ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Segunda Secção)

29 de julho de 2019 ( *1 )

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Diretiva 95/46/CE — Artigo 2.o, alínea d) — Conceito de “responsável pelo tratamento” — Administrador de um sítio Internet que incorporou nesse sítio um módulo social que permite a comunicação dos dados pessoais do visitante desse sítio ao fornecedor do referido módulo — Artigo 7.o, alínea f) — Legitimidade do tratamento de dados — Tomada em conta do interesse do administrador do sítio Internet ou do interesse do fornecedor do módulo social — Artigo 2.o, alínea h), e artigo 7.o, alínea a) — Consentimento da pessoa em causa — Artigo 10.o — Informação da pessoa em causa — Regulamentação nacional que concede às associações de defesa dos interesses dos consumidores legitimidade judicial»

No processo C‑40/17,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha), por Decisão de 19 de janeiro de 2017, que deu entrada no Tribunal de Justiça em 26 de janeiro de 2017, no processo

Fashion ID GmbH & Co. KG

contra

Verbraucherzentrale NRW eV,

com intervenção de:

Facebook Ireland Ltd,

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen,

O TRIBUNAL DE JUSTIÇA (Segunda Secção),

composto por: K. Lenaerts, presidente do Tribunal de Justiça, exercendo funções de presidente da Segunda Secção, A. Prechal, C. Toader, A. Rosas (relator) e M. Ilešič, juízes,

advogado‑geral: M. Bobek,

secretário: D. Dittert, chefe de unidade,

vistos os autos e após a audiência de 6 de setembro de 2018,

vistas as observações apresentadas:

em representação da Fashion ID GmbH & Co. KG, por C.‑M. Althaus e J. Nebel, Rechtsanwälte,

em representação da Verbraucherzentrale NRW eV, por K. Kruse, C. Rempe e S. Meyer, Rechtsanwälte,

em representação da Facebook Ireland Ltd, por H.‑G. Kamann, C. Schwedler, M. Braun, Rechtsanwälte, e por I. Perego, avvocatessa,

em representação da Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein‑Westfalen, por U. Merger, na qualidade de agente,

em representação do Governo alemão, inicialmente por T. Henze e J. Möller e, em seguida, por J. Möller, na qualidade de agentes,

em representação do Governo belga, por P. Cottin e L. Van den Broeck, na qualidade de agentes,

em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por P. Gentili, avvocato dello Stato,

em representação do Governo austríaco, inicialmente por C. Pesendorfer e, em seguida, por G. Kunnert, na qualidade de agentes,

em representação do Governo polaco, por B. Majczyna, na qualidade de agente,

em representação da Comissão Europeia, por H. Krämer e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 19 de dezembro de 2018,

profere o presente

Acórdão

1

O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 2.o, 7.o, 10.o, e 22.o a 24.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Fashion ID GmbH Co. KG à Verbraucherzentrale NRW eV a respeito da inserção, pela Fashion ID, de um módulo social da Facebook Ireland Ltd no sítio Internet da primeira.

Quadro jurídico

Direito da União

3

A Diretiva 95/46 foi revogada e substituída, com efeitos a partir de 25 de maio de 2018, pelo Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 2016, L 119, p. 1). Todavia, atendendo à data dos factos do litígio no processo principal, esta diretiva é aplicável a este processo.

4

O considerando 10 da Diretiva 95/46 enuncia:

«Considerando que o objetivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8.o da Convenção europeia para a proteção dos direitos do Homem e das liberdades fundamentais[, assinada em Roma em 4 de novembro de 1950,] como nos princípios gerais do direito [da União]; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a proteção que asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção na [União].»

5

O artigo 1.o da Diretiva 95/46 prevê:

«1.   Os Estados‑Membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2.   Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à proteção assegurada por força do n.o 1.»

6

O artigo 2.o desta diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

a)

“Dados pessoais”, qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b)

“Tratamento de dados pessoais” (“tratamento”), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]

d)

“Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou [da União], o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou [da União];

[…]

f)

“Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

g)

“Destinatário”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados, independentemente de se tratar ou não de um terceiro; todavia, as autoridades suscetíveis de receberem comunicações de dados no âmbito duma missão de inquérito específica não são consideradas destinatários;

h)

“Consentimento da pessoa em causa”, qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento.»

7

O artigo 7.o da referida diretiva enuncia:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a)

A pessoa em causa tiver dado de forma inequívoca o seu consentimento;

ou

[…]

f)

O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.o 1 do artigo 1.o»

8

Nos termos do artigo 10.o dessa diretiva, sob a epígrafe «Informação em caso de recolha de dados junto da pessoa em causa»:

«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a)

Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b)

Finalidades do tratamento a que os dados se destinam;

c)

Outras informações, tais como:

os destinatários ou categorias de destinatários dos dados,

o caráter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,

existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.»

9

O artigo 22.o da Diretiva 95/46 tem a seguinte redação:

«Sem prejuízo de quaisquer garantias graciosas, nomeadamente por parte da autoridade de controlo referida no artigo 28.o, previamente a um recurso contencioso, os Estados‑Membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.»

10

O artigo 23.o dessa diretiva enuncia:

«1.   Os Estados‑Membros estabelecerão que qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro ato incompatível com as disposições nacionais de execução da presente diretiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido.

2.   O responsável pelo tratamento poderá ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.»

11

O artigo 24.o da referida diretiva prevê:

«Os Estados‑Membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva a determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adotadas nos termos da presente diretiva.»

12

O artigo 28.o dessa mesma diretiva dispõe:

«1.   Cada Estado‑Membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adotadas pelos Estados‑Membros nos termos da presente diretiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas

[…]

3.   Cada autoridade do controlo disporá, nomeadamente:

[…]

do poder de intervir em processos judiciais no caso de violação das disposições nacionais adotadas nos termos da presente diretiva ou de levar essas infrações ao conhecimento das autoridades judiciais.

[…]

4.   Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para proteção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

[…]»

13

O artigo 5.o, n.o 3, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»), prevê:

«Os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva [95/46], nomeadamente sobre os objetivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.»

14

O artigo 1.o, n.o 1, da Diretiva 2009/22/CE do Parlamento Europeu e do Conselho, de 23 de abril de 2009, relativa às ações inibitórias em matéria de proteção dos interesses dos consumidores (JO 2009, L 110, p. 30), conforme alterada pelo Regulamento n.o 524/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013 (JO 2013, L 165, p. 1) (a seguir «Diretiva 2009/22») dispõe:

«A presente diretiva tem por objeto aproximar as disposições legislativas, regulamentares e administrativas dos Estados‑Membros relativas às ações inibitórias referidas no artigo 2.o, para a proteção dos interesses coletivos dos consumidores incluídos nos atos da União enumerados no anexo I, para garantir o bom funcionamento do mercado interno.»

15

O artigo 2.o dessa diretiva prevê:

«1.   Os Estados‑Membros designam os tribunais ou as autoridades administrativas competentes para conhecer das ações e recursos intentados pelas entidades com legitimidade para agir nos termos do artigo 3.o a fim de que:

a)

Seja tomada uma decisão, com a devida brevidade, se for caso disso mediante um processo expedito, com vista à cessação ou proibição de qualquer infração;

[…]»

16

O artigo 7.o da referida diretiva dispõe:

«A presente diretiva não prejudica a adoção ou a manutenção pelos Estados‑Membros de disposições que garantam, às entidades com legitimidade para intentar uma ação e a quaisquer interessados, uma faculdade de ação mais ampla no plano nacional.»

17

O artigo 80.o do Regulamento 2016/679 tem a seguinte redação:

«1.   O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado‑Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação, exercer os direitos previstos nos artigos 77.o, 78.o e 79.o, e exercer o direito de receber uma indemnização referido no artigo 82.o, se tal estiver previsto no direito do Estado‑Membro.

2.   Os Estados‑Membros podem prever que o organismo, a organização ou a associação referidos no n.o 1 do presente artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado‑Membro direito a apresentar uma reclamação à autoridade de controlo competente nos termos do artigo 77.o e a exercer os direitos a que se referem os artigos 78.o e 79.o, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento.»

Direito alemão

18

O § 3, n.o 1, da Gesetz gegen den unlauteren Wettbewerb (Lei relativa à concorrência desleal), na sua versão aplicável ao litígio no processo principal (a seguir «UWG»), enuncia:

«As práticas comerciais desleais são proibidas.»

19

O § 3a da UWG tem a seguinte redação:

«Pratica um ato desleal quem infringe uma disposição legal destinada a regular o comportamento dos operadores no mercado, quando a infração é suscetível de prejudicar significativamente os interesses de consumidores, de outros operadores no mercado ou dos concorrentes.»

20

O § 8 da UWG dispõe:

«(1)   Quem praticar um ato comercial ilícito, nos termos do § 3 ou do § 7, pode ser demandado em ação destinada à eliminação dos efeitos produzidos ou, em caso de risco de repetição, em ação inibitória. A ação inibitória pode ser intentada desde logo quando haja o risco de uma violação do § 3 ou do § 7.

[…]

(3)   Têm legitimidade para intentar as ações previstas no n.o 1:

[…]

3. as entidades com interesse legítimo que provem estar inscritas na lista das entidades prevista no § 4 da Unterlassungsklagegesetz [Lei relativa às ações inibitórias] ou na lista elaborada pela Comissão Europeia nos termos do artigo 4.o, n.o 3, da Diretiva [2009/22];

[…]»

21

O § 2 da Lei relativa às ações inibitórias prevê:

«(1)   Quem infringir disposições legais destinadas à proteção dos consumidores (leis relativas à proteção dos consumidores), sem ser através da utilização ou recomendação de cláusulas contratuais gerais destinadas à proteção dos consumidores, pode ser demandado, no interesse da proteção dos consumidores, em ação inibitória e em ação destinada à eliminação dos efeitos produzidos. […]

(2)   Consideram‑se leis relativas à proteção dos consumidores na aceção desta disposição, em especial:

[…]

11. as disposições legais que regem a admissibilidade:

a)

da recolha de dados pessoais dos consumidores por uma empresa ou

b)

o tratamento ou utilização por uma empresa de dados pessoais recolhidos sobre os consumidores,

quando os dados são recolhidos, tratados ou utilizados para fins publicitários, para sondagens de mercado e de opinião, para a gestão de agências de crédito, para a construção de perfis de personalidade e de utilizador, para o comércio de endereços, para outros atos de comércio de dados ou para outros fins comerciais comparáveis.»

22

O § 12, n.o 1, da Telemediengesetz (Lei relativa às telecomunicações, a seguir «TMG») tem a seguinte redação:

«O prestador de serviços só pode recolher e utilizar dados pessoais para efeitos de disponibilização de meios de comunicação em linha caso a presente lei ou outro instrumento jurídico que diga expressamente respeito a meios de comunicação em linha o permita ou no caso de o utilizador ter prestado o seu consentimento.»

23

O § 13, n.o 1, da TMG enuncia:

«O prestador de serviços deve informar o utilizador, de forma compreensível em geral, no início do ato de utilização, sobre o tipo, a extensão e a finalidade da recolha e utilização de dados pessoais e sobre a utilização dos seus dados em Estados não abrangidos pelo âmbito de aplicação da Diretiva [95/46], se essa informação ainda não tiver sido prestada. Num procedimento automatizado que permita a identificação posterior do utilizador e que prepare a recolha ou a utilização dos dados pessoais, o utilizador deve ser informado no início deste processo. O teor da informação deve estar sempre acessível para o utilizador.»

24

O § 15, n.o 1, da TMG dispõe:

«O prestador de serviços só pode recolher e utilizar dados pessoais de um utilizador na medida em que tal seja necessário para permitir e faturar a utilização dos meios de comunicação em linha (dados de utilização). Constituem dados de utilização, nomeadamente:

1.   As características que permitem a identificação do utilizador,

2.   As informações sobre o início e o termo, bem como o volume, da respetiva utilização, e

3.   As informações sobre os meios de comunicação em linha a que o utilizador acedeu.»

Litígio no processo principal e questões prejudiciais

25

A Fashion ID, empresa de venda em linha de vestuário de moda, inseriu no seu sítio Internet o módulo social «gosto» da rede social Facebook (a seguir «botão Facebook “Gosto”»).

26

Resulta da decisão de reenvio que uma característica própria da Internet é permitir ao navegador do visitante de um sítio Internet apresentar conteúdos de diferentes fontes. Assim, a título de ilustração, as fotografias, os vídeos, as atualidades e o botão Facebook «Gosto» em causa no caso vertente podem ser ligados a um sítio Internet e nele figurar. Se o administrador de um sítio Internet quiser inserir esses conteúdos externos, coloca nesse sítio uma ligação para o conteúdo externo. Quando o navegador do visitante do referido sítio abre essa ligação, solicita o conteúdo externo e insere‑o na posição pretendida na apresentação do sítio. Para o efeito, o navegador comunica ao servidor do fornecedor terceiro o endereço IP do computador do referido visitante, bem como os dados técnicos do navegador, para que o servidor possa determinar em que formato o conteúdo é entregue nesse endereço. Além disso, o navegador comunica informações quanto ao conteúdo pretendido. O administrador de um sítio Internet que propõe um conteúdo externo inserindo‑o nesse sítio não pode determinar os dados que o navegador transmite nem o que o fornecedor externo faz com esses dados, em particular se este decidir armazená‑los e explorá‑los.

27

No que respeita, em particular, ao botão Facebook «Gosto», parece resultar da decisão de reenvio que, quando um visitante consulta o sítio Internet da Fashion ID, os dados pessoais desse visitante são, devido ao facto de esse sítio integrar o referido botão, transmitidos à Facebook Ireland. Ao que parece, essa transmissão efetua‑se sem que o referido visitante disso esteja ciente e independentemente do facto de ser membro da rede social Facebook ou de ter clicado no botão Facebook «Gosto».

28

A Verbraucherzentrale NRW, associação de utilidade pública de defesa dos interesses dos consumidores, acusa a Fashion ID de ter transmitido à Facebook Ireland dados pessoais pertencentes aos visitantes do seu sítio Internet, por um lado, sem o consentimento destes últimos e, por outro, em violação das obrigações de informação previstas pelas disposições relativas à proteção dos dados pessoais.

29

A Verbraucherzentrale NRW intentou uma ação inibitória no Landgericht Düsseldorf (Tribunal Regional de Düsseldorf, Alemanha) contra a Fashion ID para que esta ponha termo a essa prática.

30

Por Decisão de 9 de março de 2016, o Landgericht Düsseldorf (Tribunal Regional de Düsseldorf) julgou parcialmente procedentes os pedidos da Verbraucherzentrale NRW, após ter reconhecido que esta tinha legitimidade para agir ao abrigo do § 8, n.o 3, ponto 3, da UWG.

31

A Fashion ID recorreu desta decisão para o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha), o órgão jurisdicional de reenvio. A Facebook Ireland interveio nesse recurso em apoio da Fashion ID. Por sua vez, a Verbraucherzentrale NRW interpôs um recurso subordinado, destinado a alargar a condenação da Fashion ID pronunciada em primeira instância.

32

Perante o órgão jurisdicional de reenvio, a Fashion ID sustenta que a decisão do Landgericht Düsseldorf (Tribunal Regional de Düsseldorf) não é compatível com a Diretiva 95/46.

33

Por um lado, a Fashion ID alega que os artigos 22.o a 24.o da referida diretiva preveem vias de recurso unicamente a favor das pessoas afetadas pelo tratamento de dados pessoais e das autoridades de controlo competentes. Por conseguinte, a ação judicial intentada pela Verbraucherzentrale NRW não é admissível devido ao facto de esta associação não ter, no âmbito da Diretiva 95/46, legitimidade para agir judicialmente.

34

Por outro lado, a Fashion ID considera que o Landgericht Düsseldorf (Tribunal Regional de Dusseldorf) decidiu erradamente julgá‑la responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, na medida em que a mesma não tem influência nenhuma sobre os dados transmitidos pelo navegador do visitante do seu sítio Internet nem sobre a questão de saber se e, sendo o caso, como é que a Facebook Ireland os vai utilizar.

35

O órgão jurisdicional de reenvio tem, em primeiro lugar, dúvidas quanto à questão de saber se a Diretiva 95/46 autoriza as associações de utilidade pública a agirem judicialmente para defender os interesses das pessoas lesadas. Considera que o artigo 24.o desta diretiva não impede as associações de agirem judicialmente, uma vez que, nos termos deste artigo, os Estados‑Membros tomarão as «medidas adequadas» para assegurar a plena aplicação da referida diretiva. Assim, o órgão jurisdicional de reenvio considera que uma regulamentação nacional que permite às associações intentar ações judiciais no interesse dos consumidores pode constituir essa medida adequada.

36

O referido órgão jurisdicional salienta, a este respeito, que o artigo 80.o, n.o 2, do Regulamento n.o 2016/679, que revogou e substituiu a Diretiva 95/46, autoriza expressamente a ação judicial de uma associação dessa natureza, o que confirma que esta última diretiva não se opunha a tal ação.

37

Por outro lado, interroga‑se sobre a questão de saber se o administrador de um sítio Internet, como a Fashion ID, que insere nesse sítio um módulo social que permite a recolha de dados pessoais, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, quando este último não tem nenhuma influência no tratamento dos dados transmitidos ao fornecedor do referido módulo. A este respeito, o órgão jurisdicional de reenvio faz referência ao processo que deu origem ao Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2018:388), relativo a uma questão semelhante.

38

A título subsidiário, no caso de a Fashion ID não dever ser considerada responsável pelo tratamento, o órgão jurisdicional de reenvio pergunta se esta diretiva rege de forma exaustiva o referido conceito, de tal modo que a mesma se opõe a uma regulamentação nacional que prevê a responsabilidade civil por facto de terceiro em caso de violação dos direitos à proteção dos dados. Com efeito, o órgão jurisdicional de reenvio afirma que é possível equacionar a responsabilidade da Fashion ID sobre essa base do direito nacional, enquanto «perturbador» («Störer»).

39

Caso a Fashion ID deva ser considerada responsável pelo tratamento ou responder, pelo menos, enquanto «perturbador», a eventuais violações cometidas pela Facebook Ireland contra a proteção de dados, o órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se o tratamento dos dados pessoais em causa no processo principal é lícito e se a obrigação de informar a pessoa em causa por força do artigo 10.o da Diretiva 95/46 cabia à Fashion ID ou à Facebook Ireland.

40

Assim, por um lado, atendendo às condições de licitude do tratamento dos dados, conforme previstas no artigo 7.o, alínea f), da Diretiva 95/46, o órgão jurisdicional de reenvio pergunta‑se se, numa situação como a que está em causa no processo principal, há que ter em conta o interesse legítimo do administrador do sítio Internet ou o do fornecedor do módulo social.

41

Por outro lado, o referido órgão jurisdicional pergunta‑se sobre a quem incumbem as obrigações de obtenção do consentimento e de informação das pessoas afetadas pelo tratamento dos dados pessoais numa situação como a que está em causa no processo principal. O órgão jurisdicional de reenvio considera que a questão de saber sobre quem pesa a obrigação de informar as pessoas em causa, conforme prevista no artigo 10.o da Diretiva 95/46, tem uma importância particular uma vez que qualquer inserção de conteúdos externos num sítio Internet dá, em princípio, origem a um tratamento de dados pessoais, cujo alcance e finalidade são, todavia, desconhecidos de quem procede à inserção desses conteúdos, a saber, o administrador do sítio Internet em causa. Este, não pode, por esse facto, dar a informação devida, na medida em que a tal é obrigado, a menos que esteja ao corrente, de modo que impor a esse administrador a obrigação de informar a pessoa em causa conduziria, na prática, a proibir a inserção de conteúdos externos.

42

Nestas circunstâncias, o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldorf) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

O disposto nos artigos 22.o, 23.o e 24.o da Diretiva [95/46] opõe‑se a uma legislação nacional que, além dos poderes de intervenção das autoridades responsáveis pela proteção dos dados e das possibilidades de recurso dos interessados, confere às associações sem fins lucrativos de defesa dos interesses dos consumidores legitimidade para, em caso de infrações, procederem contra os infratores?

Em caso de resposta negativa à primeira questão:

2)

Numa situação como a do caso vertente, em que alguém integra na sua página Web um código de programação que permite ao navegador do utilizador solicitar conteúdos de um terceiro e transmitir para o efeito dados pessoais a terceiros, é aquele que integra o código de programação o “responsável pelo tratamento” na aceção do artigo 2.o, alínea d), da Diretiva [95/46], quando ele próprio não pode influenciar esta operação de tratamento de dados?

3)

Em caso de resposta negativa à segunda questão: deve o artigo 2.o, alínea d), da Diretiva [95/46] ser interpretado no sentido de que o mesmo regula a responsabilidade de um modo tão exaustivo que se opõe a uma ação cível contra um terceiro que, embora não seja “responsável pelo tratamento”, está porém na origem do ato de tratamento, sem o influenciar?

4)

Numa situação como a do caso vertente, a que “interesses legítimos” se deve atender na avaliação a fazer nos termos do artigo 7.o, alínea f), da Diretiva [95/46]? Ao interesse na integração de conteúdos de terceiros ou ao interesse do terceiro?

5)

Numa situação como a do caso vertente, a quem deve ser dado o consentimento previsto no artigo 7.o, alínea a), e no artigo 2.o, alínea h), da Diretiva [95/46]?

6)

A obrigação de informação prevista no artigo 10.o da Diretiva [95/46], numa situação como a do caso vertente, também incumbe ao administrador da página Web que tenha integrado o conteúdo de um terceiro e que está, assim, na origem do tratamento de dados pessoais pelo terceiro?»

Quanto às questões prejudiciais

Quanto à primeira questão

43

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 22.o a 24.o da Diretiva 95/46 devem ser interpretados no sentido de que se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção dos dados pessoais.

44

A título preliminar, importa recordar que, em conformidade com o artigo 22.o da Diretiva 95/46, os Estados‑Membros estabelecerão que qualquer pessoa poderá recorrer judicialmente em caso de violação dos direitos garantidos pelas disposições nacionais aplicáveis ao tratamento em questão.

45

O artigo 28.o, n.o 3, terceiro parágrafo, da Diretiva 95/46 enuncia que uma autoridade de controlo, responsável, em conformidade com o artigo 28.o, n.o 1, desta diretiva, pela fiscalização da aplicação no território do Estado‑Membro em causa das disposições por ele adotadas nos termos da referida diretiva, dispõe, nomeadamente, do poder de intervir em processos judiciais no caso de violação das disposições nacionais adotadas nos termos dessa diretiva ou de levar essas infrações ao conhecimento das autoridades judiciais.

46

Quanto ao artigo 28.o, n.o 4, da Diretiva 95/46, este prevê que qualquer associação que represente uma determinada pessoa, na aceção do artigo 2.o, alínea a), desta diretiva pode apresentar à autoridade de controlo um pedido para proteção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais.

47

Todavia, nenhuma disposição da referida diretiva impõe aos Estados‑Membros a obrigação de preverem — nem os autoriza expressamente a preverem — no seu direito nacional, a possibilidade de uma associação representar judicialmente essa pessoa ou de intentar por sua própria iniciativa uma ação judicial contra o presumido autor de uma violação da proteção de dados pessoais.

48

Daí não resulta, no entanto, que a Diretiva 95/46 se oponha a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o presumido autor dessa violação.

49

Com efeito, por força do artigo 288.o, terceiro parágrafo, TFUE, os Estados‑Membros, quando transpõem uma diretiva, são obrigados a assegurar a plena eficácia desta, dispondo ao mesmo tempo de uma ampla margem de apreciação quanto à escolha dos meios destinados a assegurar a sua execução. Essa liberdade deixa intacta a obrigação de cada um dos Estados‑Membros destinatários adotarem todas as medidas necessárias para assegurar a plena eficácia da diretiva em causa, em conformidade com o objetivo por esta prosseguido (Acórdãos de 6 de outubro de 2010, Base e o., C‑389/08, EU:C:2010:584, n.os 24 e 25, e de 22 de fevereiro de 2018, Porras Guisado, C‑103/16, EU:C:2018:99, n.o 57).

50

A este respeito, há que recordar que um dos objetivos subjacentes à Diretiva 95/46 é assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais (v., neste sentido, Acórdãos de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 53, e de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.o 38). O seu considerando 10 precisa que a aproximação das legislações nacionais aplicáveis na matéria não deve levar a reduzir a proteção que estas asseguram, mas deve, pelo contrário, ter por objetivo garantir um elevado nível de proteção na União (Acórdãos de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.o 95; de 16 de dezembro de 2008, Huber, C‑524/06, EU:C:2008:724, n.o 50; e de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, n.o 28).

51

Ora, o facto de um Estado‑Membro prever na sua regulamentação nacional a possibilidade de uma associação de defesa dos interesses dos consumidores intentar uma ação judicial contra o autor presumido de uma violação da proteção dos dados pessoais não é de modo algum suscetível de prejudicar os objetivos desta, mas, pelo contrário, contribui para a realização desses objetivos.

52

A Fashion ID e a Facebook Ireland sustentam, contudo, que, na medida em que a Diretiva 95/46 procedeu a uma harmonização completa das disposições nacionais relativas à proteção de dados, está excluída qualquer ação judicial não expressamente prevista nessa diretiva. Ora, os artigos 22.o, 23.o e 28.o da Diretiva 95/46 limitam‑se a prever a ação das pessoas em causa e a das autoridades de controlo da proteção de dados.

53

Esta argumentação não pode, contudo, ser acolhida.

54

É certo que a Diretiva 95/46 conduz a uma harmonização das legislações nacionais relativas à proteção de dados pessoais que é, em princípio, completa (v., neste sentido, Acórdão de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, n.o 29, e de 7 de novembro de 2013, IPI, C‑473/12, EU:C:2013:715, n.o 31).

55

O Tribunal de Justiça considerou, assim, que o artigo 7.o da referida diretiva prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito e que os Estados‑Membros não podem acrescentar a esse artigo novos princípios relativos à legitimação dos tratamentos de dados pessoais nem prever exigências suplementares que venham alterar o alcance de um dos seis princípios previstos nesse artigo (Acórdãos de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, n.os 30 e 32, e de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.o 57).

56

No entanto, o Tribunal de Justiça precisou igualmente que a Diretiva 95/46 contém regras que são relativamente gerais na medida em que esta se deve aplicar a um grande número de situações muito diversas. Essas regras são caracterizadas por uma certa flexibilidade e deixam em vários casos aos Estados‑Membros o cuidado de determinar os detalhes ou de escolher entre opções, de forma que os Estados‑Membros dispõem, em diversos aspetos, de margem de manobra na transposição da referida diretiva (v., neste sentido, Acórdãos de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.os 83, 84 e 97, e de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, n.o 35).

57

É, assim, o caso dos artigos 22.o a 24.o da Diretiva 95/46, que, como salientou o advogado‑geral no n.o 42 das suas conclusões, estão redigidos em termos gerais e não operam uma harmonização exaustiva das disposições nacionais relativas aos recursos judiciais suscetíveis de ser interpostos contra o autor presumido de uma violação da proteção dos dados pessoais (v., por analogia, Acórdão de 26 de outubro de 2017, I, C‑195/16, EU:C:2017:815, n.os 57 e 58).

58

Em particular, embora o artigo 22.o dessa diretiva imponha aos Estados‑Membros a obrigação de preverem que qualquer pessoa poderá interpor recurso judicial em caso de violação dos direitos que lhe são garantidos pelas disposições nacionais aplicáveis ao tratamento de dados pessoais em questão, a referida diretiva não contém, contudo, nenhuma disposição que regule especificamente as condições em que esse recurso pode ser interposto (v., neste sentido, Acórdão de 27 de setembro de 2017, Puškár, C‑73/16, EU:C:2017:725, n.os 54 e 55).

59

Além disso, o artigo 24.o da Diretiva 95/46 dispõe que os Estados‑Membros tomarão as «medidas adequadas» para assegurar a plena aplicação das disposições desta diretiva, sem definir essas medidas. Ora, o facto de prever a possibilidade de uma associação de defesa dos interesses dos consumidores intentar uma ação judicial contra o autor presumido de uma violação da proteção de dados pessoais parece poder constituir uma medida adequada, na aceção dessa disposição, que contribui, como salientado no n.o 51 do presente acórdão, para a realização dos objetivos da referida diretiva, em conformidade com a jurisprudência do Tribunal de Justiça (v., a este respeito, Acórdão de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.o 97).

60

Por outro lado, contrariamente ao que afirma a Fashion ID, o facto de um Estado‑Membro prever essa possibilidade na sua regulamentação nacional não se afigura suscetível de prejudicar a independência com que as autoridades de controlo devem exercer as missões de que estão investidas em conformidade com as exigências do artigo 28.o da Diretiva 95/46, na medida em que esta possibilidade não pode afetar a liberdade de decisão dessas autoridades de controlo nem a sua liberdade de ação.

61

Além disso, embora seja verdade que a Diretiva 95/46 não figura entre os atos enumerados no anexo I da Diretiva 2009/22, não deixa de ser verdade que, segundo o artigo 7.o desta última diretiva, esta não procedeu a uma harmonização exaustiva a este respeito.

62

Por último, o facto de o Regulamento n.o 2016/679, que revogou e substituiu a Diretiva 95/46 e que se aplica desde 25 de maio de 2018, autorizar expressamente, no seu artigo 80.o, n.o 2, os Estados‑Membros a permitirem às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção de dados pessoais, não implica de modo algum que os Estados‑Membros lhes possam conferir esse direito sob a égide da Diretiva 95/46, mas, pelo contrário, confirma que a interpretação desta diretiva acolhida pelo presente acórdão reflete a vontade do legislador da União.

63

Atendendo às considerações precedentes, há que responder à primeira questão que os artigos 22.o a 24.o da Diretiva 95/46 devem ser interpretados no sentido de que não se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção dos dados pessoais.

Quanto à segunda questão

64

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o administrador de um sítio Internet, como a Fashion ID, que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, quando esse administrador não tem influência nenhuma no tratamento dos dados transmitidos ao referido fornecedor.

65

A este respeito, importa recordar que, em conformidade com o objetivo prosseguido pela Diretiva 95/46 de garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente da sua vida privada, no que diz respeito ao tratamento de dados pessoais, o artigo 2.o, alínea d), desta diretiva define de modo amplo o conceito de «responsável pelo tratamento» no sentido de que visa a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determina as finalidades e os meios de tratamento dos dados pessoais (v., neste sentido, Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.os 26 e 27).

66

Com efeito, como o Tribunal de Justiça já declarou, esta disposição tem por objetivo assegurar, através de uma definição ampla do conceito de «responsável», uma proteção eficaz e completa das pessoas em causa (Acórdãos de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 34, e de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.o 28).

67

Além disso, uma vez que, como expressamente previsto no artigo 2.o, alínea d), da Diretiva 95/46, o conceito de «responsável pelo tratamento» visa o organismo que, «individualmente ou em conjunto com outrem», determina as finalidades e os meios de tratamento dos dados pessoais, este conceito não se refere necessariamente a um único organismo e pode dizer respeito a vários atores que participam nesse tratamento, estando assim cada um deles sujeito às disposições aplicáveis em matéria de proteção de dados (v., neste sentido, Acórdãos de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.o 29, e de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 65).

68

O Tribunal de Justiça considerou igualmente que uma pessoa singular ou coletiva que influencia, para fins que lhe são próprios, o tratamento de dados pessoais e participa, assim, na determinação das finalidades e dos meios desse tratamento pode ser considerada responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46 (Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 68).

69

Por outro lado, a responsabilidade conjunta de vários intervenientes pelo mesmo tratamento, por força desta disposição, não pressupõe que cada um deles tenha acesso aos dados pessoais em causa (v., neste sentido, Acórdãos de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.o 38, e de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 69).

70

Assim sendo, na medida em que o objetivo do artigo 2.o, alínea d), da Diretiva 95/46 é assegurar, através de uma definição ampla do conceito de «responsável», uma proteção eficaz e completa das pessoas em causa, a existência de responsabilidade conjunta não se traduz necessariamente em responsabilidade equivalente, para o mesmo tratamento de dados pessoais, dos diferentes intervenientes. Pelo contrário, os referidos intervenientes podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que o nível de responsabilidade de cada um deve ser avaliado tendo em conta todas as circunstâncias pertinentes do caso concreto (v., neste sentido, Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.o 66).

71

A este respeito, há que salientar que o artigo 2.o, alínea b), da Diretiva 95/46 define «[t]ratamento de dados pessoais» como «qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição».

72

Resulta desta definição que um tratamento de dados pessoais pode ser constituído por uma ou por várias operações, visando cada uma delas uma das diversas fases que um tratamento de dados pessoais pode conter.

73

Por outro lado, decorre da definição do conceito de «responsável pelo tratamento», que figura no artigo 2.o, alínea d), da Diretiva 95/46, conforme recordada no n.o 65 do presente acórdão, que, quando vários intervenientes determinam conjuntamente as finalidades e os meios de um tratamento de dados pessoais, esses intervenientes participam, como responsáveis, nesse tratamento.

74

Daqui decorre, como salientou, em substância, o advogado‑geral no n.o 101 das suas conclusões, que uma pessoa singular ou coletiva apenas parece poder ser responsável, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, conjuntamente com outras, pelas operações de tratamento de dados pessoais cujas finalidades e meios sejam conjuntamente determinados por essa pessoa. Em contrapartida, e sem prejuízo de uma eventual responsabilidade civil prevista pelo direito nacional a esse respeito, essa pessoa singular ou coletiva não pode ser considerada responsável, na aceção da referida disposição, por operações anteriores ou posteriores da cadeia de tratamento cujas finalidades e meios não são por ela determinados.

75

No caso vertente, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, resulta dos autos de que dispõe o Tribunal de Justiça que, ao ter inserido no seu sítio Internet o botão Facebook «Gosto», a Fashion ID parece ter oferecido à Facebook Ireland a possibilidade de obter dados pessoais dos visitantes do seu sítio Internet, sendo tal possibilidade desencadeada a partir do momento em que esse sítio é consultado, e isto independentemente do facto de esses visitantes serem membros da rede social Facebook ou de terem clicado no botão Facebook «Gosto» ou ainda de terem conhecimento de tal operação.

76

Tendo em conta estas informações, há que declarar que as operações de tratamento de dados pessoais cujas finalidades e meios a Fashion ID é suscetível de determinar, conjuntamente com a Facebook Ireland, são, tendo em conta a definição do conceito de «tratamento de dados pessoais» que figura no artigo 2.o, alínea b), da Diretiva 95/46, a recolha e a comunicação por transmissão dos dados pessoais dos visitantes do seu sítio Internet. Em contrapartida, atendendo às referidas informações, parece, à primeira vista, ser de excluir que a Fashion ID determine as finalidades e os meios das operações de tratamento de dados pessoais posteriores, efetuadas pela Facebook Ireland após a transmissão destes a esta última, pelo que a Fashion ID não pode ser considerada responsável por essas operações, na aceção desse artigo 2.o, alínea d).

77

No que se refere aos meios utilizados para efeitos da recolha e da comunicação por transmissão de certos dados pessoais dos visitantes do seu sítio Internet, resulta do n.o 75 do presente acórdão que a Fashion ID parece ter inserido no seu sítio Internet o botão Facebook «Gosto» colocado à disposição dos administradores de sítios Internet pela Facebook Ireland, estando ao mesmo tempo ciente de que este serve de instrumento de recolha e de transmissão de dados pessoais dos visitantes desse sítio, quer estes sejam ou não membros da rede social Facebook.

78

Ao inserir esse módulo social no seu sítio Internet, a Fashion ID influencia, por outro lado, de modo determinante a recolha e a transmissão dos dados pessoais dos visitantes desse sítio em proveito do fornecedor do referido módulo, no caso concreto a Facebook Ireland, que, caso o referido módulo não tivesse sido inserido, não teriam existido.

79

Nestas condições, e sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar a este respeito, deve considerar‑se que a Facebook Ireland e a Fashion ID determinam conjuntamente os meios na origem das operações de recolha e de comunicação por transmissão dos dados pessoais dos visitantes do sítio Internet da Fashion ID.

80

Quanto às finalidades das referidas operações de tratamento de dados pessoais, ao que parece, a inserção, pela Fashion ID, do botão Facebook «Gosto» no seu sítio Internet permite‑lhe otimizar a publicidade dos seus produtos, tornando‑os mais visíveis na rede social Facebook quando um visitante do seu sítio Internet clica no referido botão. Foi para poder beneficiar desta vantagem comercial que consiste nessa publicidade acrescida para os seus produtos que a Fashion ID, ao inserir tal botão no seu sítio Internet, parece ter consentido, pelo menos implicitamente, na recolha e na comunicação por transmissão dos dados pessoais dos visitantes do seu sítio, uma vez que operações de tratamento são efetuadas no interesse económico tanto da Fashion ID como da Facebook Ireland, para quem o facto de poder dispor desses dados para os seus próprios fins comerciais constitui a contrapartida da vantagem oferecida à Fashion ID.

81

Nestas circunstâncias, pode considerar‑se, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, que a Fashion ID e a Facebook Ireland determinam, conjuntamente, as finalidades das operações de recolha e de comunicação por transmissão dos dados pessoais em causa no processo principal.

82

Acresce que, como resulta da jurisprudência recordada no n.o 69 do presente acórdão, a circunstância de o próprio administrador de um sítio Internet, como a Fashion ID, não ter acesso aos dados pessoais recolhidos e transmitidos ao fornecedor do módulo social com o qual determina, conjuntamente, os meios e as finalidades do tratamento dos dados pessoais não obsta a que este possa ter a qualidade de «responsável pelo tratamento», na aceção do artigo 2.o, alínea d), da Diretiva 95/46.

83

Aliás, importa sublinhar que um sítio Internet, como o da Fashion ID, é visitado tanto por pessoas que são membros da rede social Facebook, e que dispõem, por isso, de uma conta nessa rede social, como por pessoas que dela não dispõem. Neste último caso, a responsabilidade do administrador de um sítio Internet, como a Fashion ID, pelo tratamento dos dados pessoais dessas pessoas afigura‑se ainda mais importante, porque a simples consulta desse sítio, ao conter o botão Facebook «Gosto», parece desencadear o tratamento dos seus dados pessoais pela Facebook Ireland (v., neste sentido, Acórdão de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.o 41).

84

Por conseguinte, afigura‑se que a Fashion ID pode ser considerada responsável, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, conjuntamente com a Facebook Ireland, pelas operações de recolha e de comunicação por transmissão dos dados pessoais dos visitantes do seu sítio Internet.

85

Atendendo às considerações precedentes, há que responder à segunda questão que o administrador de um sítio Internet, como a Fashion ID, que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46. Essa responsabilidade é, porém, limitada à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador, a saber, a recolha e a comunicação por transmissão dos dados em causa.

Quanto à terceira questão

86

Tendo em conta a resposta dada à segunda questão, não há que responder à terceira questão.

Quanto à quarta questão

87

Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, há que ter em conta, para efeitos da aplicação do artigo 7.o, alínea f), da Diretiva 95/46, o interesse legítimo prosseguido por esse administrador ou o interesse legítimo prosseguido pelo referido fornecedor.

88

A título preliminar, importa salientar que, segundo a Comissão, esta questão não é pertinente para a resolução do litígio no processo principal, na medida em que não foi obtido o consentimento das pessoas em causa, exigido pelo artigo 5.o, n.o 3, da Diretiva 2002/58.

89

A este respeito, importa observar que o artigo 5.o, n.o 3, desta última diretiva prevê que os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46, nomeadamente sobre os objetivos do processamento.

90

Cabe ao órgão jurisdicional de reenvio verificar se, numa situação como a que está em causa no processo principal, o fornecedor de um módulo social, como a Facebook Ireland, acede, conforme sustenta a Comissão, a informações armazenadas no equipamento terminal, na aceção do artigo 5.o, n.o 3, da Diretiva 2002/58, do visitante do sítio Internet do administrador desse sítio.

91

Em tais circunstâncias e uma vez que o órgão jurisdicional de reenvio parece considerar que, no caso vertente, os dados transmitidos à Facebook Ireland constituem dados pessoais, na aceção da Diretiva 95/46, que, além disso, não se limitam necessariamente a informações armazenadas no equipamento terminal, o que lhe cabe confirmar, as considerações da Comissão não permitem pôr em causa a pertinência para a resolução do litígio no processo principal da quarta questão prejudicial, que é relativa à natureza eventualmente lícita do tratamento dos dados em causa no processo principal, como salientou igualmente o advogado‑geral no n.o 115 das suas conclusões.

92

Por conseguinte, há que examinar a questão de saber qual o interesse legítimo que deve ser tido em conta, para efeitos da aplicação, ao tratamento desses dados, do artigo 7.o, alínea f), desta diretiva.

93

A este respeito, importa desde já recordar que, segundo as disposições do capítulo II da Diretiva 95/46, intitulado «Condições gerais de licitude do tratamento de dados pessoais», sob reserva das derrogações admitidas pelo artigo 13.o dessa diretiva, qualquer tratamento de dados pessoais deve, nomeadamente, respeitar um dos princípios relativos à legitimidade dos tratamentos de dados enumerados no artigo 7.o da referida diretiva (v., neste sentido, Acórdãos de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 71, e de 1 de outubro de 2015, Bara e o., C‑201/14, EU:C:2015:638, n.o 30).

94

Em conformidade com o artigo 7.o, alínea f), da Diretiva 95/46, cuja interpretação é solicitada pelo órgão jurisdicional de reenvio, o tratamento de dados pessoais é lícito se for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.o 1 do artigo 1.o da Diretiva 95/46.

95

O referido artigo 7.o, alínea f), da Diretiva 95/46 prevê, assim, três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber, em primeiro lugar, a prossecução de interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, em segundo lugar, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e, em terceiro lugar, o requisito de os direitos e as liberdades fundamentais da pessoa a que a proteção de dados diz respeito não prevalecerem (Acórdão de 4 de maio de 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, n.o 28).

96

Na medida em que, atendendo à resposta dada à segunda questão, se afigura que, numa situação como a que está em causa no processo principal, o administrador de um sítio Internet que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, para que possa ser considerado responsável, juntamente com esse fornecedor, pelas operações de tratamento de dados pessoais dos visitantes do seu sítio Internet que são a recolha e a comunicação por transmissão, é necessário que cada um desses responsáveis prossiga, com essas operações de tratamento, um interesse legítimo, na aceção do artigo 7.o, alínea f), da Diretiva 95/46, a fim de que estas sejam justificadas em relação a cada um deles.

97

Atendendo às considerações precedentes, há que responder à quarta questão que, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, é necessário que esse administrador e esse fornecedor prossigam, cada um deles, com essas operações de tratamento, um interesse legítimo, na aceção do artigo 7.o, alínea f), da Diretiva 95/46, a fim de que estas sejam justificadas em relação a si.

Quanto à quinta e sexta questões

98

Com a sua quinta e sexta questões, que há que examinar em conjunto, o órgão jurisdicional de reenvio pretende saber, em substância, por um lado, se o artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere nesse sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do referido visitante, o consentimento previsto nessas disposições deve ser obtido pelo referido administrador ou por esse fornecedor e, por outro, se o artigo 10.o dessa diretiva deve ser interpretado no sentido de que, em tal situação, a obrigação de informação prevista nesta disposição impende sobre esse administrador.

99

Como resulta da resposta dada à segunda questão, o administrador de um sítio Internet que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46, estando, contudo, essa responsabilidade limitada à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são determinados por esse administrador.

100

Afigura‑se assim que as obrigações que, em conformidade com a Diretiva 95/46, podem incumbir a esse responsável pelo tratamento, como a obrigação de obter o consentimento da pessoa em causa prevista no artigo 2.o, alínea h), e no artigo 7.o, alínea a), dessa diretiva, bem como a obrigação de informação prevista no artigo 10.o da mesma, devem dizer respeito à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador.

101

No caso vertente, se o administrador de um sítio Internet que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do referido visitante pode ser considerado responsável, conjuntamente com esse fornecedor, pelas operações de recolha e de comunicação por transmissão dos dados pessoais desse visitante, a sua obrigação de obter o consentimento da pessoa referida no artigo 2.o, alínea h), e no artigo 7.o, alínea a), da Diretiva 95/46, bem como a sua obrigação de informação prevista no artigo 10.o desta, dizem respeito unicamente a essas operações. Em contrapartida, essas obrigações são extensivas às operações de tratamento dos dados pessoais que visam as restantes fases, anteriores ou posteriores às referidas operações, que implica, se for caso disso, o tratamento de dados pessoais em causa.

102

No que se refere ao consentimento referido no artigo 2.o, alínea h), e no artigo 7.o, alínea a), da Diretiva 95/46, afigura‑se que este deve ser dado antes da recolha e da comunicação por transmissão dos dados da pessoa em causa. Nestas condições, incumbe ao administrador do sítio Internet, e não ao fornecedor do módulo social, obter esse consentimento, na medida em que é o facto de um visitante consultar esse sítio Internet que desencadeia o mecanismo de tratamento dos dados pessoais. Com efeito, como salientou o advogado‑geral no n.o 132 das suas conclusões, não é conforme com uma proteção eficaz e atempada dos direitos da pessoa em causa que o consentimento seja dado unicamente ao responsável conjunto pelo tratamento que intervém posteriormente, a saber, ao fornecedor do referido módulo. O consentimento que deve ser dado ao administrador diz, no entanto, respeito unicamente à operação ou ao conjunto das operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador.

103

O mesmo se diga quanto à obrigação de informação prevista no artigo 10.o da Diretiva 95/46.

104

A este respeito, resulta da redação desta disposição que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa junto da qual recolhe dados pelo menos as informações previstas na referida disposição. Afigura‑se assim, que esta informação deve ser dada pelo responsável pelo tratamento imediatamente, ou seja, no momento da recolha dos dados (v., neste sentido, Acórdãos de 7 de maio de 2009, Rijkeboer, C‑553/07, EU:C:2009:293, n.o 68, e de 7 de novembro de 2013, IPI, C‑473/12, EU:C:2013:715, n.o 23).

105

Daqui decorre que, numa situação como a que está em causa no processo principal, a obrigação de informação prevista no artigo 10.o da Diretiva 95/46 impende igualmente sobre o administrador do sítio Internet, devendo, no entanto, a informação que este último deve fornecer à pessoa em causa incidir apenas sobre a operação ou o conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador.

106

Atendendo às considerações precedentes, há que responder à quinta e sexta questões que o artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, o consentimento previsto nessas disposições deve ser obtido pelo referido administrador unicamente no que diz respeito à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador. Além disso, o artigo 10.o dessa diretiva deve ser interpretado no sentido de que, em tal situação, a obrigação de informação prevista nesta disposição impende igualmente sobre o referido administrador, devendo, no entanto, a informação que este deve fornecer à pessoa em causa incidir apenas sobre a operação ou o conjunto das operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador.

Quanto às despesas

107

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

 

Pelos fundamentos expostos, o Tribunal de Justiça (Segunda Secção) declara:

 

1)

Os artigos 22.o a 24.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, devem ser interpretados no sentido de que não se opõem a uma regulamentação nacional que permite às associações de defesa dos interesses dos consumidores agirem judicialmente contra o autor presumido de uma violação da proteção dos dados pessoais.

 

2)

O administrador de um sítio Internet, como a Fashion ID GmbH & Co. KG, que insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito a esse fornecedor dados pessoais do visitante, pode ser considerado responsável pelo tratamento, na aceção do artigo 2.o, alínea d), da Diretiva 95/46. Essa responsabilidade é, porém, limitada à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador, a saber, a recolha e a comunicação por transmissão dos dados em causa.

 

3)

Numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, é necessário que esse administrador e esse fornecedor prossigam, cada um deles, com essas operações de tratamento, um interesse legítimo, na aceção do artigo 7.o, alínea f), da Diretiva 95/46, a fim de que estas sejam justificadas em relação a si.

 

4)

O artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, numa situação como a que está em causa no processo principal, em que o administrador de um sítio Internet insere no referido sítio um módulo social que permite ao navegador do visitante desse sítio solicitar conteúdos do fornecedor do referido módulo e transmitir para esse efeito ao referido fornecedor dados pessoais do visitante, o consentimento previsto nessas disposições deve ser obtido pelo referido administrador unicamente no que diz respeito à operação ou ao conjunto de operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador. Além disso, o artigo 10.o dessa diretiva deve ser interpretado no sentido de que, em tal situação, a obrigação de informação prevista nesta disposição impende igualmente sobre o referido administrador, devendo, no entanto, a informação que este deve fornecer à pessoa em causa incidir apenas sobre a operação ou o conjunto das operações de tratamento de dados pessoais cujas finalidades e meios são efetivamente determinados por esse administrador.

 

Assinaturas


( *1 ) Língua do processo: alemão.