1.

O presente pedido de decisão prejudicial apresentado pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha) ao abrigo do artigo 267.o TFUE tem por objeto a interpretação do artigo 6.o, n.o 1, e do artigo 22.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) ( 2 ) (a seguir «RGPD»).

2.

Este pedido inscreve‑se no âmbito de um litígio que opõe a demandante OQ, uma pessoa singular ao Land Hessen (Land de Hesse), representado pelo Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comissário para a Proteção de Dados e da Liberdade de Informação do Land de Hesse, a seguir «HBDI») relativo à proteção de dados pessoais. A SCHUFA Holding AG (a seguir «SCHUFA»), uma agência de direito privado, apoia o HBDI enquanto interveniente. No âmbito da sua atividade económica que consiste em fornecer aos seus clientes informações sobre a solvabilidade de terceiros, a SCHUFA concedeu a uma instituição de crédito uma pontuação de crédito (score) relativa à demandante que constituiu a base para a recusa do crédito solicitado por esta última. Em seguida, a demandante pediu à SCHUFA que apagasse o registo relativo à mesma e que lhe facultasse o acesso aos respetivos dados, mas esta última apenas lhe comunicou a pontuação de crédito pertinente e, em termos gerais, os princípios subjacentes ao método de cálculo da pontuação de crédito, sem lhe prestar informações sobre os dados específicos tidos em consideração para este cálculo nem sobre a pertinência que lhes foi atribuída neste contexto, alegando que o método de cálculo é abrangido pelo segredo comercial.

3.

Na medida em que a demandante afirma que a recusa que a SCHUFA opõe ao seu pedido é contrária ao regime de proteção de dados, o Tribunal de Justiça será chamado a pronunciar‑se sobre as restrições que o RGPD impõe à atividade económica das agências de informações do setor financeiro, em particular, em sede de gestão de dados bem como em relação à relevância que deve ser atribuída ao segredo comercial. Do mesmo modo, o Tribunal de Justiça deverá precisar a extensão dos poderes regulamentares que determinadas disposições do RGPD conferem ao legislador nacional em derrogação do objetivo geral de harmonização prosseguido por este ato jurídico.

4.

O artigo 4.o, n.o 4, do RGPD dispõe o seguinte:

«Para efeitos do presente regulamento, entende‑se por:

[…]

5.

O artigo 6.o do RGPD, epigrafado «Licitude do tratamento», estabelece o seguinte:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2.   Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4.   Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

6.

O artigo 15.o, do RGPD, epigrafado «Direito de acesso do titular dos dados», dispõe o seguinte:

«1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:

[…]

[…]»

7.

O artigo 21.o do RGPD, epigrafado «Direito de oposição», estabelece o seguinte:

«1.   O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f), ou no artigo 6.o, n.o 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

[…]»

8.

Nos termos do artigo 22.o do RGPD, epigrafado «Decisões individuais automatizadas, incluindo definição de perfis»:

«1.   O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

2.   O n.o 1 não se aplica se a decisão:

3.   Nos casos a que se referem o n.o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

4.   As decisões a que se refere o n.o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.o, n.o 1, a não ser que o n.o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.»

9.

O artigo 31.o, da Bundesdatenschutzgesetz (Lei relativa à Proteção de Dados), de 30 de junho de 2017 ( 3 ), conforme alterada pelas Lei de 20 de novembro de 2019 ( 4 ) (a seguir «BDSG»), epigrafado «Proteção das transações económicas no caso de scoring [fixação de scores] e de informação sobre a solvabilidade» dispõe o seguinte:

«1.   A utilização de um valor de probabilidade sobre um comportamento específico futuro de uma pessoa singular com o objetivo de decidir sobre o estabelecimento, a execução ou cessação de uma relação contratual com essa pessoa (scoring) só é autorizada quando:

2.   A utilização de um valor de probabilidade relativo à solvabilidade e à vontade de pagar de uma pessoa singular, fixado por sociedades que fornecem informações comerciais só é autorizada, no caso de serem incluídas informações sobre os créditos, na medida em que as condições visadas no n.o 1 estejam preenchidas e na medida em que apenas sejam tidos em conta os créditos que sejam relativos a uma prestação devida que não tenha sido paga apesar de vencida,

Isto é válido sem prejuízo da licitude do tratamento, incluindo a determinação de valores de probabilidade e de outros dados pertinentes em matéria de solvabilidade, tendo em conta o direito geral da proteção de dados pessoais.»

10.

Resulta da decisão de reenvio que foi negado crédito à demandante no processo principal em razão de uma avaliação de solvabilidade efetuada pela SCHUFA. Esta última é uma sociedade de direito privado que explora um serviço de informações em matéria de crédito, fornecendo aos seus clientes informações sobre a solvabilidade dos consumidores. Para este efeito, a SCHUFA efetua avaliações de crédito para as quais estabelece, a partir de certas características de uma pessoa, uma previsão, com base num método matemático‑estatístico, relativo à probabilidade de um comportamento futuro, como o reembolso de um crédito.

11.

O demandante solicitou à SCHUFA a supressão dos dados inexatos a seu respeito e que lhe fosse dado acesso aos dados registados a seu respeito. A SCHUFA comunicou à demandante, designadamente, o score calculado a seu respeito e os princípios subjacentes ao modo de funcionamento, em princípio, do seu cálculo, mas não lhe comunicou a ponderação dos diferentes dados no cálculo. A SCHUFA considera que não é obrigada a divulgar os seus métodos de cálculo, uma vez que estes estão abrangidos pelo sigilo profissional e pelo segredo comercial. Além disso, considera que apenas fornece informações aos seus clientes, que adotam as decisões propriamente ditas relativas aos contratos de crédito.

12.

A demandante apresentou ao demandado, encarregado do controlo em matéria de proteção de dados, reclamação contra o relatório da SCHUFA na qual solicitava ao demandado que ordenasse à sociedade o fornecimento e a supressão das informações conforme era pedido. Na decisão proferida sobre a reclamação, o HBDI declarou que não havia que levar a cabo nenhuma outra atuação contra a sociedade, uma vez que esta respeitava as exigências especificadas na lei federal alemã relativa à proteção de dados.

13.

A demandante interpôs para o órgão jurisdicional de reenvio recurso da decisão do demandado. Aquele tribunal considera que, para decidir no processo principal, é essencial determinar se a atividade dos prestadores de serviços de informações em matéria de crédito mediante a qual estes fixam scores relativos a pessoas e os transmitem a terceiros, sem outra recomendação ou comentário, é abrangida pelo âmbito de aplicação do artigo 22.o, n.o 1, do RGPD.

14.

O Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões:

15.

A decisão de reenvio datada de 1 de outubro de 2021 deu entrada na secretaria do Tribunal de Justiça em 15 de outubro de 2021.

16.

As partes no processo principal, a SCHUFA, os Governos dinamarquês, português e finlandês, bem como a Comissão Europeia apresentaram observações escritas no prazo previsto no artigo 23.o, dos Estatutos do Tribunal de Justiça da União Europeia.

17.

Na audiência de 26 de janeiro de 2023, apresentaram alegações os mandatários judiciais das partes no processo principal, da SCHUFA e os agentes dos Governos alemão e finlandês, bem como da Comissão.

18.

Dado que a confiança mútua constitui a base de qualquer compromisso contratual numa economia de mercado é, em princípio, compreensível, de um ponto de vista empresarial, que os fornecedores de serviços e de bens queiram conhecer os seus clientes, bem como os riscos inerentes a um tal compromisso contratual. As sociedades de informação comercial podem contribuir para fortalecer essa confiança mútua através de métodos estatísticos que permitem às empresas determinar se certos critérios pertinentes, incluindo a solvabilidade dos seus clientes, estão preenchidos no caso concreto. Deste modo, ajudam as empresas a conformar‑se com diversas disposições do direito da União que lhes impõem precisamente tal obrigação para determinadas categorias de contratos, nomeadamente, os contratos de crédito ( 5 ). Alguns dos métodos utilizados podem ter por base dados relativos ao caráter pessoal dos clientes, recolhidos e tratados de modo automatizado, graças à tecnologia informática. A este interesse opõe‑se o das pessoas em questão em conhecer o modo como são geridos e registados estes dados e os métodos seguidos pelas empresas para tomarem decisões a respeito dos seus clientes.

19.

O RGPD, aplicável desde 25 de maio de 2018, criou um quadro jurídico destinado a ter em conta os interesses acima referidos no conjunto da União, nomeadamente, impondo certas restrições ao tratamento de dados pessoais. Assim, aplicam‑se restrições particulares a um tratamento automatizado suscetível de produzir efeitos jurídicos em relação a uma pessoa singular ou que a afete significativamente. Estas restrições justificam‑se no quadro da definição de perfis, ou seja, da avaliação de aspetos pessoais para analisar ou prever a situação económica, a fiabilidade ou o comportamento de uma pessoa singular. Neste contexto, salientam‑se as restrições referidas no artigo 22.o do RGPD, pertinentes no presente processo, que têm por objetivo proteger a dignidade humana, impedindo que o titular dos dados seja objeto de uma decisão tomada exclusivamente com base no tratamento automatizado, sem nenhuma intervenção humana capaz de controlar, sendo caso disso, que esta decisão é tomada de maneira correta, justa e não discriminatória ( 6 ). A intervenção humana a prever no âmbito deste tipo de tratamento de dados automatizados garante que o titular dos dados terá a possibilidade de exprimir o seu ponto de vista, de obter uma explicação sobre a decisão tomada na sequência dessa avaliação e de a impugnar em caso de desacordo com essa decisão. O alcance das restrições referidas no artigo 22.o do RGPD constitui, precisamente, o objeto da primeira questão prejudicial.

20.

Embora o RGPD tenha criado um quadro regulamentar global relativo à proteção de dados pessoais que, em princípio, é completo, importa ainda assim salientar que algumas disposições conferem aos Estados‑Membros a possibilidade de preverem regras nacionais adicionais, mais estritas ou derrogatórias, que lhes deixam uma margem de apreciação quanto ao modo como essas disposições podem ser aplicadas («cláusulas de abertura»), desde que as referidas regras não prejudiquem o conteúdo e os objetivos do RGPD ( 7 ). O alcance deste poder regulamentar residual dos Estados‑Membros está no cerne da segunda questão prejudicial a examinar nas presentes conclusões.

21.

O HBI e a SCHUFA contestam a admissibilidade do pedido de decisão prejudicial. Sobre este ponto, a SCHUFA alega que o reenvio nem é nem necessário para a resolução do litígio nem suficientemente fundamentado; entendem que o pedido abre uma segunda via de recurso e está em contradição com os outros pedidos de decisão prejudicial submetidos e subsequentemente retirados pelo mesmo órgão jurisdicional de reenvio.

22.

Importa, desde já, recordar que, segundo jurisprudência constante do Tribunal de Justiça, no âmbito da cooperação entre este último e os órgãos jurisdicionais nacionais instituída pelo artigo 267.o TFUE, o juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade pela decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal. Consequentemente, desde que as questões submetidas sejam relativas à interpretação ou à validade de uma regra de direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se. Daqui se conclui que as questões relativas ao direito da União gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação ou a apreciação da validade de uma regra da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas ( 8 ).

23.

Estas condições não estão reunidas no caso em apreço, uma vez que resulta claramente do n.o 40 da decisão de reenvio que o desenlace do processo depende da primeira questão prejudicial. O órgão jurisdicional de reenvio explica que, se o artigo 22.o, n.o 1, do RGPD devesse ser interpretado no sentido de que a determinação de um score por uma sociedade que fornece informações comerciais constitui uma decisão autónoma na aceção do, artigo 22.o, n.o 1, desse regulamento, essa sociedade, mais precisamente, a sua atividade pertinente, estaria sujeita à proibição da tomada de decisões individuais automatizadas. Por conseguinte, seria exigida uma base jurídica ao nível do Estado‑Membro na aceção do artigo 22.o, n.o 2, alínea b), do RGPD, que só poderia ser fornecida pelo § 31 da BDSG. Ora, o órgão jurisdicional de reenvio expressa sérias dúvidas acerca da compatibilidade desta disposição nacional com o artigo 22.o, n.o 1, do RGPD. Segundo o órgão jurisdicional de reenvio, a SCHUFA atuaria, não só sem dispor de base jurídica, como igualmente em violação da proibição estipulada nesta última disposição. Consequentemente, a demandante teria direito a que o demandado prosseguisse, enquanto autoridade de controlo o tratamento do seu dossiê. É, por conseguinte, evidente, que uma resposta às questões submetidas pelo órgão jurisdicional de reenvio é decisiva para a resolução do litígio.

24.

A SCHUFA alega igualmente que o pedido de decisão prejudicial é inadmissível, uma vez que a demandante já tinha sido informada sobre a lógica do score. No entanto, resulta da decisão de reenvio que a demandante pretendia ser informada da maneira mais circunstanciada possível sobre todos os dados recolhidos e sobre o método utilizado para determinar o score. Na medida em que a SCHUFA informou a demandante, em linhas gerais, sobre o modo de funcionamento, quanto ao seu princípio, do seu cálculo do score, mas não a informou sobre as diferentes informações tidas em conta no cálculo nem sobre a ponderação das mesmas, é evidente que a SCHUFA não satisfez este pedido de informação. Por conseguinte, a demandante tem um interesse legítimo em que sejam estabelecidos pela via de uma decisão prejudicial os direitos da pessoa em questão oponíveis a uma sociedade de informação comercial tal como a SCHUFA.

25.

Quanto ao pretenso risco de abertura de uma segunda via de recurso por parte do titular dos dados, importa salientar que, contrariamente ao que a SCHUFA alega nas suas observações, o facto de a demandante ter inicialmente recorrido aos órgãos jurisdicionais comuns e, em seguida, ao órgão jurisdicional administrativo de reenvio, não obsta à admissibilidade do pedido prejudicial. Pelos seus dois recursos, a demandante fez uso das vias de recurso previstas nos artigos 78.o e 79.o do RGPD, disposições estas que garantem o direito a uma proteção jurisdicional efetiva em relação, respetivamente, à autoridade de controlo e ao responsável pelo tratamento de dados. Estas vias de recurso, na medida em que coexistem de forma autónoma, sem que uma seja subsidiária em relação à outra, podem ser exercidas em paralelo ( 9 ). Consequentemente, não se pode acusar a demandante de qualquer ilegalidade na defesa dos seus direitos protegidos pelo RGPD.

26.

Além disso, importa recordar que, segundo jurisprudência constante do Tribunal de Justiça, na falta de regulamentação da União na matéria, cabe à ordem jurídica interna de cada Estado‑Membro designar os órgãos jurisdicionais competentes e regular as modalidades processuais das ações judiciais destinadas a garantir a salvaguarda dos direitos conferidos aos litigantes pelo direito da União ( 10 ). Consequentemente, não há nenhuma razão objetiva para pôr em causa o regime das vias de recurso de um Estado‑Membro, com exceção para os casos em que a eficácia do direito da União seja ameaçada, por exemplo, se os órgãos jurisdicionais nacionais se virem privados da faculdade ou dispensados da obrigação prevista no artigo 267.o, TFUE, de submeter ao Tribunal de Justiça questões relativas à interpretação ou à validade do direito da União.

27.

No caso em apreço, não existe nenhum indício de que a existência de duas vias de recurso que tornam possível um recurso jurisdicional efetivo contra, respetivamente, a autoridade de controlo e o responsável pelo tratamento dos dados, ameaça a eficácia do direito da União ou priva os órgãos jurisdicionais nacionais da faculdade de recorrer ao processo previsto no artigo 267.o TFUE. Pelo contrário, conforme já expliquei, vistos os artigos 78.o e 79.o do RGPD, é evidente que o RGPD não se opõe a tal regime de recurso, antes deixando, ao Estado‑Membro a responsabilidade de designar os órgãos jurisdicionais competentes e de definir as modalidades processuais das ações judiciais, em plena conformidade com o princípio da autonomia processual. O Tribunal de Justiça reconheceu‑o na sua jurisprudência recente ( 11 ).

28.

Por último, importa notar que a SCHUFA se limita a criticar as vias de recurso abertas segundo o direito alemão, sem, no entanto, explicar precisamente em que medida um acórdão do Tribunal de Justiça proferido no âmbito do presente processo prejudicial seria inútil para a solução do litígio. Ora, como refere o órgão jurisdicional de reenvio, uma interpretação pelo Tribunal de Justiça do artigo 22.o, n.o 1, do RGPD permitiria ao demandante exercer os seus poderes de controlo sobre a SCHUFA de modo conforme, com o direito da União. Por conseguinte, parece‑me que a argumentação da SCHUFA destinada a impugnar a admissibilidade do pedido prejudicial carece de fundamento.

29.

Estas considerações são, em princípio, suficientes para rejeitar a argumentação da SCHUFA. No interesse de uma melhor compreensão do presente processo, parece‑me, porém, necessário abordar o argumento relativo a uma pretensa falta de fundamentação do pedido de decisão prejudicial. Contrariamente ao que afirma a SCHUFA, a decisão de reenvio expõe de maneira suficientemente circunstanciada os desafios do presente processo para satisfazer as exigências do artigo 94.o, alínea c), do Regulamento de Processo do Tribunal de Justiça. Mais concretamente, o órgão jurisdicional de reenvio explica que a demandante pretende fazer valer os seus direitos perante a SCHUFA. Segundo o órgão jurisdicional de reenvio, a menos que lhe seja dada uma interpretação restritiva, o artigo 22.o, n.o 1, do RGPD é, em princípio, adequado para lhe oferecer proteção contra o tratamento automatizado dos seus dados pessoais.

30.

O órgão jurisdicional de reenvio considera que, tendo em conta a importância conferida por certas empresas ao score estabelecido pelas sociedades que fornecem informações comerciais para a avaliação prognóstica da capacidade económica de uma pessoa singular, esse score poderia ser considerado uma «decisão» autónoma na aceção da disposição acima referida. Seria necessária uma interpretação neste sentido para colmatar uma lacuna jurídica que resultaria do facto de, de outro modo, a pessoa em questão não poderia as informações necessárias ao, abrigo do artigo 15.o, n.o 1, alínea h), do RGPD. Tendo em conta essa fundamentação detalhada, considero que deve ser julgada improcedente a argumentação da SCHUFA e concluir pela admissibilidade do pedido prejudicial.

31.

O artigo 22.o, n.o 1, do RGPD apresenta uma particularidade em relação às outras restrições ao tratamento dos dados, contidas neste Regulamento, na medida em que consagra um «direito» da pessoa em questão de não ser objeto de uma decisão baseada unicamente num tratamento automatizado, incluindo a definição de perfis. Apesar da terminologia utilizada, a aplicação do artigo 22.o, n.o 1, do RGPD não exige que a pessoa em questão invoque ativamente o direito. Com efeito, uma interpretação à luz do considerando 71 deste regulamento e que tenha em conta a economia desta disposição, nomeadamente, o seu n.o 2, que enuncia os casos em que tal tratamento automatizado é excecionalmente autorizado, permite antes concluir que a referida disposição estabelece uma proibição geral das decisões do tipo acima descrito. Dito isto, há que sublinhar que esta proibição apenas se aplica em circunstâncias muito específicas, a saber, concretamente, às decisões «que produza[m] efeitos na sua esfera jurídica ou que [a] afetem significativamente de forma similar».

32.

Com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber se o cálculo do score efetuado por uma sociedade que forneça informações em matéria de crédito é abrangido pelo artigo 22.o, n.o 1, do RGPD quando a pontuação de crédito obtida tenha sido transmitida a uma empresa que dele se serve de uma maneira determinante para adotar uma decisão relativa ao estabelecimento, à execução ou à cessação de uma relação contratual com o titular dos dados. Por outras palavras, está em causa a questão de saber se esta disposição se aplica às sociedades fornecedoras de informações em matéria de direito de crédito que disponibilizam pontuações de crédito às empresas financeiras. O exame desta questão exige que se demonstre se as condições referidas no artigo 22.o, n.o 1, do RGPD estão preenchidas no caso em apreço.

33.

Esta disposição exige desde logo a existência de um tratamento automatizado dos dados pessoais, sendo a «definição de perfis» considerada uma sub‑categoria, a julgar pela sua redação ( 12 ). A este respeito, importa notar que o scoring efetuado pela SCHUFA é abrangido pela definição legal consagrada no artigo 4.o, n.o 4, do RGPD, uma vez que este processo recorre aos referidos dados pessoais para avaliar certos aspetos pessoais relativos a uma pessoa singular, para analisar ou antecipar aspetos relacionados com a sua situação económica, fiabilidade e comportamento provável. Com efeito, resulta dos autos do processo que o método utilizado pela SCHUFA fornece um score com base em certos critérios, ou seja, um resultado que permite retirar conclusões sobre a solvabilidade da pessoa em questão. Por último, faço questão de sublinhar que nenhuma das partes interessadas impugna a qualificação do procedimento em causa como «definição de perfis», de modo que se pode considerar que esta condição se encontra preenchida no caso em apreço.

34.

A aplicação do artigo 22.o, n.o 1, do RGPD exige que a decisão em causa produza «efeitos [jurídic[os]» em relação à pessoa em questão ou que a «afet[e] significativamente de forma similar». Deste modo, o RGPD reconhece que a tomada de decisão automatizada, incluindo a definição de perfis, pode ter graves consequências para as pessoas em questão. Embora o RGPD não defina os termos «[efeitos jurídicos]» nem a expressão «significativamente de forma similar», não é menos certo que a formulação utilizada indica claramente que só os efeitos com uma incidência grave serão visados por esta disposição. A este respeito, importa chamar desde já a atenção para o facto de o considerando 71, do RGPD mencionar expressamente «a recusa automática de um pedido de crédito por via eletrónica» como exemplo típico de uma decisão que afeta «significativamente» o titular dos dados.

35.

Há que ter seguidamente em conta que, por um lado, na medida em que o tratamento de um pedido de crédito constitui uma etapa prévia à celebração de um contrato de mútuo, a recusa de tal pedido pode produzir «efeitos na [jurídicos]a» para a pessoa em questão, uma vez que esta última deixará de poder beneficiar de uma relação contratual com a instituição financeira em causa. Por outro lado, importa salientar o facto de tal recusa ser igualmente suscetível de ter incidência na situação financeira da pessoa em questão. Por conseguinte, não é lógico concluir que esta pessoa será, de qualquer modo, afetada «de forma similar» na aceção desta disposição. O legislador da União parece ter estado ciente disso ao redigir o considerando 71 do RGPD, à luz do qual o artigo 22.o, n.o 1, deste regulamento deve ser interpretado. Em consequência, considero que, tendo em conta a situação em que se encontra a demandante, os requisitos desta disposição estão preenchidos no caso em apreço, independentemente de a tónica ser posta nas consequências jurídicas ou económicas da recusa de conceder um crédito.

36.

Duas condições suplementares devem estar preenchidas. Em primeiro lugar, é necessário que um ato que tenha a natureza de «decisão» seja adotado em relação à pessoa em questão. Em segundo lugar, a decisão em causa deve ser tomada «exclusivamente com base no tratamento automatizado». No que diz respeito a esta última condição, não há na exposição dos factos do despacho de reenvio nada que indique que, além do procedimento matemático e estatístico aplicado pela SCHUFA, os scores sejam estabelecidos de qualquer outra maneira determinante, através de uma avaliação e de uma apreciação individuais por um ser humano. Em consequência, deve considerar‑se que a determinação de um score, enquanto ato realizado pela SCHUFA, é baseada «exclusivamente num tratamento automatizado». Dito isto, não se pode perder de vista que a instituição financeira à qual a SCHUFA comunica o score é chamada a adotar um ato supostamente autónomo em relação à pessoa em questão, a saber, a concessão ou a recusa de crédito. Coloca‑se ainda a questão de saber qual dos dois atos pode ser qualificado como «decisão» na aceção do artigo 22.o, n.o 1, do RGPD, questão esta que será examinada em seguida.

37.

Quanto ao primeiro requisito, é necessário começar por estabelecer a natureza jurídica de uma «decisão» e que forma esta deve revestir. Do ponto de vista etimológico, este conceito implica um «parecer» ou uma «tomada de posição» sobre uma determinada situação. Deve igualmente ser dotado de «caráter vinculativo» a fim de o distinguir das simples «recomendações» que, em princípio, não têm nenhuma consequência jurídica ou factual ( 13 ). Neste sentido, contrariamente ao que alega o HBDI, a analogia com o artigo 288.o, quarto parágrafo, TFUE não me parece pertinente neste contexto, tanto mais que a mesma não encontra nenhum fundamento nas disposições do RGPD.

38.

A falta de uma definição legal permite deduzir que o legislador da União optou por um conceito lato, suscetível de incluir vários atos que possam afetar a pessoa em questão de múltiplas maneiras. Com efeito, como já indiquei, uma «decisão» na aceção do artigo 22.o, n.o 1, do RGPD tanto pode produzir «efeitos [jurídicos]» como afetar a pessoa em questão «de forma similar», o que implica que a «decisão» em causa pode ter um impacto que não é necessariamente jurídico, mas antes económico e social. Uma vez que o artigo 22.o, n.o 1, do RGPD visa proteger as pessoas singulares contra os efeitos potencialmente discriminatórios e injustos dos tratamentos de dados automatizados, parece‑me que se impõe uma vigilância particular, a qual também se deve traduzir na interpretação desta norma.

39.

Por último, importa sublinhar que, na medida em que os atos imputáveis a uma instituição financeira privada podem igualmente ter consequências graves para a independência e a liberdade de ação da pessoa em questão numa economia de mercado, nomeadamente, se estiver em causa certificar a solvabilidade de um requerente de crédito ( 14 ), não vejo nenhuma razão objetiva para limitar o conceito de «decisão» ao domínio estritamente público, ou seja, à relação entre o Estado e o cidadão, conforme sugere implicitamente a analogia proposta pelo HBDI. Parece‑me que a qualificação como «decisão» de uma tomada de posição adotada em relação à pessoa em questão exige um exame caso a caso, tendo em conta as circunstâncias específicas e a gravidade dos efeitos no estatuto jurídico, económico e social da referida pessoa ( 15 ).

40.

Com base nos critérios expostos nos números anteriores, importa determinar em seguida a «decisão» pertinente no caso em apreço. Conforme acima referido, existe, por um lado, o ato pelo qual um banco aceita ou recusa conceder um crédito ao demandante e, por outro, o score resultante de um procedimento de definição de perfis realizado pela SCHUFA. Em meu entender, é impossível dar uma resposta categórica a esta questão, uma vez que a qualificação depende das circunstâncias de cada caso concreto. Mais concretamente, a maneira como o procedimento de tomada de decisão é estruturado reveste uma importância essencial. Esse processo compreende tipicamente diversas fases, como a definição de perfis, a criação do score e a decisão relativa à concessão do crédito propriamente dita.

41.

Parece‑me evidente que se uma instituição financeira pode assumir esse processo, nada a impede de delegar certas tarefas, por contrato, a uma sociedade de informações comerciais, por exemplo a definição de perfis e o scoring. Com efeito, o artigo 22.o, n.o 1, do RGPD não exige de modo algum que estas tarefas sejam realizadas por uma ou mais instâncias. Dito isto, não me parece que a delegação eventual de determinadas competências a um fornecedor de serviços externo desempenhe um papel essencial na análise, porque essa delegação obedece geralmente a considerações económicas e organizacionais, suscetíveis de variar de um caso para o outro.

42.

Em contrapartida, o aspeto que me parece desempenhar um papel crucial está ligado à questão de saber se o processo de tomada de decisão é concebido de modo que o score efetuado pela sociedade de informações comerciais determina previamente a decisão da instituição financeira de conceder ou de recusar o crédito. Caso o scoring deva ser feito sem nenhuma intervenção humana que possa, sendo caso disso, verificar o seu resultado e a justeza da decisão a tomar em relação ao requerente de crédito, afigura‑se lógico considerar que o scoring constitui ele próprio a «decisão» visada no artigo 22.o, n.o 1, do RGPD.

43.

Pressupor o contrário porque a decisão de conceder ou de recusar o crédito incumbe formalmente à instituição financeira seria não só um formalismo excessivo, mas faria de modo nenhum justiça às circunstâncias específicas de tal situação. O que parece tanto mais certo porquanto o artigo 22.o, n.o 1, do RGPD não impõe de modo nenhum que a «decisão» revista uma forma particular. O fator decisivo é o efeito que a «decisão» produz para a pessoa em questão. Uma vez que um score negativo, por si só, pode produzir efeitos desfavoráveis para a pessoa em questão, nomeadamente, limitá‑la sensivelmente no exercício das suas liberdades, estigmatizá‑la na sociedade, parece justificado qualificá‑la como «decisão» na aceção da disposição acima referida, quando uma instituição financeira lhe confira uma importância primordial no processo de tomada de decisão ( 16 ). Com efeito, nestas circunstâncias, o requerente de crédito é afetado desde a fase de avaliação da sua solvabilidade pela sociedade de informações comerciais e não apenas na fase final, de recusa do crédito, na qual a instituição financeira mais não faz do que aplicar o resultado desta avaliação ao caso concreto ( 17 ).

44.

Uma vez que, em primeiro lugar, o artigo 22.o, n.o 1, do RGPD exige que a decisão em causa seja tomada «exclusivamente» com base num tratamento automatizado ( 18 ) e, em segundo lugar, a redação de uma disposição constitui, geralmente, o limite de qualquer interpretação, afigura‑se necessário que o tratamento automatizado constitua o único elemento que justifica a abordagem da instituição financeira ao requerente de crédito. Seria esse o caso se houvesse participação humana no âmbito do procedimento sem que esta pudesse, porém, influenciar a relação de causalidade entre o tratamento automatizado e a decisão final. A sociedade de informações comerciais deveria tomar, de facto, a decisão final pela instituição de crédito. Isso depende das regras e práticas internas da instituição financeira em causa, as quais não devem, em geral, deixar a esta última nenhuma margem de manobra quanto à aplicação do score a um pedido de crédito.

45.

Trata‑se essencialmente de uma questão de facto que pode, em meu entender, ser mais bem apreciada pelos órgãos jurisdicionais nacionais. Proponho, desde logo, confiar ao órgão jurisdicional de reenvio a tarefa de estabelecer ele mesmo a medida em que, normalmente, a instituição financeira está vinculada ao scoring realizado por uma sociedade de informações comerciais como a SCHUFA, tendo em conta os critérios acima referidos ( 19 ). Basear‑me‑ei nas informações constantes da decisão de reenvio para dar uma resposta útil ao juiz nacional no presente processo.

46.

A este respeito, em primeiro lugar, gostaria de salientar que, segundo o órgão jurisdicional de reenvio, mesmo que uma intervenção humana ainda seja, em princípio, possível nesta fase do processo decisório a decisão de estabelecer uma relação contratual com a pessoa em questão é «na prática determinada de modo tal pelo score transmitido pelas sociedades de informação que este se repercute na decisão do terceiro responsável pelo tratamento». Segundo o órgão jurisdicional de reenvio, «é o score estabelecido com base no tratamento automatizado por uma sociedade que fornece informações comerciais, que determina se e de que modo o terceiro responsável contratará com a pessoa em questão». O órgão jurisdicional de reenvio explica igualmente que, embora o terceiro não tenha de fazer depender a sua decisão exclusivamente do score, não é menos verdade que, «regra geral, o faz em larga medida». Acrescenta, que «a concessão de um empréstimo pode ser recusada não obstante um score em princípio suficiente (por outras razões, como por exemplo a falta de garantias ou as dúvidas acerca do êxito do investimento a financiar), mas, de qualquer modo, no domínio dos empréstimos concedidos a consumidores, um score insuficiente acarretará uma recusa de um empréstimo em quase todos os casos, e isso, mesmo que de resto, o investimento se afigure rentável». Por último, este órgão jurisdicional indica que «experiências resultantes do controlo da proteção de dados efetuado pelas autoridades mostram que são os scores que desempenham um papel decisivo na concessão de empréstimos e na conceção das condições destes».

47.

As considerações acima expostas parecem indicam, sob reserva da apreciação dos factos que incumbe aos órgãos jurisdicionais nacionais fazer em cada caso particular, que o score estabelecido por uma sociedade de informações comerciais e comunicada a uma instituição financeira tende geralmente a determinar previamente a decisão desta última no que respeita à concessão ou à recusa do crédito à pessoa em questão, de modo que se deve considerar que essa tomada de posição tem apenas um caráter puramente formal no âmbito do processo ( 20 ). Daqui resulta que, o score propriamente dito deve ser considerado como tendo a qualidade de «decisão» na aceção do artigo 22.o, n.o 1, do RGPD.

48.

Esta conclusão parece‑me razoável, porque qualquer outra interpretação poria em causa o objetivo prosseguido pelo legislador da União com esta disposição que visa proteger os direitos das pessoas em questão. Como o órgão jurisdicional de reenvio afirmou, com razão, uma leitura estrita do artigo 22.o, n.o 1, do RGPD levaria a uma lacuna na proteção jurídica: a sociedade de informações comerciais junto da qual deveriam ser obtidas as informações solicitadas pela pessoa em questão não tem de as fornecer por força do artigo 15.o, n.o 1, alínea h), do RGPD, uma vez que, pretensamente, não toma a sua própria «decisão automatizada» na aceção desta disposição, e a instituição financeira que toma a sua decisão com base no score estabelecido de forma automatizada e que é obrigada a fornecer as informações solicitadas por força do artigo 15.o, n.o 1, alínea h), do RGPD não as pode fornecer, porque não dispõe de tais informações.

49.

Consequentemente, a instituição financeira não estaria em condições de controlar a avaliação da solvabilidade do requerente do crédito em caso de contestação da decisão, conforme exigido pelo artigo 22.o, n.o 3, do RGPD ou de garantir um tratamento equitativo, transparente e não discriminatório através de procedimentos matemáticos ou estatísticos adequados, bem como de medidas técnicas e organizativas adequadas, conforme exigido pelo considerando 71, sexto período, do RGPD ( 21 ). Para evitar esta situação que seria manifestamente contrária ao objetivo legislativo referido no número anterior, proponho uma interpretação do artigo 22.o, n.o 1, do RGPD que tenha em conta a incidência real do scoring na situação do titular dos dados.

50.

Esta abordagem parece‑me lógica, dado que a sociedade de informações comerciais deve ser geralmente a única entidade capaz de dar seguimento a outros pedidos da pessoa em questão, baseados em direitos igualmente garantidos pelo RGPD, nomeadamente, o direito de retificação, referido no artigo 16.o, do RGPD, quando os dados pessoais utilizados para realizar o scoring se revelarem inexatos, bem como o direito à supressão dos dados, referido no artigo 17.o do RGPD, quando os referidos dados tenham sido objeto de um tratamento ilícito. Na medida em que a instituição financeira geralmente não participa na recolha destes dados nem na definição de perfis quando essas funções são delegadas a terceiros, é razoável excluir a possibilidade de estar em condições de garantir efetivamente o respeito dos referidos direitos. Ora, a pessoa em questão não deveria ter de sofrer as consequências desfavoráveis de tal delegação de tarefas.

51.

Responsabilizar a sociedade de informações comerciais em razão da determinação do score e não com fundamento na sua utilização posterior parece‑me ser a maneira mais eficaz de garantir a proteção dos direitos fundamentais da pessoa em questão, a saber, do direito à proteção dos dados pessoais, referido no artigo 8.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), mas também do direito ao respeito da sua vida privada, referido no artigo 7.o da Carta, uma vez que esta atividade constitui, em última instância, a «fonte» de qualquer prejuízo eventual. Tendo em conta o risco de o score estabelecido pela sociedade de informações comerciais ser utilizado por uma multitude de instituições financeiras, afigura‑se razoável permitir à pessoa em questão invocar os seus direitos diretamente face a esta.

52.

Pelas razões acima expostas, considero que os requisitos do artigo 22.o, n.o 1, do RGPD estão preenchidos, pelo que esta disposição é aplicável a circunstâncias como as do processo principal.

53.

Neste contexto, não é demais sublinhar a importância do pleno respeito, por parte do responsável pelo tratamento, das suas obrigações de informação perante a pessoa em questão. Em conformidade com o artigo 15.o, n.o 1, alínea h), do RGPD, esta última tem o direito de obter do responsável pelo tratamento não só a confirmação de que os dados pessoais que lhe dizem respeito são ou não objeto de tratamento, mas também outras informações como a existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.o do RGPD, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para a pessoa em questão.

54.

Uma vez que a SCHUFA se recusou a revelar à demandante certas informações relativas ao método de cálculo com o fundamento de que estas constituíam segredos comerciais, afigura‑se pertinente precisar o alcance do direito de informação referido no artigo 15.o, n.o 1, alínea h), do RGPD, em particular no que diz respeito à obrigação de fornecer «informações úteis relativas à lógica subjacente». Em meu entender, esta disposição deve ser interpretada no sentido de que, em princípio, abrange igualmente o método de cálculo utilizado por uma sociedade de informações comerciais para estabelecer um score, na condição de que não existam interesses em conflito dignos de proteção. A este respeito, importa referir o considerando 63 do RGPD do qual resulta, designadamente, que «o direito de aceder aos dados pessoais […] não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software» (o sublinhado é meu).

55.

Uma série de conclusões pode ser retirada da interpretação do artigo 15.o, n.o 1, alínea h), do RGPD, lido à luz dos considerandos 58 e 63 deste regulamento. Em primeiro lugar, é evidente que o legislador da União estava perfeitamente ciente dos conflitos que poderiam surgir entre, por um lado, o direito à proteção dos dados pessoais, garantido pelo artigo 8.o da Carta e, por outro, o direito à proteção da propriedade intelectual, referido no artigo 17.o, n.o 2, da Carta. Em segundo lugar, é claro que o mesmo não pretendeu sacrificar um direito fundamental em proveito de outro. Pelo contrário, uma análise mais aprofundada das disposições do RGPD permite concluir que este pretendeu assegurar um justo equilíbrio entre os direitos e as responsabilidades.

56.

A exortação do legislador da União, no considerando 63 do RGPD, ao indicar que «essas considerações não deverão resultar na recusa de prestação de todas as informações ao titular dos dados» ( 22 ) significa, em meu entender, que um mínimo de informações deve, em todo o caso, ser fornecido para não comprometer o conteúdo essencial do direito à proteção dos dados pessoais. Por conseguinte, embora a proteção do segredo comercial ou da propriedade intelectual constitua, em princípio, para uma sociedade de informações comerciais, um motivo legítimo de recusa em revelar o algoritmo utilizado para calcular o score da pessoa em causa, não pode, em contrapartida, de modo nenhum justificar uma recusa absoluta de informação. Mais ainda quando existam meios de comunicação adequados que facilitam a compreensão, garantindo ao mesmo tempo um certo grau de confidencialidade.

57.

O artigo 12.o, n.o 1, do RGPD, nos termos do qual «[o] responsável pelo tratamento toma as medidas adequadas para fornecer ao titular [das informações] qualquer comunicação prevista [no artigo 15.o] a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples» ( 23 ), parece‑me particularmente pertinente neste contexto. Esta disposição reforça o raciocínio acima exposto, na medida em que dela decorre que o objetivo real do artigo 15.o, n.o 1, alínea h), do RGPD consiste em garantir que o titular dos dados obtém informações de uma forma compreensível e acessível, em conformidade com as suas necessidades. Em meu entender, estas exigências excluem desde logo a eventual obrigação de divulgar o algoritmo, tendo em conta a complexidade do mesmo. Com efeito, a utilidade de comunicar uma fórmula particularmente complexa seria duvidosa sem fornecer para tal as explicações necessárias. A este respeito, há que chamar a atenção para o considerando 58 do RGPD, do qual resulta que o respeito pelas exigências acima referidas é particularmente importante «em situações em que […] a complexidade tecnológica das práticas [torna] difícil que o titular dos dados saiba e compreenda se, por quem e para que fins os seus dados pessoais estão a ser recolhidos» ( 24 ).

58.

Pelos motivos acima expostos, considero que a obrigação de fornecer «informações úteis relativas à lógica subjacente» deve ser entendida no sentido de que comporta explicações suficientemente detalhadas sobre o método utilizado para o cálculo do score e as razões que conduziram a um determinado resultado. Em geral, o responsável pelo tratamento deveria fornecer à pessoa em questão informações globais, designadamente sobre os fatores tidos em conta no processo decisório e sobre a sua importância respetiva a nível agregado, que lhe sejam igualmente úteis para impugnar qualquer «decisão», na aceção do artigo 22.o, n.o 1, do RGPD ( 25 ).

59.

Vistas as considerações precedentes, considero que o artigo 22.o, n.o 1, do RGPD deve ser interpretado no sentido de que a determinação automatizada de um valor de probabilidade acerca da capacidade da pessoa em questão de, no futuro, reembolsar um empréstimo, constitui desde logo uma decisão baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis, que produz efeitos jurídicos em relação a essa pessoa ou que a afeta significativamente de forma similar sempre que esse valor, que é calculado através de dados pessoais relativos à referida pessoa, seja comunicada pelo responsável pelo tratamento a um terceiro responsável pelo tratamento e que, em conformidade com uma prática constante, este assenta, de modo determinante, a sua decisão relativa ao estabelecimento, à execução ou à cessação de uma relação contratual com essa mesma pessoa no referido valor.

60.

Embora a segunda questão prejudicial seja submetida unicamente para a hipótese de a primeira questão suscitar uma resposta negativa, parece‑me que tal questão se revela igualmente pertinente caso o Tribunal de Justiça conclua que o scoring é abrangido pela proibição de tomada de decisões automatizadas enunciada no artigo 22.o, n.o 1, do RGPD. Nesse caso, como, acertadamente, o Governo finlandês indica, seria necessário examinar se uma exceção a esta proibição pode ser feita por força do artigo 22.o, n.o 2, alínea b), do RGPD. Nos termos desta disposição, a proibição não se aplica «se a decisão for autorizada pelo direito da União ou do Estado‑Membro a que o responsável pelo tratamento estiver sujeito».

61.

Esta disposição contém uma margem de manobra regulamentar explícita quando a definição de perfis automatizada visada pela mesma se baseia no direito da União ou no direito de um Estado‑Membro. Se se baseia no direito de um Estado‑Membro, a lei nacional deve prever garantias específicas para a pessoa em questão. O Tribunal de Justiça deveria, nesse caso, determinar se tal «autorização» pode ser inferida do próprio artigo 6.o do RGPD ou de uma disposição nacional, adotada com uma base jurídica nela prevista. Considero que esta última situação requer uma análise aprofundada, uma vez que o órgão jurisdicional de reenvio se interroga sobre a conformidade do artigo 31.o da BDSG com os artigos 6.o e 22.o do RGPD, o que exige que os artigos 6.o e 22.o do RGPD possam constituir bases jurídicas adequadas.

62.

O órgão jurisdicional nacional exprime precisamente dúvidas a este respeito, uma vez que, segundo este, nenhuma das disposições referidas nos artigos 6.o e 22.o do RGPD é suscetível de servir de base jurídica à adoção de uma disposição nacional como a referida no artigo 31.o da BDSG, que estabelece determinadas regras relativas ao scoring. Coloca‑se assim a questão de saber se o legislador nacional procedeu a uma aplicação conforme das disposições do RGPD que lhe conferem uma margem de manobra para estabelecer regras nacionais relativas ao tratamento de dados pessoais por força do RGPD, ou até, em certas circunstâncias, para as derrogar. A resposta a esta questão é complexa, uma vez que o legislador alemão não prevê nenhuma cláusula de abertura na exposição de motivos da lei ( 26 ). Porém, a mesma é tanto mais pertinente porquanto o artigo 31.o, n.o 1, 1), da BDSG refere expressamente que o scoring«apenas é autorizado se as disposições em matéria de direito à proteção de dados tiverem sido respeitadas» (o sublinhado é meu). Conforme irei expor em seguida, existem vários argumentos que me levam a dar uma resposta negativa a esta questão.

63.

Importa referir desde logo o disposto no artigo 22.o, n.o 2, alínea b), do RGPD, que confere aos Estados‑Membros o poder de autorizar uma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis e que é, portanto, suscetível de ser invocado como base jurídica. No entanto, há que notar que esse n.o 2 não é aplicável se o Tribunal de Justiça declarar que o scoring não é abrangido pela proibição enunciada no n.o 1 desse artigo 22.o Com efeito, como resulta claramente da redação e da economia geral do artigo 22.o do RGPD, a aplicação do n.o 2 pressupõe que as condições do n.o 1 estejam reunidas. Consequentemente, é evidente que a aplicação do artigo 22.o, n.o 2, alínea b), do RGPD deve ser afastada em caso de resposta negativa à primeira questão.

64.

Para ser exaustivo e tendo em conta a resposta afirmativa que proponho que seja dada à primeira questão, considero necessário analisar se esta disposição está vocacionada para se aplicar caso o Tribunal de Justiça entenda, por sua vez, que o scoring efetuado por uma sociedade de informações comerciais constitui uma «decisão» na aceção do n.o 1 desse artigo 22.o Contudo, mesmo neste caso, subsistem dúvidas quanto à aptidão do artigo 22.o, n.o 2, alínea b), desse regulamento para servir de base jurídica, por um determinado número de razões.

65.

Em primeiro lugar, importa recordar que o artigo 22.o, do RGPD diz apenas respeito às decisões tomadas «exclusivamente» com base no tratamento automatizado, ao passo que, segundo o órgão jurisdicional de reenvio, o artigo 31.o do BDSG comporta um regime que se aplica de modo indiferenciado igualmente a decisões não automatizadas, ao regulamentar simultaneamente a licitude da utilização dos tratamentos de dados para efeitos de estabelecerscores. Por outras palavras, o artigo 31.o da BDSG tem um âmbito de aplicação ratione materiae muito mais amplo do que o do artigo 22.o do RGPD ( 27 ). Por conseguinte, é duvidoso que o artigo 22.o, n.o 2, alínea b), do RGPD esteja vocacionado para servir de base jurídica.

66.

Em segundo lugar, importa notar, tal como indica o órgão jurisdicional de reenvio, que o artigo 31.o, da BDSG regulamenta a «utilização» de um «valor de probabilidade» pelos operadores económicos, mas não a «determinação» desse valor por sociedades de informações comerciais, aspeto este que, é, no entanto, objeto da primeira questão prejudicial. O mesmo pode igualmente ser inferido das declarações feitas pelo Governo alemão na audiência. Conforme já expus de modo circunstanciado no âmbito do exame desta questão, o artigo 22.o, n.o 1, do RGPD aplica‑se igualmente na fase da «determinação» da pontuação de crédito e não apenas na fase da sua «utilização» por uma instituição de crédito, desde que certas condições se encontrem reunidas ( 28 ). Dito por outras palavras, o artigo 31.o da BDSG parece querer regular uma situação diferente da que é abrangida pelo âmbito de aplicação ratione materiae do artigo 22.o do RGPD, o que cabe ao órgão jurisdicional de reenvio confirmar. À luz das considerações precedentes, entendo que o artigo 22.o, n.o 2, alínea b), do RGPD deve ser excluído como base jurídica para a adoção de uma medida legislativa nacional como a referida no artigo 31.o do BDSG.

67.

Nos termos do artigo 6.o, n.o 1, do RGPD, o tratamento de dados pessoais só é lícito se a condição relativa a um dos motivos nele enumerados estiver preenchida. Como o Tribunal de Justiça já declarou, trata‑se de uma lista exaustiva e taxativa dos casos em que o tratamento de dados pessoais pode ser considerado lícito ( 29 ). Por conseguinte, para poder ser considerada legítima, a determinação de um score por uma sociedade de informações comerciais deve ser abrangida por uma das situações previstas nesta disposição.

68.

Num caso como o do processo principal, as alíneas b), c) e f) do artigo 6.o, n.o 1, do RGPD podem, em princípio, ser aplicáveis. Em conformidade com o n.o 2 desse artigo, os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do RGPD. Ora, importa precisar que esta disposição só se aplica com a finalidade de respeitar o n.o 1, alíneas c) e e). Do mesmo modo, n.o 3 do referido artigo 6.o enuncia que o fundamento jurídico para o tratamento é definido pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito, desde que o tratamento diga respeito às situações referidas n.o 1, alíneas c) e e).

69.

Resulta daqui que os Estados‑Membros podem adotar regras mais específicas, quando o tratamento for «necessário para o cumprimento de uma obrigação jurídica à qual o responsável esteja sujeito» ou «necessário para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento». Estas condições têm por efeito enquadrar de modo estrito o poder regulamentar dos Estados‑Membros, excluindo assim o recurso arbitrário às cláusulas de abertura previstas no RGPD, suscetível de pôr em causa o objetivo de harmonizar o direito em matéria de proteção de dados pessoais.

70.

Além disso, importa sublinhar neste contexto que, na medida em que algumas destas cláusulas utilizam uma terminologia própria do RGPD, sem uma remissão expressa para o direito dos Estados‑Membros, os termos utilizados devem ser interpretados de modo autónomo e uniforme ( 30 ). É sobre esta tela de fundo que há que verificar em seguida se a regulamentação do artigo 31.o da BDSG é abrangida por um dos motivos enumerados no artigo 6.o, n.o 1, do RGPD.

71.

No que respeita à alínea b), resulta desta disposição que o tratamento só é lícito se e na medida em que o tratamento for necessário «para a execução de um contrato no qual o titular dos dados é parte», ou para «diligências pré‑contratuais a pedido do titular dos dados». A este respeito, importa salientar o facto de os serviços das sociedades de informação só serem utilizados em casos excecionais na fase de execução de um contrato. A fase mais importante é a fase pré‑contratual, durante a qual são geralmente obtidas as informações relativas à solvabilidade. A transmissão de um pedido de informações a uma sociedade de informações comerciais para efeitos de verificação da solvabilidade parece‑me autorizada com base nesta disposição ( 31 ). Importa, porém, precisar que esta disposição abrange apenas a autorização para realizar inquéritos de solvabilidade pelos potenciais parceiros contratuais, pelos credores e/ou pelos prestadores de serviços jurídicos e cria, assim, as condições prévias à recolha legal de dados pelas sociedades de informações comerciais. Em contrapartida, esta disposição não me parece suficiente, por si só, para servir de base jurídica destinada a legitimar as atividades de uma sociedade de informações comerciais em geral ( 32 ).

72.

Além disso, importa recordar que, embora o artigo 6.o, n.o 1, alínea b), do RGPD codifique um motivo de licitude do tratamento dos dados pessoais, o mesmo não visa nenhuma das situações previstas nos n.os 2 e 3, segundo os quais os Estados‑Membros dispõem de competência regulamentar. Por conseguinte, na medida em que o artigo 6.o do RGPD enumera esses casos de forma exaustiva, uma disposição nacional como a referida no artigo 31.o da BDSG não pode ser adotada unicamente com fundamento no artigo 6.o, n.o 1, alínea b), do RGPD.

73.

O fundamento referido no artigo 6.o, n.o 1, alínea c), do RGPD diz respeito ao tratamento baseado numa «obrigação legal» a que o responsável esteja sujeito. Isso implica exigências impostas pelo próprio Estado. Em contrapartida, esta disposição não inclui as obrigações resultantes de contratos de direito civil, por exemplo, um contrato celebrado entre uma instituição financeira e uma sociedade de informações comerciais. Porém, as instituições financeiras que se devem assegurar da solvabilidade dos seus clientes por força das obrigações que lhes são impostas pelo direito nacional podem invocar esta base jurídica para os respetivos pedidos de informações, de maneira que garantam, do ponto de vista de uma sociedade de informações comerciais, a perfeita legalidade de tais pedidos. Em contrapartida, a «determinação» de um score pela sociedade de informações comerciais não pode ser considerada uma medida adotada no cumprimento de uma «obrigação legal» que lhe é imposta, dado que uma tal obrigação parece não existir no direito nacional. Por conseguinte, há que considerar que a alínea c) não pode ser validamente invocada como base jurídica para tornar a atividade de scoring um tratamento lícito.

74.

Coloca‑se em seguida a questão de saber se o artigo 6.o, n.o 1, alínea e), do RGPD pode ser invocado como base jurídica para a adoção do artigo 31.o da BDSG. Seria esse o caso se o tratamento fosse «necessário para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento». Por um lado, pode sustentar‑se que, tal como resulta do objetivo legislativo do artigo 31.o da BDSG, refletido na epígrafe desta disposição nacional («Proteção das transações económicas no caso de scoring e de informação sobre a solvabilidade») e dos trabalhos preparatórios ( 33 ), as sociedades de informações comerciais contribuem para o bom funcionamento da economia de um país ( 34 ).

75.

Com efeito, as referidas sociedades, na medida em que disponibilizam informações sobre a solvabilidade de determinadas pessoas, contribuem para a proteção dos consumidores, evitando o risco de sobre‑endividamento ( 35 ), mas também das empresas que lhes vendem mercadorias ou concedem créditos. Estas sociedades garantem a estabilidade do sistema financeiro impedindo que sejam concedidos créditos de modo irresponsável a mutuários que apresentem riscos de incumprimento elevados ( 36 ). Sem um sistema fiável de avaliação do crédito, grande parte da população seria praticamente excluída da possibilidade de obter empréstimos, em razão dos riscos incalculáveis, as transações económicas na era da informação seriam consideravelmente mais difíceis e as tentativas de fraude passariam despercebidas. Nesta perspetiva, é possível subscrever os motivos que aparentemente levaram o legislador alemão a adotar o artigo 31.o da BDSG.

76.

Além do mais, ainda que se saiba que as pessoas coletivas de direito privado podem atuar no interesse público, parece‑me evidente que um qualquer «interesse legítimo» não pode justificar a aplicação do artigo 6.o, n.o 1, alínea e), do RGPD. A relação com o «exercício da autoridade pública» e os considerandos 45, 55 e 56, do RGPD indicam antes que esta disposição visa, em primeiro lugar, as autoridades públicas em sentido estrito, bem como as pessoas coletivas que detenham uma parcela da autoridade pública e, em segundo lugar, as pessoas coletivas de direito privado que realizam um tratamento com fins de serviço público, por exemplo, no domínio da«saúde pública», da «proteção social» e da «gestão dos serviços de saúde», expressamente referidos no considerando 45. Por outras palavras, esta disposição diz respeito às tarefas clássicas do Estado.

77.

Do mesmo modo, note‑se que os considerandos 55 e 56 do RGPD fazem referência às «associações religiosas oficialmente reconhecidas», bem como aos «partidos políticos», ou seja, às organizações que, de acordo com os critérios do legislador da União, prosseguem atividades no interesse público e procedem, para esse fim, a tratamentos de dados pessoais. Perante esta constatação, é duvidoso que esta disposição possa incluir igualmente as atividades das sociedades de informações comerciais, incluindo o scoring. Tal interpretação alargaria consideravelmente o âmbito de aplicação desta disposição e tornaria particularmente difícil a identificação dos limites desta cláusula de abertura ( 37 ).

78.

Além das considerações expostas, importa sublinhar neste contexto que, embora o artigo 31.o, da BDSG vise proteger as transações económicas, esta disposição não menciona nenhuma tarefa concreta das referidas sociedades ( 38 ). Conforme já referi nas presentes conclusões, baseando‑me em precisões fornecidas pelo órgão jurisdicional de reenvio sobre o quadro jurídico nacional, esta disposição diz respeito à «utilização» do score pelos operadores económicos e não à sua «determinação» pelas sociedades de informações comerciais ( 39 ). Ora, é a licitude desta atividade que se encontra no centro do litígio no processo principal. Pelos motivos acima expostos, considero que o artigo 6.o, n.o 1, alínea e), do RGPD não é adequado para servir de base jurídica.

79.

Importa analisar em seguida se esta atividade é abrangida pelo âmbito de aplicação do artigo 6.o, n.o 1, alínea f), do RGPD. De acordo com a jurisprudência do Tribunal de Justiça ( 40 ), a disposição em questão prevê três requisitos cumulativos para que o tratamento de dados pessoais seja lícito, a saber, em primeiro lugar, a prossecução de interesses legítimos pelo responsável pelo tratamento ou por terceiros, em segundo lugar, a necessidade do tratamento dos dados pessoais para a realização do interesse legítimo prosseguido e, em terceiro lugar, o requisito de que não prevaleçam os direitos e liberdades fundamentais da pessoa a quem a proteção de dados diz respeito.

80.

Antes de mais, no que respeita à prossecução de um interesse legítimo, recordo que o RGPD e a jurisprudência reconhecem um amplo leque de interesses considerados legítimos ( 41 ), precisando simultaneamente que, em conformidade com o artigo 13.o, n.o 1, alínea d), do RGPD, cabe ao responsável pelo tratamento indicar os interesses legítimos prosseguidos no âmbito do artigo 6.o, n.o 1, alínea f), do RGPD. Conforme já indiquei nas presentes conclusões, o objetivo legislativo do artigo 31.o da BDSG consiste em assegurar a licitude das atividades realizadas pelas sociedades de informações comerciais, dado que, no entender do legislador alemão, estas últimas contribuem para o bom funcionamento da economia de um país ( 42 ). Na medida em que estas atividades garantem a proteção dos diferentes operadores económicos contra os riscos próprios da insolvência, com consequências graves para a estabilidade do sistema financeiro, pode considerar‑se, neste estádio da análise, que a disposição nacional previamente referida prossegue um objetivo económico suscetível de constituir um «interesse legítimo» na aceção do artigo 6.o, n.o 1, alínea f), do RGPD.

81.

No que se refere, em seguida, ao requisito da necessidade do tratamento dos dados pessoais para a prossecução de interesses legítimos, de acordo com o Tribunal de Justiça, as derrogações e as restrições ao princípio da proteção dos dados pessoais devem ser estabelecidas na estrita medida do necessário ( 43 ). Por conseguinte, é necessária uma ligação estreita entre o tratamento e o interesse prosseguido, na falta de soluções alternativas mais respeitadoras da proteção de dados pessoais, uma vez que não basta que o tratamento represente uma simples utilidade para o responsável pelo tratamento. A este respeito, importa salientar que, embora o órgão jurisdicional de reenvio manifeste algumas dúvidas quanto à licitude da atividade de scoring à luz das disposições do RGPD, não fornece nenhum elemento de informação que sugira a existência eventual de medidas de substituição mais respeitosas da proteção de dados pessoais. Na falta de informações contrárias, inclino‑me a reconhecer uma certa margem de manobra na escolha das medidas adequadas para alcançar o objetivo visado.

82.

Por último, no que diz respeito à ponderação, por um lado, dos interesses do responsável pelo tratamento e, por outro, dos interesses ou das liberdades fundamentais e dos direitos fundamentais do titular dos dados, há que constatar que a ponderação dos diferentes interesses em jogo foi feita, no presente caso, pela via legislativa. Ao adotar o artigo 31.o da BDSG, o legislador alemão fez prevalecer os interesses económicos sobre o direito à proteção dos dados pessoais. Ora, tal abordagem só seria possível se o artigo 6.o, n.o 1, alínea f), do RGPD previsse uma cláusula que permitisse aos Estados‑Membros manter ou introduzir disposições mais específicas para adaptar as regras do referido regulamento em relação ao tratamento. Contudo, não é esse o caso, conforme explicarei em seguida.

83.

Conforme resulta claramente da redação do artigo 6.o, n.os 2 e 3, do RGPD, a manutenção ou a aprovação de disposições mais específicas só é autorizada para as situações referidas nas alíneas c) e e) do n.o 1. A análise precedente demonstrou que o artigo 31.o da BDSG não tem em vista nenhuma circunstância que possa resultar das referidas situações, o que exclui logicamente que o artigo 6.o, n.os 2 e 3, do RGPD possa ser invocado como base jurídica. A aplicação à situação referida na alínea f) do n.o 1 violaria não só a redação destas disposições mas desrespeitaria também a vontade do legislador da União, tal como resulta da génese das referidas disposições.

84.

A este respeito, recordo que, por força do artigo 5.o, da Diretiva 95/46/CE ( 44 ) (o ato jurídico que precedeu o RGPD), compete aos Estados‑Membros «[precisar] […] as condições em que {era] lícito o tratamento de dados pessoais». O Tribunal de Justiça interpretou esta disposição concluindo que nada se opõe a que, no exercício da sua margem de apreciação consagrada no artigo 5.o, da Diretiva 95/46, os Estados‑Membros estabeleçam «princípios orientadores» para a ponderação necessária nos termos do artigo 7.o, alínea f), desta Diretiva, que corresponde ao artigo 6.o, n.o 1, alínea f), do RGPD. Importa, porém, salientar que o RGPD já não confere esse poder aos Estados‑Membros. Com efeito, a falta de uma disposição equivalente no RGPD implica que os Estados‑Membros já não podem estabelecer princípios orientadores no seu direito nacional a fim de precisar o «interesse legítimo» na aceção do artigo 6.o, n.o 1, alínea f), desse regulamento ( 45 ).

85.

A referência às disposições relativas a «situações específicas de tratamento» em conformidade com o capítulo IX, constante dos n.os 2 e 3, não tem por efeito alargar o âmbito de aplicação do artigo 6.o do RGPD. Trata‑se antes de uma remissão para disposições que autorizam os Estados‑Membros a adotar regras mais específicas nos domínios circunscritos, a saber, quando o tratamento é necessário para o cumprimento de uma «obrigação legal» na aceção da alínea c) do n.o 1, ou para a execução de uma «missão de interesse público» ou decorrente do exercício da «autoridade pública», no caso referido na alínea e) desse número ( 46 ). Como já acima indiquei, estes domínios não têm, porém, nenhuma relação com as circunstâncias nas quais o artigo 31.o da BDSG se aplica.

86.

Neste contexto, importa igualmente recordar que embora a proposta de regulamento da Comissão lhe tenha atribuído competências para «adotar atos delegados […] a fim de melhor especificar as condições previstas no artigo 6.o, n.o 1, alínea f), para os vários setores e situações em matéria de tratamento de dados, incluindo quanto ao tratamento de dados pessoais relativos a crianças», esta proposta não foi acolhida pelo legislador da União. A análise da evolução do texto mostra que os poderes regulamentares dos Estados‑Membros foram reduzidos no interesse de uma maior harmonização, a fim de garantir a aplicação coerente e homogénea das regras em matéria de proteção de dados pessoais, tal como confirmam igualmente os considerandos 3, 9 e 10, do RGPD ( 47 ). Esta circunstância deve ser tida em conta no âmbito da interpretação do artigo 6.o do RGPD.

87.

Por último, considero necessário sublinhar que, mesmo no caso de o artigo 6.o, n.o 1, alínea f), do RGPD ser aplicável, uma disposição nacional como a do artigo 31.o da BDSG não pode ser considerada conforme com o direito da União. Recordo que o Tribunal de Justiça interpretou o artigo 7.o, alínea f), da Diretiva 95/46 no sentido de que «[u]m Estado‑Membro não pode […] prescrever, para essas categorias, de forma definitiva, o resultado da ponderação dos direitos e dos interesses opostos sem permitir um resultado diferente devido a circunstâncias particulares de um caso concreto» ( 48 ). Uma vez que esta disposição está redigida em termos quase idênticos aos da disposição que a substituiu, a saber, o artigo 6.o, n.o 1, alínea f), do RGPD, entendo que esta interpretação continua a ser válida ( 49 ). Ora, tal como sugere o órgão jurisdicional de reenvio, parece que ter sido precisamente este o legislador nacional, uma vez que, na medida em que o artigo 31.o da BDSG autoriza a utilização de scores no setor financeiro, é concedida prioridade aos interesses económicos do setor financeiro em relação ao direito à proteção de dados pessoais, sem, no entanto, serem tidas em conta as circunstâncias particulares do caso concreto. Esta abordagem alagaria de modo inadmissível o âmbito de aplicação do artigo 6.o, do RGPD.

88.

Visto tudo quanto precede, considero que o artigo 6.o, n.o 1, alínea f), do RGPD não pode ser invocado validamente como base jurídica com o objetivo de adotar uma disposição nacional como a do artigo 31.o do BDSG.

89.

O órgão jurisdicional de reenvio indica que as disposições conjugadas do artigo 6.o, no 4, e do artigo 23.o, na 1, do RGPD foram evocadas como bases jurídicas no processo legislativo que conduziu à adoção do artigo 31.o da BDSG. Contudo, a ideia de tomar como base estas disposições foi abandonada posteriormente. O órgão jurisdicional de reenvio considera que estas disposições não são aplicáveis ao presente caso.

90.

Não é possível, na falta de informações mais detalhadas, tomar posição sobre a aplicabilidade eventual das disposições acima referidas. Tal também não me parece necessário se as referidas disposições não tiverem desempenhado nenhum papel ao longo do processo legislativo, como afirma o órgão jurisdicional de reenvio ( 50 ).

91.

Examinei, nos números precedentes, a questão de saber se os artigos 6.o e 22.o do RGPD podem servir de base jurídica para a adoção de uma disposição nacional como o artigo 31.o da BDSG, a fim de justificar a licitude da determinação de scores no âmbito das atividades realizadas pelas sociedades de informações comerciais. Várias razões, expostas em detalhe na minha análise, reforçam a minha convicção de dever afastar esta possibilidade. Em suma, considero que, na falta de cláusulas de abertura ou de isenções que autorizem os Estados‑Membros a adotar regras mais precisas ou a derrogar as regras do RGPD a fim de regulamentar esta atividade acima referida, e tendo em conta o grau de harmonização prosseguido por este regulamento que, em conformidade com o artigo 288.o TFUE, é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados‑Membros, há que considerar que tal disposição nacional é não conforme com o RGPD.

92.

Uma vez que o Tribunal de Justiça não tem competência para interpretar o direito nacional ou para se pronunciar sobre a conformidade deste último com o direito da União num processo prejudicial ao abrigo do artigo 267.o TFUE, os argumentos abordados nas presentes conclusões devem ser entendidos como indicações para a interpretação das disposições pertinentes do RGPD, com o objetivo de permitir ao órgão jurisdicional de reenvio exercer, caso necessário, essa competência depois de ter analisado o artigo 31.o da BDSG à luz das disposições desse regulamento, designadamente, no que diz respeito à possibilidade de proceder a uma interpretação da legislação nacional conforme com as exigências do direito da União.

93.

O princípio do primado do direito da União consagra a prevalência do direito da União sobre o direito dos Estados‑Membros. Este princípio impõe, por conseguinte, a todas as instâncias dos Estados‑Membros que confiram o seu pleno efeito às diferentes disposições do direito da União, uma vez que o direito dos Estados‑Membros não pode afetar o efeito reconhecido a essas disposições no território dos referidos Estados. Por força deste princípio, na impossibilidade de proceder a uma interpretação da legislação nacional conforme com as exigências do direito da União, o juiz nacional encarregado de aplicar, no âmbito da sua competência, as disposições do direito da União tem a obrigação de garantir o pleno efeito das mesmas, afastando, se necessário e por sua própria iniciativa, a aplicação de qualquer disposição contrária da legislação nacional, mesmo que posterior, sem ter de pedir ou de esperar pela sua revogação prévia por via legislativa ou por qualquer outro procedimento constitucional ( 51 ).

94.

Em resposta à segunda questão prejudicial, considero que o artigo 6.o, n.o 1, e o artigo 22.o do Regulamento 2016/679 devem ser interpretados no sentido de que não se opõem a um regime de direito interno relativo à definição de perfis, quando se trate de uma de uma definição de perfis diferente da prevista no artigo 22.o, n.o 1, deste regulamento. Contudo, neste caso, a legislação nacional deve respeitar as condições previstas no artigo 6.o do referido regulamento. Em particular, deve assentar numa base jurídica adequada, o que cabe ao órgão jurisdicional de reenvio verificar.

95.

Atentas as considerações que precedem, proponho ao Tribunal de Justiça que responda do seguinte modo às questões prejudiciais submetidas pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha):