62020CJ0175

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
EUR-Lex - 62020CJ0175 - EN

Help

Search tips

Need more search options? Use the Advanced search

Document 62020CJ0175

Acórdão do Tribunal de Justiça (Quinta Secção) de 24 de fevereiro de 2022.
«SS» SIA contra Valsts ieņēmumu dienests.
Pedido de decisão prejudicial apresentado pelo Administratīvā apgabaltiesa.
Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 2.o — Âmbito de aplicação — Artigo 4.o — Conceito de “tratamento” — Artigo 5.o — Princípios relativos ao tratamento — Limitação das finalidades — Minimização dos dados — Artigo 6.o — Licitude do tratamento — Tratamento necessário ao exercício de funções de interesse público de que está investido o responsável pelo tratamento — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito — Artigo 23.o — Limitações — Tratamento de dados para efeitos fiscais — Pedido de comunicação de informações relativas a anúncios de venda de veículos publicados em linha — Proporcionalidade.
Processo C-175/20.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:124

Language of the case

HTML

PDF

Document published in the digital reports of cases. They have official status.

The document is unavailable in your User interface language.

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quinta Secção)

24 de fevereiro de 2022 ( *1 )

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 2.o — Âmbito de aplicação — Artigo 4.o — Conceito de “tratamento” — Artigo 5.o — Princípios relativos ao tratamento — Limitação das finalidades — Minimização dos dados — Artigo 6.o — Licitude do tratamento — Tratamento necessário ao exercício de funções de interesse público de que está investido o responsável pelo tratamento — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito — Artigo 23.o — Limitações — Tratamento de dados para efeitos fiscais — Pedido de comunicação de informações relativas a anúncios de venda de veículos publicados em linha — Proporcionalidade»

No processo C‑175/20,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pela Administratīvā apgabaltiesa (Tribunal Administrativo Regional, Letónia), por Decisão de 11 de março de 2020, que deu entrada no Tribunal de Justiça em 14 de abril de 2020, no processo

«SS» SIA

contra

Valsts ieņēmumu dienests,

O TRIBUNAL DE JUSTIÇA (Quinta Secção),

composto por: E. Regan, presidente de secção, K. Lenaerts, presidente do Tribunal de Justiça, exercendo funções de juiz da Quinta Secção, C. Lycourgos, presidente da Quarta Secção, I. Jarukaitis e M. Ilešič (relator), juízes,

advogado‑geral: M. Bobek,

secretário: A. Calot Escobar,

vistos os autos,

vistas as observações apresentadas:

–	em representação da «SS» SIA, por M. Ruķers,

–	em representação do Governo letão, inicialmente, por K. Pommere, V. Soņeca e L. Juškeviča, e, em seguida, por K. Pommere, na qualidade de agentes,

–	em representação do Governo belga, por J.‑C. Halleux e P. Cottin, na qualidade de agentes, assistidos por C. Molitor, advogado,

–	em representação do Governo helénico, por E.‑M. Mamouna e O. Patsopoulou, na qualidade de agentes,

–	em representação do Governo espanhol, inicialmente, por J. Rodríguez de la Rúa Puig e S. Jiménez García, e, em seguida, por J. Rodríguez de la Rúa Puig, na qualidade de agentes,

–	em representação da Comissão Europeia, inicialmente, por H. Kranenborg, D. Nardi e I. Rubene, e, em seguida, por H. Kranenborg e I. Rubene, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 2 de setembro de 2021,

profere o presente

Acórdão

O pedido de decisão prejudicial tem por objeto a interpretação do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação JO 2018, L 127, p. 2), designadamente do artigo 5.o, n.o 1, do mesmo.

Este pedido foi apresentado no âmbito de um litígio que opõe a «SS» SIA à Valsts ieņēmumu dienests (Autoridade Tributária, Letónia) (a seguir «Autoridade Tributária letã») a respeito de um pedido de comunicação de informações relativas a anúncios de venda de veículos publicados no sítio Internet da SS.

Quadro jurídico

Direito da União

Regulamento 2016/679

3	O Regulamento 2016/679, que tem por base o artigo 16.o TFUE, é aplicável, por força do seu artigo 99.o, n.o 2, a partir de 25 de maio de 2018.

Os considerandos 1, 4, 10, 19, 26, 31, 39, 41 e 50 desse regulamento enunciam:

«(1)

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia ([a seguir] “Carta”) e o artigo 16.o, n.o 1, [TFUE] estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

[…]

(4)

O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.

[…]

(10)

A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. […]

[…]

(19)

A proteção das pessoas singulares em matéria de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, e de livre circulação desses dados, é objeto de um ato jurídico da União específico. O presente regulamento não deverá, por isso, ser aplicável às atividades de tratamento para esses efeitos. Todavia, os dados pessoais tratados pelas autoridades competentes ao abrigo do presente regulamento deverão ser regulados, quando forem usados para os efeitos referidos, por um ato jurídico da União mais específico, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho[, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89)]. […]

[…]

(26)

Os princípios da proteção de dados deverão aplicar‑se a qualquer informação relativa a uma pessoa singular identificada ou identificável. […] Para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. […]

[…]

(31)

As autoridades públicas a quem forem divulgados dados pessoais em conformidade com obrigações jurídicas para o exercício da sua missão oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigação financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsáveis pela regulamentação e supervisão dos mercados de valores mobiliários, não deverão ser consideradas destinatárias se receberem dados pessoais que sejam necessários para efetuar um inquérito específico de interesse geral, em conformidade com o direito da União ou dos Estados‑Membros. Os pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros. O tratamento desses dados pessoais por essas autoridades públicas deverá respeitar as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento.

[…]

(39)

[…] O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples. Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento dos mesmos e os fins a que o tratamento se destina, bem como às informações que se destinam a assegurar que seja efetuado com equidade e transparência para com as pessoas singulares em causa, bem como a salvaguardar o seu direito a obter a confirmação e a comunicação dos dados pessoais que lhes dizem respeito que estão a ser tratados. As pessoas singulares a quem os dados dizem respeito deverão ser alertadas para os riscos, regras, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades específicas do tratamento dos dados pessoais deverão ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. Para isso, é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais apenas deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. […]

[…]

(41)

Caso o presente regulamento se refira a um fundamento jurídico ou a uma medida legislativa, não se trata necessariamente de um ato legislativo adotado por um parlamento, sem prejuízo dos requisitos que decorram da ordem constitucional do Estado‑Membro em causa. No entanto, esse fundamento jurídico ou essa medida legislativa deverão ser claros e precisos e a sua aplicação deverá ser previsível para os seus destinatários, em conformidade com a jurisprudência do Tribunal de Justiça […] e pelo Tribunal Europeu dos Direitos do Homem.

[…]

(50)

O tratamento de dados pessoais para outros fins que não aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos. Nesse caso, não é necessário um fundamento jurídico distinto do que permitiu a recolha dos dados pessoais. Se o tratamento for necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, o direito da União ou dos Estados‑Membros pode determinar e definir as tarefas e finalidades para as quais o tratamento posterior deverá ser considerado compatível e lícito. As operações de tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, deverão ser consideradas tratamento lícito compatível. O fundamento jurídico previsto no direito da União ou dos Estados‑Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jurídico para o tratamento posterior. A fim de apurar se a finalidade de uma nova operação de tratamento dos dados é ou não compatível com a finalidade para que os dados pessoais foram inicialmente recolhidos, o responsável pelo seu tratamento, após ter cumprido todos os requisitos para a licitude do tratamento inicial, deverá ter em atenção, entre outros aspetos, a existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento; a natureza dos dados pessoais; as consequências que o posterior tratamento dos dados pode ter para o seu titular; e a existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.»

O artigo 2.o do Regulamento 2016/679, sob a epígrafe «Âmbito de aplicação material», dispõe:

«1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a)	Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

b)	Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

c)	Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;

d)	Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

[…]»

O artigo 4.o deste regulamento, sob a epígrafe «Definições», tem a seguinte redação:

«Para efeitos do presente regulamento, entende‑se por:

“Dados pessoais”, informações relativas a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como por exemplo um nome, um número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

“Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

6)	“Ficheiro”, qualquer conjunto estruturado de dados pessoais, acessíveis segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7)	“Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outras, determine as finalidades e os meios de tratamento de dados pessoais; […]

[…]

“Destinatário”, uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados‑Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

[…]»

Nos termos do artigo 5.o do referido regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais»:

«1. Os dados pessoais são:

a)	Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b)	Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; […] (“limitação das finalidades”);

c)	Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d)	Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e)	Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; […] (“limitação da conservação”);

f)	Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

O artigo 6.o do mesmo regulamento, sob a epígrafe «Licitude do tratamento», prevê:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)	O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b)	O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados;

c)	O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d)	O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e)	O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f)	O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a)	Pelo direito da União; ou

b)	Pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. […] O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a)	Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b)	O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)	A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;

d)	As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)	A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.»

Nos termos do artigo 13.o, n.o 3, do Regulamento 2016/679:

«Quando o responsável pelo tratamento […] tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos do n.o 2.»

O artigo 14.o deste regulamento dispõe:

«1. Quando os dados pessoais não forem recolhidos junto do titular, o responsável pelo tratamento fornece‑lhe as seguintes informações:

[…]

c)	As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;

[…]

5. Os n.os 1 a 4 não se aplicam quando e na medida em que:

[…]

c)	A obtenção ou divulgação dos dados esteja expressamente prevista no direito da União ou do Estado‑Membro ao qual o responsável pelo tratamento estiver sujeito, prevendo medidas adequadas para proteger os legítimos interesses do titular dos dados; […]

[…]»

Nos termos do artigo 23.o, n.o 1, alínea e), do referido regulamento:

«O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

e)	Outros objetivos importantes do interesse público geral da União ou de um Estado‑Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado‑Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;

[…]»

O artigo 25.o, n.o 2, do Regulamento 2016/679 dispõe:

«O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica‑se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.»

Diretiva 2016/680

Os considerandos 10 e 11 da Diretiva 2016/680 enunciam:

«(10)

Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições específicas sobre proteção de dados pessoais e sobre a livre circulação dos dados pessoais, nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.o do TFUE.

(11)

Por conseguinte, esses domínios deverão ser objeto de uma diretiva que estabeleça regras específicas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, no respeito da natureza específica dessas atividades. Essas autoridades competentes podem incluir não só as autoridades públicas como, por exemplo, as autoridades judiciárias, a polícia ou outras autoridades de aplicação da lei, mas também outros organismos ou entidades designados pelo direito dos Estados‑Membros para o exercício da autoridade e dos poderes públicos para efeitos da presente diretiva. Caso esses organismos ou entidades tratem dados pessoais para efeitos que não sejam os da presente diretiva, é aplicável o Regulamento [2016/679]. O Regulamento [2016/679] é, pois, aplicável nos casos em que um organismo ou uma entidade recolhe dados pessoais para outros efeitos e, em seguida, os trata a fim de dar cumprimento a uma obrigação legal a que está sujeito. […]»

O artigo 3.o desta diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

[…]

7. “Autoridade competente”:

a)	Uma autoridade pública competente para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; ou

Qualquer outro organismo ou entidade designados pelo direito de um Estado‑Membro para exercer a autoridade pública e os poderes públicos para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

[…]»

Direito letão

Por força do artigo 15.o, n.o 6, da likums «Par nodokļiem un nodevām» (Lei Tributária, Latvijas Vēstnesis, 1995, n.o 26), na versão aplicável ao litígio no processo principal (a seguir «Lei Tributária»), o prestador de serviços de anúncios publicados na Internet está obrigado a fornecer, a pedido da Autoridade Tributária letã, as informações de que dispõe relativamente aos contribuintes que publicaram anúncios recorrendo aos seus serviços.

Litígio no processo principal e questões prejudiciais

16	SS é um prestador de serviços de anúncios publicados na Internet estabelecido na Letónia.

Em 28 de agosto de 2018, a Autoridade Tributária letã dirigiu à SS um pedido de informações baseado no artigo 15.o, n.o 6, da Lei Tributária, no qual convidava esta sociedade a restabelecer o acesso dessa Autoridade Tributária aos números de chassis dos veículos objeto de anúncio publicado no portal Internet da referida sociedade, bem como aos números de telefone dos vendedores, e a fornecer‑lhe, o mais tardar até 3 de setembro de 2018, informações sobre os anúncios publicados durante o período compreendido entre 14 de julho e 31 de agosto de 2018 na secção intitulada «Veículos de passageiros» desse portal.

Este pedido precisava que essas informações, incluindo o endereço eletrónico do anúncio, o texto do mesmo, a marca, o modelo, o número de chassis e o preço do veículo, bem como o número de telefone do vendedor, deviam ser apresentadas por via eletrónica, num formato que permitisse a filtragem ou a seleção dos dados.

Além disso, na hipótese de o acesso às informações constantes dos anúncios publicados no portal Internet em causa não poder ser restabelecido, a SS era convidada a indicar o motivo e a fornecer, o mais tardar no terceiro dia de cada mês, as informações pertinentes relativas aos anúncios publicados durante o mês anterior.

Considerando que o pedido de comunicação da Autoridade Tributária letã não era conforme com os princípios da proporcionalidade e da minimização dos dados pessoais, consagrados pelo Regulamento 2016/679, a SS apresentou uma reclamação desse pedido ao diretor‑geral em funções da Autoridade Tributária letã.

21	Por Decisão de 30 de outubro de 2018, este indeferiu a reclamação, referindo nomeadamente que, no âmbito do tratamento de dados pessoais em causa no processo principal, a Autoridade Tributária letã exercia os poderes que lhe são conferidos por lei.

A SS interpôs recurso de anulação dessa decisão no administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância, Letónia). Para além dos argumentos que tinha exposto na sua reclamação, alegou que a referida decisão não indicava a finalidade específica do tratamento de dados pessoais pretendido pela Autoridade Tributária letã, nem a quantidade de dados necessários ao mesmo, em violação do artigo 5.o, n.o 1, do Regulamento 2016/679.

Por Sentença de 21 de maio de 2019, o administratīvā rajona tiesa (Tribunal Administrativo de Primeira Instância) negou provimento ao recurso, indicando, em substância, que a Autoridade Tributária letã tinha fundamento para pedir o acesso a informações relativas a qualquer pessoa e em quantidade ilimitada, a menos que essas informações fossem consideradas incompatíveis com as finalidades de cobrança do imposto. Por outro lado, esse órgão jurisdicional considerou que as disposições do Regulamento 2016/679 não eram aplicáveis a essa Administração.

A SS interpôs recurso dessa sentença no órgão jurisdicional de reenvio, alegando, por um lado, que a Autoridade Tributária letã estava sujeita às disposições do Regulamento 2016/679, e, por outro, que, ao exigir mensalmente e sem limitação no tempo uma quantidade significativa de dados pessoais relativos a um número ilimitado de anúncios, sem identificar os contribuintes relativamente aos quais seria iniciado um controlo fiscal, essa Administração violou o princípio da proporcionalidade.

O órgão jurisdicional de reenvio indica que, no âmbito do litígio no processo principal, não se contesta que a execução do pedido de informação em causa está intrinsecamente ligada a um tratamento de dados pessoais, nem que a Autoridade Tributária letã tem o direito de obter informações que estão à disposição de um prestador de serviços de publicidade na Internet e são necessárias à execução de medidas específicas em matéria de cobrança do imposto.

26	O litígio no processo principal diz respeito à quantidade e ao tipo de informações que a Autoridade Tributária letã pode solicitar, ao caráter limitado ou ilimitado das mesmas, bem como à questão de saber se a obrigação de comunicação a que a SS está sujeita deve ser limitada no tempo.

Especialmente, o órgão jurisdicional de reenvio considera que lhe cabe determinar se, nas circunstâncias do processo principal, o tratamento de dados pessoais é efetuado de forma transparente em relação às pessoas em causa, se as informações especificadas no pedido de informação em causa são pedidas para finalidades determinadas, explícitas e legítimas, e se o tratamento de dados pessoais só é efetuado na medida em que seja realmente necessário ao exercício das funções da Autoridade Tributária letã, na aceção do artigo 5.o, n.o 1, do Regulamento 2016/679.

Para esse efeito, é necessário definir os critérios que permitem apreciar se um pedido de informação apresentado pela Autoridade Tributária letã respeita o cerne das liberdades e dos direitos fundamentais e se o pedido de comunicação em causa no processo principal pode ser considerado necessário e proporcionado numa sociedade democrática para garantir objetivos importantes da União e interesses públicos letões em matéria orçamental e fiscal.

Nestas condições, a Administratīvā apgabaltiesa (Tribunal Administrativo Regional, Letónia) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

Devem os requisitos do Regulamento [2016/679] ser interpretados no sentido de que um pedido de informações emitido pela Autoridade Tributária, como o que está em causa no presente processo, em que se pede a divulgação de informação que contém uma grande quantidade de dados pessoais, deve cumprir os requisitos previstos no Regulamento 2016/679 (em especial com o artigo 5.o, n.o 1)?

2)	Devem os requisitos previstos no Regulamento [2016/679] ser interpretados no sentido de que a Autoridade Tributária [letã] pode derrogar o disposto no artigo 5.o, n.o 1, do referido regulamento mesmo quando a legislação em vigor na Letónia não lhe confere esse poder?

Pode considerar‑se, na interpretação dos requisitos previstos no Regulamento [2016/679], que existe um objetivo legítimo que justifica a obrigação, imposta por um pedido de informações como o que está em causa no presente processo, de fornecer todos os dados pedidos numa quantidade e num período de tempo não delimitados, sem que seja estabelecido um prazo para a execução desse pedido?

Pode considerar‑se, na interpretação dos requisitos previstos no Regulamento [2016/679], que existe um objetivo legítimo que justifica a obrigação, imposta por um pedido de informações como o que está em causa no presente processo, de fornecer todos os dados pedidos, mesmo que o referido pedido não indique (ou indique de modo incompleto) a finalidade da comunicação da informação?

Pode considerar‑se, na interpretação dos requisitos previstos no Regulamento [2016/679], que existe um objetivo legítimo que justifica a obrigação, imposta por um pedido de informações como o que está em causa no presente processo, de fornecer todos os dados pedidos, mesmo que, na prática, tal pedido diga respeito a todos os titulares de dados que tenham publicado anúncios na secção “veículos de passageiros” de um portal?

6)	Que critérios devem ser aplicados para verificar se a Autoridade Tributária, agindo enquanto responsável pelo tratamento, assegura adequadamente que o tratamento de dados (incluindo a obtenção da informação) respeita os requisitos previstos no Regulamento [2016/679]?

7)	Que critérios devem ser aplicados para verificar se um pedido de informações como o que está em causa no presente processo está adequadamente fundamentado e tem caráter ocasional?

8)	Que critérios devem ser aplicados para verificar se o tratamento de dados pessoais é efetuado na medida necessária e de modo compatível com os requisitos previstos no Regulamento [2016/679]?

9)	Que critérios devem ser aplicados para verificar se a Autoridade Tributária, agindo enquanto responsável pelo tratamento, assegura a conformidade do tratamento de dados com os requisitos previstos no artigo 5.o, n.o 1, do Regulamento [2016/679] (responsabilidade)?»

Quanto às questões prejudiciais

Quanto à primeira questão

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que está sujeita aos requisitos previstos neste regulamento, especialmente aos enunciados no seu artigo 5.o, n.o 1, a recolha, pela Autoridade Tributária de um Estado‑Membro junto de um operador económico, de informações que contenham uma quantidade significativa de dados pessoais.

Para responder a esta questão, importa verificar, em primeiro lugar, se esse pedido está abrangido pelo âmbito de aplicação material do Regulamento 2016/679, conforme definido no seu artigo 2.o, n.o 1, e, em segundo lugar, se não figura entre os tratamentos de dados pessoais que o artigo 2.o, n.o 2, deste regulamento exclui desse âmbito de aplicação.

32	Em primeiro lugar, nos termos do seu artigo 2.o, n.o 1, o Regulamento 2016/679 aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

O artigo 4.o, n.o 1, do Regulamento 2016/679 precisa que, para efeitos do regulamento, se entende por «dados pessoais» informação relativa a uma pessoa singular identificada ou identificável, ou seja, uma pessoa singular que possa ser identificada, direta ou indiretamente, especialmente por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social. O considerando 26 do referido regulamento precisa, a este respeito, que, para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular.

34	No âmbito do litígio no processo principal, é pacífico que as informações cuja comunicação a Autoridade Tributária letã solicita constituem dados pessoais, na aceção do artigo 4.o, ponto 1, do Regulamento 2016/679.

Nos termos do artigo 4.o, ponto 2, deste regulamento, a recolha, a consulta, a divulgação por transmissão ou qualquer outra forma de disponibilização de dados pessoais constituem «tratamentos», na aceção do referido regulamento. Resulta da redação dessa disposição, nomeadamente da expressão «uma operação», que o legislador da União pretendeu dar ao conceito de «tratamento» um alcance amplo. Esta interpretação é corroborada pelo caráter não exaustivo, expresso pela locução «tais como», das operações mencionadas na referida disposição.

No caso em apreço, a Autoridade Tributária letã exige que o operador económico em causa restabeleça o acesso dos serviços dessa Administração aos números de chassis dos veículos que são objeto de um anúncio publicado no seu portal Internet e que lhe forneça informações sobre os anúncios publicados nesse portal.

Tal pedido, através do qual a Autoridade Tributária de um Estado‑Membro solicita a um operador económico a comunicação e a disponibilização de dados pessoais que este último está obrigado a fornecer e disponibilizar à referida Autoridade nos termos da legislação nacional desse Estado‑Membro, dá início a um processo de «recolha» desses dados, na aceção do artigo 4.o, ponto 2, do Regulamento 2016/679.

38	Por outro lado, a comunicação e a disponibilização dos referidos dados pelo operador económico em causa implicam um «tratamento», na aceção do referido artigo 4.o, ponto 2.

Em segundo lugar, há que examinar se se pode considerar que a operação pela qual a Autoridade Tributária de um Estado‑Membro procura recolher junto de um operador económico os dados pessoais relativos a determinados contribuintes está excluída do âmbito de aplicação do Regulamento 2016/679 por força do artigo 2.o, n.o 2, do mesmo.

A este respeito, há que recordar, antes de mais, que esta disposição prevê exceções ao âmbito de aplicação deste regulamento, conforme definido no seu artigo 2.o, n.o 1, e que essas exceções devem ser objeto de interpretação estrita (Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 84).

41	Especialmente, o artigo 2.o, n.o 2, alínea d), do Regulamento 2016/679, dispõe que este regulamento não se aplica ao tratamento de dados pessoais efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais.

Como resulta do considerando 19 do referido regulamento, esta exceção é motivada pelo facto de o tratamento de dados pessoais efetuado para esses efeitos e pelas autoridades competentes ser regulado por um ato mais específico da União, a saber, a Diretiva 2016/680, que foi adotada no mesmo dia que o Regulamento 2016/679 e que define, no seu artigo 3.o, n.o 7, o que se deve entender por «autoridade competente», devendo essa definição ser aplicada, por analogia, ao artigo 2.o, n.o 2, alínea d), desse regulamento [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 69].

Resulta do considerando 10 da Diretiva 2016/680 que o conceito de «autoridade competente» deve ser entendido em correlação com a proteção dos dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial, tendo em conta as adaptações que se podem revelar necessárias a este respeito, atendendo à especificidade dos domínios em causa. Além disso, o considerando 11 dessa diretiva precisa que o Regulamento 2016/679 se aplica ao tratamento de dados pessoais efetuado por uma «autoridade competente», na aceção do artigo 3.o, n.o 7, da referida diretiva, mas para efeitos que não sejam os nela previstos [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 70].

Assim, quando pede a um operador económico que lhe comunique dados pessoais relativos a determinados contribuintes para efeitos da cobrança do imposto e da luta contra a fraude fiscal, não se afigura que a Autoridade Tributária de um Estado‑Membro possa ser considerada uma «autoridade competente», na aceção do artigo 3.o, ponto 7, da Diretiva 2016/680, nem, portanto, que esses pedidos de informações possam estar abrangidos pela exceção prevista no artigo 2.o, n.o 2, alínea d), do Regulamento 2016/679.

Além disso, mesmo que não esteja excluído que os dados pessoais em causa no processo principal possam ser utilizados no âmbito de processos penais que possam ser instaurados, em caso de infração no domínio fiscal, contra algumas das pessoas em causa, não se afigura que esses dados sejam recolhidos com o objetivo específico de instaurar tais processos penais ou no âmbito das atividades do Estado relativas a domínios do direito penal (v., neste sentido, Acórdão de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.o 40).

Por conseguinte, a recolha, pela Autoridade Tributária de um Estado‑Membro, de dados pessoais relativos aos anúncios de venda de veículos publicados no sítio Internet de um operador económico está abrangida pelo âmbito de aplicação material do Regulamento 2016/679 e, por conseguinte, deve respeitar, nomeadamente, os princípios relativos ao tratamento de dados pessoais enunciados no artigo 5.o deste regulamento.

Tendo em conta todas as considerações anteriores, há que responder à primeira questão que as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que a recolha, pela Autoridade Tributária de um Estado‑Membro, junto de um operador económico, de informações que contenham uma quantidade significativa de dados pessoais está sujeita aos requisitos previstos neste regulamento, especialmente aos enunciados no artigo 5.o, n.o 1, do mesmo.

Quanto à segunda questão

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que a Autoridade Tributária de um Estado‑Membro pode derrogar o disposto no artigo 5.o, n.o 1, do referido regulamento mesmo que tal direito não lhe tenha sido conferido pelo direito nacional desse Estado‑Membro.

49	A título liminar, importa recordar que, como resulta do seu considerando 10, o Regulamento 2016/679 visa, nomeadamente, assegurar um elevado nível de proteção das pessoas singulares na União.

Para esse efeito, os capítulos II e III do Regulamento 2016/679 enunciam, respetivamente, os princípios que regem o tratamento de dados pessoais e os direitos da pessoa em causa que qualquer tratamento de dados pessoais deve respeitar. Especialmente, qualquer tratamento de dados pessoais deve, nomeadamente, ser conforme aos princípios relativos ao tratamento desses dados enunciados no artigo 5.o do referido regulamento (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 208).

O artigo 23.o do Regulamento 2016/679 autoriza a União e os Estados‑Membros a adotarem «medidas legislativas» que limitem o alcance das obrigações e dos direitos previstos, nomeadamente, no artigo 5.o deste regulamento, na medida em que correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o do referido regulamento, desde que tal limitação respeite a essência das liberdades e dos direitos fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para garantir importantes objetivos de interesse público geral da União ou do Estado‑Membro em causa, como, nomeadamente, um interesse económico ou financeiro importante, incluindo nos domínios orçamental e fiscal.

52	A este respeito, resulta do considerando 41 do Regulamento 2016/679 que a referência, neste regulamento, a uma «medida legislativa» não implica necessariamente que seja exigida a adoção de um ato legislativo por um parlamento.

53	Dito isto, importa recordar que, como enuncia o seu considerando 4, o Regulamento 2016/679 respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos pela Carta, consagrados nos Tratados, entre os quais figura, nomeadamente, a proteção dos dados pessoais.

Ora, em conformidade com o artigo 52.o, n.o 1, primeiro período, da Carta, qualquer restrição ao exercício dos direitos e liberdades reconhecidos por esta, entre os quais figuram, nomeadamente, o direito ao respeito pela vida privada, garantido pelo artigo 7.o da Carta, e o direito à proteção dos dados pessoais, consagrado no seu artigo 8.o, deve ser prevista por lei, o que implica, especialmente, que a própria base jurídica que permite a ingerência nesses direitos deve definir o alcance da limitação do exercício do direito em causa (v., neste sentido, Acórdão de 6 de outubro de 2020, Privacy International, C‑623/17, EU:C:2020:790, n.o 65 e jurisprudência referida).

A este respeito, o Tribunal de Justiça declarou, além disso, que a regulamentação que permite essa ingerência deve prever regras claras e precisas que regulem o alcance e a aplicação da medida em causa e imponham exigências mínimas, de modo que as pessoas cujos dados foram transferidos disponham de garantias suficientes que permitam proteger eficazmente esses dados pessoais contra os riscos de abuso [v., neste sentido, Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 48 e jurisprudência referida].

Por conseguinte, qualquer medida adotada ao abrigo do artigo 23.o do Regulamento 2016/679 deve, como, de resto, o legislador da União sublinhou no considerando 41 deste regulamento, ser clara e precisa e a respetiva aplicação ser previsível para os seus destinatários. Especialmente, estes últimos devem poder identificar as circunstâncias e as condições em que o alcance dos direitos que o referido regulamento lhes confere pode ser objeto de uma limitação.

Decorre das considerações precedentes que a Autoridade Tributária de um Estado‑Membro não pode derrogar o disposto no artigo 5.o do Regulamento 2016/679 na falta de uma base jurídica clara e precisa do direito da União ou do direito nacional, cuja aplicação é previsível para os destinatários, que preveja as circunstâncias e as condições em que o alcance das obrigações e dos direitos previstos nesse artigo 5.o pode ser limitado.

Por conseguinte, há que responder à segunda questão que as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que a Autoridade Tributária de um Estado‑Membro não pode derrogar o disposto no artigo 5.o, n.o 1, deste regulamento quando esse direito não lhe tenha sido conferido por uma medida legislativa, na aceção do artigo 23.o, n.o 1, do mesmo.

Quanto à terceira a nona questões

Com a terceira a nona questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que se opõem a que a Autoridade Tributária de um Estado‑Membro imponha a um prestador de serviços de anúncios publicados na Internet que lhe comunique, por um período indeterminado e sem que seja especificada a finalidade desse pedido de comunicação, informações relativas a todos os contribuintes que tenham publicado anúncios numa das secções do seu portal Internet.

A título liminar, importa notar que podem ocorrer dois tratamentos de dados pessoais numa situação como a que está em causa no processo principal. Como resulta dos n.os 37 e 38 do presente acórdão, trata‑se da recolha de dados pessoais efetuada pela Autoridade Tributária junto do prestador de serviços em causa e, neste âmbito, da transmissão desses dados pelo referido prestador a essa Administração.

Como resulta da jurisprudência referida no n.o 50 do presente acórdão, cada uma dessas operações de tratamento deve, sem prejuízo das derrogações admitidas no artigo 23.o do Regulamento 2016/679, respeitar os princípios relativos ao tratamento de dados pessoais enunciados no artigo 5.o deste regulamento, bem como os direitos da pessoa em causa que figuram nos artigos 12.o a 22.o do mesmo.

No caso em apreço, o órgão jurisdicional de reenvio interroga‑se, especialmente, sobre a circunstância de, por um lado, os tratamentos mencionados no n.o 60 do presente acórdão dizerem respeito a informações em quantidade ilimitada relativas a um período indeterminado e, por outro, a finalidade desses tratamentos não ser especificada no pedido de comunicação.

63	A este respeito, cumpre sublinhar, em primeiro lugar, que o artigo 5.o, n.o 1, alínea b), do Regulamento 2016/679 prevê que os dados pessoais devem ser recolhidos, designadamente, para finalidades determinadas, explícitas e legítimas.

64	Antes de mais, a exigência segundo a qual as finalidades do tratamento devem ser determinadas implica, como decorre do considerando 39 desse regulamento, que estas devem ser identificadas, o mais tardar, no momento da recolha dos dados pessoais.

65	Em seguida, as finalidades do tratamento devem ser explícitas, o que significa que devem ser enunciadas claramente.

66	Por último, essas finalidades devem ser legítimas. Por conseguinte, importa que assegurem um tratamento lícito, na aceção do artigo 6.o, n.o 1, do referido regulamento.

Os tratamentos referidos no n.o 60 do presente acórdão são iniciados pelo pedido de comunicação de dados pessoais que a Autoridade Tributária letã envia ao prestador de serviços de anúncios publicados na Internet. A este respeito, afigura‑se que, por força do artigo 15.o, n.o 6, da Lei Tributária, este prestador está obrigado a deferir esse pedido.

68	À luz das considerações enunciadas nos n.os 64 e 65 do presente acórdão, é necessário que as finalidades desses tratamentos estejam claramente enunciadas naquele pedido.

Desde que as finalidades assim enunciadas no referido pedido sejam necessárias ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investida a Autoridade Tributária, esta circunstância basta, como decorre do artigo 6.o, n.o 1, primeiro parágrafo, proémio e alínea e), do Regulamento 2016/679, lido em conjugação com o artigo 6.o, n.o 3, segundo parágrafo, deste regulamento, para que os referidos tratamentos satisfaçam igualmente a exigência de licitude recordada no n.o 66 do presente acórdão.

A este respeito, importa recordar que a cobrança do imposto e a luta contra a fraude fiscal devem ser consideradas funções de interesse público, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do Regulamento 2016/679 (v., por analogia, Acórdão de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.o 108).

Daqui resulta que, num caso em que a comunicação dos dados pessoais em causa não se baseia diretamente na disposição legal que constitui o seu fundamento, mas resulta de um pedido da autoridade pública competente, é necessário que esse pedido especifique quais são as finalidades específicas dessa recolha de dados à luz das funções de interesse público ou do exercício da autoridade pública, a fim de permitir ao destinatário do referido pedido assegurar‑se de que a transmissão dos dados pessoais em causa é lícita e aos órgãos jurisdicionais nacionais efetuar uma fiscalização da legalidade dos tratamentos em causa.

72	Em segundo lugar, em conformidade com o artigo 5.o, n.o 1, alínea c), do Regulamento 2016/679, os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

A este respeito, importa recordar que, segundo jurisprudência constante, as derrogações e as restrições ao princípio da proteção desses dados devem ser efetuadas na estrita medida do necessário [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 110 e jurisprudência referida].

Daqui resulta que o responsável pelo tratamento, incluindo quando atua no âmbito das funções de interesse público de que foi investido, não pode proceder, de forma generalizada e indiferenciada, à recolha de dados pessoais e deve abster‑se de recolher dados que não são estritamente necessários à luz das finalidades do tratamento.

No caso em apreço, importa salientar que, como resulta dos n.os 17 a 19 do presente acórdão, a Autoridade Tributária letã pediu ao operador económico em causa que lhe fornecesse dados relativos aos anúncios de venda de veículos de passageiros publicados no seu sítio Internet entre 14 de julho e 31 de agosto de 2018 e, no caso de o acesso a essas informações não poder ser restabelecido, que lhe fornecesse, o mais tardar no terceiro dia de cada mês, os dados relativos aos anúncios de venda de veículos particulares publicados no seu sítio Internet durante o mês anterior, sem indicar neste último pedido um limite temporal.

Tendo em conta as considerações efetuadas no n.o 74 do presente acórdão, incumbe ao órgão jurisdicional de reenvio verificar se a finalidade da recolha desses dados pode ser alcançada sem que a Autoridade Tributária letã disponha potencialmente dos dados relativos a todos os anúncios de venda de veículos de passageiros publicados no sítio Internet do referido operador e, nomeadamente, se é possível que essa Administração vise determinados anúncios através de critérios específicos.

Neste contexto, importa sublinhar que, em conformidade com o princípio da responsabilidade enunciado no artigo 5.o, n.o 2, do Regulamento 2016/679, o responsável pelo tratamento deve poder demonstrar que respeita os princípios relativos ao tratamento dos dados pessoais enunciados no n.o 1 desse artigo.

78	Por conseguinte, é à Autoridade Tributária letã que incumbe demonstrar que, em conformidade com o artigo 25.o, n.o 2, daquele regulamento, procurou minimizar, tanto quanto possível, a quantidade de dados pessoais a recolher.

No que respeita à circunstância de o pedido de comunicação apresentado pela Autoridade Tributária letã não prever, na hipótese de o prestador de serviços de anúncios em causa não ter procedido ao restabelecimento do acesso aos anúncios publicados no período especificado no pedido, nenhum limite temporal, há que recordar que, tendo em conta o princípio da minimização dos dados, o responsável pelo tratamento está igualmente obrigado a limitar ao estritamente necessário, à luz do objetivo do tratamento previsto, o período de recolha dos dados pessoais em causa.

80	Por conseguinte, o período sobre o qual incide a recolha não pode exceder a duração estritamente necessária para alcançar o objetivo de interesse geral visado.

81	Como resulta do n.o 77 do presente acórdão, o ónus da prova a este respeito incumbe à Autoridade Tributária letã.

No entanto, a circunstância de os referidos dados serem recolhidos sem que a Autoridade Tributária letã tenha definido, no próprio pedido de comunicação, um limite temporal para esse tratamento não permite, enquanto tal, considerar que a duração do tratamento excede a duração estritamente necessária para alcançar o objetivo pretendido.

Neste contexto, importa, no entanto, recordar que, para cumprir o requisito da proporcionalidade a que o artigo 5.o, n.o 1, alínea c), do Regulamento 2016/679 dá expressão [v., neste sentido, Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.o 98 e jurisprudência referida], a regulamentação que serve de base ao tratamento deve prever regras claras e precisas que regulem o âmbito e a aplicação da medida em causa e impor requisitos mínimos, de modo que as pessoas cujos dados foram conservados disponham de garantias suficientes que permitam proteger eficazmente esses dados pessoais contra os riscos de abuso. Esta regulamentação deve ser vinculativa no direito interno e, particularmente, indicar em que circunstâncias e em que condições uma medida que prevê o tratamento de tais dados pode ser adotada, garantindo assim que a ingerência seja limitada ao estritamente necessário (acórdão de 6 de outubro de 2020, Privacy International, C‑623/17, EU:C:2020:790, n.o 68 e jurisprudência referida).

Daqui resulta que a regulamentação nacional que regula um pedido de comunicação como o que está em causa no processo principal deve basear‑se em critérios objetivos para definir as circunstâncias e as condições em que um prestador de serviços em linha está obrigado a transmitir dados pessoais relativos aos seus utilizadores (v., neste sentido, Acórdão de 6 de outubro de 2020, Privacy International, C‑623/17, EU:C:2020:790, n.o 78 e jurisprudência referida).

Tendo em conta todas as considerações anteriores, há que responder à terceira a nona questões que as disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que não se opõem a que a Autoridade Tributária de um Estado‑Membro imponha a um prestador de serviços de anúncios publicados na Internet que lhe comunique informações relativas aos contribuintes que publicaram anúncios numa das secções do seu portal Internet, desde que, nomeadamente, esses dados sejam necessários à luz das finalidades específicas para as quais são recolhidos e o período de recolha dos referidos dados não exceda a duração estritamente necessária para alcançar o objetivo de interesse geral pretendido.

Quanto às despesas

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quinta Secção) declara:

As disposições do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), devem ser interpretadas no sentido de que a recolha, pela Autoridade Tributária de um Estado‑Membro junto de um operador económico, de informações que contenham uma quantidade significativa de dados pessoais está sujeita aos requisitos previstos neste regulamento, especialmente aos enunciados no artigo 5.o, n.o 1, do mesmo.

As disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que a Autoridade Tributária de um Estado‑Membro não pode derrogar o disposto no artigo 5.o, n.o 1, deste regulamento quando esse direito não lhe tenha sido conferido por uma medida legislativa, na aceção do artigo 23.o, n.o 1, do mesmo.

As disposições do Regulamento 2016/679 devem ser interpretadas no sentido de que não se opõem a que a Autoridade Tributária de um Estado‑Membro imponha a um prestador de serviços de anúncios publicados na Internet que lhe comunique informações relativas aos contribuintes que publicaram anúncios numa das secções do seu portal Internet, desde que, nomeadamente, esses dados sejam necessários à luz das finalidades específicas para as quais são recolhidos e o período de recolha dos referidos dados não exceda a duração estritamente necessária para alcançar o objetivo de interesse geral pretendido.

Assinaturas

( *1 ) Língua do processo: letão.

Top

Choose the experimental features you want to try