o público em geral — daí, com efeito, o tribunal), quando chamado a comparecer perante um tribunal (in ius vocatione) ( 73 ).

133.

É verdade que, mais tarde, surgiram outras visões da boa administração da justiça e da sua publicidade. Talvez sejam melhor identificadas por uma citação de um juiz do Parlement de Paris, escrevendo em 1336 instruções aos seus colegas juniores, e explicando por que razão nunca deveriam divulgar os factos apurados ou os fundamentos da sua decisão: «Porque não é bom que alguém possa julgar o conteúdo de um decreto ou dizer ‘é semelhante ou não’; devendo antes os loquazes desconhecidos ser deixados no escuro e as suas bocas fechadas, de modo a não prejudicarem os outros. […] Porque ninguém deve saber os segredos do tribunal de mais alta instância, que não tem superior, exceto Deus […]» ( 74 )

134.

Na era moderna, voltando à citação introdutória de Jeremy Bentham, acredita‑se novamente que mesmo loquazes desconhecidos devem ser autorizados a ver e a compreender a justiça. É certo que, com a chegada das tecnologias modernas, uma série de questões deve ser continuamente reavaliada para que loquazes desconhecidos não possam prejudicar os outros.

135.

No entanto, quaisquer alterações deste tipo, nomeadamente as que se referem à publicidade e à transparência da administração da justiça, devem limitar‑se ao estritamente necessário, sem derrubar as fundações de toda a estrutura ( 75 ). Julgar é e continua a ser uma tomada de decisão individualizada que requer um certo grau de detalhes e dados pessoais, que devem ter lugar, certamente em termos do seu resultado, no fórum público.

136.

Terminando, a este respeito, com um exemplo específico já referido nas presentes conclusões ( 76 ), a meu ver, o RGPD não contém qualquer direito a um «julgamento anónimo». Tendo em conta tudo o que foi acima exposto, parece estranho e perigoso pensar que os requerentes que entram na ágora pública para a resolução dos seus conflitos, em que os juízes falam em nome da comunidade e agem sob o olhar atento dos seus concidadãos, devem ter o direito a que a sua identidade seja mantida em segredo e a que o seu processo seja anonimizado por defeito, incluindo relativamente ao próprio tribunal que decide do processo, sem que haja qualquer razão específica e de peso para esse anonimato ( 77 ).

137.

Naturalmente, a publicidade da justiça não é absoluta. Há exceções bem fundamentadas e necessárias ( 78 ). O único ponto a ter em mente aqui é: qual é a regra e qual é a exceção. A publicidade e a abertura devem continuar a ser a regra, à qual, naturalmente, são possíveis e, por vezes, necessárias exceções. No entanto, a menos que o RGPD devesse ser entendido como impondo um ressurgimento das melhores práticas do Parlement de Paris do século XIV, ou outros elementos do Ancien Régime ou da Star Chamber(s) na matéria ( 79 ), é bastante difícil explicar por que razão, em nome da proteção dos dados pessoais, esta relação deve agora ser invertida: o segredo e o anonimato tornar‑se‑iam a regra, em relação aos quais a publicidade poderia, talvez, ocasionalmente tornar‑se a exceção bem‑vinda.

138.

Em conclusão e em geral, não se pode deixar de perguntar, no que diz respeito à conceção legislativa global de aplicação do RGPD face às atividades judiciais dos tribunais, por que razão o sistema é concebido (num primeiro momento) para incluir tudo e em seguida (mais tarde) para excluir efetivamente os efeitos dessa cobertura alargada por força das disposições substantivas individuais, ou potencialmente inteiramente por força do artigo 23.o, n.o 1, alínea f), do RGPD. Não deveriam, então, os tribunais nacionais, no decurso da «atuação no exercício da sua função jurisdicional», ter sido simplesmente excluídos do âmbito de aplicação do RGPD?

139.

À camada substantiva junta‑se a institucional. Este aspeto acrescenta ao já bastante pesado «porquê» substantivo a questão do «como». De que forma, em termos práticos, atuam os tribunais no exercício da sua função jurisdicional para serem controlados quanto ao cumprimento do RGPD e por quem exatamente? Com efeito, se o RGPD for aplicável aos tribunais nacionais, e, contudo, as autoridades competentes de controlo não puderem ser encarregadas do controlo de atividades exercidas «na sua função jurisdicional» em conformidade com o artigo 55.o, n.o 3, do RGPD, quem defenderá o direito fundamental à proteção dos dados pessoais de uma pessoa, garantido pelo artigo 8.o, n.os 1 e 3, da Carta?

140.

É neste ponto que, a meu ver, a ligação entre o artigo 55.o, n.o 3 e o considerando 20 do RGPD causa alguns problemas.

141.

Todas as partes no presente processo explicam que o artigo 55.o, n.o 3, do RGPD deve ser lido à luz do considerando 20 do mesmo regulamento. Este considerando estabelece que, quando as autoridades de controlo nacionais fiscalizam e executam o regulamento, estas funções não devem, contudo, interferir no princípio da independência judiciária para controlar as operações de tratamento de «tribunais que atuam no exercício da sua função jurisdicional». O terceiro período do considerando 20 observa, em seguida, que «deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado‑Membro».

142.

Não obstante, a abordagem sugerida no considerando 20 é compatível com o critério da «independência» do artigo 8.o, n.o 3, da Carta? Com efeito, como poderá um «tribunal de controlo», assim estabelecido pelos Estados‑Membros no âmbito das suas estruturas judiciais nacionais para assegurar o cumprimento do RGPD, atuar como um terceiro independente dos próprios tribunais que alegadamente cometeram uma infração ao RGPD? Isto não poderá levantar a questão do artigo 47.o da Carta?

143.

Considerar uma estrutura institucional e procedimental adequada para este tipo de situação transforma‑se rapidamente num déjà‑vu, lembrando discussões encetadas no Acórdão Köbler ( 80 ). Quem deve decidir sobre a responsabilidade do Estado por violações judiciais do direito da União? Outros tribunais «ordinários» dentro do sistema judicial, com o perigo de um dia o Supremo Tribunal decidir sobre a sua própria responsabilidade? Ou um supertribunal criado especialmente para o efeito? E se este supertribunal também errar? A este respeito, o considerando 20 do RGPD suscita precisamente, uma vez mais, a questão que os Estados‑Membros denunciaram no processo Köbler: isto é, comprometer a independência judiciária «real» através de um direito externo exequível de revisão de atos ou omissões judiciais contra as regras de proteção de dados ( 81 ).

144.

No entanto, ao contrário do processo Köbler, de onde assumo que uma série de mentes razoáveis conseguiram dar sentido ao princípio de que os Estados‑Membros são obrigados a ressarcir os danos causados por um tribunal de última instância que profere uma decisão que viola o direito da União ( 82 ), não é de todo evidente por que razão essa independência «real» deve ser sacrificada no altar do controlo do cumprimento de um ato de direito derivado, como o RGPD, que já prevê outros meios de execução. É, seguramente, inegável que este ato tem bases sólidas de direito primário no artigo 8.o da Carta e no artigo 16.o TFUE. A questão é que existe separadamente uma ação e uma indemnização contra os tribunais enquanto responsáveis pelo tratamento, em conformidade com os artigos 79.o e 82.o do RGPD, e independentemente no n.o 3 do seu artigo 55.o

145.

Ao mesmo tempo, pode encontrar‑se uma eventual solução se o terceiro período do considerando 20 do RGPD não for tido em conta de forma tão literal. Com efeito, trata‑se apenas de um considerando e não de uma disposição legislativa independente e, portanto, vinculativa ( 83 ). Aceitando‑se esta abordagem, aparentemente adotada efetivamente em alguns Estados‑Membros, as disposições substantivas do RGPD seriam, então, apenas consideradas como estabelecendo direitos suscetíveis de serem invocados perante os tribunais nacionais, no âmbito dos processos judiciais normais disponíveis nesse Estado‑Membro ( 84 ).

146.

Se esta fosse, de facto, a via institucional e procedimental escolhida, poderia evitar‑se tanto o problema de autorizar um «terceiro dependente» a controlar as atividades do poder judicial como a necessidade de criar um supertribunal para controlar outros tribunais. Dito isto, esta abordagem ainda é provavelmente insuficiente para assegurar o respeito da exigência prevista no artigo 8.o, n.o 3, da Carta, de ter uma autoridade «independente» a controlar o cumprimento do direito à proteção de dados pessoais ( 85 ).

147.

Deste ponto de vista, a solução do «tribunal interno» parece ser a única opção viável para o quebra‑cabeças acima descrito de encaixar a superestrutura do RGPD no mundo bastante específico do poder judicial nacional ( 86 ).

148.

Porém, mesmo que se suponha que a única forma compatível com a Carta seria avançar com uma autoridade de «revisão interna», aquilo que esta autoridade deve controlar precisamente ainda parece, de alguma forma, pouco claro.

149.

Em primeiro lugar, como explicado na secção anterior das presentes conclusões, o RGPD pressupõe que as operações de tratamento dos tribunais são lícitas e permite, para além desta presunção generalizada, que certos direitos e obrigações, bem como princípios fundamentais relativos ao tratamento de dados pessoais, sejam restringidos através de medidas legislativas nacionais.

150.

Em segundo lugar, na maioria, se não em todos os Estados‑Membros, os códigos de processo nacionais aplicáveis aos processos judiciais regulam muito mais pormenorizadamente o tratamento de dados pessoais em todas as fases individuais dos processos judiciais: nomeadamente, aquilo que um documento específico deve ou não conter; quem tem acesso ao quê; em que condições quê informação pode ser eliminada/corrigida; quais as limitações de confidencialidade aplicáveis; quais as informações e dados que deve conter uma decisão judicial, etc. ( 87 ).

151.

Em terceiro lugar, o desrespeito destas regras pelos juízes nacionais já está sujeito a controlo e a potenciais sanções de, pelo menos, dois tipos. Por um lado, existem sanções contra a própria decisão, levando à sua potencial anulação. Por outro, existem regimes de responsabilidade pessoal dos juízes em processos disciplinares.

152.

Tendo em conta um tal ambiente legislativo, poderia supor‑se que o RGPD contém disposições relativas à sua interação com outros quadros legislativos. Qual é a «lex specialis» e como devem diferentes quadros institucionais e procedimentais coexistir? De que forma devem quaisquer eventuais conflitos normativos ser resolvidos? Infelizmente, o RGPD não prevê quaisquer regras para este tipo de conflito, dando por isso origem à questão separada de saber se o RGPD deve efetivamente ser considerado superior às regras processuais nacionais ou entendido como complementar às mesmas.

153.

Nesse caso, isto significa que, por exemplo, os titulares de dados poderiam recorrer aos tribunais nacionais para «retificar» os seus articulados fora dos prazos processuais nacionais (nos termos do artigo 16.o do RGPD) ( 88 )? E se, perante um resultado negativo num caso, um litigante conseguisse satisfazer os critérios para invocar o seu «direito a ser esquecido» (nos termos do artigo 17.o do RGPD) a fim de retirar uma sentença ou um registo dos autos da memória judicial coletiva após essa sentença ter sido proferida ( 89 )?

154.

À luz de todas estas numerosas problemáticas, talvez não seja inteiramente surpreendente que diversos Estados‑Membros tenham enfrentado dificuldades compreensíveis na criação de estruturas institucionais adequadas ao abrigo do artigo 55.o, n.o 3, do RGPD que, contudo, sejam conformes com o artigo 8.o, n.o 3, da Carta ( 90 ).

155.

Estes dois elementos combinados, abordados nesta secção, isto é, os elementos relativos à substância e os elementos relativos às instituições e procedimentos, deixam uma sensação de perplexidade já referida no início da secção D. Tendo em conta a existência ininterrupta de tais problemas sistémicos, por que razão criar, em primeiro lugar, tais superestruturas sem convicção, mas extraordinariamente abrangentes? Para fazer cumprir, no que diz respeito à atividade judicial dos tribunais, direitos substantivos praticamente inexistentes? Tudo isto vale realmente a pena?

156.

Proponho que o Tribunal de Justiça responda às questões prejudiciais submetidas pelo Rechtbank Midden‑Nederland (Tribunal de Primeira Instância dos Países Baixos Centrais, Países Baixos) da seguinte forma:

Questão 1

O artigo 55.o, n.o 3, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que a prática de divulgar documentos dos autos a um jornalista com o objetivo de permitir uma melhor cobertura da audiência pública é realizada por tribunais que «atuam no exercício da sua função jurisdicional».

Questão 1a

O artigo 55.o, n.o 3, do Regulamento 2016/679 não exige a determinação da questão de saber se uma operação de tratamento dos tribunais nacionais que «atuem no exercício da sua função jurisdicional» afeta a independência da apreciação judicial em cada processo concreto.

Questão 1b

A determinação da natureza e finalidade de uma operação de tratamento específica não faz parte dos critérios a ter em consideração, nos termos do artigo 55.o, n.o 3, do Regulamento 2016/679, para estabelecer se os tribunais nacionais atuaram «no exercício da sua função jurisdicional».

Questão 1c

Para determinar se uma operação de tratamento dos tribunais nacionais foi efetuada «no exercício do seu poder jurisdicional», na aceção do artigo 55.o, n.o 3, do Regulamento 2016/679, não é relevante que estes tribunais tenham atuado em conformidade com uma base jurídica de direito nacional expressa.