1.

Um princípio básico do Regulamento (UE) 2016/679 ( 2 ), que constitui a regulamentação geral em matéria de proteção de dados pessoais, e da Diretiva (UE) 2016/680 ( 3 ) (lex specialis sobre a mesma matéria no âmbito dos processos penais) consiste na limitação da recolha desses dados e do seu tratamento para as finalidades específicas previstas na lei.

2.

Neste processo, o Tribunal de Justiça é chamado a responder às dúvidas de um órgão jurisdicional búlgaro sobre a interpretação do RGPD e da Diretiva 2016/680, a fim de determinar se há tratamento ilícito dos dados pessoais detidos pelo Ministério Público de um Estado‑Membro quando:

3.

Nos termos do artigo 2.o («Âmbito de aplicação material»):

«1.   O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2.   O presente regulamento não se aplica ao tratamento de dados pessoais:

[…]

[…]»

4.

O artigo 4.o («Definições») estabelece:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…].»

5.

O artigo 5.o («Princípios relativos ao tratamento de dados pessoais») dispõe:

«1.   Os dados pessoais são:

[…].»

6.

O artigo 6.o («Licitude do tratamento») tem a seguinte redação:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

[…]

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

[…]

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento […]. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4.   Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

7.

Nos termos do artigo 1.o («Objeto e objetivos»):

«1.   A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.

2.   Nos termos da presente diretiva, os Estados‑Membros asseguram:

[…].»

8.

O artigo 2.o («Âmbito de aplicação») prevê:

«1.   A presente diretiva aplica‑se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos estabelecidos no artigo 1.o, n.o 1.

[…]

3.   A presente diretiva não se aplica ao tratamento de dados pessoais:

[…].»

9.

O artigo 3.o, n.os 1, 2 e 8, retoma as definições dos n.os 1, 2 e 7 do artigo 4.o do RGPD.

10.

O artigo 4.o («Princípios relativos ao tratamento de dados pessoais») prescreve:

«[…]

2.   É permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:

[…]»

11.

O artigo 6.o («Distinção entre diferentes categorias de titulares de dados») preceitua:

«Os Estados‑Membros preveem que o responsável pelo tratamento estabeleça, se aplicável, e na medida do possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

12.

O artigo 8.o («Licitude do tratamento») tem a seguinte redação:

«1.   Os Estados‑Membros preveem que o tratamento só seja lícito se e na medida em que for necessário para o exercício de uma atribuição pela autoridade competente para os efeitos previstos no artigo 1.o, n.o 1, e tiver por base o direito da União ou de um Estado‑Membro.

2.   O direito de um Estado‑Membro que rege o tratamento no âmbito da presente diretiva especifica pelo menos os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.»

13.

Nos termos do artigo 9.o («Condições específicas do tratamento»):

«1.   Os dados pessoais recolhidos pelas autoridades competentes para os fins do artigo 1.o, n.o 1, não podem ser tratados para fins diferentes dos previstos no artigo 1.o, n.o 1, a não ser que esse tratamento seja autorizado pelo direito da União ou de um Estado‑Membro. Caso os dados pessoais sejam tratados para esses outros fins, é aplicável o [RGPD], salvo se tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União.

2.   Caso o direito dos Estados‑Membros confie às autoridades competentes o exercício de atribuições diferentes das exercidas para os fins do artigo 1.o, n.o 1, o [RGPD] é aplicável ao tratamento para esses fins, inclusive para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, salvo se o tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União.

[…]»

14.

O artigo 127.o estabelece a competência exclusiva do Ministério Público para a abertura de inquéritos, para a imputação de responsabilidade penal e para o exercício da ação penal no tribunal em caso de crimes públicos.

15.

O artigo 1.o da Zakon za zashtita na lichnite danni (Lei da Proteção de Dados) dispõe:

«(1)   A presente lei regula as relações públicas relativas à proteção dos direitos das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais na medida em que não sejam regidos pelo [RGPD].

(2)   A presente lei estabelece igualmente as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação e de repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à ordem e à segurança pública.

[…]»

16.

O artigo 17.o dispõe:

«(1)   A Inspeção do Conselho Superior da Magistratura assegura o controlo e o respeito do [RGPD], da presente lei e dos atos em matéria de proteção de dados pessoais no que diz respeito ao tratamento de dados pessoais:

1. pela jurisdição no exercício das suas funções de autoridade do poder judicial, e

2. pelo Ministério Público e as autoridades de investigação no exercício das suas funções de autoridades judiciárias para efeitos de prevenção, deteção, instrução ou repressão de infrações penais ou da execução de sanções penais.

[…]»

17.

O artigo 42.o prevê:

«(1)   As regras do presente capítulo são aplicáveis em caso de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação e repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à ordem e à segurança pública.

(2)   Os dados pessoais recolhidos para os efeitos referidos no n.o 1 não serão tratados para outros fins, salvo disposição em contrário do direito da União ou da legislação da República da Bulgária.

(3)   Sempre que as autoridades competentes nos termos do n.o 1 tratem dados pessoais para fins diferentes dos referidos no n.o 1, bem como nos casos previstos no n.o 2, são aplicáveis o [RGPD] e as disposições pertinentes da presente lei que introduzem medidas de execução do mesmo.

(4)   Por “autoridade competente”, na aceção do n.o 1, entende‑se qualquer autoridade pública competente para a prevenção, deteção, investigação e repressão das infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à ordem e à segurança pública.

(5)   Salvo disposição legal em contrário, um responsável pelo tratamento, na aceção do presente capítulo, de dados pessoais para os fins referidos no n.o 1 é uma autoridade competente na aceção do n.o 4 ou a entidade administrativa de que essa autoridade faça parte que, individualmente ou em conjunto com outras autoridades, determina as finalidades e os meios de tratamento de dados pessoais.»

18.

O artigo 45.o dispõe:

«[…]

(2)   O tratamento de dados pessoais pelo responsável pelo tratamento que os recolheu inicialmente ou por outro responsável do tratamento para os efeitos referidos no artigo 42.o, n.o 1, diferentes daqueles para os quais os dados pessoais foram inicialmente recolhidos é permitido desde que:

1. o responsável pelo tratamento esteja autorizado a tratar dados pessoais para esses outros efeitos, em conformidade com o direito da União ou a legislação da República da Bulgária, e

2. o tratamento seja necessário e proporcionado para atingir esses outros efeitos, em conformidade com o direito da União ou a legislação da República da Bulgária.

[…]»

19.

O artigo 47.o reproduz o artigo 6.o da Diretiva 2016/680.

20.

O artigo 49.o enuncia:

«O tratamento de dados pessoais é lícito se for necessário para o exercício dos poderes de uma autoridade competente para efeitos do artigo 42.o, n.o 1, e estiver previsto no direito da União ou numa disposição legal que determine os efeitos do tratamento e as categorias dos dados pessoais a tratar.»

21.

Sob a direção da Rayonna prokuratura — Petrich (Procuradoria Regional de Petrich, Bulgária) foi instaurado um processo de inquérito (n.o 252/2013 da polícia de Petrich) ( 6 ) para o apuramento de factos constitutivos de um crime ( 7 ) que tiveram lugar em 18 de abril de 2013.

22.

Durante esse processo de inquérito foram inicialmente recolhidos dados pessoais de VS na sua qualidade de vítima.

23.

Por Decisões do Ministério Público de 4 e 5 de abril de 2018, quatro pessoas (entre as quais VS) foram acusadas desses factos.

24.

Em 10 de novembro de 2020, o Rayonen sad Petrich (Tribunal Regional de Petrich, Bulgária) declarou encerrado o processo penal por prescrição.

25.

Em 2016 e 2017, na sequência de denúncias dirigidas contra VS, o Ministério Público da região de Petrich abriu diversos inquéritos ( 8 ) que, na falta de indícios da prática de crime, não conduziram à instauração de qualquer processo penal.

26.

Em 2018, VS intentou uma ação cível ( 9 ) contra o Ministério Público da República da Bulgária no Okrazhen sad — Blagoevgrad (Tribunal de Primeira Instância de Blagoevgrad, Bulgária), com vista à reparação do prejuízo causado pela duração excessiva do processo penal n.o 252/2013.

27.

A fim de se defender dessa ação cível, o Ministério Público solicitou ao juiz a consulta dos processos n.o 517/2016 e n.o 1872/2016, do próprio Ministério Público da região de Petrich.

28.

Por Despacho de 15 de outubro de 2018, o Okrazhen sad — Blagoevgrad (Tribunal de Primeira Instância de Blagoevgrad) ordenou ao Ministério Público da região de Petrich que apresentasse as cópias dos documentos contidos nos processos n.o 517/2016 e n.o 1872/2016.

29.

Em 12 de março de 2020, VS denunciou na Inspektorata kam Visshia sadeben savet (Inspeção do Conselho Superior da Magistratura; a seguir «IVSS») o que considerava constituir um duplo tratamento ilícito dos seus dados pessoais pelo Ministério Público, que teria utilizado indevidamente:

30.

Em 22 de junho de 2020, a IVSS indeferiu o duplo pedido de VS.

31.

VS impugnou essa decisão da IVSS no Administrativen sad — Blagoevgrad (Tribunal Administrativo de Blagoevgrad, Bulgária), que submete ao Tribunal de Justiça as seguintes questões prejudiciais:

32.

O pedido de decisão prejudicial foi registado no Tribunal de Justiça em 23 de março de 2021.

33.

Compareceram e apresentaram observações escritas VS, a IVSS, os Governos búlgaro, checo e neerlandês, e a Comissão Europeia.

34.

O Tribunal de Justiça não considerou indispensável a realização de uma audiência, que não foi pedida por nenhuma das partes.

35.

O RGPD e a Diretiva 2016/680 integram um sistema coerente em que:

36.

A proteção conferida pelo regime constituído por estas duas disposições assenta nos princípios da licitude, da lealdade, da transparência e, no que aqui interessa, no princípio da estrita limitação da recolha de dados e do seu tratamento para as finalidades previstas na lei ( 10 ).

37.

Especialmente, o artigo 5.o, n.o 1, alínea b), do RGPD dispõe que os dados são «[r]ecolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades» ( 11 ). Exprime‑se igualmente nesses termos, enquanto lex specialis, o artigo 4.o, n.o 1, alínea b), da Diretiva 2016/680.

38.

Assim, os dados pessoais não podem ser recolhidos ou tratados de forma geral, mas apenas em função de finalidades determinadas ( 12 ) e nas condições de licitude fixadas pelo legislador da União.

39.

O princípio da ligação estrita entre a recolha e o tratamento de dados, por um lado, e as finalidades que as duas operações devem servir, por outro, não tem caráter absoluto, uma vez que tanto o RGPD como a Diretiva 2016/680 permitem uma certa flexibilidade, como exporei posteriormente.

40.

No litígio a quo, o órgão jurisdicional administrativo deve decidir a questão de saber se a autoridade de controlo (a IVSS) ( 13 ) atuou legalmente ao rejeitar a denúncia pela qual VS acusava o Ministério Público búlgaro do tratamento ilícito dos seus dados pessoais.

41.

Como já referi, esses dados tinham sido recolhidos em dois contextos distintos:

42.

As questões do órgão jurisdicional de reenvio abrangem, correspondentemente:

43.

Concordo com o órgão jurisdicional de reenvio, bem como com todas as partes que participaram neste reenvio prejudicial, quanto ao facto de o tratamento dos dados pessoais objeto da primeira questão prejudicial estar abrangido pela Diretiva 2016/680.

44.

Nos termos do artigo 1.o, n.o 1, e do artigo 2.o, n.o 1, da Diretiva 2016/680, esta aplica‑se ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais. No presente processo, os dados de VS foram recolhidos e tratados precisamente no âmbito de uma investigação penal.

45.

Todavia, no que respeita à transmissão de dados pessoais para efeitos da ação cível intentada contra o Ministério Público (segunda questão), o RGPD é aplicável se essa transmissão constituir um tratamento de dados para finalidades distintas das previstas no artigo 1.o, n.o 1, da Diretiva 2016/680, mas incluídas numa atividade sujeita ao direito da União.

46.

Nos termos do artigo 4.o, n.o 2, da Diretiva 2016/680, é permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no artigo 1.o, n.o 1 ( 15 ), diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:

47.

Por conseguinte, a Diretiva 2016/680 autoriza uma reafetação ad intra dos dados pessoais recolhidos ao seu abrigo. Os que tenham sido recolhidos para uma das finalidades enumeradas no seu artigo 1.o, n.o 1, podem igualmente, sob certas condições, ser utilizados ao serviço de outra ou de outras finalidades constantes dessa enumeração.

48.

O problema suscitado pela primeira questão prejudicial consiste em saber se, tendo os dados pessoais de VS sido obtidos quando surgia como presumível vítima do crime investigado, podem ser posteriormente tratados contra si enquanto suspeito ou arguido no âmbito do mesmo processo penal.

49.

Por outras palavras, há que averiguar se os dados pessoais de VS foram tratados com a mesma finalidade que justificou a sua recolha inicial ou, pelo contrário, com duas finalidades distintas, mas abrangidas pelo âmbito de aplicação da Diretiva 2016/680. No caso desta segunda hipótese, o tratamento deveria estar sujeito às condições específicas do artigo 4.o, n.o 2, dessa diretiva.

50.

O órgão jurisdicional de reenvio formulou a sua primeira questão de uma forma algo ambígua relativamente ao objeto do litígio. Pretende saber, literalmente, se o artigo 1.o, n.o 1, da Diretiva 2016/680, deve ser interpretado «no sentido de que, ao enunciar os objetivos, os conceitos de “prevenção, investigação, deteção ou repressão de infrações penais” são enumerados como elementos de um objetivo geral».

51.

Tendo em conta a exposição do órgão jurisdicional de reenvio, talvez fosse apropriado reformular a sua primeira questão, como propuseram as partes e os intervenientes neste reenvio prejudicial. Mais do que a focagem na relação abstrata finalidade geral/finalidade específica, o que efetivamente importa (e sobre o que, na realidade, incidia a queixa de VS), é a questão de saber se, no âmbito de um processo penal regulado pela Diretiva 2016/680, a finalidade que levou à recolha dos dados de uma pessoa na sua qualidade de presumível vítima de um crime se mantém quando esses dados conduzem à sua posterior incriminação no mesmo processo.

52.

A interpretação literal do artigo 1.o, n.o 1, da Diretiva 2016/680 indica que, no seu âmbito, é possível diferenciar três tipos de finalidades, que correspondem a momentos e a atividades distintas:

53.

Do ponto de vista sistemático ou contextual, o artigo 4.o, n.o 2, da Diretiva 2016/680 milita a favor do caráter destacável de cada uma dessas finalidades. Se assim não fosse, como observou o Governo neerlandês, esta disposição ficaria esvaziada da sua substância, uma vez que, precisamente, visa «finalidades previstas no artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos […]».

54.

Com base nessa premissa, procurarei explicar por que razão, no presente processo, os dados controvertidos foram obtidos e tratados com uma das finalidades (a de «investigação») referida no artigo 1.o, n.o 1, da Diretiva 2016/680, o que determina a aplicação desta e a correspondente licitude do tratamento.

55.

Subsidiariamente, se a obtenção e o tratamento tivessem prosseguido duas finalidades, das enumeradas no artigo 4.o, n.o 2, da Diretiva 2016/680, a sua licitude também não seria discutível.

56.

No âmbito de um inquérito penal, o status processual das pessoas envolvidas nem sempre pode ser determinado desde o início. Em numerosos casos, com o inquérito procura‑se identificar e, por conseguinte, «categorizar» os sujeitos que surgem prima facie como autores, vítimas ou testemunhas dos factos.

57.

Durante essa fase preparatória, é lógico que exista uma certa fluidez na categorização. De acordo com os resultados que vai produzindo, o inquérito deverá conduzir à identificação exata do título sob o qual essas pessoas intervirão quando os factos forem julgados.

58.

É o que acontece, nomeadamente, em casos como o presente. Segundo o órgão jurisdicional de reenvio, houve agressões cruzadas entre uma pluralidade de pessoas. Uma delas, que figurava inicialmente como vítima, acabaria por ser acusada enquanto autora dessas agressões.

59.

Neste contexto, o conjunto da atividade desenvolvida está em conformidade com o conceito de «investigação» do artigo 1.o, n.o 1, da Diretiva 2016/680. Por conseguinte, o objetivo desta atividade era único e corresponde a uma das «finalidades» possíveis para o tratamento de dados pessoais.

60.

Todavia, o órgão jurisdicional de reenvio duvida que esta interpretação do artigo 1.o, n.o 1, da Diretiva 2016/680 seja conciliável com o seu considerando 31 ( 16 ).

61.

Concordo com o entendimento da maioria das partes quanto ao facto de esse considerando, à semelhança do artigo 6.o da Diretiva 2016/680, que o assume, não ser pertinente para determinar se ocorreu a alteração de finalidades prevista no artigo 4.o, n.o 2, dessa diretiva.

62.

Nos termos do artigo 6.o da Diretiva 2016/680, a distinção clara entre os dados pessoais das diferentes categorias de titulares de dados só ocorre «se aplicável, e na medida do possível». Pelas razões acima expostas, não é fácil identificar claramente e desde o início as «diferentes categorias de titulares de dados» no âmbito de um inquérito inicial por factos como os do presente caso em apreço. Além disso, um mesmo participante nesses factos pode cumular a qualidade de vítima e de autor das agressões.

63.

Mesmo que o responsável pelo tratamento dos dados obtidos no âmbito dos processos penais conseguisse distinguir claramente, no início e durante a instrução, entre vítimas, suspeitos e testemunhas, a finalidade (a investigação) subjacente à recolha e ao tratamento desses dados não se alteraria.

64.

Por outras palavras, atribuir de forma sucessiva uma ou outra qualidade (vítima, testemunha, arguido) às pessoas que surgem numa investigação penal não implica necessariamente uma alteração das finalidades, na aceção do artigo 4.o, n.o 2, da Diretiva 2016/680.

65.

A título subsidiário, na hipótese de se verificar a situação prevista no artigo 4.o, n.o 2, da Diretiva 2016/680, o tratamento dos dados pessoais em causa teria estado em conformidade com as condições de licitude previstas por essa diretiva. Foi o que observaram os Governos búlgaro e checo, com os quais concordo.

66.

Embora caiba ao órgão de reenvio verificá‑lo, não parece haver dúvidas de que o Ministério Público búlgaro é, em conformidade com o direito nacional, a autoridade responsável pelo tratamento dos dados pessoais de VS «para as finalidades previstas no artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos». Por conseguinte, o primeiro requisito do artigo 4.o, n.o 2, alínea a), da Diretiva 2016/680, está preenchido.

67.

Quanto ao segundo requisito imposto pela alínea b) do mesmo artigo 4.o, n.o 2 (que «[o] tratamento seja necessário e proporcionado para essa outra finalidade»), considero que:

68.

Aplicados a este processo, os requisitos do artigo 4.o, n.o 2, da Diretiva 2016/680 são pouco significativos e é confirmada a unicidade da finalidade inerente à recolha dos dados pessoais em causa: existe uma continuidade lógica entre o seu tratamento inicial e o que resultou posteriormente na acusação do arguido.

69.

Por conseguinte, não seria necessário confirmar a competência de um novo responsável pelo tratamento de dados (que seria sempre o mesmo), nem haveria dificuldade em demonstrar a necessidade do segundo tratamento (efetuado no âmbito de um mesmo processo), quando o critério da proporcionalidade é comum a todos os tratamentos, como resulta dos princípios enunciados no artigo 4.o, n.o 1, da Diretiva 2016/680.

70.

O artigo 9.o, n.o 1, da Diretiva 2016/680, prevê a possibilidade de uma reafetação ad extra dos dados pessoais recolhidos ao abrigo da mesma.

71.

Dispondo, como regra, que esses dados «não podem ser tratados para fins diferentes dos previstos no [seu] artigo 1.o, n.o 1», o artigo 9.o, n.o 1, da Diretiva 2016/680 prevê a possibilidade de que o seu tratamento seja autorizado pelo direito da União ou de um Estado‑Membro para fins diferentes dos do artigo 1.o, n.o 1. Nesse caso, é aplicável o RGPD (quando a atividade esteja sujeita à aplicação do direito da União).

72.

Com a sua segunda questão prejudicial, o órgão jurisdicional de reenvio pretende saber:

73.

A IVSS entende que, tendo a denúncia de VS sido rejeitada à época por ser intempestiva, a segunda questão prejudicial seria inadmissível.

74.

Não concordo com esta objeção.

75.

O Tribunal de Justiça só pode recusar pronunciar‑se sobre um pedido de decisão prejudicial formulado por um órgão jurisdicional nacional quando for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ( 17 ).

76.

A objeção da IVSS tem por objeto um aspeto abrangido pela competência exclusiva do órgão jurisdicional de reenvio. Compete‑lhe apenas a ele definir, sob a sua responsabilidade, o quadro regulamentar e factual em que se inscreve a questão submetida ao Tribunal de Justiça ( 18 ).

77.

Tanto a decisão sobre a intempestividade alegada pela IVSS como a apreciação da sua pertinência para efeitos do litígio constituem elementos de análise cuja apreciação diz apenas respeito ao órgão jurisdicional de reenvio. No presente processo, esse órgão jurisdicional insistiu no facto de a questão ser pertinente para o desfecho do processo principal, apesar da intempestividade invocada pela IVSS ( 19 ).

78.

Essa apreciação não pode ser reexaminada pelo Tribunal de Justiça que, em princípio, se deve cingir à interpretação e aplicação do direito nacional, processual e material, assumido pelos órgãos jurisdicionais quando definem o quadro em que se desenrola o reenvio prejudicial.

79.

Tendo em conta as razões apresentadas pelo órgão jurisdicional de reenvio para justificar a submissão da segunda questão prejudicial, o que verdadeiramente lhe importa é que o Tribunal de Justiça determine se a transmissão dos dados em causa constitui um «tratamento de dados» na aceção do artigo 4.o, pontos 1 e 2, do RGPD ( 20 ), e se esse tratamento era lícito à luz do seu artigo 6.o

80.

O artigo 4.o, pontos 1 e 2, do RGPD, e o artigo 3.o, pontos 1 e 2, da Diretiva 2016/680, definem nos mesmos termos os conceitos de «dados pessoais» e de «tratamento».

81.

Em conformidade com essas definições, deduzo que o Ministério Público pretendeu utilizar, no âmbito da sua defesa perante o juiz cível, «informação relativa a uma pessoa singular identificada», que incluía «dados pessoais» de VS.

82.

Na transmissão desses dados pessoais ao processo cível, ocorreram várias das «operações» constitutivas de um «tratamento de dados» sem o consentimento do titular dos dados. Pelo menos, terá sido necessário que o próprio Ministério Público os consultasse com a finalidade de avaliar a sua eventual utilidade para a defesa da sua posição no âmbito da ação cível. Além disso, pode presumir‑se que, com essa mesma finalidade, os dados tenham sido organizados, estruturados, adaptados ou alterados, e, claro, divulgados e difundidos, ainda que de forma reduzida, quando foi pedida a sua disponibilização no âmbito da ação cível ( 21 ).

83.

Em suma, ao registá‑los, ao incluí‑los nos seus arquivos, ao conservá‑los, ao consultá‑los e ao pedir que o juiz cível aceitasse como elemento de prova as informações que figuravam nos inquéritos penais, o Ministério Público procedeu a um tratamento dos dados pessoais de VS.

84.

A IVSS e a Comissão alegam que o Ministério Público só pode ser «responsável pelo tratamento» enquanto autoridade competente para as finalidades, de natureza penal, sujeitas à Diretiva 2016/680.

85.

Na minha opinião, tal não implica que a segunda questão prejudicial seja desprovida de objeto, como pretende a IVSS. Pressupõe antes que a licitude do tratamento, nos termos do artigo 9.o, n.o 1, da Diretiva 2016/680, terá de ser verificada à luz do RGPD.

86.

O juiz competente para decidir o litígio cível é responsável pelo tratamento dos dados no âmbito desse processo quando nele forem incorporados. As suas decisões são excluídas do escrutínio da autoridade de controlo, por força do artigo 55.o, n.o 3, do RGPD, desde que sejam tomadas no exercício de funções jurisdicionais ( 22 ).

87.

Ora, o órgão jurisdicional de reenvio circunscreve a sua questão à aplicabilidade do RGPD no momento em que o Ministério Público pretende utilizar as informações que recolheu como «responsável pelo tratamento», na aceção da Diretiva 2016/680, para a sua defesa no âmbito da ação cível.

88.

Atendendo ao que acabo de expor, considero que o RGPD é aplicável, uma vez que, entre as finalidades referidas no artigo 1.o, n.o 1, da Diretiva 2016/680, não se encontra a defesa do Ministério Público no âmbito de uma ação cível.

89.

As condições de licitude de um tratamento de dados pessoais encontram‑se enumeradas no artigo 6.o, n.o 1, do RGPD: «[o] tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações», que descreve posteriormente. A sua enumeração é exaustiva ( 23 ).

90.

Na minha opinião, dessas condições não está preenchida a baseada no consentimento do titular dos dados [alínea a)], nem a baseada na execução de um contrato [alínea b)], nem a baseada no cumprimento de uma obrigação jurídica [alínea c)] ( 24 ), nem a baseada na defesa dos interesses vitais do titular dos dados ou de um terceiro [alínea d)].

91.

Segundo o órgão jurisdicional de reenvio, estaria preenchida a condição enunciada na alínea f) do artigo 6.o, n.o 1, do RGPD. Todavia, como defendeu a Comissão, o parágrafo final desse número afasta‑a nesse processo, uma vez que essa condição «não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições» ( 25 ).

92.

Em resposta a uma pergunta do Tribunal de Justiça, o Governo búlgaro, apoiado neste ponto pelos Governos checo e neerlandês, insistiu na aplicabilidade da condição prevista na alínea f) do artigo 6.o, n.o 1, do RGPD. Alega a necessidade de ter em conta «a natureza da atividade exercida pelo Ministério Público», que, embora sendo uma entidade pública, pode participar em processos cíveis como «parte igual» ( 26 ).

93.

Todavia, os «interesses legítimos» que o Ministério Público defenderia, enquanto poder público, no âmbito de um processo em que se alega a sua responsabilidade decorrente da sua ação processual, estão excluídos da hipótese referida na alínea f) do artigo 6.o, n.o 1, do RGPD, na medida em que tal se encontra explicitamente previsto no parágrafo final desse mesmo número.

94.

Para as autoridades que atuam no âmbito das funções que lhes são atribuídas por lei (no presente processo, o exercício da ação penal e a representação do Estado contra pedidos de responsabilidade patrimonial), o interesse pertinente, para efeitos do artigo 6.o, n.o 1, do RGPD, é o interesse público que servem, nos termos da alínea e) dessa disposição.

95.

A condição prevista na alínea f) refere‑se aos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e as liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

96.

Por conseguinte, essa disposição diz respeito não tanto às possibilidades de defesa do poder público — que se podem articular através da alínea e) — quanto à eventual prevalência dos interesses, direitos e liberdades do titular dos dados relativamente ao responsável pelo tratamento ou a um terceiro. Aplica‑se antes aos conflitos entre partes (privadas) cujos interesses não são de natureza pública.

97.

Uma vez que, por definição, o Ministério Público atua na sua qualidade de instituição estatal, há que examinar se o tratamento em causa está contemplado na alínea e) do artigo 6.o, n.o 1, do RGPD.

98.

Seria esse o caso se esse tratamento fosse «necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido» o responsável.

99.

Debruçar‑me‑ei sobre a primeira dessas duas finalidades, não sendo necessário abordar a segunda ( 27 ), para determinar se a intervenção do Ministério Público no âmbito da ação cível destinado a obter uma indemnização pela sua conduta corresponde ao exercício de funções de interesse público.

100.

Em conformidade com o direito nacional ( 28 ), incumbe ao Ministério Público representar o Estado no âmbito de ações de responsabilidade extracontratual pelos danos causados pela sua demora. Nessa mesma medida, o Ministério Público intervém na defesa dos interesses gerais (financeiros) do Estado e, por conseguinte, no exercício de funções de interesse público ( 29 ).

101.

O artigo 9.o, n.o 1, da Diretiva 2016/680 subordina a afetação ad extra dos dados contidos nos processos à condição de que o seu tratamento seja autorizado pelo direito da União ou de um Estado‑Membro. No que aqui interessa, incumbe ao órgão jurisdicional de reenvio verificar a existência dessa autorização, perante o exercício da função de interesse público confiada ao Ministério Público para a defesa patrimonial do Estado.

102.

Nos termos do artigo 6.o, n.o 3, do RGPD, o fundamento jurídico para o tratamento referido no n.o 1, alínea e), «pode prever disposições específicas para adaptar a aplicação das regras» do próprio RGPD ( 30 ). Se esse fundamento jurídico for definido pelo direito do Estado‑Membro aplicável ao responsável pelo tratamento, compete ao juiz nacional encontrá‑lo ( 31 ).

103.

Por último, ainda que o órgão jurisdicional de reenvio não identifique o fundamento jurídico pertinente, a compatibilidade do tratamento em causa com a finalidade para a qual os dados controvertidos foram recolhidos deverá ser determinada em conformidade com o artigo 6.o, n.o 4, do RGPD. Para esse efeito, há que ter em conta, inter alia, qualquer relação entre as finalidades originárias e a finalidade superveniente, o contexto em que os dados pessoais foram recolhidos e a natureza destes últimos, as eventuais consequências do novo tratamento para o titular dos dados e a existência de garantias adequadas.

104.

Atendendo ao exposto, proponho que o Tribunal de Justiça responda ao Administrativen sad — Blagoevgrad (Tribunal Administrativo de Blagoevgrad, Bulgária) nos seguintes termos: