CONCLUSÕES DA ADVOGADA‑GERAL

TAMARA ĆAPETA

apresentadas em 6 de outubro de 2022 ( 1 )

Processo C‑268/21

Norra Stockholm Bygg AB

contra

Per Nycander AB,

sendo interveniente:

Entral AB

[pedido de decisão prejudicial apresentado pelo Högsta domstolen (Supremo Tribunal, Suécia)]

«Reenvio prejudicial — Regulamento (UE) 2016/679 — Proteção de dados pessoais — Artigo 6.o, n.os 3 e 4 — Tratamento de dados pessoais — Artigo 23.o, n.o 1, alínea f) — Defesa da independência judiciária e dos processos judiciais — Pedido da recorrida no âmbito de um processo cível para ordenar à recorrente a apresentação de informações quanto ao horário de trabalho dos seus empregados»

I. Introdução

1.

«A sua privacidade é importante para nós. Utilizamos cookies para melhorar a sua experiência como utilizador. Verifique as preferências de privacidade. Aceitar tudo/Definições. Consulte a nossa política de privacidade e a política de cookies ( 2 )».

2.

Uma mensagem semelhante será exibida em qualquer sítio Internet visitado.

3.

Tal deve‑se ao Regulamento Geral sobre a Proteção de Dados (a seguir «RGPD») ( 3 ), que se tornou o principal instrumento de proteção de dados pessoais na União Europeia.

4.

O RGPD também é exibido nos órgãos jurisdicionais nacionais? Mais especificamente, é aplicável à obrigação de divulgação no âmbito de um processo cível num órgão jurisdicional nacional? Em caso afirmativo, quais são as obrigações que dele decorrem para esses órgãos jurisdicionais? São estas as questões que o Tribunal de Justiça é convidado a clarificar no presente processo.

II. Matéria de facto no processo principal e questões prejudiciais

5.

Estas questões foram suscitadas no âmbito de um processo no órgão jurisdicional de reenvio, o Högsta domstolen (Supremo Tribunal, Suécia). Os factos na origem do litígio são, em síntese, os seguintes. A Norra Stockholm Bygg AB (a seguir «Fastec»), recorrente no processo principal, procedeu à construção de um edifício de escritórios para a Per Nycander AB (a seguir «Nycander»), recorrida no processo principal. Os empregados encarregados da obra ao abrigo do respetivo contrato marcavam a sua presença num registo eletrónico de pessoal para efeitos de tributação. O registo do pessoal era fornecido pela Entral AB, atuando por conta da Fastec.

6.

O processo principal foi instaurado com base num litígio relativo à indemnização devida pelos trabalhos realizados. A Nycander impugnou o pedido de pagamento apresentado pela Fastec [que ascendia a pouco mais de 2000000 de coroas suecas (SEK), aproximadamente 190133 euros], alegando que o tempo despendido pela Fastec na realização do trabalho foi inferior ao período visado pelo pedido da Fastec.

7.

Para este efeito, a Nycander pediu à Entral que apresentasse o registo do pessoal que mantinha em nome da Fastec. A Fastec opõe‑se a este pedido, alegando que essa divulgação violaria o RGPD, uma vez que os dados solicitados foram recolhidos para outra finalidade, pelo que não podem ser utilizados como elemento de prova no âmbito do processo principal.

8.

O Tingsrätt (Tribunal de Primeira Instância, Suécia) ordenou à Entral que apresentasse o registo, e esta decisão foi confirmada em sede de recurso pelo Svea hovrätt (Tribunal de Recurso de Svea, Estocolmo, Suécia).

9.

A Fastec interpôs recurso da decisão proferida pelo Svea hovrätt (Tribunal de Recurso de Svea, Estocolmo) para o Högsta domstolen (Supremo Tribunal), pedindo a este órgão jurisdicional que indeferisse o pedido de divulgação da Nycander ou, a título subsidiário, que ordenasse a apresentação de uma versão anonimizada do registo do pessoal. Foi no âmbito deste processo que o Högsta domstolen (Supremo Tribunal) apresentou um pedido de decisão prejudicial ao Tribunal de Justiça com as seguintes questões prejudiciais:

«1)

O artigo 6.o, n.os 3 e 4, do Regulamento Geral sobre a Proteção de Dados (RGPD) impõe igualmente requisitos à legislação processual nacional relativa à obrigação de apresentação de documentos?

2)

Em caso de resposta afirmativa à primeira questão, o RGPD implica que, ao apreciar a questão de saber se deve ser ordenada a apresentação de um documento com dados pessoais, sejam também tomados em conta os interesses dos titulares dos dados? Em tal caso, o direito da União impõe requisitos quanto ao modo, em concreto, como essa apreciação deve ser feita?»

10.

No âmbito do litígio, foram apresentadas ao Tribunal de Justiça observações escritas pela Fastec, pelos Governos checo, polaco e sueco e pela Comissão Europeia. A Nycander, os Governos polaco e sueco e a Comissão foram ouvidos em alegações na audiência realizada em 27 de junho de 2022.

III. Quadro jurídico

A.   Direito da União

11.

O artigo 5.o do RGPD define os princípios que qualquer tratamento de dados pessoais deve respeitar:

«1.   Os dados pessoais são:

a)

Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b)

Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 (“limitação das finalidades”);

c)

Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d)

Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e)

Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”);

f)

Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”).

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

12.

O artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento», prevê, nos seus n.os 1, 3 e 4, o seguinte:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

c)

O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

[…]

e)

O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

[…]

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a)

Pelo direito da União; ou

b)

Pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4.   Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a)

Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b)

O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)

A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;

d)

As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)

A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.»

13.

Além disso, o artigo 23.o, n.o 1, do RGPD regulamenta as limitações de direitos e obrigações decorrentes do regulamento:

«1.   O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

f)

A defesa da independência judiciária e dos processos judiciais;

[…]»

B.   Direito sueco

14.

O primeiro parágrafo, do n.o 2, do capítulo 38, do rättegångsbalken (Código de Processo Civil; a seguir «RB») prevê que qualquer pessoa que esteja na posse de um documento escrito suscetível de ter valor probatório é obrigada a apresentar esse documento. O segundo parágrafo dessa mesma disposição prevê exceções à referida obrigação, nomeadamente no que diz respeito aos advogados, médicos, psicólogos, padres e outros funcionários a quem tenha sido confiada informação no exercício da sua profissão ou equivalente. O n.o 4, do capítulo 38, do RB confere a um órgão jurisdicional o poder de ordenar a divulgação de um documento escrito como elemento de prova.

15.

Segundo o órgão jurisdicional de reenvio, ao apreciar a questão de saber se uma pessoa deve ser obrigada a apresentar um documento, o órgão jurisdicional deve ponderar a pertinência do elemento de prova em relação ao interesse da parte contrária em não comunicar essa informação. No entanto, conforme refere o órgão jurisdicional de reenvio, tal não implica ter em conta o caráter privado das informações divulgadas.

IV. Análise

A.   Contexto

16.

O RGPD é o principal ato da União que regula a proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. Ao contrário da sua antecessora, a Diretiva 95/46/CE ( 4 ), o RGPD foi adotado com base no artigo 16.o TFUE ( 5 ). Esta base jurídica habilitava o legislador da União a salvaguardar o direito fundamental à proteção de dados pessoais, previsto no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») ( 6 ).

17.

Nos casos em que os dados pessoais são objeto de tratamento, o RGPD atribui a responsabilidade pelo seu cumprimento ao «responsável pelo tratamento» ( 7 ). Em todas as situações de tratamento de dados pessoais, importa, portanto, determinar quem é o responsável pelo tratamento.

18.

Em conformidade com o artigo 4.o, n.o 7, do RGPD, o responsável pelo tratamento é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que determina as finalidades e os meios desse tratamento.

19.

No caso em apreço, verificaram‑se duas situações distintas de tratamento de dados pessoais. O primeiro tratamento diz respeito ao registo eletrónico do pessoal mantido pela Entral por conta da Fastec, estando esta última sujeita a uma obrigação, decorrente do direito sueco, a recolher dados sobre as horas de trabalho efetuadas para efeitos de tributação. Neste contexto, a Fastec é o responsável pelo tratamento e a Entral é o subcontratante ( 8 ).

20.

É facto assente que este primeiro tratamento estava em conformidade com o RGPD. Especificamente, o artigo 6.o, n.o 1, alínea c), permite o tratamento de dados pessoais necessários para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento, neste caso a Fastec, está sujeito ( 9 ). Certamente, se esse primeiro tratamento fosse considerado ilícito à luz do RGPD, o tratamento desses dados para outra finalidade diferente daquela para a qual foram recolhidos seria, por conseguinte, igualmente ilícito ( 10 ).

21.

O interesse do presente processo reside, no entanto, no segundo tratamento (para outra finalidade) dos mesmos dados originalmente recolhidos para efeitos de tributação. A nova finalidade é a divulgação, pela Entral, do registo do pessoal como meio de prova no âmbito do processo cível que opõe a Fastec à Nycander. A apresentação desse registo para efeitos de utilização no âmbito de uma ação cível implica necessariamente um tratamento de dados pessoais.

22.

No âmbito deste segundo tratamento, os papéis, ao abrigo do RGPD, são alterados face ao primeiro tratamento. Sobretudo, ao ordenar à Entral a apresentação do registo do pessoal (a seguir «decisão de divulgação de dados»), o órgão jurisdicional nacional é a entidade que determina as finalidades e os meios do segundo tratamento de dados ( 11 ). Este órgão jurisdicional torna‑se, portanto, responsável pelo tratamento ( 12 ).

23.

No âmbito do segundo tratamento, a Fastec pode ser vista ainda como responsável pelo tratamento, ou então como tendo trocado de papel: sendo agora destinatário dos dados, juntamente com a Nycander ( 13 ). Todavia, mesmo que a Fastec continue a ser responsável pelo tratamento em conjunto com o órgão jurisdicional nacional ( 14 ), tal não deve influenciar as obrigações do órgão jurisdicional nacional enquanto responsável pelo tratamento ( 15 ). Por último, o papel da Entral não muda. Continua a ser o subcontratante e a ocupar‑se do tratamento dos mesmos dados pessoais, mas agora em nome do novo responsável pelo tratamento, a saber, o órgão jurisdicional nacional.

24.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o órgão jurisdicional nacional pode efetivamente tornar‑se responsável pelo tratamento ao abrigo do RGPD e, nesse caso, se este regulamento impõe requisitos à legislação processual nacional no que respeita às competências e obrigações dos órgãos jurisdicionais no âmbito de um processo cível. Se o RGPD for aplicável e o órgão jurisdicional nacional for o responsável pelo tratamento, o órgão jurisdicional de reenvio pergunta, com a sua segunda questão, de que modo o juiz nacional deve decidir sobre a divulgação de dados pessoais quando estes se destinam a ser utilizados como elemento de prova em processos cíveis.

25.

Para responder às questões submetidas pelo órgão jurisdicional de reenvio, proponho‑me a adotar a seguinte abordagem. Em primeiro lugar, explicarei as razões pelas quais considero que o RGPD é aplicável aos processos cíveis que correm nos órgãos jurisdicionais dos Estados‑Membros e em que medida isso influencia a legislação processual em vigor nos Estados‑Membros (B). Em seguida, debruçar‑me‑ei sobre a metodologia que os órgãos jurisdicionais nacionais devem aplicar, enquanto responsáveis pelo tratamento de dados, de modo a cumprir os requisitos do RGPD (C).

B.   O RGPD é aplicável aos processos cíveis que correm nos órgãos jurisdicionais nacionais e complementa as regras processuais dos Estados‑Membros

26.

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta essencialmente se o RGPD se aplica aos processos judiciais cíveis e qual a sua influência nas regras processuais pertinentes. Mais especificamente, interroga‑se sobre se o regulamento afeta as normas nacionais que regem as competências e as obrigações dos órgãos jurisdicionais no sentido de ordenar a divulgação de provas documentais. A resposta a esta questão abrange três fases.

1. O RGPD não exclui as atividades dos órgãos jurisdicionais nacionais em processos cíveis

27.

O âmbito de aplicação material do RGPD é definido no artigo 2.o, n.o 1, e adota uma abordagem funcional e não institucional. É saber o quê (a atividade de tratamento de dados pessoais) e não quem, que determina a aplicabilidade do regulamento ( 16 ).

28.

As situações excluídas do âmbito do RGPD, enunciadas no artigo 2.o, n.o 2, têm igualmente caráter funcional. Uma vez que constituem uma exceção à aplicação do RGPD, o Tribunal de Justiça considerou que devem ser interpretadas de modo restritivo ( 17 ).

29.

As atividades das autoridades públicas não estão, portanto, excluídas do âmbito de aplicação do RGPD enquanto tal, mas apenas em relação às atividades enunciadas no artigo 2.o, n.o 2, do regulamento ( 18 ). A este respeito, a referida disposição não exclui as atividades judiciais em processos cíveis do âmbito de aplicação material do RGPD.

30.

A conclusão de que o RGPD se aplica às atividades judiciais é corroborada pelo considerando 20 do RGPD ( 19 ), segundo o qual este ato é aplicável às atividades dos tribunais e de outras autoridades judiciais ( 20 ).

31.

A exclusão da competência das autoridades de controlo em relação aos tribunais que atuem no exercício da sua função jurisdicional, prevista no artigo 55.o, n.o 3, do RGPD, não põe em causa a conclusão anterior. Muito pelo contrário, a meu ver, esta disposição confirma que os referidos tribunais estão sujeitos às obrigações decorrentes do RGPD. Tal garante a sua independência e imparcialidade ao proibir a supervisão por parte de entidades de controlo das suas operações de tratamento.

32.

O presente processo incide sobre o tratamento de dados pessoais, que é abrangido pelo âmbito de aplicação material do RGPD. A criação e manutenção do registo eletrónico do pessoal dizem respeito ao tratamento de dados pessoais ( 21 ). Do mesmo modo, ordenar a divulgação desses dados pessoais no âmbito de uma ação cível corresponde ao tratamento desses dados ( 22 ). Assim, a situação em causa no processo principal encontra‑se abrangida pelo âmbito de aplicação material do RGPD.

33.

Qual a relevância disto para a aplicação das regras processuais nacionais, como é o caso do RB?

2. O direito nacional constitui a condição de licitude do tratamento de dados pelos órgãos jurisdicionais nacionais

34.

A base jurídica para a adoção da decisão de divulgação de dados em causa no presente processo é o RB.

35.

Com efeito, o RGPD exige que o tratamento de dados numa situação como a do caso em apreço tenha como base jurídica o direito do Estado‑Membro (ou da União) ( 23 ).

36.

Tendo sido inicialmente recolhidos e tratados para efeitos de tributação, por força da decisão de divulgação de dados no âmbito do presente processo, os dados em causa passam agora a ser tratados para efeitos probatórios em processo judicial.

37.

O artigo 6.o, n.o 4, do RGPD permite o tratamento de dados para outra finalidade diferente daquela para a qual foram recolhidos com base no direito do Estado‑Membro, o que constitui uma medida necessária numa sociedade democrática para salvaguardar os objetivos previstos no artigo 23.o, n.o 1, do RGPD. Entre esses objetivos, o artigo 23.o, n.o 1, alínea f), enumera «[a] defesa da independência judiciária e dos processos judiciais».

38.

Todas as partes no presente pedido de decisão prejudicial concordam que o artigo 23.o, n.o 1, alínea f), do RGPD é a disposição adequada para justificar o tratamento de dados para outra finalidade com base no RB ( 24 ).

39.

O RB habilita os órgãos jurisdicionais nacionais a ordenar a divulgação de documentos que tenham valor probatório no âmbito de um processo cível. Conforme referido, se um documento que deve ser divulgado contiver dados pessoais, o órgão jurisdicional que profere uma decisão nesse sentido torna‑se responsável pelo tratamento ao abrigo do RGPD.

40.

Conforme salientou a Comissão na audiência, o órgão jurisdicional nacional é apenas, em certa medida, um responsável pelo tratamento de direito comum. Nomeadamente, os órgãos jurisdicionais nacionais só podem tratar dados no exercício da sua autoridade pública.

41.

Quando o tratamento de dados ocorre no exercício de autoridade pública ( 25 ), o artigo 6.o, n.o 3, do RGPD exige que seja efetuado com base no direito da União ou do Estado‑Membro.

42.

Por conseguinte, tanto o artigo 6.o, n.o 4, do RGPD (que autoriza o tratamento para outra finalidade), como o artigo 6.o, n.o 3 (que permite o tratamento de dados no exercício de autoridade pública), exigem que o tratamento tenha como base jurídica o direito nacional (ou da União) ( 26 ).

43.

O RB que habilita o órgão jurisdicional a adotar a decisão de divulgação de dados é, portanto, uma condição necessária para a licitude do tratamento em causa.

3. O RGPD complementa as regras processuais nacionais

44.

Se subsistir a base jurídica exigida pelo RGPD e a decisão referente ao tratamento de dados pessoais for proferida em conformidade com o direito do Estado‑Membro, pode considerar‑se que o referido regulamento cumpre os requisitos do tratamento lícito?

45.

Considero que a existência de uma base jurídica no direito nacional, embora necessária, não é suficiente para que a decisão de divulgação de dados esteja em conformidade com o RGPD.

46.

O órgão jurisdicional de reenvio explicou que, ao abrigo do RB, em princípio não é tido em conta o caráter privado das informações na tomada de decisões relativas à divulgação dos elementos de prova. O juiz é obrigado a ter em consideração os interesses das duas partes opostas, mas a própria lei não refere que os interesses dos titulares dos dados tenham algum peso na decisão.

47.

O RB é incompatível com o RGPD, na medida em que não obriga expressamente os órgãos jurisdicionais que se tornam responsáveis pelo tratamento, a ter em consideração os interesses dos titulares dos dados ao adotarem decisões suscetíveis de influenciar os seus dados pessoais?

48.

Na minha opinião, esse não é o caso. Há que ter em conta que diferentes atos nacionais que servem de base jurídica para o tratamento de dados não foram adotados especificamente aquando da aplicação do RGPD, mas têm finalidades próprias. Além disso, o RGPD é diretamente aplicável nas ordens jurídicas dos Estados‑Membros, e não carece de transposição. O que importa, portanto, é que, quando as regras processuais nacionais e o RGPD se cruzam, as primeiras abrem espaço para uma aplicação simultânea do último.

49.

Na audiência, o Governo sueco confirmou que o RB não exige, mas também não proíbe, que os órgãos jurisdicionais tenham em consideração os interesses dos titulares dos dados. Por conseguinte, não se opõe à aplicação direta do RGPD ao processo judicial regido por esse código.

50.

Os órgãos jurisdicionais nacionais estão, portanto, paralelamente sujeitos às regras processuais nacionais e ao RGPD, este último complementando as regras nacionais nos casos em que as atividades processuais dos órgãos jurisdicionais impliquem o tratamento de dados pessoais.

51.

Para concluir, a legislação nacional não precisa de se referir expressamente ao RGPD nem obrigar os órgãos jurisdicionais a ter em consideração os interesses dos titulares dos dados. Basta que tal legislação permita uma aplicação complementar do RGPD. Só se assim não fosse é que o ato nacional seria contrário ao RGPD. O RB, no entanto, parece permitir uma aplicação complementar do RGPD ( 27 ).

52.

De forma a dar uma resposta à primeira questão submetida pelo órgão jurisdicional de reenvio, concluo, portanto, que o artigo 6.o, n.os 3 e 4, do RGPD impõe requisitos à legislação processual nacional relativa às obrigações de divulgação, sempre que tal implique um tratamento de dados pessoais. A legislação processual nacional não pode impedir, nesse caso, que sejam tidos em consideração os interesses dos titulares dos dados. Esses interesses serão salvaguardados se os órgãos jurisdicionais nacionais cumprirem as regras do RGPD ao decidirem sobre a divulgação de provas documentais num caso concreto.

C.   As obrigações do órgão jurisdicional nacional relativas aos interesses dos titulares dos dados

53.

Uma vez abrangidos pelo RGPD, os órgãos jurisdicionais nacionais devem, enquanto responsáveis pelo tratamento de dados, ter em consideração os interesses dos titulares de dados. De que forma devem esses interesses ser tidos em conta na adoção de uma decisão concreta relativa à divulgação? Este é, em substância, o cerne da segunda questão submetida pelo órgão jurisdicional de reenvio.

1. Proporcionalidade

54.

Os interesses dos titulares dos dados serão protegidos quando o tratamento dos seus dados pessoais estiver em conformidade com os artigos 5.o e 6.o do RGPD ( 28 ). Segundo o advogado‑geral P. Pikamäe, a conformidade com os artigos 5.o e 6.o do RGPD assegura a proteção do direito à vida privada e familiar e a proteção de dados pessoais, conforme consagrados, respetivamente, pelos artigos 7.o e 8.o da Carta ( 29 ).

55.

Os objetivos legítimos do tratamento encontram‑se enumerados no artigo 6.o do RGPD ( 30 ). Conforme referido na secção anterior das presentes conclusões, o tratamento no caso em apreço prossegue uma finalidade lícita, uma vez que o órgão jurisdicional exerceu a sua autoridade pública ao ordenar a divulgação com base no direito nacional que permite assegurar o bom desenrolar dos processos judiciais. No entanto, tanto o artigo 6.o, como o artigo 5.o do RGPD, exigem não apenas um objetivo legítimo, mas também que um tratamento específico seja necessário para a consecução desse objetivo.

56.

O RGPD exige, portanto, que o órgão jurisdicional proceda a uma análise da proporcionalidade ao decidir se a divulgação de dados pessoais num caso concreto é necessária para fins probatórios no âmbito de um processo judicial ( 31 ).

57.

A este respeito, o artigo 6.o, n.o 4, do RGPD exige que o direito nacional em que se baseia o tratamento para outra finalidade constitua uma medida necessária e proporcionada para salvaguardar um dos objetivos referidos no artigo 23.o, n.o 1, do RGPD, neste caso, a defesa da independência judiciária e dos processos judiciais. Além disso, o artigo 6.o, n.o 3 do RGPD exige que o tratamento efetuado no exercício da autoridade pública deve ser necessário ao exercício de tal autoridade pública de que está investido o responsável pelo tratamento.

58.

O direito nacional que serve de base ao tratamento é suscetível, em abstrato, de cumprir os requisitos do artigo 6.o, n.os 3 e 4, do RGPD. Ainda assim, a licitude de cada tratamento individual de dados (incluindo uma decisão judicial específica de divulgação de dados) depende da ponderação concreta de todos os interesses presentes, tendo em conta o objetivo legítimo para o qual a divulgação é solicitada ( 32 ). Só assim pode o órgão jurisdicional nacional decidir se e em que medida a divulgação é necessária.

59.

Daqui resulta que o RGPD exige uma análise da proporcionalidade. O RGPD facilita a resposta a dar à questão de saber quais as medidas concretas que o órgão jurisdicional deve adotar ao proceder a tal análise?

2. Medidas específicas que o órgão jurisdicional deverá adotar

60.

A análise de proporcionalidade, conforme referido, deve ser realizada em cada caso concreto, tendo em consideração todos os interesses presentes. Em situações como a do caso em apreço, os interesses subjacentes à divulgação devem ser confrontados com a ingerência no direito à proteção de dados pessoais ( 33 ).

61.

Os interesses subjacentes à divulgação refletem o direito a uma tutela jurisdicional efetiva (artigo 47.o da Carta). Os interesses dos titulares dos dados, com os quais o primeiro direito entra em conflito, refletem o direito à vida privada e familiar (artigo 7.o da Carta) e o direito à proteção de dados pessoais (artigo 8.o da Carta). São estes os direitos que devem ser ponderados para decidir se a divulgação de dados pessoais é necessária.

62.

No que se segue, apresentarei algumas propostas sobre as medidas específicas que o órgão jurisdicional nacional deverá adotar.

63.

Antes de mais, pode sempre presumir‑se que os titulares dos dados que não tenham dado o seu consentimento têm interesse em limitar o tratamento dos seus dados pessoais. Essa é, portanto, a posição inicial que o órgão jurisdicional nacional deve assumir por defeito: a de justificar a razão pela qual se deve lesar esse interesse.

64.

Na minha opinião, as instruções para a realização desta avaliação podem ser encontradas no artigo 5.o do RGPD, que contém os princípios que o responsável pelo tratamento deve respeitar no tratamento de dados pessoais.

65.

A este respeito, o princípio da minimização dos dados que figura no artigo 5.o, n.o 1, alínea c), do RGPD, é de extrema importância. Constitui, conforme afirma o Tribunal de Justiça ( 34 ), uma expressão de proporcionalidade. Exige que os dados pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados.

66.

A primeira questão consiste, portanto, em saber se os dados que figuram no registo do pessoal da Entral são adequados. Estes serão adequados à finalidade a que se destina a sua divulgação, desde que permitam constatar efetivamente o número de horas de trabalho despendidas pelos colaboradores da Fastec no local de construção.

67.

A segunda questão é a de saber se os dados constantes do registo do pessoal da Entral são pertinentes para a finalidade para a qual são solicitados. A finalidade prende‑se aparentemente com o interesse da Nycander em provar a sua tese segundo a qual os empregados da Fastec trabalharam menos horas do que as declaradas na fatura. Em tais circunstâncias, o registo do pessoal seria pertinente caso pudesse efetivamente provar ou refutar tal alegação. O órgão jurisdicional nacional deve apreciar a sua pertinência à luz de outros factos do processo (por exemplo, a alegação da Fastec de que o registo do pessoal contém apenas uma parte das horas de trabalho pertinentes, sendo que as restantes foram despendidas fora do local de construção).

68.

Para responder ao terceiro requisito da minimização dos dados, o órgão jurisdicional nacional deve verificar se todos ou apenas alguns dos dados contidos no registo são suficientes para efeitos probatórios. Além disso, se existirem outras formas de demonstrar o mesmo facto, a minimização dos dados exige que sejam utilizadas essas outras formas. Por exemplo, o órgão jurisdicional nacional pode ter de apreciar a alegação da Fastec de que as horas efetivas de trabalho são suscetíveis de ser verificadas por referência a documentos que já fazem parte dos autos do processo no órgão jurisdicional de reenvio. Constatando a veracidade desta afirmação, o órgão jurisdicional nacional não pode ordenar a divulgação de dados pessoais constantes do registo do pessoal.

69.

O órgão jurisdicional nacional deve determinar que tipos de dados pessoais do registo são suficientes para provar ou refutar os factos pertinentes. A esse respeito, o princípio da minimização dos dados exige que apenas os dados estritamente necessários para a finalidade em questão sejam divulgados. Por conseguinte, poderá revelar‑se necessário que a Entral, enquanto subcontratante, modifique o registo do pessoal de modo a limitar os dados pessoais ao mínimo necessário, permitindo ao mesmo tempo chegar a uma conclusão quanto às horas efetivas de trabalho.

70.

A este respeito, o órgão jurisdicional nacional deve verificar se é necessário que as pessoas cujos dados constam do registo sejam identificáveis para que a divulgação tenha valor probatório (por exemplo, se for necessário notificar trabalhadores numa base casuística para que sirvam de testemunha). Caso contrário, pode ser suficiente dispor das informações relativas ao número total de horas despendidas no local de construção e/ou o número de pessoas que trabalharam essas horas.

71.

Em função das respostas dadas às questões anteriores, o órgão jurisdicional pode decidir pedir a divulgação de dados pseudonimizados ou anonimizados ( 35 ).

72.

Em conformidade com o considerando 26 do RGPD, os dados que tenham sido pseudonimizados, continuam a ser abrangidos pelo âmbito de aplicação material do referido regulamento. Isto porque ainda é possível identificar a pessoa por trás do pseudónimo. No que diz respeito aos dados anonimizados, que estão excluídos do seu âmbito de aplicação, verifica‑se o contrário. O modo de divulgação ordenado, em última análise, pelo órgão jurisdicional nacional também terá incidência na posterior aplicabilidade do RGPD ( 36 ).

73.

Em última análise, caberá ao órgão jurisdicional nacional verificar o valor probatório das diferentes versões do registo do pessoal, a fim de decidir que tipo de minimização de dados, se for caso disso, é necessária para o bom termo do processo judicial que foi submetido à sua apreciação.

74.

Além do princípio da minimização de dados que figura no artigo 5.o, n.o 1, alínea c), do RGPD, outros princípios constantes do artigo 5.o do RGPD também vinculam o órgão jurisdicional nacional e são pertinentes para determinar o método de adoção da decisão de divulgação de dados.

75.

Por exemplo, o artigo 5.o, n.o 1, alínea a), do RGPD, além de remeter para o princípio da licitude (aprofundado no artigo 6.o do mesmo), menciona também o princípio da transparência. Na minha opinião, este princípio exige que o órgão jurisdicional nacional justifique claramente a sua decisão de ordenar a divulgação de dados pessoais, nomeadamente indicando a forma como ponderou os diferentes interesses e os argumentos das partes relativos à divulgação.

76.

A fundamentação adequada no âmbito da decisão de divulgação de dados também satisfaz o requisito do artigo 5.o, n.o 2, do RGPD, ao exigir que o responsável pelo tratamento possa demonstrar a conformidade com os princípios estabelecidos no artigo 5.o, n.o 1, do mesmo.

77.

A forma de cumprimento dos princípios do artigo 5.o do RGPD também pode ser lida no considerando 31 do RGPD. Exige que os «pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros».

78.

Uma preocupação relativa à avaliação da proporcionalidade pelo órgão jurisdicional nacional foi suscitada pelo Governo polaco: se o órgão jurisdicional nacional deve avaliar o valor probatório do registo do pessoal ou outro elemento de prova no processo que lhe é submetido, não estará a interferir demasiado no que deveria continuar a ser o papel das partes, ou seja, tentar vencer o debate quanto ao próprio valor probatório de tal prova?

79.

Na minha opinião, a apreciação do valor probatório, que toma em consideração os interesses dos titulares dos dados, não implica uma maior interferência no processo do que a apreciação do valor probatório de qualquer outro elemento de prova no âmbito de um processo cível ( 37 ).

80.

O nível de ingerência do órgão jurisdicional nacional dependerá do caráter evidente do valor probatório dos dados cuja divulgação se pede nas circunstâncias do caso concreto. Saber em que medida a divulgação pode interferir nos interesses dos titulares dos dados deve ser apreciado caso a caso.

81.

Por exemplo, em alguns casos poderá tratar‑se de dados sensíveis que beneficiam de um regime especial de proteção ao abrigo do artigo 9.o do RGPD, ou de dados relacionados com condenações penais pertencentes ao regime do artigo 10.o do mesmo. Em tais situações, os interesses dos titulares dos dados terão necessariamente mais peso no exercício de ponderação ( 38 ). Da mesma forma, o interesse de divulgação pode diferir caso a caso. Embora às vezes fique claro que a pertinência da prova solicitada é marginal, noutras situações afigura‑se fundamental para a determinação do desenlace do processo. A este respeito, é válido o argumento da Comissão de que o órgão jurisdicional nacional deve dispor de uma ampla margem ao proceder a essas apreciações. No entanto, nunca deve ser exonerado da obrigação de ter em consideração os interesses dos titulares dos dados.

82.

O Governo checo manifestou outra preocupação: impor obrigações aos órgãos jurisdicionais nacionais no sentido de terem em consideração os interesses dos titulares dos dados sempre que ordenam a divulgação de provas documentais prejudicaria o bom funcionamento dos processos judiciais. O RGPD introduz efetivamente uma obrigação suplementar ( 39 ) para os órgãos jurisdicionais procederem à fiscalização da proporcionalidade antes de ordenarem a divulgação de provas documentais contendo dados pessoais. Contudo, nem a ponderação de interesses constitui um exercício intelectual excecional para os órgãos jurisdicionais, nem o ónus que recai sobre os órgãos jurisdicionais nacionais é diferente do ónus que incumbe a qualquer responsável pelo tratamento ao abrigo do RGPD.

83.

Para que os cidadãos da União beneficiem de um elevado nível de proteção dos seus dados pessoais, em conformidade com a escolha do legislador da União expressa no RGPD, a consideração dos interesses dos titulares dos dados não pode ser vista como um encargo excessivo imposto aos órgãos jurisdicionais dos Estados‑Membros.

84.

Proponho, portanto, que o Tribunal de Justiça responda à segunda questão do órgão jurisdicional de reenvio da seguinte forma: ao decidir sobre a divulgação de dados no âmbito de um processo cível que implica o tratamento de dados pessoais, o órgão jurisdicional nacional deve proceder a uma análise da proporcionalidade que tenha em conta os interesses dos titulares de dados cujos dados pessoais devem ser tratados e ponderá‑los em relação ao interesse das partes no sentido de obtenção de provas. Esta apreciação da proporcionalidade é orientada pelos princípios enunciados no artigo 5.o do RGPD, nomeadamente pelo princípio da minimização dos dados.

V. Conclusão

85.

À luz das considerações precedentes, proponho que o Tribunal de Justiça responda às duas questões prejudiciais submetidas pelo Högsta domstolen (Supremo Tribunal, Suécia) da seguinte forma:

1)

O artigo 6.o, n.os 3 e 4, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) impõe requisitos à legislação processual nacional relativa às obrigações de divulgação, sempre que tal implique um tratamento de dados pessoais. A legislação processual nacional não pode impedir, nesse caso, que sejam tidos em consideração os interesses dos titulares dos dados. Esses interesses serão salvaguardados se os órgãos jurisdicionais cumprirem as regras do Regulamento 2016/679 ao decidirem sobre a divulgação de provas documentais num caso concreto.

2)

Ao decidir sobre a divulgação de dados no âmbito de um processo cível que implica o tratamento de dados pessoais, o órgão jurisdicional nacional deve proceder a uma análise da proporcionalidade que tenha em conta os interesses dos titulares de dados cujos dados pessoais devem ser tratados e ponderá‑los em relação ao interesse das partes no sentido de obtenção de provas. Esta apreciação da proporcionalidade é orientada pelos princípios enunciados no artigo 5.o do Regulamento 2016/679, nomeadamente pelo princípio da minimização dos dados.


( 1 ) Língua original: inglês.

( 2 ) Esta mensagem em específico pode ser encontrada no endereço: https://eulawlive.com/.

( 3 ) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p 1).

( 4 ) Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31). A Diretiva 95/46 foi adotada tendo como base jurídica o mercado interno. Para uma primeira análise das mudanças introduzidas pelo RGPD, v. Van Alsenoy, B., «Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation», Journal of Intellectual Property, Information Technology and Electronic Commerce Law, Vol. 7, 2016, 271‑288.

( 5 ) Apesar da diferença de fundamentos jurídicos, a jurisprudência que interpreta a Diretiva 95/46 é pertinente para a compreensão do RGPD. V., a este respeito, Acórdão de 17 de junho de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, n.o 107). Por conseguinte, remeterei, se for caso disso, para a jurisprudência do Tribunal de Justiça relativa à Diretiva 95/46. Do mesmo modo, na medida em que oferece soluções análogas às limitações ao direito à proteção de dados, remeterei igualmente para a jurisprudência do Tribunal de Justiça relativa à Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37). O Tribunal de Justiça considerou que a interpretação das limitações aos direitos decorrentes da Diretiva 2002/58 é aplicável, mutatis mutandis, à interpretação do RGPD. V., a este respeito, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 209 a 211).

( 6 ) V. considerando 1 do RGPD.

( 7 ) V. artigo 5.o, n.o 2, do RGPD.

( 8 ) O artigo 4.o, n.o 8, do RGPD define o subcontratante como: «uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes».

( 9 ) Em conformidade com o artigo 6.o, n.o 3, do RGPD, quando o tratamento for efetuado para efeitos de cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, tal fundamento deve ser definido pelo direito da União Europeia ou pelo direito do Estado‑Membro desde que responda a um objetivo de interesse público e seja proporcional ao objetivo legítimo prosseguido. O cumprimento da regulamentação fiscal nacional foi considerado um objetivo legítimo no Acórdão de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.os 60 a 63).

( 10 ) V., por analogia, Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso a dados relativos a comunicações eletrónicas) (C‑746/18, EU:C:2021:152, n.o 44).

( 11 ) Determinar a finalidade e os meios de tratamento dos dados pessoais são as atividades centrais que determinam quem é o responsável pelo tratamento. V. Acórdão de 10 de julho de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, n.o 68). V., igualmente, Bygrave, L. A. e Tossoni, L., «Article 4(7). Controller» in Kuner, C., Bygrave, L. A., Docksey, C. e Drechsler, L. (eds), The EU General Data Protection Regulation (GDPR): A Commentary, OUP, Oxford, 2021, na p. 150.

( 12 ) Na audiência, os Governos polaco e sueco e a Comissão concordaram que este papel cabe agora ao órgão jurisdicional nacional. A Nycander sustentou que a Fastec continua a ser a única responsável pelo tratamento dos dados no âmbito do segundo tratamento, ao passo que o papel do órgão jurisdicional nacional é o de intermediário. Há que salientar que o termo «intermediário» não é utilizado em parte alguma no RGPD.

( 13 ) O artigo 4.o, n.o 9, do RGPD define destinatários como pessoas singulares ou coletivas, autoridades públicas, agências ou outros organismos que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Enquanto partes no âmbito de um processo cível, a Fastec e a Nycander tornam‑se destinatários dos dados objeto de tratamento com base na decisão de divulgação de dados do órgão jurisdicional. Na audiência, a Comissão sustentou que a Fastec continua a ser responsável pelo tratamento dos dados, e que não se tornou destinatário destes.

( 14 ) O artigo 26.o, n.o 1, do RGPD dispõe: «Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado‑Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados». V., igualmente, Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.o 67).

( 15 ) O Tribunal de Justiça explicou que o conceito de responsável pelo tratamento é amplo e diferentes intervenientes podem estar envolvidos em diferentes fases do tratamento. Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.o 70).

( 16 ) Este último aspeto é apenas excecionalmente relevante. Por exemplo, nos termos do artigo 2.o, n.o 3, do RGPD, as instituições, órgãos, organismos e agências da União não estão sujeitos ao RGPD. No entanto, estão sujeitos ao Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e órgãos comunitários e à livre circulação desses dados (JO 2001, L 8, p. 1).

( 17 ) Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.o 68).

( 18 ) O artigo 2.o, n.o 2, do RGPD prevê: «O presente regulamento não se aplica ao tratamento de dados pessoais: a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União; b) Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE; c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas; d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.»

( 19 ) O considerando 20 do RGPD dispõe: «Na medida em que o presente regulamento é igualmente aplicável, entre outras, às atividades dos tribunais e de outras autoridades judiciais, poderá determinar‑se no direito da União ou dos Estados‑Membros quais as operações e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados pessoais. A competência das autoridades de controlo não abrange o tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a tomada de decisões. Deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado‑Membro, que deverão, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforçar a sensibilização [d]os membros do poder judicial para as obrigações que lhe são impostas pelo presente regulamento e tratar reclamações relativas às operações de tratamento dos dados».

( 20 ) V., neste sentido, Acórdão de 24 de março de 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, n.os 25 e 26).

( 21 ) O Tribunal de Justiça confirmou que os registos de tempos de trabalho constituem especificamente dados pessoais no Acórdão de 30 de maio de 2013, Worten (C‑342/12, EU:C:2013:355, n.o 19).

( 22 ) A transmissão de documentos ao tribunal no âmbito de um processo cível foi considerada um tratamento nas Conclusões do advogado‑geral M. Campos Sánchez‑Bordona no processo Inspektor/Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — Investigação penal) (C‑180/21, EU:C:2022:406, n.os 82 e 83). À data da publicação destas conclusões, o respetivo processo continua a correr os seus termos no Tribunal de Justiça.

( 23 ) No âmbito da Diretiva 2002/58, o Tribunal de Justiça considerou que esta não exclui a possibilidade de os Estados‑Membros preverem uma obrigação de apresentação de dados pessoais no âmbito de uma ação cível. V., neste sentido, Acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.o 53). A meu ver, o mesmo se aplica ao RGPD.

( 24 ) Além disso, a Comissão propôs que o tratamento para outra finalidade de dados no presente processo pudesse ser feito com base noutra razão encontrada no artigo 23.o, n.o 1, alínea i), do RGPD («[a] defesa do titular dos dados ou dos direitos e liberdades de outrem»). O Governo polaco apontou para o artigo 23.o, n.o 1, alínea j) do RGPD («[a] execução de ações cíveis»).

( 25 ) O tratamento efetuado no exercício da autoridade pública é possibilitado pelo artigo 6.o, n.o 1, alínea e), do RGPD.

( 26 ) O tratamento também pode basear‑se no consentimento do titular dos dados. Contudo, não é este o caso vertente.

( 27 ) Na repartição de competências entre o Tribunal de Justiça e os órgãos jurisdicionais dos Estados‑Membros no âmbito do processo de decisão prejudicial, cabe ao órgão jurisdicional nacional decidir se é efetivamente esse o caso.

( 28 ) Acórdãos de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.o 57), e de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 208). O Tribunal de Justiça já tinha anteriormente concluído o mesmo em relação à Diretiva 95/46. V., por exemplo, Acórdãos de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.o 65), e de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.o 71).

( 29 ) Conclusões do advogado‑geral P. Pikamäe no processo Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, n.o 36).

( 30 ) O Tribunal de Justiça considerou que a lista dos casos de tratamento lícito de dados constante do artigo 6.o do RGPD é exaustiva e taxativa. V. Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.o 99). No âmbito da Diretiva 95/46, o Tribunal de Justiça adotou a mesma abordagem quanto à licitude do tratamento no Acórdão de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 25); e de 11 de dezembro de 2019, Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2019:1064, n.os 37 e 38).

( 31 ) V., igualmente, considerando 39 do RGPD, que prevê que: «[…] [o]s dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. […] Os dados pessoais apenas deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios».

( 32 ) O Tribunal de Justiça explicou que a ponderação depende das circunstâncias concretas do caso específico. V., a este respeito, Acórdão de 4 de maio de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, n.o 31). V., igualmente, Acórdão de 11 de dezembro de 2020, Asociaţia de Proprietari bloc M5A‑ScaraA (C‑708/18, EU:C:2020:104, n.o 32).

( 33 ) V., por analogia, Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, n.o 77).

( 34 ) Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.o 98).

( 35 ) Com efeito, a Fastec pede ao órgão jurisdicional de reenvio o indeferimento do pedido da Nycander de apresentação do registo do pessoal ou, a título subsidiário, a apresentação desse registo apenas após anonimização. A Comissão, baseando‑se no princípio da minimização dos dados e referindo‑se ao artigo 25.o, n.o 1, do RGPD, propôs uma solução no sentido de apresentação de uma versão pseudonimizada do registo do pessoal.

( 36 ) Por exemplo, anonimizar o registo isenta o responsável pelo tratamento da obrigação de informar os titulares dos dados sobre o tratamento que normalmente seria exigido ao abrigo do artigo 14.o do RGPD.

( 37 ) Conforme explicado pelo órgão jurisdicional de reenvio, ao abrigo do RB, os órgãos jurisdicionais já são obrigados a ponderar a pertinência do elemento de prova em relação ao interesse da parte contrária em não apresentar essa informação.

( 38 ) No âmbito da Diretiva 2002/58, é jurisprudência constante do Tribunal de Justiça que quanto maior for a ingerência no direito à proteção de dados, tanto mais importante deve ser o objetivo de interesse público prosseguido. Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970, n.o 115); de 2 de outubro de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, n.o 55); de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 131); e de 2 de março de 2021, Prokuratuur (Condições de acesso a dados relativos a comunicações eletrónicas) (C‑746/18, EU:C:2021:152, n.o 32).

( 39 ) Nos ordenamentos jurídicos cujas regras processuais não exigiam anteriormente tal fiscalização.