1.

«A sua privacidade é importante para nós. Utilizamos cookies para melhorar a sua experiência como utilizador. Verifique as preferências de privacidade. Aceitar tudo/Definições. Consulte a nossa política de privacidade e a política de cookies ( 2 )».

2.

Uma mensagem semelhante será exibida em qualquer sítio Internet visitado.

3.

Tal deve‑se ao Regulamento Geral sobre a Proteção de Dados (a seguir «RGPD») ( 3 ), que se tornou o principal instrumento de proteção de dados pessoais na União Europeia.

4.

O RGPD também é exibido nos órgãos jurisdicionais nacionais? Mais especificamente, é aplicável à obrigação de divulgação no âmbito de um processo cível num órgão jurisdicional nacional? Em caso afirmativo, quais são as obrigações que dele decorrem para esses órgãos jurisdicionais? São estas as questões que o Tribunal de Justiça é convidado a clarificar no presente processo.

5.

Estas questões foram suscitadas no âmbito de um processo no órgão jurisdicional de reenvio, o Högsta domstolen (Supremo Tribunal, Suécia). Os factos na origem do litígio são, em síntese, os seguintes. A Norra Stockholm Bygg AB (a seguir «Fastec»), recorrente no processo principal, procedeu à construção de um edifício de escritórios para a Per Nycander AB (a seguir «Nycander»), recorrida no processo principal. Os empregados encarregados da obra ao abrigo do respetivo contrato marcavam a sua presença num registo eletrónico de pessoal para efeitos de tributação. O registo do pessoal era fornecido pela Entral AB, atuando por conta da Fastec.

6.

O processo principal foi instaurado com base num litígio relativo à indemnização devida pelos trabalhos realizados. A Nycander impugnou o pedido de pagamento apresentado pela Fastec [que ascendia a pouco mais de 2000000 de coroas suecas (SEK), aproximadamente 190133 euros], alegando que o tempo despendido pela Fastec na realização do trabalho foi inferior ao período visado pelo pedido da Fastec.

7.

Para este efeito, a Nycander pediu à Entral que apresentasse o registo do pessoal que mantinha em nome da Fastec. A Fastec opõe‑se a este pedido, alegando que essa divulgação violaria o RGPD, uma vez que os dados solicitados foram recolhidos para outra finalidade, pelo que não podem ser utilizados como elemento de prova no âmbito do processo principal.

8.

O Tingsrätt (Tribunal de Primeira Instância, Suécia) ordenou à Entral que apresentasse o registo, e esta decisão foi confirmada em sede de recurso pelo Svea hovrätt (Tribunal de Recurso de Svea, Estocolmo, Suécia).

9.

A Fastec interpôs recurso da decisão proferida pelo Svea hovrätt (Tribunal de Recurso de Svea, Estocolmo) para o Högsta domstolen (Supremo Tribunal), pedindo a este órgão jurisdicional que indeferisse o pedido de divulgação da Nycander ou, a título subsidiário, que ordenasse a apresentação de uma versão anonimizada do registo do pessoal. Foi no âmbito deste processo que o Högsta domstolen (Supremo Tribunal) apresentou um pedido de decisão prejudicial ao Tribunal de Justiça com as seguintes questões prejudiciais:

10.

No âmbito do litígio, foram apresentadas ao Tribunal de Justiça observações escritas pela Fastec, pelos Governos checo, polaco e sueco e pela Comissão Europeia. A Nycander, os Governos polaco e sueco e a Comissão foram ouvidos em alegações na audiência realizada em 27 de junho de 2022.

11.

O artigo 5.o do RGPD define os princípios que qualquer tratamento de dados pessoais deve respeitar:

«1.   Os dados pessoais são:

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

12.

O artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento», prevê, nos seus n.os 1, 3 e 4, o seguinte:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

[…]

[…]

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4.   Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

13.

Além disso, o artigo 23.o, n.o 1, do RGPD regulamenta as limitações de direitos e obrigações decorrentes do regulamento:

«1.   O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

[…]»

14.

O primeiro parágrafo, do n.o 2, do capítulo 38, do rättegångsbalken (Código de Processo Civil; a seguir «RB») prevê que qualquer pessoa que esteja na posse de um documento escrito suscetível de ter valor probatório é obrigada a apresentar esse documento. O segundo parágrafo dessa mesma disposição prevê exceções à referida obrigação, nomeadamente no que diz respeito aos advogados, médicos, psicólogos, padres e outros funcionários a quem tenha sido confiada informação no exercício da sua profissão ou equivalente. O n.o 4, do capítulo 38, do RB confere a um órgão jurisdicional o poder de ordenar a divulgação de um documento escrito como elemento de prova.

15.

Segundo o órgão jurisdicional de reenvio, ao apreciar a questão de saber se uma pessoa deve ser obrigada a apresentar um documento, o órgão jurisdicional deve ponderar a pertinência do elemento de prova em relação ao interesse da parte contrária em não comunicar essa informação. No entanto, conforme refere o órgão jurisdicional de reenvio, tal não implica ter em conta o caráter privado das informações divulgadas.

16.

O RGPD é o principal ato da União que regula a proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. Ao contrário da sua antecessora, a Diretiva 95/46/CE ( 4 ), o RGPD foi adotado com base no artigo 16.o TFUE ( 5 ). Esta base jurídica habilitava o legislador da União a salvaguardar o direito fundamental à proteção de dados pessoais, previsto no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») ( 6 ).

17.

Nos casos em que os dados pessoais são objeto de tratamento, o RGPD atribui a responsabilidade pelo seu cumprimento ao «responsável pelo tratamento» ( 7 ). Em todas as situações de tratamento de dados pessoais, importa, portanto, determinar quem é o responsável pelo tratamento.

18.

Em conformidade com o artigo 4.o, n.o 7, do RGPD, o responsável pelo tratamento é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que determina as finalidades e os meios desse tratamento.

19.

No caso em apreço, verificaram‑se duas situações distintas de tratamento de dados pessoais. O primeiro tratamento diz respeito ao registo eletrónico do pessoal mantido pela Entral por conta da Fastec, estando esta última sujeita a uma obrigação, decorrente do direito sueco, a recolher dados sobre as horas de trabalho efetuadas para efeitos de tributação. Neste contexto, a Fastec é o responsável pelo tratamento e a Entral é o subcontratante ( 8 ).

20.

É facto assente que este primeiro tratamento estava em conformidade com o RGPD. Especificamente, o artigo 6.o, n.o 1, alínea c), permite o tratamento de dados pessoais necessários para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento, neste caso a Fastec, está sujeito ( 9 ). Certamente, se esse primeiro tratamento fosse considerado ilícito à luz do RGPD, o tratamento desses dados para outra finalidade diferente daquela para a qual foram recolhidos seria, por conseguinte, igualmente ilícito ( 10 ).

21.

O interesse do presente processo reside, no entanto, no segundo tratamento (para outra finalidade) dos mesmos dados originalmente recolhidos para efeitos de tributação. A nova finalidade é a divulgação, pela Entral, do registo do pessoal como meio de prova no âmbito do processo cível que opõe a Fastec à Nycander. A apresentação desse registo para efeitos de utilização no âmbito de uma ação cível implica necessariamente um tratamento de dados pessoais.

22.

No âmbito deste segundo tratamento, os papéis, ao abrigo do RGPD, são alterados face ao primeiro tratamento. Sobretudo, ao ordenar à Entral a apresentação do registo do pessoal (a seguir «decisão de divulgação de dados»), o órgão jurisdicional nacional é a entidade que determina as finalidades e os meios do segundo tratamento de dados ( 11 ). Este órgão jurisdicional torna‑se, portanto, responsável pelo tratamento ( 12 ).

23.

No âmbito do segundo tratamento, a Fastec pode ser vista ainda como responsável pelo tratamento, ou então como tendo trocado de papel: sendo agora destinatário dos dados, juntamente com a Nycander ( 13 ). Todavia, mesmo que a Fastec continue a ser responsável pelo tratamento em conjunto com o órgão jurisdicional nacional ( 14 ), tal não deve influenciar as obrigações do órgão jurisdicional nacional enquanto responsável pelo tratamento ( 15 ). Por último, o papel da Entral não muda. Continua a ser o subcontratante e a ocupar‑se do tratamento dos mesmos dados pessoais, mas agora em nome do novo responsável pelo tratamento, a saber, o órgão jurisdicional nacional.

24.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o órgão jurisdicional nacional pode efetivamente tornar‑se responsável pelo tratamento ao abrigo do RGPD e, nesse caso, se este regulamento impõe requisitos à legislação processual nacional no que respeita às competências e obrigações dos órgãos jurisdicionais no âmbito de um processo cível. Se o RGPD for aplicável e o órgão jurisdicional nacional for o responsável pelo tratamento, o órgão jurisdicional de reenvio pergunta, com a sua segunda questão, de que modo o juiz nacional deve decidir sobre a divulgação de dados pessoais quando estes se destinam a ser utilizados como elemento de prova em processos cíveis.

25.

Para responder às questões submetidas pelo órgão jurisdicional de reenvio, proponho‑me a adotar a seguinte abordagem. Em primeiro lugar, explicarei as razões pelas quais considero que o RGPD é aplicável aos processos cíveis que correm nos órgãos jurisdicionais dos Estados‑Membros e em que medida isso influencia a legislação processual em vigor nos Estados‑Membros (B). Em seguida, debruçar‑me‑ei sobre a metodologia que os órgãos jurisdicionais nacionais devem aplicar, enquanto responsáveis pelo tratamento de dados, de modo a cumprir os requisitos do RGPD (C).

26.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta essencialmente se o RGPD se aplica aos processos judiciais cíveis e qual a sua influência nas regras processuais pertinentes. Mais especificamente, interroga‑se sobre se o regulamento afeta as normas nacionais que regem as competências e as obrigações dos órgãos jurisdicionais no sentido de ordenar a divulgação de provas documentais. A resposta a esta questão abrange três fases.

27.

O âmbito de aplicação material do RGPD é definido no artigo 2.o, n.o 1, e adota uma abordagem funcional e não institucional. É saber o quê (a atividade de tratamento de dados pessoais) e não quem, que determina a aplicabilidade do regulamento ( 16 ).

28.

As situações excluídas do âmbito do RGPD, enunciadas no artigo 2.o, n.o 2, têm igualmente caráter funcional. Uma vez que constituem uma exceção à aplicação do RGPD, o Tribunal de Justiça considerou que devem ser interpretadas de modo restritivo ( 17 ).

29.

As atividades das autoridades públicas não estão, portanto, excluídas do âmbito de aplicação do RGPD enquanto tal, mas apenas em relação às atividades enunciadas no artigo 2.o, n.o 2, do regulamento ( 18 ). A este respeito, a referida disposição não exclui as atividades judiciais em processos cíveis do âmbito de aplicação material do RGPD.

30.

A conclusão de que o RGPD se aplica às atividades judiciais é corroborada pelo considerando 20 do RGPD ( 19 ), segundo o qual este ato é aplicável às atividades dos tribunais e de outras autoridades judiciais ( 20 ).

31.

A exclusão da competência das autoridades de controlo em relação aos tribunais que atuem no exercício da sua função jurisdicional, prevista no artigo 55.o, n.o 3, do RGPD, não põe em causa a conclusão anterior. Muito pelo contrário, a meu ver, esta disposição confirma que os referidos tribunais estão sujeitos às obrigações decorrentes do RGPD. Tal garante a sua independência e imparcialidade ao proibir a supervisão por parte de entidades de controlo das suas operações de tratamento.

32.

O presente processo incide sobre o tratamento de dados pessoais, que é abrangido pelo âmbito de aplicação material do RGPD. A criação e manutenção do registo eletrónico do pessoal dizem respeito ao tratamento de dados pessoais ( 21 ). Do mesmo modo, ordenar a divulgação desses dados pessoais no âmbito de uma ação cível corresponde ao tratamento desses dados ( 22 ). Assim, a situação em causa no processo principal encontra‑se abrangida pelo âmbito de aplicação material do RGPD.

33.

Qual a relevância disto para a aplicação das regras processuais nacionais, como é o caso do RB?

34.

A base jurídica para a adoção da decisão de divulgação de dados em causa no presente processo é o RB.

35.

Com efeito, o RGPD exige que o tratamento de dados numa situação como a do caso em apreço tenha como base jurídica o direito do Estado‑Membro (ou da União) ( 23 ).

36.

Tendo sido inicialmente recolhidos e tratados para efeitos de tributação, por força da decisão de divulgação de dados no âmbito do presente processo, os dados em causa passam agora a ser tratados para efeitos probatórios em processo judicial.

37.

O artigo 6.o, n.o 4, do RGPD permite o tratamento de dados para outra finalidade diferente daquela para a qual foram recolhidos com base no direito do Estado‑Membro, o que constitui uma medida necessária numa sociedade democrática para salvaguardar os objetivos previstos no artigo 23.o, n.o 1, do RGPD. Entre esses objetivos, o artigo 23.o, n.o 1, alínea f), enumera «[a] defesa da independência judiciária e dos processos judiciais».

38.

Todas as partes no presente pedido de decisão prejudicial concordam que o artigo 23.o, n.o 1, alínea f), do RGPD é a disposição adequada para justificar o tratamento de dados para outra finalidade com base no RB ( 24 ).

39.

O RB habilita os órgãos jurisdicionais nacionais a ordenar a divulgação de documentos que tenham valor probatório no âmbito de um processo cível. Conforme referido, se um documento que deve ser divulgado contiver dados pessoais, o órgão jurisdicional que profere uma decisão nesse sentido torna‑se responsável pelo tratamento ao abrigo do RGPD.

40.

Conforme salientou a Comissão na audiência, o órgão jurisdicional nacional é apenas, em certa medida, um responsável pelo tratamento de direito comum. Nomeadamente, os órgãos jurisdicionais nacionais só podem tratar dados no exercício da sua autoridade pública.

41.

Quando o tratamento de dados ocorre no exercício de autoridade pública ( 25 ), o artigo 6.o, n.o 3, do RGPD exige que seja efetuado com base no direito da União ou do Estado‑Membro.

42.

Por conseguinte, tanto o artigo 6.o, n.o 4, do RGPD (que autoriza o tratamento para outra finalidade), como o artigo 6.o, n.o 3 (que permite o tratamento de dados no exercício de autoridade pública), exigem que o tratamento tenha como base jurídica o direito nacional (ou da União) ( 26 ).

43.

O RB que habilita o órgão jurisdicional a adotar a decisão de divulgação de dados é, portanto, uma condição necessária para a licitude do tratamento em causa.

44.

Se subsistir a base jurídica exigida pelo RGPD e a decisão referente ao tratamento de dados pessoais for proferida em conformidade com o direito do Estado‑Membro, pode considerar‑se que o referido regulamento cumpre os requisitos do tratamento lícito?

45.

Considero que a existência de uma base jurídica no direito nacional, embora necessária, não é suficiente para que a decisão de divulgação de dados esteja em conformidade com o RGPD.

46.

O órgão jurisdicional de reenvio explicou que, ao abrigo do RB, em princípio não é tido em conta o caráter privado das informações na tomada de decisões relativas à divulgação dos elementos de prova. O juiz é obrigado a ter em consideração os interesses das duas partes opostas, mas a própria lei não refere que os interesses dos titulares dos dados tenham algum peso na decisão.

47.

O RB é incompatível com o RGPD, na medida em que não obriga expressamente os órgãos jurisdicionais que se tornam responsáveis pelo tratamento, a ter em consideração os interesses dos titulares dos dados ao adotarem decisões suscetíveis de influenciar os seus dados pessoais?

48.

Na minha opinião, esse não é o caso. Há que ter em conta que diferentes atos nacionais que servem de base jurídica para o tratamento de dados não foram adotados especificamente aquando da aplicação do RGPD, mas têm finalidades próprias. Além disso, o RGPD é diretamente aplicável nas ordens jurídicas dos Estados‑Membros, e não carece de transposição. O que importa, portanto, é que, quando as regras processuais nacionais e o RGPD se cruzam, as primeiras abrem espaço para uma aplicação simultânea do último.

49.

Na audiência, o Governo sueco confirmou que o RB não exige, mas também não proíbe, que os órgãos jurisdicionais tenham em consideração os interesses dos titulares dos dados. Por conseguinte, não se opõe à aplicação direta do RGPD ao processo judicial regido por esse código.

50.

Os órgãos jurisdicionais nacionais estão, portanto, paralelamente sujeitos às regras processuais nacionais e ao RGPD, este último complementando as regras nacionais nos casos em que as atividades processuais dos órgãos jurisdicionais impliquem o tratamento de dados pessoais.

51.

Para concluir, a legislação nacional não precisa de se referir expressamente ao RGPD nem obrigar os órgãos jurisdicionais a ter em consideração os interesses dos titulares dos dados. Basta que tal legislação permita uma aplicação complementar do RGPD. Só se assim não fosse é que o ato nacional seria contrário ao RGPD. O RB, no entanto, parece permitir uma aplicação complementar do RGPD ( 27 ).

52.

De forma a dar uma resposta à primeira questão submetida pelo órgão jurisdicional de reenvio, concluo, portanto, que o artigo 6.o, n.os 3 e 4, do RGPD impõe requisitos à legislação processual nacional relativa às obrigações de divulgação, sempre que tal implique um tratamento de dados pessoais. A legislação processual nacional não pode impedir, nesse caso, que sejam tidos em consideração os interesses dos titulares dos dados. Esses interesses serão salvaguardados se os órgãos jurisdicionais nacionais cumprirem as regras do RGPD ao decidirem sobre a divulgação de provas documentais num caso concreto.

53.

Uma vez abrangidos pelo RGPD, os órgãos jurisdicionais nacionais devem, enquanto responsáveis pelo tratamento de dados, ter em consideração os interesses dos titulares de dados. De que forma devem esses interesses ser tidos em conta na adoção de uma decisão concreta relativa à divulgação? Este é, em substância, o cerne da segunda questão submetida pelo órgão jurisdicional de reenvio.

54.

Os interesses dos titulares dos dados serão protegidos quando o tratamento dos seus dados pessoais estiver em conformidade com os artigos 5.o e 6.o do RGPD ( 28 ). Segundo o advogado‑geral P. Pikamäe, a conformidade com os artigos 5.o e 6.o do RGPD assegura a proteção do direito à vida privada e familiar e a proteção de dados pessoais, conforme consagrados, respetivamente, pelos artigos 7.o e 8.o da Carta ( 29 ).

55.

Os objetivos legítimos do tratamento encontram‑se enumerados no artigo 6.o do RGPD ( 30 ). Conforme referido na secção anterior das presentes conclusões, o tratamento no caso em apreço prossegue uma finalidade lícita, uma vez que o órgão jurisdicional exerceu a sua autoridade pública ao ordenar a divulgação com base no direito nacional que permite assegurar o bom desenrolar dos processos judiciais. No entanto, tanto o artigo 6.o, como o artigo 5.o do RGPD, exigem não apenas um objetivo legítimo, mas também que um tratamento específico seja necessário para a consecução desse objetivo.

56.

O RGPD exige, portanto, que o órgão jurisdicional proceda a uma análise da proporcionalidade ao decidir se a divulgação de dados pessoais num caso concreto é necessária para fins probatórios no âmbito de um processo judicial ( 31 ).

57.

A este respeito, o artigo 6.o, n.o 4, do RGPD exige que o direito nacional em que se baseia o tratamento para outra finalidade constitua uma medida necessária e proporcionada para salvaguardar um dos objetivos referidos no artigo 23.o, n.o 1, do RGPD, neste caso, a defesa da independência judiciária e dos processos judiciais. Além disso, o artigo 6.o, n.o 3 do RGPD exige que o tratamento efetuado no exercício da autoridade pública deve ser necessário ao exercício de tal autoridade pública de que está investido o responsável pelo tratamento.

58.

O direito nacional que serve de base ao tratamento é suscetível, em abstrato, de cumprir os requisitos do artigo 6.o, n.os 3 e 4, do RGPD. Ainda assim, a licitude de cada tratamento individual de dados (incluindo uma decisão judicial específica de divulgação de dados) depende da ponderação concreta de todos os interesses presentes, tendo em conta o objetivo legítimo para o qual a divulgação é solicitada ( 32 ). Só assim pode o órgão jurisdicional nacional decidir se e em que medida a divulgação é necessária.

59.

Daqui resulta que o RGPD exige uma análise da proporcionalidade. O RGPD facilita a resposta a dar à questão de saber quais as medidas concretas que o órgão jurisdicional deve adotar ao proceder a tal análise?

60.

A análise de proporcionalidade, conforme referido, deve ser realizada em cada caso concreto, tendo em consideração todos os interesses presentes. Em situações como a do caso em apreço, os interesses subjacentes à divulgação devem ser confrontados com a ingerência no direito à proteção de dados pessoais ( 33 ).

61.

Os interesses subjacentes à divulgação refletem o direito a uma tutela jurisdicional efetiva (artigo 47.o da Carta). Os interesses dos titulares dos dados, com os quais o primeiro direito entra em conflito, refletem o direito à vida privada e familiar (artigo 7.o da Carta) e o direito à proteção de dados pessoais (artigo 8.o da Carta). São estes os direitos que devem ser ponderados para decidir se a divulgação de dados pessoais é necessária.

62.

No que se segue, apresentarei algumas propostas sobre as medidas específicas que o órgão jurisdicional nacional deverá adotar.

63.

Antes de mais, pode sempre presumir‑se que os titulares dos dados que não tenham dado o seu consentimento têm interesse em limitar o tratamento dos seus dados pessoais. Essa é, portanto, a posição inicial que o órgão jurisdicional nacional deve assumir por defeito: a de justificar a razão pela qual se deve lesar esse interesse.

64.

Na minha opinião, as instruções para a realização desta avaliação podem ser encontradas no artigo 5.o do RGPD, que contém os princípios que o responsável pelo tratamento deve respeitar no tratamento de dados pessoais.

65.

A este respeito, o princípio da minimização dos dados que figura no artigo 5.o, n.o 1, alínea c), do RGPD, é de extrema importância. Constitui, conforme afirma o Tribunal de Justiça ( 34 ), uma expressão de proporcionalidade. Exige que os dados pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

66.

A primeira questão consiste, portanto, em saber se os dados que figuram no registo do pessoal da Entral são adequados. Estes serão adequados à finalidade a que se destina a sua divulgação, desde que permitam constatar efetivamente o número de horas de trabalho despendidas pelos colaboradores da Fastec no local de construção.

67.

A segunda questão é a de saber se os dados constantes do registo do pessoal da Entral são pertinentes para a finalidade para a qual são solicitados. A finalidade prende‑se aparentemente com o interesse da Nycander em provar a sua tese segundo a qual os empregados da Fastec trabalharam menos horas do que as declaradas na fatura. Em tais circunstâncias, o registo do pessoal seria pertinente caso pudesse efetivamente provar ou refutar tal alegação. O órgão jurisdicional nacional deve apreciar a sua pertinência à luz de outros factos do processo (por exemplo, a alegação da Fastec de que o registo do pessoal contém apenas uma parte das horas de trabalho pertinentes, sendo que as restantes foram despendidas fora do local de construção).

68.

Para responder ao terceiro requisito da minimização dos dados, o órgão jurisdicional nacional deve verificar se todos ou apenas alguns dos dados contidos no registo são suficientes para efeitos probatórios. Além disso, se existirem outras formas de demonstrar o mesmo facto, a minimização dos dados exige que sejam utilizadas essas outras formas. Por exemplo, o órgão jurisdicional nacional pode ter de apreciar a alegação da Fastec de que as horas efetivas de trabalho são suscetíveis de ser verificadas por referência a documentos que já fazem parte dos autos do processo no órgão jurisdicional de reenvio. Constatando a veracidade desta afirmação, o órgão jurisdicional nacional não pode ordenar a divulgação de dados pessoais constantes do registo do pessoal.

69.

O órgão jurisdicional nacional deve determinar que tipos de dados pessoais do registo são suficientes para provar ou refutar os factos pertinentes. A esse respeito, o princípio da minimização dos dados exige que apenas os dados estritamente necessários para a finalidade em questão sejam divulgados. Por conseguinte, poderá revelar‑se necessário que a Entral, enquanto subcontratante, modifique o registo do pessoal de modo a limitar os dados pessoais ao mínimo necessário, permitindo ao mesmo tempo chegar a uma conclusão quanto às horas efetivas de trabalho.

70.

A este respeito, o órgão jurisdicional nacional deve verificar se é necessário que as pessoas cujos dados constam do registo sejam identificáveis para que a divulgação tenha valor probatório (por exemplo, se for necessário notificar trabalhadores numa base casuística para que sirvam de testemunha). Caso contrário, pode ser suficiente dispor das informações relativas ao número total de horas despendidas no local de construção e/ou o número de pessoas que trabalharam essas horas.

71.

Em função das respostas dadas às questões anteriores, o órgão jurisdicional pode decidir pedir a divulgação de dados pseudonimizados ou anonimizados ( 35 ).

72.

Em conformidade com o considerando 26 do RGPD, os dados que tenham sido pseudonimizados, continuam a ser abrangidos pelo âmbito de aplicação material do referido regulamento. Isto porque ainda é possível identificar a pessoa por trás do pseudónimo. No que diz respeito aos dados anonimizados, que estão excluídos do seu âmbito de aplicação, verifica‑se o contrário. O modo de divulgação ordenado, em última análise, pelo órgão jurisdicional nacional também terá incidência na posterior aplicabilidade do RGPD ( 36 ).

73.

Em última análise, caberá ao órgão jurisdicional nacional verificar o valor probatório das diferentes versões do registo do pessoal, a fim de decidir que tipo de minimização de dados, se for caso disso, é necessária para o bom termo do processo judicial que foi submetido à sua apreciação.

74.

Além do princípio da minimização de dados que figura no artigo 5.o, n.o 1, alínea c), do RGPD, outros princípios constantes do artigo 5.o do RGPD também vinculam o órgão jurisdicional nacional e são pertinentes para determinar o método de adoção da decisão de divulgação de dados.

75.

Por exemplo, o artigo 5.o, n.o 1, alínea a), do RGPD, além de remeter para o princípio da licitude (aprofundado no artigo 6.o do mesmo), menciona também o princípio da transparência. Na minha opinião, este princípio exige que o órgão jurisdicional nacional justifique claramente a sua decisão de ordenar a divulgação de dados pessoais, nomeadamente indicando a forma como ponderou os diferentes interesses e os argumentos das partes relativos à divulgação.

76.

A fundamentação adequada no âmbito da decisão de divulgação de dados também satisfaz o requisito do artigo 5.o, n.o 2, do RGPD, ao exigir que o responsável pelo tratamento possa demonstrar a conformidade com os princípios estabelecidos no artigo 5.o, n.o 1, do mesmo.

77.

A forma de cumprimento dos princípios do artigo 5.o do RGPD também pode ser lida no considerando 31 do RGPD. Exige que os «pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros».

78.

Uma preocupação relativa à avaliação da proporcionalidade pelo órgão jurisdicional nacional foi suscitada pelo Governo polaco: se o órgão jurisdicional nacional deve avaliar o valor probatório do registo do pessoal ou outro elemento de prova no processo que lhe é submetido, não estará a interferir demasiado no que deveria continuar a ser o papel das partes, ou seja, tentar vencer o debate quanto ao próprio valor probatório de tal prova?

79.

Na minha opinião, a apreciação do valor probatório, que toma em consideração os interesses dos titulares dos dados, não implica uma maior interferência no processo do que a apreciação do valor probatório de qualquer outro elemento de prova no âmbito de um processo cível ( 37 ).

80.

O nível de ingerência do órgão jurisdicional nacional dependerá do caráter evidente do valor probatório dos dados cuja divulgação se pede nas circunstâncias do caso concreto. Saber em que medida a divulgação pode interferir nos interesses dos titulares dos dados deve ser apreciado caso a caso.

81.

Por exemplo, em alguns casos poderá tratar‑se de dados sensíveis que beneficiam de um regime especial de proteção ao abrigo do artigo 9.o do RGPD, ou de dados relacionados com condenações penais pertencentes ao regime do artigo 10.o do mesmo. Em tais situações, os interesses dos titulares dos dados terão necessariamente mais peso no exercício de ponderação ( 38 ). Da mesma forma, o interesse de divulgação pode diferir caso a caso. Embora às vezes fique claro que a pertinência da prova solicitada é marginal, noutras situações afigura‑se fundamental para a determinação do desenlace do processo. A este respeito, é válido o argumento da Comissão de que o órgão jurisdicional nacional deve dispor de uma ampla margem ao proceder a essas apreciações. No entanto, nunca deve ser exonerado da obrigação de ter em consideração os interesses dos titulares dos dados.

82.

O Governo checo manifestou outra preocupação: impor obrigações aos órgãos jurisdicionais nacionais no sentido de terem em consideração os interesses dos titulares dos dados sempre que ordenam a divulgação de provas documentais prejudicaria o bom funcionamento dos processos judiciais. O RGPD introduz efetivamente uma obrigação suplementar ( 39 ) para os órgãos jurisdicionais procederem à fiscalização da proporcionalidade antes de ordenarem a divulgação de provas documentais contendo dados pessoais. Contudo, nem a ponderação de interesses constitui um exercício intelectual excecional para os órgãos jurisdicionais, nem o ónus que recai sobre os órgãos jurisdicionais nacionais é diferente do ónus que incumbe a qualquer responsável pelo tratamento ao abrigo do RGPD.

83.

Para que os cidadãos da União beneficiem de um elevado nível de proteção dos seus dados pessoais, em conformidade com a escolha do legislador da União expressa no RGPD, a consideração dos interesses dos titulares dos dados não pode ser vista como um encargo excessivo imposto aos órgãos jurisdicionais dos Estados‑Membros.

84.

Proponho, portanto, que o Tribunal de Justiça responda à segunda questão do órgão jurisdicional de reenvio da seguinte forma: ao decidir sobre a divulgação de dados no âmbito de um processo cível que implica o tratamento de dados pessoais, o órgão jurisdicional nacional deve proceder a uma análise da proporcionalidade que tenha em conta os interesses dos titulares de dados cujos dados pessoais devem ser tratados e ponderá‑los em relação ao interesse das partes no sentido de obtenção de provas. Esta apreciação da proporcionalidade é orientada pelos princípios enunciados no artigo 5.o do RGPD, nomeadamente pelo princípio da minimização dos dados.

85.

À luz das considerações precedentes, proponho que o Tribunal de Justiça responda às duas questões prejudiciais submetidas pelo Högsta domstolen (Supremo Tribunal, Suécia) da seguinte forma: