23.9.2019 |
PT |
Jornal Oficial da União Europeia |
C 319/2 |
Acórdão do Tribunal de Justiça (Segunda Secção) de 29 de julho de 2019 (pedido de decisão prejudicial apresentado pelo Oberlandesgericht Düsseldorf — Alemanha) — Fashion ID GmbH & Co.KG/Verbraucherzentrale NRW eV
(Processo C-40/17) (1)
(«Reenvio prejudicial - Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais - Diretiva 95/46/CE - Artigo 2.o, alínea d) - Conceito de “responsável pelo tratamento” - Administrador de um sítio Internet que incorporou nesse sítio um módulo social que permite a comunicação dos dados pessoais do visitante desse sítio ao fornecedor do referido módulo - Artigo 7.o, alínea f) - Legitimidade do tratamento de dados - Tomada em conta do interesse do administrador do sítio Internet ou do interesse do fornecedor do módulo social - Artigo 2.o, alínea h), e artigo 7.o, alínea a) - Consentimento da pessoa em causa - Artigo 10.o - Informação da pessoa em causa - Regulamentação nacional que concede às associações de defesa dos interesses dos consumidores legitimidade judicial»)
(2019/C 319/02)
Língua do processo: alemão
Órgão jurisdicional de reenvio
Oberlandesgericht Düsseldorf
Partes no processo principal
Recorrente: Fashion ID GmbH & Co.KG
Recorrida: Verbraucherzentrale NRW eV
Com a intervenção de: Facebook Ireland Ltd, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Dispositivo
1) |
Os artigos 22.o a 24.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, devem ser interpretados no sentido de que não se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção dos dados pessoais. |
2) |
O administrador de um sítio Internet, como a Fashion ID GmbH & Co. KG, que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46. Essa responsabilidade é, porém, limitada à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador, a saber, a recolha e a comunicação por transmissão dos dados em causa. |
3) |
Numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, é necessário que esse administrador e esse fornecedor prossigam, cada um deles, com essas operações de tratamento, um interesse legítimo, na aceção do artigo 7.o, alínea f), da Diretiva 95/46, a fim de que estas sejam justificadas em relação a si. |
4) |
O artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, o consentimento previsto nessas disposições deve ser obtido pelo referido administrador unicamente no que diz respeito à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador. Além disso, o artigo 10.o dessa diretiva deve ser interpretado no sentido de que, em tal situação, a obrigação de informação prevista nesta disposição impende igualmente sobre o referido administrador, devendo, no entanto, a informação que este deve fornecer à pessoa em causa incidir apenas sobre a operação ou o conjunto das operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador. |