ATHANASIOS RANTOS
apresentadas em 20 de setembro de 2022 ( 1 )
Processo C‑252/21
Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contra
Bundeskartellamt,
sendo interveniente:
Verbraucherzentrale Bundesverband e.V.
[pedido de decisão prejudicial apresentado pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha)]
«Reenvio prejudicial — Regulamento (UE) 2016/679 — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Redes sociais — Artigo 4.o, ponto 11 — Conceito de “consentimento” do titular dos dados — Consentimento dado a uma empresa em posição dominante responsável pelo tratamento — Artigo 6.o, n.o 1, alíneas b) a f) — Licitude do tratamento — Tratamento necessário para a execução de um contrato no qual o titular dos dados é parte ou para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros — Tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular ou para o exercício de funções de interesse público ou para o exercício da autoridade pública de que está investido o responsável pelo tratamento — Artigo 9.o, n.o 1, e artigo 9.o, n.o 2, alínea e) — Categorias especiais de dados pessoais — Dados pessoais que tenham sido manifestamente tornados públicos pelo titular dos dados — Artigos 51.o a 66.o — Competências da autoridade nacional da concorrência — Articulação com as competências das autoridades de controlo da proteção de dados pessoais — Adoção de medidas ao abrigo do direito da concorrência por uma autoridade de um Estado‑Membro diferente do da autoridade de controlo principal da proteção de dados»
Introdução
1. |
O presente pedido de decisão prejudicial foi apresentado pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha) no âmbito de um litígio que opõe sociedades do grupo Meta Platforms ( 2 ) ao Bundeskartellamt (Autoridade Federal da Concorrência, Alemanha), a respeito da decisão pela qual este último proibiu à recorrente no processo principal o tratamento dos dados previsto pelas condições de serviço da sua rede social Facebook, bem como a execução dessas condições de serviço, e impôs medidas destinadas à cessação dessas atividades ( 3 ). |
2. |
As questões prejudiciais dizem respeito, em substância, por um lado, à competência de uma autoridade nacional da concorrência, como o Bundeskartellamt, para examinar, a título principal ou incidental, comportamentos de uma empresa à luz de certas disposições do Regulamento (UE) 2016/679 ( 4 ) e, por outro, à interpretação dessas disposições no que se refere, nomeadamente, ao tratamento de dados pessoais sensíveis, às condições pertinentes de licitude do tratamento de dados pessoais e à manifestação de um consentimento livre relativamente a uma empresa em posição dominante. |
Quadro jurídico
Direito da União
3. |
O artigo 4.o do RGPD prevê: «Para efeitos do presente regulamento, entende‑se por: […]
[…]» |
4. |
O artigo 6.o, n.o 1, deste regulamento, sob a epígrafe «Licitude do tratamento», tem a seguinte redação: «O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.» |
5. |
O artigo 9.o, n.os 1 e 2, do referido regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», dispõe: «1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. 2. O disposto no n.o 1 não se aplica se se verificar um dos seguintes casos:
[…]
[…]» |
6. |
O artigo 51.o do mesmo regulamento, sob a epígrafe «Autoridade de controlo», que faz parte do seu capítulo VI, intitulado «Autoridades de controlo independentes», enuncia: «1. Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”). 2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII. […]» |
Direito alemão
7. |
O § 19, n.o 1, da Gesetz gegen Wettbewerbsbeschränkungen (Lei sobre Restrições à Concorrência, a seguir «GWB») dispõe: «É proibida a exploração abusiva de uma posição dominante por uma ou mais empresas.» ( 5 ) |
8. |
O § 50f do GWB prevê: «(1) As autoridades da concorrência, as autoridades reguladoras, o responsável federal pela proteção de dados e a liberdade de informação, os responsáveis regionais pela proteção de dados e as autoridades competentes na aceção do artigo 2.o da EU‑Verbraucherschutzdurchführungsgesetz [Lei de Execução do Direito de Defesa dos Consumidores da União Europeia] podem, independentemente do procedimento escolhido, trocar entre si informações, incluindo dados pessoais e segredos comerciais e empresariais, na medida em que tal seja necessário para o cumprimento das respetivas funções, bem como utilizar essas informações no âmbito dos seus procedimentos. […]» |
Litígio no processo principal, questões prejudiciais e tramitação do processo no Tribunal de Justiça
9. |
A Meta Platforms gere a oferta da rede social em linha «Facebook» na União Europeia (no endereço www.facebook.com), bem como outros serviços em linha, entre os quais o Instagram e o WhatsApp. O modelo económico das redes sociais geridas pela Meta Platforms consiste essencialmente, por um lado, em oferecer serviços de rede social gratuitos para os utilizadores privados e, por outro, em vender publicidade em linha, feita por medida para os utilizadores individuais da rede social e que visa mostrar ao utilizador os produtos e serviços que o possam interessar atendendo, nomeadamente, aos seus comportamentos pessoais de consumo, aos seus interesses, ao seu poder de compra e à sua situação pessoal. O fundamento técnico deste tipo de publicidade é a definição automatizada de perfis muito pormenorizados dos utilizadores da rede e dos serviços em linha propostos ao nível do grupo ( 6 ). |
10. |
Para a recolha e o tratamento dos dados dos utilizadores, a Meta Platforms baseia‑se no contrato de utilização celebrado com os seus utilizadores através da ativação do botão «registo», pela qual esses utilizadores aceitam assim as condições de serviço do Facebook. A aceitação dessas condições de serviço é um requisito essencial para a utilização da rede social Facebook ( 7 ). O elemento central do presente processo diz respeito à prática que consiste, primeiro, na recolha de dados provenientes de outros serviços próprios do grupo, bem como de sítios Internet e de aplicações de terceiros, através de interfaces integradas nestes últimos ou através de cookies instalados no computador ou no terminal móvel do utilizador, segundo, no cruzamento desses dados com a conta Facebook do utilizador em causa e, terceiro, na utilização dos referidos dados (a seguir «prática controvertida»). |
11. |
O Bundeskartellamt instaurou um procedimento contra a Meta Platforms na sequência do qual, através da decisão controvertida, lhe proibiu o tratamento dos dados previsto pelas condições de serviço do Facebook, bem como a aplicação dessas condições, e lhe impôs medidas destinadas à cessação dessas atividades. O Bundeskartellamt fundamentou a sua decisão, nomeadamente, pelo facto de o tratamento em questão constituir uma exploração abusiva da posição dominante dessa sociedade no mercado das redes sociais para os utilizadores privados na Alemanha, na aceção do § 19 da GWB ( 8 ). |
12. |
Em 11 de fevereiro de 2019, a Meta Platforms interpôs recurso da decisão controvertida no Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldórfia) ( 9 ), o órgão jurisdicional de reenvio, que, em substância, tem dúvidas, por um lado, quanto à possibilidade de as autoridades nacionais da concorrência controlarem a conformidade de um tratamento de dados com os requisitos estabelecidos no RGPD, bem como de declarar e punir a violação das disposições deste regulamento, e, por outro, quanto à interpretação e aplicação de certas disposições deste regulamento. |
13. |
Foi nestas condições que o Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Dusseldórfia) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
Em caso de resposta afirmativa à questão prejudicial 7, é necessária a resposta às questões prejudiciais 3 a 5 no que diz respeito aos dados de utilização do serviço Instagram do mesmo grupo.» |
14. |
Foram apresentadas observações escritas pela Meta Platforms, pelos Governos alemão, checo, italiano e austríaco, pelo Bundeskartellamt, pela Verbraucherzentrale Bundesverband e.V (Associação de Defesa dos Consumidores, Alemanha), bem como pela Comissão Europeia. Estas partes apresentaram igualmente observações orais na audiência realizada em 10 de maio de 2022. |
Análise
15. |
As questões prejudiciais objeto do presente processo, relativas à interpretação de várias disposições do RGPD, dizem respeito, em substância, primeiro, à competência de uma autoridade da concorrência para declarar e punir uma violação das regras em matéria de tratamento de dados pessoais e às suas obrigações de cooperação com a autoridade principal na aceção do RGPD (primeira e sétima questões prejudiciais), segundo, à proibição do tratamento de dados pessoais sensíveis e às condições aplicáveis ao consentimento para a sua utilização (segunda questão prejudicial), terceiro, à licitude do tratamento de dados pessoais à luz de certas justificações (terceira a quinta questões prejudiciais) e, quarto, à validade de um consentimento para o tratamento de dados pessoais concedido a uma empresa em posição dominante (sexta questão prejudicial). |
16. |
Nos números seguintes, começarei por abordar a primeira e sétima questões prejudiciais e, em seguida, as outras questões prejudiciais, pela ordem em que foram colocadas, juntando a terceira a quinta questões prejudiciais. |
Quanto à primeira questão prejudicial
17. |
Com a primeira questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se uma autoridade da concorrência, quando examina infrações às regras da concorrência, pode, por um lado, pronunciar‑se, a título principal ( 10 ), sobre a violação das regras relativas ao tratamento de dados do RGPD por uma empresa cujo estabelecimento principal responsável a título exclusivo pelo tratamento dos dados pessoais em toda a União se encontra noutro Estado‑Membro e, por outro, ordenar a cessação dessa infração [primeira questão, alínea a)] e, em caso afirmativo, se a autoridade de controlo principal competente por força do artigo 56.o, n.o 1, do RGPD pode ainda sujeitar as condições de tratamento dos dados dessa empresa a um procedimento de investigação [primeira questão, alínea b)]. |
18. |
No entanto, sob reserva de verificação pelo órgão jurisdicional de reenvio, parece‑me que, na decisão controvertida, o Bundeskartellamt não puniu uma violação do RGPD pela Meta Platforms, mas procedeu, unicamente para efeitos da aplicação das regras de concorrência, à análise de uma alegada violação da proibição de abuso de posição dominante por esta, tendo em conta, nomeadamente, a não conformidade do comportamento dessa empresa com as disposições do RGPD. |
19. |
Por conseguinte, a meu ver, na medida em que diz respeito à possibilidade de uma autoridade da concorrência se pronunciar, a título principal, sobre a violação das normas do RGPD e de ordenar a cessação dessa infração na aceção deste regulamento, a primeira questão, alínea a), é inoperante ( 11 ). |
20. |
Daqui resulta que a primeira questão, alínea b), que está subordinada à resposta afirmativa à primeira questão, alínea a), é igualmente inoperante ( 12 ). |
Quanto à sétima questão prejudicial
21. |
Com a sétima questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se uma autoridade da concorrência pode, quando examina infrações às regras de concorrência, averiguar, a título incidental ( 13 ), se as condições de tratamento dos dados e a sua execução estão em conformidade com o RGPD [sétima questão, alínea a)] e, em caso afirmativo, se uma investigação pela autoridade da concorrência é igualmente possível quando essas condições são submetidas, simultaneamente, a um procedimento de investigação pela autoridade de controlo principal competente [sétima questão, alínea b)]. |
22. |
No que respeita, em primeiro lugar, à sétima questão, alínea a), parece‑me que, embora uma autoridade da concorrência não seja competente para declarar uma violação do RGPD ( 14 ), este último não se opõe, em princípio, a que, no exercício das suas próprias competências e poderes, outras autoridades diferentes das autoridades de controlo possam ter em conta, a título incidental, a compatibilidade de um comportamento com as disposições do RGPD. Na minha opinião, é esse o caso, nomeadamente, no que se refere ao exercício por uma autoridade da concorrência dos poderes que lhe são conferidos pelo artigo 102.o TFUE e pelo artigo 5.o, primeiro parágrafo, do Regulamento (CE) n.o 1/2003 ( 15 ) ou por qualquer outra norma nacional correspondente ( 16 ). |
23. |
Com efeito, aquando do exercício das suas competências, uma autoridade da concorrência deve apreciar, nomeadamente, se o comportamento analisado consiste em recorrer a meios diferentes daqueles que decorrem de uma concorrência pelo mérito, tendo em conta o contexto jurídico e económico em que se insere esse comportamento ( 17 ). A este respeito, a conformidade ou não conformidade do referido comportamento com as disposições do RGPD, não por si só, mas atendendo a todas as circunstâncias do caso concreto, pode constituir um indício importante para determinar se esse comportamento consubstancia um recurso a meios que regulam uma competição normal, precisando‑se ao mesmo tempo que o caráter abusivo ou não abusivo de um comportamento à luz do artigo 102.o TFUE não decorre da sua conformidade ou não conformidade com o RGPD ou com outras normas jurídicas ( 18 ). |
24. |
Por conseguinte, considero que o exame de um abuso de uma posição dominante no mercado pode justificar que uma autoridade da concorrência interprete normas não abrangidas pelo direito da concorrência, como as do RGPD ( 19 ), especificando que esse exame é efetuado a título incidental ( 20 ) e não prejudica a aplicação deste regulamento por autoridades de controlo competentes ( 21 ). |
25. |
No que respeita, em segundo lugar, à sétima questão, alínea b), o órgão jurisdicional de reenvio suscita a questão de saber quais são, no âmbito da aplicação do princípio da cooperação leal consagrado no artigo 4.o, n.o 3, TUE, as obrigações que uma autoridade da concorrência tem, em relação à autoridade de controlo principal competente na aceção do RGPD, quando interpreta disposições deste regulamento e, mais precisamente, quando o mesmo comportamento que aquele que é examinado pela autoridade da concorrência é objeto de investigação por parte da autoridade de controlo principal competente. |
26. |
No caso em apreço, a investigação, ainda que incidental, de um comportamento de uma empresa à luz das normas do RGPD por uma autoridade da concorrência implica o risco de divergências entre esta e as autoridades de controlo quanto à interpretação deste regulamento, o que, em princípio, é suscetível de prejudicar a interpretação uniforme do RGPD ( 22 ). |
27. |
O direito da União não prevê regras pormenorizadas quanto à cooperação entre uma autoridade da concorrência e as autoridades de controlo na aceção do RGPD em tal situação. Mais especificamente, nem o mecanismo de cooperação entre as autoridades competentes na aceção do RGPD aquando da aplicação deste ( 23 ) nem outras regras precisas sobre a cooperação entre autoridades administrativas, como as relativas à cooperação entre as autoridades da concorrência e à cooperação entre estas e a Comissão quando da aplicação das regras da concorrência ( 24 ) são aplicáveis no caso em apreço. |
28. |
Dito isto, quando interpreta o RGPD, uma autoridade da concorrência está, não obstante, vinculada pelo princípio da cooperação leal consagrado no artigo 4.o, n.o 3, TUE, por força do qual a União e os Estados‑Membros, incluindo as suas autoridades administrativas ( 25 ), se respeitam e assistem mutuamente no cumprimento das missões decorrentes dos Tratados. Em especial, o terceiro parágrafo desta disposição prevê que os Estados‑Membros facilitam à União o cumprimento da sua missão e abstêm‑se de qualquer medida suscetível de pôr em perigo a realização dos objetivos da União ( 26 ). Além disso, tal como qualquer autoridade administrativa responsável pela aplicação do direito da União, uma autoridade da concorrência está vinculada pelo princípio da boa administração enquanto princípio geral do direito da União, que inclui nomeadamente uma obrigação alargada de diligência e solicitude a cargo das autoridades nacionais ( 27 ). |
29. |
Assim, na falta de regras precisas quanto aos mecanismos de cooperação, que incumbe eventualmente ao legislador da União adotar, uma autoridade da concorrência, quando interpreta disposições do RGPD, está sujeita, pelo menos, a obrigações de informação e de cooperação em relação às autoridades competentes na aceção deste regulamento, em aplicação das normas nacionais que regulam as suas competências (princípio da autonomia processual dos Estados‑Membros) e no respeito pelos princípios da equivalência e da efetividade ( 28 ). |
30. |
Na minha opinião, daqui resulta que, quando a autoridade de controlo principal competente se pronunciou sobre a aplicação de certas disposições do RGPD a respeito de uma prática idêntica ou semelhante, a autoridade da concorrência não poderá, em princípio, afastar‑se da interpretação dessa autoridade, que é a única competente para a aplicação deste regulamento ( 29 ), e deverá, na medida do possível e no respeito, nomeadamente, dos direitos de defesa das pessoas envolvidas, atuar em conformidade com as eventuais decisões adotadas por ela relativas ao mesmo comportamento ( 30 ) e, em caso de dúvidas no presente processo sobre interpretação dada pela autoridade competente, consultá‑la ou, se for caso disso, quando esta se encontre noutro Estado‑Membro, consultar a autoridade de controlo nacional ( 31 ). |
31. |
Além disso, na falta de uma decisão da autoridade de controlo competente, cabe, no entanto, à autoridade da concorrência informá‑la ( 32 ) e cooperar com ela quando essa autoridade tenha iniciado a investigação da mesma prática ou manifestado a intenção de o fazer e, eventualmente, aguardar pelo resultado da investigação efetuada por esta última antes de iniciar a sua própria apreciação, na medida em que tal seja adequado e não prejudique, designadamente, o respeito, pela autoridade da concorrência, de um prazo de inquérito razoável e dos direitos de defesa das pessoas envolvidas ( 33 ). |
32. |
No caso em apreço, parece‑me que o facto de ter encetado uma cooperação com as autoridades de controlo responsáveis a nível nacional ( 34 ) e de ter igualmente contactado, informalmente, a autoridade de controlo principal irlandesa, circunstâncias evocadas pelo Bundeskartellamt e que compete ao órgão jurisdicional de reenvio verificar, pode ser suficiente para se concluir que essa autoridade cumpriu os seus deveres de diligência e de cooperação leal ( 35 ). |
33. |
Em conclusão, proponho que se responda à sétima questão prejudicial, que os artigos 51.o a 66.o do RGPD devem ser interpretados no sentido de que uma autoridade da concorrência, no âmbito dos seus poderes na aceção das regras em matéria de concorrência, pode analisar, a título incidental, a conformidade das práticas analisadas com as normas do RGPD, tendo simultaneamente em conta qualquer decisão ou investigação da autoridade de controlo competente ao abrigo do RGPD, bem como informando e, sendo caso disso, consultando a autoridade de controlo nacional. |
Quanto à segunda questão prejudicial
34. |
Com a segunda questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que a prática controvertida, quando diz respeito à consulta de páginas Internet e de aplicações de terceiros ( 36 ), está abrangida pelo tratamento de dados pessoais sensíveis enumerados ( 37 ), que é proibido ( 38 ), [segunda questão, alínea a)], e, em caso afirmativo, se o artigo 9.o, n.o 2, alínea e), deste regulamento deve ser interpretado no sentido de que um utilizador torna manifestamente públicos na aceção desta disposição os dados que são, por um lado, revelados consultando páginas Internet e aplicações ou, por outro, inseridos pela ou resultantes da ativação de botões de seleção integrados nessas páginas Internet ou aplicações ( 39 ) [segunda questão, alínea b)]. |
35. |
No que diz respeito, em primeiro lugar, à segunda questão, alínea a), recordo que, por força do artigo 9.o, n.o 1, do RGPD, é proibido o tratamento de dados pessoais sensíveis. A proteção especial desses dados é motivada, como resulta do considerando 51 deste regulamento, pelo facto de serem, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais e de o seu tratamento poder implicar riscos significativos para esses direitos e liberdades. Além disso, apesar do caráter algo obscuro da redação desta disposição ( 40 ), não me parece, como pressupõe o órgão jurisdicional de reenvio, que introduza uma diferença substancial entre dados pessoais que são sensíveis porque «revelam» uma certa situação e dados que são sensíveis por si só ( 41 ). |
36. |
No caso em apreço, na minha opinião, é evidente que a prática controvertida constitui um tratamento de dados pessoais que é, em princípio, suscetível de ser abrangido pelo âmbito de aplicação desta disposição e de ser proibido quando os dados tratados «revelem» uma das situações sensíveis enumeradas pela mesma. Deste modo, há que determinar se e em que medida a consulta de sítios Internet e de aplicações ou a inserção de dados nestes podem ser «reveladoras» de uma das situações sensíveis visadas pela disposição em questão. |
37. |
A este respeito, duvido que seja pertinente (e sempre possível) distinguir entre, por um lado, o simples interesse do titular dos dados por determinadas informações e, por outro, o facto de o mesmo pertencer a uma das categorias visadas pela referida disposição ( 42 ). Ainda que as posições das partes no processo principal se oponham a este respeito ( 43 ), considero que uma resposta a esta questão só pode ser alcançada caso a caso e à luz de cada uma das atividades que compõem a prática controvertida. |
38. |
Embora, como salienta o Governo alemão, a simples recolha de dados pessoais sensíveis relativos à consulta de um sítio Internet ou de uma aplicação não seja, por si só, necessariamente um tratamento de dados pessoais sensíveis na aceção desta disposição ( 44 ), o cruzamento desses dados com a conta Facebook do utilizador em causa ou a sua utilização são comportamentos que, em contrapartida, poderiam ser mais facilmente suscetíveis de constituir tal tratamento. O elemento decisivo para efeitos da aplicação do artigo 9.o, n.o 1, do RGPD é, na minha opinião, a possibilidade de os dados tratados permitirem a definição do perfil do utilizador segundo as categorias que resultam da enumeração dos dados pessoais sensíveis efetuada por esta disposição ( 45 ). |
39. |
Neste contexto, para poder determinar se um tratamento de dados está abrangido pelo âmbito de aplicação desta disposição, poderia ser útil distinguir, se for caso disso, por um lado, o tratamento dos dados que podem ser prima facie classificados na categoria dos dados pessoais sensíveis e que permitem, por si só, uma definição do perfil do titular dos dados e, por outro, o tratamento dos dados que não são, por si só, sensíveis, mas que exigem uma atividade posterior de agrupamento para tirar conclusões plausíveis para a definição do perfil do titular dos dados. |
40. |
Dito isto, há que precisar que a existência de uma classificação na aceção desta disposição é independente da questão de saber se essa categorização é verdadeira ou está correta ( 46 ). O que conta é a possibilidade de essa categorização implicar riscos significativos para os direitos e liberdades fundamentais do titular dos dados, como recordado no considerando 51 do RGPD, possibilidade que é independente da sua veracidade. |
41. |
Por último, no que respeita ao pedido do órgão jurisdicional de reenvio destinado a saber se o objetivo da utilização é pertinente para efeitos da apreciação em questão ( 47 ), considero, contrariamente ao que sustenta a recorrente no processo principal, que, em princípio, não se exige que o responsável pelo tratamento trate esses dados «tendo consciência e a intenção de retirar diretamente dos mesmos categorias específicas de informação». Com efeito, o objetivo da disposição em causa é, em substância, prevenir, de forma objetiva, riscos significativos para as liberdades e os direitos fundamentais dos titulares dos dados, causados pelo tratamento de dados pessoais sensíveis, independentemente de qualquer elemento subjetivo como a intenção do responsável pelo tratamento. |
42. |
No que se refere, em segundo lugar, à segunda questão, alínea b), recordo que, por força do artigo 9.o, n.o 2, alínea e), do RGPD, a proibição do tratamento de dados pessoais sensíveis não se aplica se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular. Além disso, a referência, na redação dessa disposição, ao advérbio «manifestamente» e o facto de a referida disposição constituir uma exceção ao princípio da proibição do tratamento de dados pessoais sensíveis ( 48 ) impõem uma aplicação especialmente estrita desta exceção, devido aos riscos significativos para os direitos e liberdades fundamentais dos titulares dos dados ( 49 ). Para que esta exceção possa ser aplicável, o utilizador deve ter, na minha opinião, plena consciência de que, através de um ato explícito ( 50 ), torna públicos os dados pessoais ( 51 ). |
43. |
No caso em apreço, parece‑me que um comportamento que consiste na consulta de sítios Internet e de aplicações, na inserção de dados nesses sítios e nessas aplicações e na ativação de botões de seleção integrados nos mesmos não pode, em princípio, ser equiparado a um comportamento que torna manifestamente públicos os dados pessoais sensíveis do utilizador na aceção do artigo 9.o, n.o 2, alínea e), do RGPD. |
44. |
Mais especificamente, saliento que, em princípio, a consulta de sítios Internet e de aplicações torna os dados de consulta acessíveis apenas ao gestor da página Internet ou da aplicação em questão e aos terceiros a quem este transmite essas informações, como a recorrente no processo principal ( 52 ). Do mesmo modo, embora, através da inserção de dados em sítios Internet e aplicações, o titular dos dados possa dar, de forma direta e voluntária, informações sobre certos dados pessoais sensíveis, sublinho também que essas informações só estão acessíveis ao gestor do sítio Internet ou da aplicação em questão e aos terceiros a quem este transmite as referidas informações. Por conseguinte, excluo que esses comportamentos possam demonstrar a vontade de tornar esses dados disponíveis à comunidade ( 53 ). Além disso, embora seja evidente que, através da ativação de botões de seleção integrados em sítios Internet ou aplicações ( 54 ), o titular dos dados exprime claramente a vontade de partilhar certas informações com um público externo no sítio Internet ou na aplicação em questão, considero que, como sublinha o Bundeskartellamt, através desse comportamento, o titular dos dados tem consciência de partilhar informações com um círculo determinado de pessoas, frequentemente definido pelo próprio utilizador ( 55 ), e não com a comunidade ( 56 ). |
45. |
Por último, no que se refere à pertinência de um eventual consentimento dado pelo utilizador na aceção do artigo 5.o, n.o 3, da Diretiva 2002/58, para que dados pessoais possam ser recolhidos através de testemunhos de conexão (cookies) ou de tecnologias semelhantes, invocado pelo órgão jurisdicional de reenvio, considero que esse consentimento, à luz do seu objetivo específico, não pode, por si só, justificar o tratamento de dados pessoais sensíveis recolhidos por esses meios ( 57 ). Com efeito, o referido consentimento, necessário para a instalação de um meio técnico de captação de certas atividades do utilizador ( 58 ), não diz respeito ao tratamento de dados pessoais sensíveis e não pode ser equiparado à vontade de tornar manifestamente públicos esses dados na aceção do artigo 9.o, n.o 2, alínea e), do RGPD ( 59 ). |
46. |
Em conclusão, proponho que se responda à segunda questão prejudicial que, por um lado, o artigo 9.o, n.o 1, do RGPD deve ser interpretado no sentido de que a proibição de tratamento de dados pessoais sensíveis pode incluir o tratamento de dados efetuado por um operador de uma rede social em linha que consiste na recolha de dados de um utilizador quando este consulta outros sítios Internet ou aplicações ou aí insere esses dados, o cruzamento dos referidos dados com a conta do utilizador da rede social e a sua utilização, desde que as informações tratadas, consideradas individualmente ou agrupadas, permitam definir o perfil do utilizador segundo as categorias que resultam da enumeração dos dados pessoais sensíveis efetuada nesta disposição, e, por outro, o artigo 9.o, n.o 2, alínea e), do RGPD deve ser interpretado no sentido de que um utilizador não torna manifestamente públicos dados pelo facto de estes terem sido revelados através da consulta de páginas Internet e de aplicações ou de terem sido inseridos nessas páginas ou aplicações ou de resultarem da ativação de botões de seleção integrados nas mesmas. |
Quanto às questões prejudiciais terceira a quinta
47. |
Com as questões prejudiciais terceira a quinta, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, alíneas b), c), d), e) e f), do RGPD deve ser interpretado no sentido de que a prática controvertida ( 60 ) é abrangida pelo âmbito de aplicação de uma das justificações previstas nestas disposições, mais especificamente:
|
48. |
A título preliminar, não obstante algumas interrogações quanto à admissibilidade da quarta e quinta questões prejudiciais ( 68 ), proponho que se responda de forma conjunta à terceira a quinta questões prejudiciais, na medida em que as indicações que apresentarei em seguida, principalmente no que respeita à terceira questão prejudicial, poderão ser igualmente úteis para o órgão jurisdicional de reenvio aquando da aplicação das disposições que são objeto da quarta e quinta questões prejudiciais. |
49. |
A título principal, saliento que, em conformidade com o artigo 8.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), os dados pessoais devem ser objeto de um tratamento leal, para fins específicos e com base num fundamento legítimo previsto por lei. A este respeito, o artigo 6.o, n.o 1, do RGPD especifica que o tratamento desses dados só é lícito com base numa das seis condições estabelecidas nesta disposição ( 69 ). |
50. |
No caso em apreço, antes de mais, considero que a terceira a quinta questões prejudiciais exigem uma análise pormenorizada, caso a caso, das diferentes cláusulas das condições de serviço Facebook no contexto da prática controvertida, uma vez que não é possível determinar se, relativamente a essa prática, «uma empresa como [a Meta Platforms]» pode invocar, na sua globalidade, todas as (ou algumas das) justificações contidas no artigo 6.o, n.o 1, do RGPD, mesmo que não se possa excluir que a referida prática ou algumas das suas atividades possam, em certas situações, entrar no âmbito de aplicação deste artigo ( 70 ). |
51. |
Em seguida, o tratamento previsto pelas referidas disposições é efetuado, no caso em apreço, com fundamento nas condições gerais do contrato impostas pelo responsável pelo tratamento, sem o consentimento do titular dos dados ( 71 ), ou mesmo contra a sua vontade, o que, na minha opinião, exige uma interpretação estrita das justificações em questão, nomeadamente para evitar que o requisito do consentimento seja contornado ( 72 ). |
52. |
Por último, recordo que, em conformidade com o artigo 5.o, n.o 2, do RGPD, incumbe ao responsável pelo tratamento o ónus da prova de que os dados pessoais são tratados de acordo com a norma deste regulamento e que, em conformidade com o artigo 13.o, n.o 1, alínea c), do referido regulamento, incumbe ao responsável pelo tratamento dos dados pessoais especificar as finalidades do tratamento a que os dados se destinam, bem como o fundamento jurídico para o tratamento. |
Quanto à terceira questão prejudicial
53. |
Em primeiro lugar, segundo o artigo 6.o, n.o 1, alínea b), do RGPD, o tratamento de dados pessoais é lícito na medida em que seja necessário para a execução de um contrato no qual o titular dos dados é parte ( 73 ). |
54. |
A este respeito, recordo que o conceito de «necessidade» não está definido na legislação da União, mas constitui, no entanto, segundo a jurisprudência, um conceito autónomo do direito da União ( 74 ). Para que o tratamento seja necessário para a execução do contrato, não basta que seja efetuado por ocasião da execução do contrato nem que seja mencionado no contrato ( 75 ) ou até que seja simplesmente útil para a execução do contrato ( 76 ). Segundo a jurisprudência do Tribunal de Justiça, o tratamento deve ser objetivamente necessário para a execução do contrato na medida em que não devem existir outras soluções realistas e menos intrusivas ( 77 ), tendo igualmente em conta as expectativas razoáveis do titular dos dados ( 78 ). Tal implica igualmente o facto de que, quando o contrato consista em vários serviços ou elementos distintos de um mesmo serviço que podem ser executados independentemente uns dos outros, a aplicabilidade do artigo 6.o, n.o 1, alínea b), do RGPD deve ser avaliada no contexto de cada um desses serviços separadamente ( 79 ). |
55. |
No âmbito desta justificação, o órgão jurisdicional de reenvio menciona a personalização dos conteúdos e a utilização contínua e ininterrupta dos produtos (ou sobretudo dos serviços) próprios do grupo. |
56. |
No que se refere à personalização dos conteúdos, parece‑me que, se essa atividade pode, em certa medida, ser prestada no interesse do utilizador uma vez que permite apresentar, nomeadamente no «feed de notícias», conteúdos que, em conformidade com uma avaliação automatizada, correspondem aos interesses do utilizador, não é evidente que seja igualmente necessária para a prestação do serviço, pelo que o tratamento dos dados pessoais para essa finalidade não exige o consentimento do utilizador ( 80 ). Para efeitos desta análise, há igualmente que ter em conta que a prática controvertida visa o tratamento não de dados relativos ao comportamento do utilizador dentro da página ou da aplicação Facebook mas de dados provenientes de fontes externas e, deste modo, potencialmente ilimitadas. Por conseguinte, pergunto‑me em que medida esse tratamento poderia corresponder às expectativas de um utilizador médio e, mais genericamente, qual é o «grau de personalização» que este pode esperar do serviço em que se regista ( 81 ). |
57. |
No que respeita à utilização contínua e ininterrupta dos serviços próprios do grupo, observo que um nexo entre os diferentes serviços oferecidos pela recorrente no processo principal, por exemplo entre o Facebook e o Instagram, pode, é certo, ser útil ao utilizador ou até, por vezes, pretendido por este último. Contudo, duvido que um tratamento dos dados pessoais provenientes de outros serviços do grupo (nomeadamente do Instagram) seja necessário para a prestação dos serviços Facebook ( 82 ). |
58. |
Em segundo lugar, nos termos do artigo 6.o, n.o 1, alínea f), do RGPD, o tratamento de dados pessoais só é lícito se e na medida em que for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança. |
59. |
Em conformidade com a jurisprudência do Tribunal de Justiça, a disposição em causa prevê três requisitos cumulativos para que um tratamento de dados pessoais seja lícito, a saber, primeiro, a prossecução de um interesse legítimo pelo responsável pelo tratamento ou pelo terceiro ou terceiros a quem os dados sejam comunicados, segundo, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e, terceiro, o requisito de os direitos e as liberdades fundamentais da pessoa a que a proteção de dados diz respeito não prevalecerem ( 83 ). |
60. |
Antes de mais, no que respeita à prossecução de um interesse legítimo, recordo que o RGPD e a jurisprudência reconhecem um amplo leque de interesses considerados legítimos ( 84 ), precisando que, em conformidade com o artigo 13.o, n.o 1, alínea d), do RGPD, cabe ao responsável pelo tratamento indicar os interesses legítimos prosseguidos no âmbito do artigo 6.o, n.o 1, alínea f), do RGPD ( 85 ). |
61. |
Em seguida, no que se refere ao requisito relativo à necessidade do tratamento dos dados pessoais para a prossecução de interesses legítimos, segundo a jurisprudência do Tribunal de Justiça, as derrogações e as restrições ao princípio da proteção dos dados pessoais devem ocorrer na estrita medida do necessário ( 86 ). Por conseguinte, é necessária uma relação estreita entre o tratamento e o interesse prosseguido, na falta de alternativas mais respeitosas da proteção de dados pessoais, uma vez que não é suficiente que o tratamento revele uma simples utilidade para o responsável pelo tratamento. |
62. |
Por último, no que se refere à ponderação, por um lado, dos interesses do responsável pelo tratamento e, por outro, dos interesses ou das liberdades ou dos direitos fundamentais do titular dos dados, segundo a jurisprudência do Tribunal de Justiça, cabe ao órgão jurisdicional de reenvio ponderar os interesses envolvidos ( 87 ). Além disso, como enunciado no considerando 47 do RGPD, no âmbito desta ponderação, é indispensável ter em conta as expectativas razoáveis dos titulares dos dados baseadas na sua relação com o responsável pelo tratamento e determinar se o titular dos dados pode razoavelmente prever, momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade. |
63. |
No âmbito desta justificação, o órgão jurisdicional de reenvio menciona a personalização da publicidade, a segurança da rede e o aperfeiçoamento do produto. |
64. |
Antes de mais, no que respeita à personalização da publicidade, decorre do considerando 47 do RGPD que se pode considerar que o tratamento de dados pessoais para efeitos de comercialização direta (direct marketing) é efetuado para responder a um interesse legítimo do responsável pelo tratamento. Todavia, no que se refere à necessidade do tratamento, importa salientar que os dados em questão provêm de fontes externas ao Facebook e, por isso, coloca‑se a questão de saber qual é o «grau de personalização» da publicidade objetivamente necessário a este respeito. Quanto à ponderação dos interesses envolvidos, importa, a meu ver, ter em conta a natureza do interesse legítimo em questão (no caso em apreço, um interesse puramente económico), bem como o impacto do tratamento no utilizador, incluindo as suas expectativas razoáveis e as eventuais medidas de salvaguarda adotadas pelo responsável pelo tratamento ( 88 ). |
65. |
Em seguida, podem ser feitas considerações semelhantes no que respeita à segurança da rede. Com efeito, embora essa justificação possa constituir um interesse legítimo do responsável pelo tratamento ( 89 ), é menos evidente concluir que o tratamento é necessário no caso em apreço, tendo igualmente em conta que os dados em questão provêm de fontes externas ao Facebook ( 90 ). Em todo o caso, recordo que cabe ao responsável pelo tratamento especificar as finalidades de segurança em que, eventualmente, cada tratamento se baseia. |
66. |
Por último, no que diz respeito ao aperfeiçoamento do produto, embora estejam excluídos os aperfeiçoamentos relacionados com a segurança, abrangidos pela justificação específica acima analisada, parece‑me que tal justificação deveria ser mais do interesse do utilizador do que do responsável pelo tratamento dos dados. Nesta perspetiva, é difícil compreender em que medida poderia constituir um interesse legítimo do responsável e escapar ao consentimento do utilizador. No que respeita ao requisito da necessidade e à ponderação dos direitos e interesses envolvidos, remeto para as considerações precedentes. |
Quanto à quarta e quinta questões prejudiciais
67. |
Com a quarta questão prejudicial, que constitui, em substância, uma extensão da segunda parte da terceira questão prejudicial, pretende‑se saber se a recorrência de certas situações enumeradas implica a existência de um interesse legítimo na aceção do artigo 6.o, n.o 1, alínea f), do RGPD, ao passo que, com a sua quinta questão prejudicial, o órgão jurisdicional de reenvio pretende saber se a necessidade de responder a um pedido legítimo de fornecer certos dados, a de impedir comportamentos lesivos e promover a segurança ou para efeitos de investigação para o bem‑estar da sociedade e a de promover a proteção, a integridade e a segurança constituem justificações aplicáveis à prática controvertida ( 91 ). |
68. |
Independentemente da admissibilidade destas questões ( 92 ), considero, de maneira geral, que não se pode excluir, quanto à quarta questão prejudicial, que determinadas cláusulas que caracterizam a prática controvertida possam ser justificadas por interesses legítimos nas circunstâncias evocadas pelo órgão jurisdicional de reenvio ( 93 ) e, quanto à quinta questão prejudicial, que, em certas situações, a prática controvertida possa ser justificada com fundamento nas disposições referidas. |
69. |
No entanto, não resulta da decisão de reenvio se, e em que medida, a Meta Platforms Ireland indicou, para cada finalidade de tratamento e tipologia de dados tratados, os interesses legítimos concretamente prosseguidos ou outras justificações eventualmente pertinentes no caso em apreço ( 94 ). Por conseguinte, cabe ao órgão jurisdicional de reenvio, tendo em conta as indicações precedentes, analisar em que medida, nas circunstâncias evocadas por esse órgão jurisdicional, a prática controvertida é justificada pela existência de interesses legítimos da Meta Platforms Ireland no tratamento de dados na aceção do artigo 6.o, n.o 1, alínea f), do RGPD ou por outro dos requisitos enunciados no artigo 6.o, n.o 1, alíneas c), d) e e), deste regulamento. |
Quanto à resposta às questões prejudiciais terceira a quinta
70. |
Em conclusão, proponho que se responda à terceira a quinta questões prejudiciais, que o artigo 6.o, n.o 1, alíneas b), c), d), e) e f), do RGPD deve ser interpretado no sentido de que a prática controvertida ou certas atividades que a compõem podem ser abrangidas pelas exceções previstas nestas disposições, desde que cada modalidade de tratamento de dados examinada preencha os requisitos previstos pela justificação concretamente apresentada pelo responsável pelo tratamento e que, por conseguinte:
|
Quanto à sexta questão prejudicial
71. |
Com a sexta questão prejudicial, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que um consentimento válido e livre na aceção do artigo 4.o, ponto 11, deste regulamento pode ser dado por utilizadores privados a uma empresa que tem uma posição dominante no mercado nacional das redes sociais em linha. |
72. |
A título preliminar, recordo que o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD preveem a obrigação de consentimento do titular dos dados, respetivamente, no que se refere ao tratamento de dados pessoais em geral e ao tratamento de dados pessoais sensíveis. Além disso, segundo o artigo 4.o, ponto 11, do RGPD, para efeitos deste regulamento, entende‑se por «[c]onsentimento» do titular dos dados uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento ( 95 ). |
73. |
No que se refere, mais especificamente, ao requisito do «livre» consentimento, que é o único posto em causa no caso em apreço, saliento que, nos termos do considerando 42 do RGPD, não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ( 96 ) ou não puder recusar nem retirar o consentimento sem ser prejudicado ( 97 ). Por outro lado, como previsto no artigo 7.o, n.o 1, do RGPD (e recordado no seu considerando 42), quando o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deve poder demonstrar que o titular deu o seu consentimento para o tratamento dos seus dados pessoais. |
74. |
Relativamente ao que é pertinente no caso em apreço, começo por recordar que, como sublinha o considerando 43, primeiro período, do RGPD, o consentimento não constitui fundamento jurídico válido para o tratamento de dados pessoais quando exista um «desequilíbrio manifesto» entre o titular dos dados e o responsável pelo tratamento ( 98 ), em seguida, que, nos termos do artigo 7.o, n.o 4, do RGPD, ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato ( 99 ) e, por último, que, em conformidade com o considerando 43, segundo período, do RGPD, presume‑se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico ( 100 ). |
75. |
No presente processo, considero que uma eventual posição dominante no mercado por parte do responsável pelo tratamento dos dados pessoais que explora uma rede social é relevante para a apreciação da existência de um consentimento livre por parte do utilizador dessa rede. Com efeito, a existência de uma situação de poder de mercado do responsável pelo tratamento de dados pessoais é suscetível de criar um desequilíbrio manifesto das relações de poder, no sentido indicado no n.o 74 das presentes conclusões ( 101 ). Contudo, há que especificar, por um lado, que, para que tal situação de poder de mercado seja pertinente do ponto de vista da aplicação do RGPD, não tem de ser necessariamente equiparada ao limiar de posição dominante na aceção do artigo 102.o TFUE ( 102 ) e, por outro, que esta circunstância não pode por si só privar, em princípio, um consentimento de validade ( 103 ). |
76. |
Por conseguinte, a validade de um consentimento deve ser examinada caso a caso, à luz dos outros fatores evocados nos n.os 73 e 74 das presentes conclusões e tendo em conta todas as circunstâncias do caso concreto e que o ónus de demonstrar que o titular dos dados deu o seu consentimento para o tratamento de dados pessoais que lhe dizem respeito recai sobre o responsável pelo tratamento. |
77. |
Em conclusão, proponho que se responda à sexta questão prejudicial, que o artigo 6.o, n.o 1, alínea a), e o artigo 9.o, n.o 2, alínea a), do RGPD devem ser interpretados no sentido de que a simples circunstância de a empresa que explora uma rede social ter uma posição dominante no mercado nacional das redes sociais em linha para utilizadores privados não pode, por si só, privar de validade o consentimento do utilizador dessa rede para o tratamento dos seus dados pessoais, na aceção do artigo 4.o, ponto 11, do RGPD. Não obstante, tal circunstância desempenha um papel na apreciação da liberdade do consentimento na aceção desta disposição, que incumbe ao responsável pelo tratamento demonstrar, tendo em conta, se for caso disso, a existência de um desequilíbrio manifesto das relações de poder entre o titular dos dados e o responsável pelo tratamento, a eventual obrigação de consentir no tratamento de dados pessoais diferentes dos estritamente necessários para a prestação dos serviços em causa, a necessidade de o consentimento ser específico para cada finalidade de tratamento e a necessidade de evitar que a retirada do consentimento implique um prejuízo para o utilizador que retira o seu consentimento. |
Conclusão
78. |
Atendendo às considerações precedentes, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo Oberlandesgericht Düsseldorf (Tribunal Regional Superior de Düsseldorf, Alemanha) do seguinte modo:
|
( 1 ) Língua original: francês.
( 2 ) A saber, a Meta Platforms Inc., anteriormente Facebook Inc., a Meta Platforms Ireland Limited, anteriormente Facebook Ireland Ltd., e a Facebook Deutschland GmbH (a seguir «Meta Platforms» ou «recorrente no processo principal»).
( 3 ) Decisão B6‑22/16, de 6 de fevereiro de 2019 (a seguir «decisão controvertida»).
( 4 ) Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; retificação no JO 2018, L 127, p. 2; a seguir «RGPD»).
( 5 ) Na versão em vigor até 18 de janeiro de 2021.
( 6 ) Para este efeito, a Meta Platforms recolhe, além dos dados que os utilizadores fornecem diretamente com o seu registo nos serviços em linha em causa, outros dados relativos aos utilizadores e aos aparelhos, no interior e no exterior da rede social e dos serviços em linha prestados pelo grupo, e relaciona esses dados com as diferentes contas dos utilizadores em causa. Os referidos dados, na sua globalidade, permitem tirar conclusões detalhadas sobre as preferências e os interesses dos utilizadores.
( 7 ) No que se refere, mais especificamente, ao tratamento de dados pessoais, as condições de serviço remetem para as políticas de utilização dos dados e dos testemunhos de conexão (cookies) fixadas pela Meta Platforms. Nos termos destas últimas, a Meta Platforms recolhe dados dos utilizadores e dos seus aparelhos relativos às suas atividades dentro e fora da rede social e associa‑os às respetivas contas Facebook. As atividades realizadas fora da rede social consistem, por um lado, na consulta de páginas Internet e de aplicações de terceiros que estão ligadas ao Facebook através de interfaces de programação (a saber, as «Ferramentas Facebook Business») e, por outro, na utilização dos outros serviços em linha pertencentes ao grupo Meta Platforms, entre os quais, o Instagram e o WhatsApp.
( 8 ) Segundo o Bundeskartellamt, o referido tratamento, enquanto emanação de poder no mercado, violou, as disposições do RGPD e não era justificado à luz do artigo 6.o, n.o 1, e do artigo 9.o, n.o 2, deste regulamento.
( 9 ) Por outro lado, em 31 de julho de 2019, por iniciativa da Comissão Europeia e das associações nacionais de defesa dos consumidores dos Estados‑Membros, a Meta Platforms introduziu novas condições de serviço indicando expressamente que o utilizador, em vez de pagar pela utilização dos produtos do Facebook, declara consentir os anúncios publicitários. Além disso, desde 28 de janeiro de 2020, a Meta Platforms propõe, a nível mundial, a atividade fora do Facebook denominada «Off‑Facebook‑activity», que permite aos utilizadores do Facebook receberem um resumo das informações que lhes dizem respeito, obtidas em relação às suas atividades noutras páginas Internet e aplicações e, se o desejarem, dissociar esses dados da sua conta Facebook, tanto para o passado como para o futuro.
( 10 ) Parece‑me que os termos «constate […] que […] violam o RGPD e profira uma decisão ordenando a cessação dessa infração» que figuram na primeira questão prejudicial devem ser interpretados neste sentido.
( 11 ) Em todo o caso, uma vez que o RGPD prevê uma harmonização completa do direito da proteção de dados, cujo elemento central é um mecanismo harmonizado de execução baseado no princípio do «balcão único» previsto nos artigos 51.o a 67.o deste regulamento, parece‑me evidente que uma autoridade diferente das autoridades de controlo na aceção do referido regulamento (como uma autoridade da concorrência) não tem competência para declarar, a título principal, a violação deste regulamento nem para aplicar as sanções previstas.
( 12 ) Em todo o caso, tendo em conta o facto de uma autoridade da concorrência não ser competente para declarar, a título principal, a violação deste regulamento nem para aplicar as sanções previstas, considero que uma eventual decisão neste sentido de uma autoridade da concorrência não pode interferir nas competências das autoridades de controlo na aceção do RGPD.
( 13 ) Parece‑me que é neste sentido que se deve interpretar os termos «[p]ode […] averiguar, eventualmente no âmbito de uma ponderação de interesses, se as condições de tratamento dos dados desta empresa e a sua implementação estão em conformidade com o RGPD» que figuram na sétima questão prejudicial.
( 14 ) V. nota 11 das presentes conclusões.
( 15 ) Regulamento do Conselho, de 16 de dezembro de 2002, relativo à execução das regras de concorrência estabelecidas nos artigos [101.o e 102.o TFUE] (JO 2003, L 1, p. 1).
( 16 ) À semelhança do § 19 da GWB, no qual se baseia a decisão controvertida.
( 17 ) V., a título de exemplo, Acórdão de 6 de setembro de 2017, Intel/Comissão (C 413/14 P, EU:C:2017:632, n.o 136 e jurisprudência referida). Por outro lado, o Tribunal de Justiça especificou que o âmbito de aplicação do artigo 102.o TFUE tem alcance geral e não pode ser limitado pela existência de um quadro regulamentar adotado pelo legislador da União, no presente processo, o quadro regulamentar em matéria de comunicações eletrónicas (v., neste sentido, Acórdão de 10 de julho de 2014, Telefónica e Telefónica de España/Comissão, C‑295/12 P, EU:C:2014:2062, n.o 128).
( 18 ) Com efeito, à luz dos objetivos diferentes das duas categorias de normas, é evidente que um comportamento relativo ao tratamento de dados pode constituir uma violação das regras de concorrência mesmo quando esteja em conformidade com o RGPD e, vice‑versa, um comportamento ilegal na aceção deste não leva forçosamente a concluir que implica uma violação das regras de concorrência. A este respeito, o Tribunal de Justiça precisou que a conformidade de um comportamento com uma legislação específica não exclui a aplicabilidade, a esse mesmo comportamento, dos artigos 101.o e 102.o TFUE [v., nomeadamente, Acórdão de 6 de dezembro de 2012, AstraZeneca/Comissão (C‑457/10 P, EU:C:2012:770, n.o 132), no qual o Tribunal de Justiça recordou que os abusos de posição dominante consistem, na maioria dos casos, em comportamentos que seriam lícitos à luz de outros ramos do direito que não o direito da concorrência]. Efetivamente, se apenas as práticas objetivamente restritivas da concorrência e juridicamente ilegais fossem consideradas abusivas na aceção do artigo 102.o TFUE, isso implicaria que um comportamento, pelo simples facto de ser legal, ainda que potencialmente lesivo da concorrência, não poderia ser punido nos termos do artigo 102.o TFUE, o que comprometeria o objetivo desta disposição de estabelecer um regime que garanta que a concorrência não seja falseada no mercado interno (v., neste sentido, as minhas Conclusões no processo Servizio Elettrico Nazionale e o., C‑377/20, EU:C:2021:998, n.o 37). Segundo a jurisprudência do Tribunal de Justiça, os artigos 101.o e 102.o TFUE só não são aplicáveis se for imposto às empresas um comportamento anticoncorrencial por uma legislação nacional ou se esta criar um quadro jurídico que, por si só, elimina qualquer possibilidade de comportamento concorrencial da sua parte, ao passo que estes artigos podem ser aplicados se se verificar que a legislação nacional deixa subsistir a possibilidade de uma concorrência suscetível de ser impedida, restringida ou falseada por comportamentos autónomos das empresas (v., neste sentido, Acórdão de 14 de outubro de 2010, Deutsche Telekom/Comissão, C‑280/08 P, EU:C:2010:603, n.o 80 e jurisprudência referida).
( 19 ) Com efeito, uma interpretação segundo a qual as autoridades da concorrência estão proibidas de interpretar, no exercício das suas competências, as disposições do RGPD é suscetível de pôr em causa a aplicação efetiva do direito da concorrência da União.
( 20 ) Por outro lado, o caráter incidental da interpretação do RGPD pela autoridade da concorrência não impede que esta interpretação seja sujeita a uma fiscalização jurisdicional nos órgãos jurisdicionais nacionais competentes em matéria de concorrência que, em caso de dificuldades de interpretação, podem ser levados a submeter ao Tribunal de Justiça um pedido de decisão prejudicial, como no caso em apreço, no que respeita às questões prejudiciais segunda a sexta.
( 21 ) Com efeito, a interpretação do RGPD pela autoridade da concorrência unicamente para efeitos da aplicação das normas (e eventualmente da imposição das sanções) previstas pelo direito da concorrência não pode privar as autoridades de controlo das suas competências e poderes no âmbito deste regulamento. Além disso, a possibilidade de interpretação a título incidental do referido regulamento pela autoridade da concorrência também não suscita dificuldades quanto à sua aplicação, que está reservada às autoridades de controlo, nem quanto à imposição de medidas corretivas ou de sanções, uma vez que as medidas ou as sanções eventualmente impostas por uma autoridade da concorrência se baseiam em regras, objetivos e interesses legítimos diferentes dos protegidos pelo mesmo regulamento [por esta razão, aliás, em tal situação, a imposição de sanções por parte da autoridade da concorrência e da autoridade de controlo na aceção do RGPD não é, na minha opinião, abrangida pelo princípio ne bis in idem (v., por analogia, Acórdão de 22 de março de 2022, bpost, C‑117/20, EU:C:2022:202, n.os 42 a 50)].
( 22 ) Por outro lado, o risco de interpretação divergente é inerente a qualquer domínio regido por uma regulamentação que a autoridade da concorrência deve ou pode ter em conta para apreciar a legalidade de um determinado comportamento à luz do direito da concorrência.
( 23 ) Os capítulos VI e VII do RGPD instituem, nomeadamente, mecanismos de «balcão único» de troca de informação e de assistência mútua entre as autoridades de controlo.
( 24 ) V. Regulamento n.o 1/2003 e a Diretiva (UE) 2019/1 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2018, que visa atribuir às autoridades da concorrência dos Estados‑Membros competência para aplicarem a lei de forma mais eficaz e garantir o bom funcionamento do mercado interno (JO 2019, L 11, p. 3).
( 25 ) V., nomeadamente, neste sentido, Acórdãos de 14 de novembro de 1989, Itália/Comissão (14/88, EU:C:1989:421, n.o 20), e de 11 de junho de 1991, Athanasopoulos e o. (C‑251/89, EU:C:1991:242, n.o 57).
( 26 ) Por outro lado, o próprio mecanismo de cooperação entre as autoridades de controlo instituído pelo RGPD pode ser considerado uma lex specialis que completa e especifica o princípio geral da cooperação leal enunciado no artigo 4.o, n.o 3, TUE (v. nomeadamente, na doutrina, Hijmans, H., «Article 51 Supervisory authority», The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, p. 869). O mesmo se aplica aos outros instrumentos de cooperação preexistentes ao previsto no RGPD, como o sistema de cooperação entre as autoridades da concorrência (v., nomeadamente, capítulo IV do Regulamento n.o 1/2003).
( 27 ) V., neste sentido, Conclusões da advogada‑geral V. Trstenjak no processo Gorostiaga Atxalandabaso/Parlamento (C‑308/07 P, EU:C:2008:498, n.o 89).
( 28 ) V., nomeadamente, Acórdão de 2 de junho de 2022, Skeyes (C‑353/20, EU:C:2022:423, n.o 52 e jurisprudência referida). Na minha opinião, poderão, se necessário, ser retiradas indicações quanto às diligências a seguir do sistema de cooperação instituído pelo RGPD, bem como do instituído no domínio da concorrência, esclarecendo‑se que, na falta de disposições ad hoc, o dever de diligência que incumbe à autoridade da concorrência não vai ao ponto de a submeter a obrigações pormenorizadas como, nomeadamente, as previstas no âmbito do procedimento de cooperação e de controlo da coerência regulado no capítulo VII do RGPD (por exemplo, não se pode esperar da autoridade da concorrência que envie um projeto de decisão à autoridade de controlo competente na aceção deste regulamento para obter o seu parecer).
( 29 ) V., nomeadamente, por analogia, tratando‑se de um domínio abrangido pela regulamentação da União em matéria farmacêutica, Acórdão de 23 de janeiro de 2018, F. Hoffmann‑La Roche e o. (C‑179/16, EU:C:2018:25, n.os 58 a 64).
( 30 ) Por outras palavras, esta decisão faz, ela própria, parte do quadro jurídico e factual que a autoridade da concorrência é obrigada a examinar, permanecendo livre para daí retirar as suas conclusões do ponto de vista da aplicação do direito da concorrência (v. nota 18 das presentes conclusões).
( 31 ) Dado o papel e as funções das autoridades de controlo nacionais no sistema de cooperação instituído pelo RGPD, considero que uma interação com a autoridade de controlo nacional pode, por si só, ser suficiente para cumprir as obrigações de diligência e de cooperação leal da autoridade da concorrência, em especial, quando esta não tem a possibilidade (tendo em conta os procedimentos de direito nacional aplicáveis) ou os meios (em particular, linguísticos) para interagir de forma satisfatória com a autoridade de controlo principal de outro Estado‑Membro.
( 32 ) Ou, sendo caso disso, quando essa autoridade esteja noutro Estado‑Membro, a autoridade de controlo nacional (v. nota 31 das presentes conclusões).
( 33 ) Recordando que a interpretação de certas disposições do RGPD dada por uma autoridade da concorrência no exercício dos seus poderes não prejudica a respetiva interpretação e aplicação pelas autoridades de controlo competentes na aceção deste regulamento (v. nota 21 das presentes conclusões).
( 34 ) O Bundeskartellamt alega, a este respeito, que se baseou no direito alemão da concorrência, que lhe permite contactar com as autoridades de controlo nacionais na aceção do RGPD.
( 35 ) Tanto assim é que, como alega o Bundeskartellamt, a autoridade de controlo federal alemã e a autoridade de controlo principal irlandesa lhe confirmaram que esta última não tinha dado início a nenhum processo relativamente às mesmas práticas que as examinadas por este.
( 36 ) O órgão jurisdicional de reenvio refere‑se, nomeadamente, à consulta pelo utilizador de páginas Internet ou de aplicações e à inserção de dados nessas páginas ou aplicações (como aplicações de computador para contactos românticos ou de encontros para homossexuais, ou de sítios Internet de partidos políticos ou relacionados com a saúde) de dados protegidos pela disposição em questão.
( 37 ) A seguir «dados pessoais sensíveis». Consiste no tratamento de dados pessoais que revelam a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
( 38 ) Saliento, a título incidental, que o Bundeskartellamt tem dúvidas quanto à pertinência desta questão para a resolução do litígio, devido ao facto de, na sua decisão, este ter tido em conta um consentimento na aceção do artigo 6.o, n.o 1, alínea a), do RGPD e não um consentimento nos termos do artigo 9.o, n.o 2, alínea a), deste último.
( 39 ) A este respeito, o órgão jurisdicional de reenvio refere‑se aos «plugins» sociais, como os botões «gosto» ou «partilhar», ao «login Facebook» (ou seja, à possibilidade de se identificar utilizando as suas credenciais de conexão ligadas à conta Facebook) e ao «account kit» (isto é, à possibilidade de se identificarem numa aplicação ou num sítio Internet, não necessariamente ligado ao Facebook, com um número de telefone ou um endereço e‑mail, sem necessidade de utilizar uma palavra‑passe).
( 40 ) Observo igualmente uma incoerência importante entre a versão francesa do RGPD que, na primeira frase desta disposição, se refere a um tratamento de dados pessoais que «revela» certas situações sensíveis, e a versão alemã (bem como, nomeadamente, as versões grega e italiana) que se refere a um tratamento dos dados pessoais que «revelam» essas situações. Salvo erro da minha parte, a versão francesa desta disposição está em contradição com a maior parte das outras versões linguísticas. Aliás, no contexto da referida disposição, parece‑me mais lógico associar o verbo «revelar» aos dados, uma vez que, na sequência desta, são os dados que são objeto da análise e não o tratamento. Tal resulta igualmente do texto francês da redação do considerando 51 do RGPD, que precisa que os dados pessoais sensíveis «deverão incluir os dados pessoais que revelem a origem racial ou étnica» (o sublinhado é meu).
( 41 ) Na minha opinião, não é conforme com o espírito do artigo 9.o, n.o 1, do RGPD (e deste regulamento), que é proteger certos dados sensíveis da pessoa, distinguir, por exemplo, entre, por um lado, a origem racial ou étnica, o que implica a proibição de tratar não só dados que o indicam diretamente mas também os que revelam essa situação e, por outro, dados genéticos, cuja proibição de tratamento não abrange os dados que revelam essa situação, acrescentando que nem sempre é evidente distinguir entre, por um lado, dados que revelam certas situações (por exemplo, a origem racial ou étnica) e, por outro, dados relativos a outras situações (por exemplo, a saúde). A este respeito, observo que, embora o artigo 9.o, n.o 1, do RGPD se refira, nomeadamente, a dados relativos à saúde, o seu artigo 4.o, ponto 15, define os «dados relativos à saúde» como «dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde» (o sublinhado é meu). Como dá a entender o Governo alemão, pode acontecer que esta incoerência na redação da disposição em questão constitua apenas uma tentativa não muito bem conseguida de distinguir entre dados puros com um teor informativo direto e «metadados» em relação aos quais um teor informativo correspondente só aparece num contexto concreto, através de uma avaliação ou de uma associação.
( 42 ) Em princípio, como alega a recorrente no processo principal, estes dois aspetos são diferentes. Com efeito, o simples facto de um utilizador ter acedido a um sítio Internet ou ter interagido com este não releva necessariamente, por si só, informações sobre as suas crenças, a sua saúde, as suas opiniões políticas, etc., uma vez que o interesse por um sítio Internet não revela automaticamente a adesão às ideias propagadas ou às categorias representadas por esse sítio. É, designadamente, o caso da consulta de um sítio Internet de um partido político ou que propõe uma ideologia política específica, consulta essa que não implica necessariamente a partilha dessa ideologia, mas pode ser efetuada por curiosidade, ou mesmo por espírito crítico relativamente à referida ideologia.
( 43 ) Segundo a Meta Platforms, o facto de um utilizador ter acedido a um sítio Internet ou ter interagido com este não revela, por si só, informações sensíveis, uma vez que mesmo que um interesse por um sítio Internet fosse observado ou utilizado, isso não constituiria um tratamento de dados pessoais sensíveis. Só seria esse o caso se os utilizadores fossem categorizados através desses dados. Por conseguinte, os dados objeto da prática controvertida só estão abrangidos pela proteção prevista no artigo 9.o, n.o 1, do RGPD se disserem respeito a uma das categorias referidas neste e forem tratados de forma subjetiva, com conhecimento de causa e com a intenção de retirar dos mesmos essas categorias de informação. Segundo a interpretação, em meu entender, demasiado rígida, do Bundeskartellamt, em contrapartida, o simples facto de o titular dos dados consultar uma determinada página Internet ou utilizar uma determinada aplicação cujo objeto principal é abrangido pelos domínios enumerados no artigo 9.o, n.o 1, do RGPD já abre o âmbito da proteção conferida por esta disposição. A proteção dos dados pessoais sensíveis não depende da intenção do responsável pelo tratamento de utilizar esses dados, na medida em que os direitos do titular dos dados já são afetados pelo facto de os referidos dados ficarem excluídos da sua esfera de influência.
( 44 ) Com efeito, como reconheceu o Comité Europeu para a Proteção de Dados (CEPD), o simples facto de um fornecedor de redes sociais tratar grandes quantidades de dados que poderiam potencialmente ser utilizados para inferir categorias especiais de dados não significa automaticamente que o tratamento seja abrangido pelo artigo 9.o do RGPD [v. CEPD, Diretrizes 8/2020, de 13 de abril de 2021, sobre o direcionamento para os utilizadores das redes sociais (a seguir «Diretrizes CEPD 8/2020»), n.o 124].
( 45 ) Na minha opinião, esta interpretação permitiria evitar a situação, lamentada pela recorrente no processo principal, em que, em substância, o responsável pelo tratamento viola por defeito o RGPD, uma vez que não pode impedir a eventual receção (nomeadamente através de meios automatizados) de informações com uma ligação indireta com as categorias de dados sensíveis, sem prejuízo da obrigação, que incumbe ao responsável pelo tratamento, de aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, em conformidade com o artigo 32.o do RGPD.
( 46 ) V., neste sentido, Diretrizes CEPD 8/2020, n.o 125.
( 47 ) O órgão jurisdicional de reenvio menciona, a este respeito, a personalização da rede social e da publicidade, a segurança da rede, o aperfeiçoamento dos serviços, o fornecimento de serviços de medição e de análise para os parceiros anunciantes, a investigação para o bem comum, a resposta a pedidos judiciais, o cumprimento de obrigações legais, a proteção de interesses vitais dos utilizadores e de terceiros, o exercício de funções de interesse do público.
( 48 ) V., por analogia, Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970, n.o 89 e jurisprudência referida), a respeito da interpretação do artigo 15.o, n.o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11).
( 49 ) V. também Parecer 6/2014, p. 10 e 11, do Grupo de Trabalho «Artigo 29.o», órgão consultivo independente instituído ao abrigo do artigo 29.o da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), e substituído, depois da adoção do RGPD, pelo CEPD.
( 50 ) A meu ver, esta condição é muito próxima da do consentimento do titular dos dados.
( 51 ) Recordo que, em conformidade com o artigo 5.o, n.o 2, do RGPD, é ao responsável pelo tratamento que incumbe o ónus da prova de que os dados pessoais são tratados segundo a norma do RGPD.
( 52 ) Por outro lado, embora um utilizador atento esteja provavelmente consciente do facto de as informações de ligação estarem acessíveis ao gestor do sítio Internet ou da aplicação em questão, não é tão evidente, na minha opinião, que esteja igualmente consciente de que essas informações estão igualmente acessíveis ao gestor da sua conta Facebook.
( 53 ) Quando muito, o utilizador está consciente da sua «relação» com o gestor do sítio Internet ou da aplicação e os terceiros aos quais este transmite essas informações, mas pode nem sequer estar consciente dessa relação porque, consoante as circunstâncias, pode ter a impressão de revelar informações, eventualmente de forma anonimizada, a um simples aparelho.
( 54 ) Trata‑se de botões como «gosto», «partilhar», etc. (v. nota 39 das presentes conclusões).
( 55 ) Por exemplo, o Facebook oferece ao utilizador, nas suas preferências, várias opções de partilha das informações disponíveis na sua conta Facebook.
( 56 ) É certo que não se pode excluir que, em casos especiais, o utilizador, através desses atos, queira efetivamente transmitir informações que lhe dizem respeito a um número indeterminado de pessoas. Por exemplo, é possível que o utilizador tenha definido as opções de partilha da sua conta Facebook de modo a que conteúdos presentes no seu perfil sejam acessíveis a todos os utilizadores desta rede social e esteja consciente disso. Todavia, mesmo nessas circunstâncias, não é evidente que o utilizador, através desse comportamento, tenha pretendido, sem dúvida, exprimir a intenção de tornar manifestamente públicos os dados pessoais em questão, tendo em conta o caráter estrito da exceção em causa (v. n.o 42 das presentes conclusões).
( 57 ) V., neste sentido, Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.os 87 a 89).
( 58 ) Designadamente «testemunhos de conexão (cookies)» (v. considerando 25 da Diretiva 2002/58).
( 59 ) Por outro lado, esse consentimento também não pode ser equiparado a um consentimento explícito para o tratamento dos referidos dados na aceção do artigo 9.o, n.o 2, alínea a), do RGPD. Um consentimento para a definição do perfil na aceção do artigo 22.o, n.o 1, alínea c), do RGPD, cujo objeto é evidentemente limitado aos tratamentos de perfis, também não pode ser pertinente.
( 60 ) No que respeita à quinta questão prejudicial, o órgão jurisdicional de reenvio também incluiu na prática controvertida — além da recolha, o cruzamento com a conta Facebook do utilizador e a utilização de dados provenientes de outros serviços próprios do grupo, bem como de sítios Internet e de aplicações de computador de terceiros (v. n.o 10 das presentes conclusões) – «a utilização de dados já recolhidos licitamente de outro modo e cruzados com a conta Facebook do utilizador».
( 61 ) Artigo 6.o, n.o 1, alínea b), do RGPD.
( 62 ) Artigo 6.o, n.o 1, alínea f), do RGPD.
( 63 ) Artigo 6.o, n.o 1, alínea f), do RGPD.
( 64 ) A saber, o facto de os utilizadores serem menores, a prestação de serviços de medição, análise e outros serviços comerciais, o fornecimento de comunicações de marketing aos utilizadores, a investigação e a inovação para fins sociais, bem como a partilha de informações com as autoridades de aplicação da lei e a resposta a pedidos judiciais.
( 65 ) Artigo 6.o, n.o 1, alínea c), do RGPD.
( 66 ) Artigo 6.o, n.o 1, alínea d), do RGPD.
( 67 ) Artigo 6.o, n.o 1, alínea e), do RGPD.
( 68 ) Com efeito, a quarta questão prejudicial parece convidar o Tribunal de Justiça a pronunciar‑se sobre a aplicação, em vez da interpretação, do artigo 6.o, n.o 1, alínea f), do RGPD e a quinta questão prejudicial não precisa os motivos pelos quais o órgão jurisdicional de reenvio tem dúvidas quanto à interpretação do artigo 6.o, n.o 1, alíneas c), d) e e), deste regulamento.
( 69 ) V. CEPD, Diretrizes 2/2019, de 8 de outubro de 2019, sobre o tratamento de dados pessoais ao abrigo do artigo 6.o, n.o 1, alínea b), do RGPD no contexto da prestação de serviços em linha aos titulares dos dados (a seguir «Diretrizes CEPD 2/2019»), ponto 1.
( 70 ) A este respeito, embora as partes no processo principal estejam, em substância, de acordo quanto à premissa de que, para efeitos da aplicação das justificações em causa, é necessária uma análise caso a caso, as suas posições divergem quanto às consequências práticas desta premissa. O Bundeskartellamt sublinha que incumbe ao responsável pelo tratamento demonstrar de forma circunstanciada que dados serão tratados concretamente em que cenário de utilização e alega, nomeadamente, que a recorrente no processo principal se limitou a afirmar que o tratamento global dos dados provenientes das fontes externas ao Facebook era necessário para cada uma das finalidades do tratamento dos dados enunciadas nas condições de serviço. Em contrapartida, a Meta Platforms Ireland considera que, sem examinar as especificidades de cada tratamento, o Bundeskartellamt não podia excluir que a prática controvertida pudesse basear‑se nas justificações em causa e não podia, por isso, concluir que essa prática era incompatível com o RGPD.
( 71 ) O consentimento do utilizador está previsto no artigo 6.o, n.o 1, alínea a), do RGPD.
( 72 ) A este respeito, as Diretrizes CEPD 2/2019, no ponto 16, precisam, designadamente, que tanto o princípio da limitação das finalidades [artigo 5.o, n.o 1, alínea b), do RGPD] como o princípio da minimização dos dados [artigo 5.o, n.o 1, alínea c), do RGPD] são particularmente relevantes nos contratos de serviços em linha, que normalmente não são negociados de forma individual, devido ao risco grave de os responsáveis pelo tratamento poderem procurar incluir condições a fim de maximizar a possível recolha e utilização de dados, sem especificarem adequadamente essas finalidades ou preverem obrigações de minimização dos dados.
( 73 ) Segundo as Diretrizes CEPD 2/2019, ponto 2, esta disposição reforça a liberdade de empresa, garantida pelo artigo 16.o da Carta, e reflete o facto de, por vezes, as obrigações contratuais para com o titular dos dados não poderem ser cumpridas sem que este forneça determinados dados pessoais. Esclareço que o segundo caso previsto nesta disposição, relativo à necessidade do tratamento para diligências pré‑contratuais a pedido do titular dos dados, não é pertinente no caso em apreço. O mesmo se aplica à questão da existência de um contrato válido à luz tanto do direito dos contratos aplicável como dos outros requisitos legais, incluindo os relativos aos contratos celebrados com os consumidores [v. nomeadamente Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO 1993, L 95, p. 29)], que não é objeto do presente reenvio prejudicial.
( 74 ) V., no que respeita à norma correspondente ao artigo 6.o, n.o 1, alínea b), do RGPD, enunciada no artigo 7.o, alínea e), da Diretiva 95/46, Acórdão de 16 de dezembro de 2008, Huber (C‑524/06, EU:C:2008:724, n.o 52).
( 75 ) Aliás, embora a simples referência ou menção do tratamento de dados pessoais num contrato não seja suficiente para que o tratamento em causa seja abrangido pelo âmbito de aplicação do artigo 6.o, n.o 1, alínea b), do RGPD, o tratamento pode ser objetivamente necessário mesmo que não seja expressamente mencionado no contrato, sem prejuízo das obrigações do responsável pelo tratamento em matéria de transparência (v. Diretrizes CEPD 2/2019, ponto 27).
( 76 ) V. Diretrizes CEPD 2/2019, ponto 25.
( 77 ) V., neste sentido, Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, n.o 86), bem como Diretrizes CEPD 2/2019, ponto 25. A este respeito, estas diretrizes, nos pontos 27 a 32, referem‑se nomeadamente ao facto de que o tratamento seja objetivamente necessário para uma finalidade que é parte integrante da prestação desse serviço contratual ao titular dos dados, devendo o responsável pelo tratamento poder demonstrar de que modo o objeto principal do contrato específico celebrado com o titular dos dados não pode, na realidade, ser executado se o tratamento específico dos dados pessoais em questão não ocorrer. No ponto 33, as referidas diretrizes fornecem questões de orientação a este respeito.
( 78 ) V. Diretrizes CEPD 2/2019, ponto 32.
( 79 ) V. Diretrizes CEPD 2/2019, ponto 37.
( 80 ) A este respeito, o Governo austríaco observa, de forma pertinente, que, anteriormente, a recorrente no processo principal permitia aos utilizadores do Facebook escolher entre uma apresentação cronológica ou uma apresentação personalizada dos conteúdos do feed de notícias, o que demonstra que é possível uma modalidade alternativa.
( 81 ) Sob reserva da apreciação do órgão jurisdicional de reenvio, não creio que a recolha e a utilização dos dados pessoais fora do Facebook possam ser necessárias para a prestação dos serviços propostos no âmbito do perfil Facebook, de modo que o consentimento dado inicialmente para o acesso à rede social (a saber, a abertura de um perfil Facebook) possa validamente abranger o tratamento dos dados pessoais do utilizador fora do Facebook. Com efeito, nessa circunstância, a utilização dos serviços em causa estaria subordinada a um consentimento que não é necessário para a execução do contrato e, em conformidade com o artigo 7.o, n.o 4, do RGPD, o órgão jurisdicional de reenvio deverá verificar com a máxima atenção essa circunstância (que, nos termos do considerando 43 do RGPD, constitui uma presunção de invalidade do consentimento que cabe ao responsável pelo tratamento alterar na aceção do artigo 7.o, n.o 1, do RGPD). Além disso, na minha opinião, esse consentimento também não respeita a regra que impõe um consentimento separado para diferentes operações de tratamento de dados pessoais (v. terceira parte do n.o 74 das presentes conclusões), na medida em que nada liga o consentimento inicial do utilizador quando da abertura da conta Facebook a um eventual consentimento deste para o tratamento de dados pessoais fora do Facebook. Por outro lado, mesmo no caso de um eventual consentimento posterior, dado especificamente para a utilização dos dados fora do Facebook, é importante examinar se o responsável pelo tratamento oferece a escolha de um serviço equivalente que não envolva consentimento para o tratamento de dados pessoais para fins complementares [v. CEPD, Diretrizes 5/2020, de 4 de maio de 2020, relativas ao consentimento na aceção do Regulamento (UE) 2016/679 (a seguir «Diretrizes CEPD 5/2020»), ponto 37, que especificam igualmente, no ponto 38, que o responsável pelo tratamento não pode remeter para um serviço equivalente prestado por outro operador].
( 82 ) Como salienta o Governo austríaco, parece‑me decisivo constatar, a este respeito, que os diferentes produtos do grupo podem ser utilizados independentemente uns dos outros e que a utilização de cada serviço se baseia num contrato de utilização distinto. Por outro lado, como observa o Bundeskartellamt, mais do que ser considerada necessária para o funcionamento dos serviços próprios do grupo, a utilização contínua e ininterrupta desses serviços deve ser considerada um interesse do utilizador, pelo que, em princípio, se afigura mais oportuno que seja por escolha deste.
( 83 ) V., por analogia, Acórdão de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 28), relativamente à norma correspondente ao artigo 6.o, n.o 1, alínea f), do RGPD, enunciada no artigo 7.o, alínea f), da Diretiva 95/46.
( 84 ) Como salientado nas Conclusões do advogado‑geral M. Bobek no processo Fashion ID (C‑40/17, EU:C:2018:1039, n.o 122), o conceito de «interesse legítimo» no âmbito da Diretiva 95/46 parecia ser bastante flexível e aberto. Com efeito, como alega a recorrente no processo principal, o Tribunal de Justiça reconheceu vários interesses como legítimos [v., nomeadamente, Acórdãos de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.o 81), de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779, n.o 55), de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 29), de 24 de setembro de 2019, GC e o. (Supressão de referências a dados sensíveis) (C‑136/17, EU:C:2019:773, n.o 53), de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, n.o 59), e de 17 de junho de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, n.os 108 e 109)]. A mesma conclusão deve ser tirada, na minha opinião, do RGPD, cujo considerando 47 menciona, designadamente, a título ilustrativo, a situação em que o titular dos dados é um cliente ou está ao serviço do responsável pelo tratamento, o tratamento de dados pessoais para efeitos de prevenção de fraude ou para efeitos de comercialização direta, e cujo considerando 49 menciona a segurança da rede e das informações, bem como dos serviços oferecidos.
( 85 ) O que implica, a meu ver, a exigência de precisar em que interesse legítimo assenta qual operação de tratamento.
( 86 ) V. Acórdãos de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 30), e de 17 de junho de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, n.o 110).
( 87 ) V., neste sentido, Acórdãos de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 31), e de 17 de junho de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, n.o 111). A este respeito, o Tribunal de Justiça recordou que o artigo 7.o, alínea f), da Diretiva 95/46 [que corresponde ao artigo 6.o, n.o 1, alínea f), do RGPD] se opõe a que um Estado‑Membro exclua de forma categórica e generalizada a possibilidade de algumas categorias de dados pessoais serem tratadas sem permitir uma ponderação dos direitos e dos interesses opostos em questão num caso específico, precisando que um Estado‑Membro não pode assim prescrever, para essas categorias, de forma definitiva, o resultado da ponderação dos direitos e dos interesses opostos sem permitir um resultado diferente devido a circunstâncias particulares de um caso concreto (Acórdão de 19 de outubro de 2016, Breyer,C‑582/14, EU:C:2016:779, n.o 62 e jurisprudência referida).
( 88 ) O Parecer 6/2014 do Grupo de Trabalho «Artigo 29.o» fornece considerações interessantes a este respeito no seu ponto III.3.4.
( 89 ) Com efeito, segundo o considerando 49 do RGPD, o tratamento de dados pessoais, na medida estritamente necessária e proporcionada para assegurar a segurança da rede e das informações constitui um interesse legítimo do responsável pelo tratamento em causa. Pode ser esse o caso, por exemplo, quando o tratamento vise impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de códigos maliciosos. Saliento igualmente que, em conformidade com o artigo 32.o do RGPD, entre outros, o responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco e que, em conformidade com o artigo 5.o, n.o 1, alínea f), deste regulamento, os dados pessoais são tratados de uma forma que garanta a sua segurança adequada.
( 90 ) Por conseguinte, há que verificar em que medida o tratamento de dados pessoais externos ao sítio ou à aplicação Facebook se revela necessário para a segurança deste último. Embora o órgão jurisdicional de reenvio saliente, a este respeito, a possibilidade de utilização dos dados WhatsApp em função anti‑spam (utilizando informações provenientes das contas WhatsApp que enviam spam para tomar medidas contra as contas Facebook correspondentes) e de dados Instagram para revelar comportamentos duvidosos ou ilícitos, duvido que a recorrente no processo principal se possa arrogar do direito de tratar dados pessoais para finalidades de «polícia» em sentido amplo, visto que, segundo a jurisprudência do Tribunal de Justiça, no domínio (diferente mas conexo) dos dados relativos às comunicações eletrónicas, até medidas legislativas que preveem, a título preventivo, uma conservação generalizada e indiferenciada de dados de tráfego e de dados de localização não são compatíveis com a Diretiva 2002/58 [v. Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 168)]. Por outro lado, na hipótese de a necessidade de garantir a segurança da rede estar abrangida por uma exigência legal, o responsável pelo tratamento pode invocar a justificação específica prevista no artigo 6.o, n.o 1, alínea c), do RGPD.
( 91 ) Em conformidade com o artigo 6.o, n.o 1, alíneas c), d) e e), do RGPD.
( 92 ) V. n.o 48 das presentes conclusões.
( 93 ) Tendo em conta o leque amplo de interesses legítimos reconhecidos pela jurisprudência (v. n.o 60 das presentes conclusões). Por exemplo, parece‑me evidente, em princípio, que a proteção de menores possa justificar a adoção de medidas de proteção adequadas, destinadas a proibir‑lhes o acesso a conteúdos inapropriados ou perigosos.
( 94 ) Com efeito, em conformidade com o artigo 13.o, n.o 1, alíneas c) e d), do RGPD, incumbe, nomeadamente, ao responsável pelo tratamento indicar, para cada finalidade do tratamento, os interesses legítimos prosseguidos por ele próprio ou por um terceiro.
( 95 ) No Acórdão de 11 de novembro de 2020, Orange Romania (C‑61/19, EU:C:2020:901, n.os 35 e 36, e jurisprudência referida), o Tribunal de Justiça esclareceu que a redação do artigo 4.o, ponto 11, do RGPD, que define o «consentimento do titular dos dados», afigura‑se mais estrita que a do artigo 2.o, alínea h), da Diretiva 95/46, na medida em que exige uma manifestação de vontade «livre, específica, informada e explícita» do titular dos dados, sob a forma de uma declaração ou de um «ato positivo inequívoco», que comprove a sua aceitação do tratamento dos dados pessoais que lhe dizem respeito.
( 96 ) Como sublinha o CEPD, o adjetivo «livre» implica uma verdadeira escolha e controlo para os titulares dos dados (V. Diretrizes CEPD 5/2020, ponto 13). O mesmo ponto precisa, designadamente, que o consentimento não foi livre se, por um lado, o titular dos dados se sentir coagido a dar o consentimento ou sofrer consequências negativas significativas caso não dê o seu consentimento e, por outro, o consentimento estiver agregado a uma parte não negociável das condições gerais. Assim sendo, não se considera que o consentimento foi dado de livre vontade se o titular dos dados não o puder recusar nem o puder retirar sem ficar prejudicado. Neste caso, como sublinha a recorrente no processo principal, o único inconveniente que o titular dos dados tem de aceitar é que o serviço possa, eventualmente, não ter a mesma funcionalidade ou qualidade, na medida em que o tratamento dos dados para o qual o consentimento não foi dado é tecnicamente necessário para esse efeito.
( 97 ) A este respeito, as Diretrizes CEPD 5/2020 referem a fraude, a intimidação, a coação ou consequências negativas importantes caso o titular dos dados não dê o seu consentimento e recorda o ónus imputável ao responsável pelo tratamento de provar que esse titular tinha uma verdadeira liberdade de escolha no que respeita à concessão e à retirada do consentimento (ponto 47).
( 98 ) Além das situações relativas às relações com as autoridades públicas e às relações de trabalho, evocadas no considerando 43, que não são pertinentes no presente processo, o ponto 24 das Diretrizes CEPD 5/2020 evoca nomeadamente situações em que o titular dos dados não está em condições de efetuar uma verdadeira escolha ou em que existe um risco de fraude, intimidação, coação ou consequências negativas importantes (por exemplo, custos adicionais substanciais) se o consentimento for recusado.
( 99 ) Esta questão remete, em parte, para a que é objeto da primeira parte da terceira questão prejudicial (v. n.os 53 a 57 das presentes conclusões). O considerando 43, segundo período, do RGPD especifica que, nessa situação, se presume que o consentimento não foi dado livremente (segundo o ponto 26 das Diretrizes CEPD 5/2020, ao fazê‑lo, o RGPD assegura que o tratamento dos dados pessoais relativamente ao qual se solicita o consentimento não pode ser direta ou indiretamente a contrapartida da execução de um contrato), sendo que a utilização da expressão «presume‑se» indica claramente que os casos em que o consentimento é válido só ocorrerão muito excecionalmente (v. ponto 35 destas diretrizes). Além disso, atendendo à utilização da expressão «designadamente», o artigo 7.o, n.o 4, do RGPD foi redigido de forma não exaustiva, o que significa que pode haver uma variedade de outras situações que se enquadram nesta disposição, incluindo qualquer pressão ou influência desadequada exercida sobre o titular dos dados e que o impeça de exercer a sua vontade (Diretrizes CEPD 5/2020, ponto 14).
( 100 ) O considerando 32 do RGPD precisa, nomeadamente, que o consentimento dado deverá ser válido para todas as atividades de tratamento com as mesmas finalidades e que, caso o tratamento tenha várias finalidades, o consentimento deverá ser dado para o conjunto dessas atividades. A este respeito, as Diretrizes CEPD 5/2020 referem‑se à «granularidade» do consentimento enquanto obstáculo à sua liberdade (ponto 44).
( 101 ) Essa situação favorece nomeadamente a imposição dos requisitos que não são necessários para a execução do contrato (v. n.os 53 a 57 das presentes conclusões).
( 102 ) Por outras palavras, como salienta a Comissão, o grau de poder de mercado relativo da empresa, que é crítico para a validade do consentimento por força do RGPD, não pode ser necessariamente equiparado ao limiar de posição dominante no mercado na aceção do artigo 102.o TFUE.
( 103 ) Evidentemente, embora a existência de uma posição dominante não se oponha, por si só, à possibilidade de se dar um consentimento livre ao tratamento de dados pessoais, a inexistência de tal posição não basta, por si só, para garantir, em todas as circunstâncias, que esse consentimento é validamente prestado.