–

em representação de Proximus NV, por P. Craddock e T. de Haan, avocats, bem como por E. Van Bogget, advocaat,

–

em representação de Gegevensbeschermingsautoriteit, por C. Buggenhoudt, E. Cloots e J. Roets, advocaten,

–

em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por E. De Bonis, avvocato dello Stato,

–

em representação do Governo letão, por E. Bārdiņš, J. Davidoviča e K. Pommere, na qualidade de agentes,

–

em representação do Governo português, por P. Barros da Costa, L. Inez Fernandes, M. J. Ramos e C. Vieira Guerra, na qualidade de agentes,

–

em representação do Governo romeno, por E. Gane e L. Liţu, na qualidade de agentes,

–

em representação da Comissão Europeia, por S. L. Kalėda, H. Kranenborg e P.‑J. Loewenthal, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 12.o, n.o 2, lido em conjugação com o artigo 2.o, segundo parágrafo, alínea f), da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»), bem como do artigo 5.o, n.o 2, e dos artigos 17.o, 24.o e 95.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Proximus NV, sociedade de direito público belga, à Gegevensbeschermingsautoriteit (Autoridade de proteção de dados, Bélgica) (a seguir «APD»), a respeito da decisão pela qual a Geschillenkamer van de Gegevensbeschermingsautoriteit (Secção de Contencioso da APD, a seguir «Secção de Contencioso») aplicou à Proximus medidas corretivas e uma coima de 20000 euros por violação de várias disposições do RGPD.

3

O artigo 2.o, alínea h), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), dispõe:

«Para efeitos da presente diretiva, entende‑se por:

[…]

4

Os considerandos 10, 17, 38 e 39 da Diretiva 2002/58 têm a seguinte redação:

[…]

[…]

5

O artigo 1.o desta diretiva prevê:

«1.   A presente diretiva prevê a harmonização das disposições dos Estados‑Membros necessárias para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade e à confidencialidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas, e para garantir a livre circulação desses dados e de equipamentos e serviços de comunicações eletrónicas na Comunidade.

2.   Para os efeitos do n.o 1, as disposições da presente diretiva especificam e complementam a Diretiva 95/46/CE. Além disso, estas disposições asseguram a proteção dos legítimos interesses dos assinantes que são pessoas coletivas.

[…]»

6

Nos termos do artigo 2.o, segundo parágrafo, alínea f), da referida diretiva, sob a epígrafe «Definições»:

«São também aplicáveis as seguintes definições:

[…]

7

O artigo 12.o da mesma diretiva, sob a epígrafe «Listas de assinantes», enuncia:

«1.   Os Estados‑Membros assegurarão que os assinantes sejam informados, gratuitamente e antes de serem incluídos nas listas, dos fins a que se destinam as listas de assinantes impressas ou eletrónicas publicamente disponíveis ou que podem ser obtidas através de serviços de informações de listas, nas quais os seus dados pessoais podem ser incluídos, bem como de quaisquer outras possibilidades de utilização baseadas em funções de procura incorporadas em versões eletrónicas da lista.

2.   Os Estados‑Membros assegurarão que os assinantes disponham da possibilidade de decidir da inclusão dos seus dados pessoais numa lista pública e, em caso afirmativo, de quais os dados a incluir, na medida em que esses dados sejam pertinentes para os fins a que se destinam as listas, como estipulado pelo fornecedor das listas, bem como de verificar, corrigir ou retirar esses dados. A não inclusão numa lista pública de assinantes, a verificação, a correção e a retirada de dados pessoais da mesma devem ser gratuitas.

3.   Os Estados‑Membros poderão exigir que o consentimento adicional dos assinantes seja solicitado para qualquer utilização de uma lista pública que não a busca de coordenadas das pessoas com base no nome e, se necessário, num mínimo de outros elementos de identificação.

[…]»

8

Os considerandos 42, 66 e 173 do RGPD dispõem:

[…]

[…]

9

O artigo 4.o, n.os 2, 7 e 11, deste regulamento tem a seguinte redação:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]

10

O artigo 5.o do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1.   Os dados pessoais são:

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

11

Nos termos do artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento»:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]»

12

O artigo 7.o do RGPD, intitulado «Condições aplicáveis ao consentimento», enuncia:

«1.   Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

[…]

3.   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.

[…]»

13

O artigo 16.o do RGPD, intitulado «Direito de retificação», dispõe:

«O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.»

14

O artigo 17.o do RGPD, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», tem a seguinte redação:

«1.   O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

[…]

[…]

2.   Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá‑los nos termos do n.o 1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.

[…]»

15

O artigo 19.o do RGPD, sob a epígrafe «Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento», prevê:

«O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com o artigo 16.o, o artigo 17.o, n.o 1, e o artigo 18.o, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece‑lhe informações sobre os referidos destinatários.»

16

Em conformidade com o artigo 24.o do RGPD, sob a epígrafe «Responsabilidade do responsável pelo tratamento»:

«1.   Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e [organizacionais] que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2.   Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.

[…]»

17

O artigo 94.o do RGPD, intitulado «Revogação da Diretiva 95/46/CE», enuncia no seu n.o 2:

«As remissões para a diretiva revogada são consideradas remissões para [o] presente regulamento. […]»

18

O artigo 95.o do RGPD, sob a epígrafe «Relação com a Diretiva 2002/58/CE», dispõe:

«O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento no contexto da prestação de serviços de comunicações eletrónicas disponíveis nas redes públicas de comunicações na União [Europeia] em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecidas na Diretiva 2002/58/CE.»

19

O artigo 133.o da wet betreffende de elektronische communicatie (Lei Relativa às Comunicações Eletrónicas), de 13 de junho de 2005 (Belgisch Staatsblad, de 20 de junho de 2005, p. 28070), que transpõe para o direito belga o artigo 12.o da Diretiva 2002/58, é do seguinte teor:

«§ 1.   Os fornecedores de um serviço telefónico publicamente disponível devem informar os seus assinantes, gratuitamente e antes de os inscrever numa lista ou num serviço de informação telefónica sobre:

Só podem figurar na lista ou no serviço de informação telefónica os dados pessoais pertinentes para preencher a função comunicada em conformidade com o primeiro parágrafo e que o assinante em questão tenha indicado que podiam figurar na lista ou no serviço de informação telefónica em causa.

Para este efeito, o operador deverá colocar duas questões distintas ao assinante:

[…]

§ 2.   Todos os assinantes têm o direito de consultar os dados pessoais que lhes digam respeito, de acordo com as condições fixadas pela Lei de 8 de dezembro de 1992 Relativa à Proteção da Privacidade no que diz Respeito ao Tratamento de Dados Pessoais.

Todos os assinantes têm, além disso, o direito de fazer corrigir ou suprimir gratuitamente, da lista ou do serviço de informação telefónica, os dados pessoais que lhes dizem respeito, segundo os procedimentos e nas condições a fixar pelo Rei, após parecer da Comissão de proteção da privacidade e do Instituto.»

20

O artigo 45.o, n.o 2, da referida lei obriga os operadores de serviços telefónicos a disponibilizar os dados relativos aos seus assinantes aos fornecedores de listas públicas. Por força do artigo 45.o, n.o 3, da mesma lei, esses operadores devem separar os dados relativos aos assinantes que pediram para não figurar numa lista, de modo a que os mesmos possam receber a lista sem que os seus dados nela figurem.

21

A Proximus, prestadora de serviços de telecomunicações na Bélgica, fornece igualmente listas telefónicas e serviços de informação telefónica acessíveis ao público (a seguir «listas»), em conformidade com as disposições da Lei Relativa às Comunicações Eletrónicas. Estas listas contêm o nome, o endereço e o número de telefone (a seguir «dados de contacto») dos assinantes dos diferentes fornecedores de serviços telefónicos acessíveis ao público (a seguir «operadores»). Existem outras listas publicadas por terceiros.

22

Os dados de contacto desses assinantes são regularmente comunicados à Proximus pelos operadores, com exceção dos dados de contacto dos assinantes que manifestaram o desejo de não figurar nas listas editadas pela Proximus. Na Bélgica, a distinção entre os assinantes que pretendem figurar numa lista e os que não o desejam fazer traduz‑se, na prática, pela atribuição de um código no registo de cada assinante, concretamente, «NNNNN», para os assinantes cujos dados de contacto podem aparecer, e «XXXXX» para os assinantes cujos dados de contacto permanecem confidenciais. A Proximus transmite igualmente as coordenadas que recebe a outro fornecedor de listas telefónicas.

23

O autor da reclamação é um assinante da operadora de serviços telefónicos Telenet, que opera no mercado belga. A Telenet não fornece listas, mas transmite as coordenadas dos seus assinantes a fornecedores de listas, nomeadamente à Proximus.

24

Em 13 de janeiro de 2019, este assinante pediu à Proximus que não incluísse os seus dados de contacto nas listas editadas tanto pela Proximus como por terceiros. Na sequência deste pedido, a Proximus alterou o estatuto deste assinante no seu sistema informático para que os dados de contacto do referido assinante deixassem de ser tornados públicos.

25

Em 31 de janeiro de 2019, a Proximus recebeu da Telenet uma atualização periódica dos dados dos assinantes desta última. Esta atualização continha novos dados do assinante em causa, que não estavam indicados como confidenciais. Estas informações foram objeto de tratamento automatizado pela Proximus, foram registadas, e passaram novamente a figurar nas listas desta última.

26

Em 14 de agosto de 2019, após ter verificado que o seu número de telefone tinha sido publicado nas listas da Proximus e de terceiros, o assinante em causa pediu novamente à Proximus que não incluísse os seus dados nessas listas. No mesmo dia, a Proximus respondeu ao autor da reclamação que tinha suprimido os seus dados das listas e contactado a Google para que as hiperligações pertinentes para o sítio Internet da Proximus fossem suprimidas. A Proximus informou igualmente este assinante de que tinha transmitido os seus dados de contacto a outros fornecedores de listas e que, graças às atualizações mensais, esses fornecedores tinham sido informados do pedido do autor da reclamação.

27

Ao mesmo tempo, o referido assinante apresentou uma queixa à APD contra a Proximus com fundamento na circunstância de o seu número de telefone aparecer em algumas dessas listas apesar do seu pedido no sentido de os seus dados de contacto não serem incluídos nas mesmas.

28

Em 5 de setembro de 2019, o assinante em causa e a Proximus voltaram a trocar mensagens a respeito da publicação dos dados desse assinante na lista de um terceiro. Neste contexto, a Proximus sublinhou que transmite os dados de contacto dos seus assinantes a outros fornecedores de listas, mas que desconhece os procedimentos de funcionamento interno desses fornecedores.

29

Em 30 de julho de 2020, após um processo contraditório, a Secção de Contencioso adotou uma decisão pela qual aplicou à Proximus medidas corretivas e uma coima no montante de 20000 euros por violação, nomeadamente, do artigo 6.o do RGPD, conjugado com o artigo 7.o deste regulamento, e do artigo 5.o, n.o 2, do referido regulamento, lido em conjugação com o artigo 24.o deste último. Em especial, em primeiro lugar, ordenou à Proximus que desse seguimento adequado e imediato à retirada do consentimento do assinante em causa e que respeitasse os pedidos desse assinante destinados a exercer o seu direito ao apagamento dos dados que lhe diziam respeito. Em seguida, ordenou à Proximus que tomasse as medidas técnicas e organizacionais adequadas para assegurar que os tratamentos dos dados pessoais que efetua sejam conformes com as disposições do RGPD. Por último, ordenou à Proximus que deixasse de transmitir ilicitamente esses dados a outros fornecedores de listas.

30

Em 28 de agosto de 2020, a Proximus interpôs recurso desta decisão para o hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica).

31

Segundo a Proximus, em conformidade com o artigo 45.o, n.o 3, da Lei Relativa às Comunicações Eletrónicas, o consentimento do assinante não é exigido, sendo que incumbe aos próprios assinantes pedir para não figurar nas listas segundo um sistema dito de «opt‑out». Na falta desse pedido, o assinante em causa pode efetivamente figurar nessas listas. Por este motivo, segundo a Proximus, no caso em apreço o assinante não tinha de dar nenhum «consentimento» na aceção da Diretiva 95/46 ou do RGPD.

32

De opinião contrária, a APD alegou, em substância, que o artigo 12.o, n.o 2, da Diretiva 2002/58 e o artigo 133.o, n.o 1, da Lei Relativa às Comunicações Eletrónicas exigem o «consentimento dos assinantes», na aceção do RGPD, para que os fornecedores de listas possam tratar e transmitir os seus dados pessoais.

33

O órgão jurisdicional de reenvio considera que a Diretiva 2002/58 constitui uma lex specialis em relação ao RGPD, como confirmam o considerando 173 e o artigo 95.o do RGPD. Por conseguinte, nas situações em que a Diretiva 2002/58 precisa as regras do RGPD, as disposições específicas desta diretiva prevalecem, enquanto lex specialis, sobre as disposições mais gerais do RGPD.

34

Neste contexto, o órgão jurisdicional de reenvio observa que o artigo 12.o, n.o 2, da Diretiva 2002/58 e o artigo 133.o, n.o 1, da Lei Relativa às Comunicações Eletrónicas, embora exijam uma expressão de vontade dos assinantes para que os fornecedores de listas possam tratar os seus dados pessoais, não especificam se esta expressão de vontade se deve traduzir no exercício de um direito de opção, como sustenta a Proximus, ou na manifestação de um verdadeiro consentimento, na aceção do RGPD, como indica a APD. Quanto a este ponto, o órgão jurisdicional de reenvio sublinha que a jurisprudência do Tribunal de Justiça, em especial o Acórdão de 5 de maio de 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, n.o 61), estabeleceu que, como decorre de uma interpretação contextual e sistemática do artigo 12.o da Diretiva 2002/58, a expressão de vontade em causa corresponde a um «consentimento» que se refere à finalidade da publicação dos dados pessoais numa lista pública e não à identidade de um fornecedor de listas em particular.

35

Além disso, uma vez que não foi estabelecido nenhum regime específico relativo à retirada dessa expressão de vontade ou desse «consentimento» por um assinante, nem na Diretiva 2002/58, nem na Lei Relativa às Comunicações Eletrónicas, nem num decreto de execução, o órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se todas as disposições do RGPD devem ser aplicadas automaticamente e sem restrições igualmente no contexto concreto das listas telefónicas.

36

Nestas condições, o hof van beroep te Brussel (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

37

A Proximus alega que o processo principal não tem por objeto a publicação, por um operador de serviços telefónicos, de listas que contêm dados pessoais, pelo que a primeira questão prejudicial deve ser considerada inadmissível por dizer respeito a tal caso.

38

Segundo jurisprudência constante, as questões relativas à interpretação do direito da União submetidas pelo juiz nacional no quadro regulamentar e factual que define sob a sua responsabilidade, e cuja exatidão não cabe ao Tribunal de Justiça verificar, gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre um pedido apresentado por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.o 48 e jurisprudência referida).

39

No presente caso, o litígio no processo principal é apenas entre uma pessoa singular e uma empresa, que não é o seu operador de serviços telefónicos, relativamente ao modo como essa empresa tratou os dados pessoais dessa pessoa no contexto da publicação de listas. Daqui resulta que a primeira questão é inadmissível na medida em que busca uma interpretação das exigências decorrentes do artigo 12.o, n.o 2, da Diretiva 2002/58 caso seja o próprio operador de serviços telefónicos dessa pessoa a publicar os seus dados pessoais em listas.

40

Decorre do exposto que, com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 12.o, n.o 2, da Diretiva 2002/58, lido em conjugação com o artigo 2.o, segundo parágrafo, alínea f), desta diretiva e com o artigo 95.o do RGPD, deve ser interpretado no sentido de que é exigido o «consentimento», na aceção do artigo 4.o, ponto 11, do RGPD, do assinante de um operador de serviços telefónicos para que os seus dados pessoais figurem em listas publicadas por fornecedores diferentes desse operador.

41

Para responder a esta questão, importa recordar que, nos termos do seu artigo 1.o, n.o 1, a Diretiva 2002/58 prevê, nomeadamente, a harmonização das disposições nacionais necessárias para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais, em particular do direito à privacidade e à confidencialidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas.

42

A este respeito, há que recordar que resulta do artigo 12.o, n.o 1, desta diretiva, bem como do seu considerando 38, que os assinantes, antes de serem inscritos em listas públicas, são informados dos fins para os quais estas são elaboradas e de qualquer utilização particular que delas possa ser feita, nomeadamente através das funções de procura incorporadas em versões eletrónicas das listas.

43

O considerando 39 da referida diretiva precisa, em seguida, no que respeita à obrigação de informação prévia dos assinantes ao abrigo do seu artigo 12.o, n.o 1, que, «[n]os casos em que os dados [pessoais] possam ser transmitidos a um ou mais terceiros, o assinante deverá ser informado desta possibilidade e do destinatário ou das categorias de possíveis destinatários».

44

Após ter obtido as informações referidas no artigo 12.o, n.o 1, da Diretiva 2002/58, o assinante pode, como resulta do n.o 2 do mesmo artigo, decidir se os seus dados pessoais, e quais desses dados, devem figurar numa lista pública.

45

Como já decido pelo Tribunal de Justiça, tal informação prévia permite que o assinante consinta na publicação dos seus dados pessoais em listas públicas, sendo que esse consentimento é necessário para efeitos dessa publicação (ver, neste sentido, Acórdão de 5 de maio de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, n.os 54 e 58).

46

A exigência de obtenção do consentimento do assinante em causa para efeitos da publicação desses dados em listas é confirmada pelo artigo 12.o, n.o 3, da Diretiva 2002/58, nos termos do qual os Estados‑Membros poderão exigir que «o consentimento adicional dos assinantes seja solicitado» para qualquer utilização de uma lista pública que não a busca de coordenadas das pessoas com base no nome.

47

Todavia, como o Tribunal de Justiça precisou, resulta de uma interpretação contextual e sistemática do artigo 12.o da Diretiva 2002/58 que o consentimento a título do n.o 2 deste artigo se refere à finalidade da publicação de dados pessoais numa lista pública e não à identidade de um fornecedor de listas em particular. Deste modo, quando esse assinante tiver consentido que os seus dados sejam publicados numa lista com uma finalidade específica, não terá geralmente interesse em opor‑se à publicação dos mesmos dados noutra lista semelhante (Acórdão de 5 de maio de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, n.os 61 e 62).

48

A este respeito, o considerando 39 desta diretiva confirma que a transmissão de dados pessoais dos assinantes a terceiros é permitida na «condição de que os dados não possam ser utilizados para outros fins diferentes dos que motivaram a sua recolha».

49

Daqui resulta que, quando um assinante tenha sido informado por um operador de serviços telefónicos, como a Telenet, da possibilidade de transmissão dos seus dados pessoais a uma terceira empresa, como a Proximus ou outros terceiros, tendo em vista a sua publicação numa lista pública, e esse assinante tenha consentido na publicação desses dados em tal lista, a transmissão por esse operador ou empresa desses mesmos dados a outra empresa para fins de publicação de uma lista pública impressa ou eletrónica, ou de disponibilização dessas listas para consulta através de serviços de informações, não tem de estar sujeita a novo consentimento por parte desse assinante, se se garantir que os dados em causa não serão utilizados para fins diferentes daqueles para os quais foram recolhidos com vista à sua primeira publicação. Com efeito, o consentimento, nos termos do artigo 12.o, n.o 2, da Diretiva 2002/58, de um assinante devidamente informado, para a publicação dos seus dados pessoais numa lista pública refere‑se à finalidade dessa publicação e é assim extensivo a qualquer tratamento posterior dos referidos dados por parte de empresas terceiras que operam no mercado dos serviços de informação telefónica acessíveis ao público e dos serviços de listas, desde que esses tratamentos prossigam essa mesma finalidade (Acórdão de 5 de maio de 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, n.o 65).

50

Em contrapartida, como enuncia o considerando 39 desta diretiva, se a parte que recolhe os dados a partir do assinante ou de terceiros a quem os mesmos tenham sido transmitidos pretender utilizá‑los para outro fim, quer a parte que recolheu os dados, quer o terceiro a quem foram transmitidos, terá de obter novo consentimento do assinante.

51

No que respeita às modalidades segundo as quais esse consentimento deve ser manifestado, resulta do artigo 2.o, segundo parágrafo, alínea f), da Diretiva 2002/58, lido em conjugação com o artigo 94.o, n.o 2, e com o artigo 95.o do RGPD, que esse consentimento deve, em princípio, cumprir as exigências resultantes do artigo 4.o, ponto 11, deste regulamento.

52

No caso em apreço, o artigo 4.o, ponto 11, do RGPD, disposição aplicável aos factos em causa no processo principal, define o «consentimento do titular dos dados» no sentido de que exige uma manifestação de vontade, «livre, específica, informada e inequívoca», pela qual o titular dos dados aceita, mediante declaração ou «ato positivo inequívoco», que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

53

Daqui decorre que esse consentimento é necessário para que os dados pessoais do assinante de um operador de serviços telefónicos possam figurar em listas.

54

Por conseguinte, a publicação dos dados pessoais do assinante em questão em listas como as editadas pela Proximus ou por outros fornecedores só pode ser considerada lícita, na aceção do artigo 6.o, n.o 1, alínea a), do RGPD, se tal consentimento foi expressamente dado ao operador de serviços telefónicos ou a um desses fornecedores de listas.

55

Dito isto, como foi recordado no n.o 49 do presente acórdão, esse consentimento não pressupõe que, à data em que o mesmo é dado, a pessoa em causa conhece necessariamente a identidade de todos os fornecedores de listas que tratarão os seus dados pessoais.

56

Tendo em conta as considerações precedentes, há que responder à primeira questão que o artigo 12.o, n.o 2, da Diretiva 2002/58, lido em conjugação com o artigo 2.o, segundo parágrafo, alínea f), desta diretiva e com o artigo 95.o do RGPD, deve ser interpretado no sentido de que é exigido o «consentimento», na aceção do artigo 4.o, ponto 11, do RGPD, do assinante de um operador de serviços telefónicos para que os dados pessoais desse assinante figurem nas listas publicadas por fornecedores diferentes desse operador, podendo esse consentimento ser dado quer ao referido operador quer a um dos seus fornecedores.

57

Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.o do RGPD deve ser interpretado no sentido de que o pedido de um assinante destinado à supressão dos seus dados pessoais das listas constitui um exercício do «direito ao apagamento», no sentido deste artigo.

58

Antes de mais, há que salientar que a Proximus alega que o artigo 17.o do RGPD não é aplicável a um fornecedor de listas que, como no caso em apreço, não é o operador de serviços telefónicos do assinante e que um pedido, como o mencionado no número anterior do presente acórdão, deveria, quando muito, ser considerado um pedido de retificação, no sentido do artigo 16.o deste regulamento, pelo que a segunda questão prejudicial é inadmissível por falta de pertinência para o processo principal.

59

Todavia, os argumentos assim avançados por esta parte dizem respeito, em substância, ao âmbito de aplicação e ao alcance e, portanto, à interpretação, das disposições do direito da União sobre as quais incide a segunda questão. Ora, assim sendo, tais argumentos, que dizem respeito ao mérito da questão submetida, não podem, por natureza, conduzir à inadmissibilidade da mesma (Acórdão de 13 de janeiro de 2022, Minister Sprawiedliwości, C‑55/20, EU:C:2022:6, n.o 83).

60

Daqui resulta que a segunda questão prejudicial é admissível.

61

Em primeiro lugar, importa sublinhar que, em virtude do artigo 12.o, n.o 2, segundo período, da Diretiva 2002/58, os assinantes devem ter, nomeadamente, a possibilidade de obter a supressão dos seus dados pessoais das listas públicas.

62

Todavia, a concessão dessa possibilidade aos assinantes não constitui uma obrigação específica, na aceção do artigo 95.o do RGPD, a que os fornecedores de listas estejam sujeitos e que permita excluir a aplicação das disposições pertinentes deste regulamento. Com efeito, como salientou, em substância, o advogado‑geral, no n.o 54 das suas conclusões, a Diretiva 2002/58 não contém indicações a respeito das modalidades, execução e consequências dos pedidos de supressão dos dados pessoais. Por este motivo, como resulta, por outro lado, do considerando 10 desta diretiva, lido em conjugação com o artigo 94.o deste regulamento, as disposições do RGPD podem ser aplicadas nessa situação.

63

Em segundo lugar, decorre do artigo 17.o, n.o 1, alíneas b) e d), do RGPD, que a pessoa em causa tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais e que o responsável pelo tratamento tem a obrigação de apagar esses dados sem demora injustificada, nomeadamente quando o titular «retira o consentimento em que se baseia o tratamento nos termos do artigo 6.o, n.o 1, alínea a), […] e se não existir outro fundamento jurídico para o referido tratamento» ou ainda quando «[o]s dados pessoais foram tratados ilicitamente».

64

A este respeito, por um lado, decorre da resposta à primeira questão prejudicial que a publicação dos dados pessoais de um assinante em listas assenta no consentimento desse assinante.

65

Por outro lado, resulta do artigo 6.o, n.o 1, alínea a), e do artigo 7.o, n.o 3, do RGPD, que esse consentimento constitui uma das condições necessárias para concluir pela licitude do tratamento dos dados pessoais do assinante em causa e que esse consentimento pode ser retirado a qualquer momento e segundo modalidades tão simples como as que permitiram ao titular dar esse consentimento.

66

No caso em apreço, quando o assinante pede que os seus dados já não constem de uma lista, retira o seu consentimento para a publicação desses dados. Com base na retirada do seu consentimento, e na falta de outros fundamentos jurídicos para esse tratamento, adquire o direito de pedir o apagamento dos seus dados pessoais dessa lista, nos termos do artigo 17.o, n.o 1, alínea b), do RGPD ou, no caso de o responsável pelo tratamento continuar a publicar os referidos dados de maneira ilícita, em virtude do artigo 17.o, n.o 1, alínea d), deste regulamento.

67

Nestas condições, há que considerar que o pedido de um assinante destinado à supressão dos seus dados pessoais das listas pode ser considerado um exercício do «direito ao apagamento» dos referidos dados, na aceção do artigo 17.o do RGPD.

68

Esta conclusão não pode ser posta em causa pelo argumento invocado pela Proximus segundo o qual se deve considerar que o referido pedido se destina a permitir que o assinante exerça o seu direito de obter, por parte do responsável pelo tratamento, a retificação dos dados pessoais que lhe digam respeito a título do artigo 16.o do RGPD. Com efeito, nos termos desta disposição, essa retificação é possível quando os dados pessoais são inexatos e destina‑se a permitir que o seu titular consiga que os mesmos sejam completados.

69

Ora, no caso em apreço, um pedido de supressão dos dados de um assinante que figura numa lista não visa substituir dados inexatos por dados corretos ou completar dados incompletos, mas sim suprimir a publicação de dados corretos.

70

O facto de, no caso em apreço, essa supressão se traduzir na simples alteração do código que é atribuído ao assinante em causa na base de dados da Proximus, base essa a partir da qual os dados pessoais deste assinante são publicados nas listas, não impede que um pedido de supressão dos dados pessoais que figuram nessas listas seja considerado um «pedido de apagamento», na aceção do artigo 17.o do RGPD. Com efeito, como resulta dos autos submetidos ao Tribunal de Justiça, a modalidade de supressão prevista pelo referido operador constitui uma medida de natureza puramente técnica ou organizacional necessária para dar seguimento ao pedido de apagamento dos dados pessoais do interessado e para impedir a divulgação desses dados.

71

Tendo em conta as considerações precedentes, há que responder à segunda questão que o artigo 17.o do RGPD deve ser interpretado no sentido de que o pedido de um assinante destinado à supressão dos seus dados pessoais das listas constitui um exercício do «direito ao apagamento», na aceção deste artigo.

72

Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 5.o, n.o 2, e o artigo 24.o do RGPD devem ser interpretados no sentido de que uma autoridade de controlo nacional pode exigir que o fornecedor de listas, enquanto responsável pelo tratamento, tome as medidas técnicas e organizacionais adequadas para informar outros responsáveis pelo tratamento, a saber, o operador de serviços telefónicos que lhe comunicou os dados pessoais do seu assinante e os outros fornecedores de listas aos quais ele próprio forneceu esses dados, da retirada do consentimento desse assinante.

73

A título preliminar, importa salientar que, no caso em apreço, a Proximus tratou dados pessoais do autor da reclamação, publicando‑os e comunicando‑os a outros fornecedores de listas. A Telenet, o seu operador de serviços telefónicos, tratou igualmente esses dados, nomeadamente transmitindo‑os à Proximus. O mesmo se diga dos outros fornecedores de listas aos quais a Proximus transmitiu os dados de contacto do autor da reclamação e que os publicaram.

74

Além disso, importa salientar, por um lado, que, como foi recordado no n.o 20 do presente acórdão, embora a Lei Relativa às Comunicações Eletrónicas obrigue os operadores de serviços telefónicos a transmitirem os dados relativos aos seus assinantes aos fornecedores de listas públicas, esses operadores devem, todavia, separar os dados relativos aos assinantes que pediram para não figurar numa lista, de modo a que esses assinantes possam receber uma cópia dessa lista sem que os seus dados nela figurem.

75

Resulta dos autos de que o Tribunal de Justiça dispõe que, na prática, o consentimento do assinante no sentido de que os seus dados pessoais sejam publicados numa lista é geralmente dado ao seu operador de serviços telefónicos, sendo que tal consentimento permite que esses dados sejam transferidos para um terceiro, fornecedor de listas. Esse fornecedor pode, por sua vez, comunicar esses dados a outros fornecedores de listas, com base no mesmo consentimento, sendo que esses responsáveis pelo tratamento formam uma cadeia, tratando cada um deles sucessivamente os referidos dados, de maneira independente, com base num único e mesmo consentimento.

76

Resulta igualmente dos autos de que o Tribunal de Justiça dispõe que a atualização da base de dados da Proximus para dar resposta à retirada do consentimento do autor da reclamação foi apagada assim que o seu operador de serviços telefónicos enviou à Proximus uma nova lista de dados relativos aos seus assinantes, para a respetiva publicação nas listas, a qual não tinha em conta a retirada do consentimento do autor da reclamação junto da Proximus.

77

Neste contexto, coloca‑se a questão de saber se um fornecedor de listas, como a Proximus, nos casos em que um assinante de um operador de serviços telefónicos retire o seu consentimento para figurar nas listas desse fornecedor, deve, não só atualizar a sua própria base de dados para ter em conta essa retirada, mas igualmente informar o operador de serviços telefónicos que lhe comunicou esses dados, e os outros fornecedores de listas a que ele próprio transmitiu esses dados, a respeito dessa retirada.

78

Em primeiro lugar, importa recordar que o artigo 6.o, n.o 1, alínea a), do RGPD prevê que um tratamento é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas. Ora, resulta da decisão prejudicial que o autor da reclamação retirou o seu consentimento, na aceção do artigo 7.o, n.o 3, deste regulamento, para o tratamento dos seus dados pessoais para fins de publicação em listas. Na sequência dessa retirada, o tratamento desses dados para efeitos da respetiva inscrição nas listas públicas, incluindo o tratamento efetuado com a mesma finalidade por parte dos operadores de serviços telefónicos ou de outros fornecedores de listas que se baseiem no mesmo consentimento, deixa de ter fundamento jurídico e é, assim, ilícito à luz do artigo 6.o, n.o 1, alínea a), do referido regulamento.

79

Em segundo lugar, importa recordar que, em conformidade com o artigo 5.o, n.o 1, alínea a), e n.o 2, do RGPD, o responsável pelo tratamento deve certificar‑se de que está em condições de demonstrar que os dados pessoais são tratados de maneira lícita, leal e transparente em relação ao titular dos dados.

80

No que respeita ao artigo 24.o do RGPD, este exige que, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, o responsável pelo tratamento aplique as medidas técnicas e organizacionais que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com esse regulamento

81

Como salientou o advogado‑geral no n.o 67 das suas conclusões, o artigo 5.o, n.o 2, e o artigo 24.o do RGPD impõem obrigações gerais de responsabilidade e cumprimento aos responsáveis pelo tratamento de dados pessoais. Em especial, estas disposições exigem que os responsáveis pelo tratamento adotem as medidas adequadas para prevenir eventuais violações das regras previstas no RGPD, a fim de assegurar o direito à proteção de dados.

82

Nesta perspetiva, o artigo 19.o do RGPD prevê, nomeadamente, que o responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer apagamento de dados pessoais a que se tenha procedido em conformidade com o artigo 17.o, n.o 1, deste regulamento, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado

83

Ora, decorre das obrigações gerais previstas no artigo 5.o, n.o 2, e no artigo 24.o do RGPD, lidos em conjugação com o seu artigo 19.o, que um responsável pelo tratamento de dados pessoais, como a Proximus, deve aplicar medidas técnicas e organizacionais adequadas para informar os outros fornecedores de listas, aos quais forneceu tais dados, a respeito do facto de a pessoa em causa ter retirado o consentimento que lhe tinha dirigido. Em circunstâncias como as especificadas no n.o 76 do presente acórdão, esse responsável pelo tratamento deve igualmente velar por informar o operador de serviços telefónicos que lhe comunicou esses dados pessoais para que este último adapte a lista dos dados pessoais que transmite automaticamente a esse fornecedor de listas e isole os dados dos seus assinantes que manifestaram a vontade de retirar o seu consentimento para que esses dados fossem tornados públicos.

84

Com efeito, quando, como no caso em apreço, diferentes responsáveis pelo tratamento se baseiam no consentimento único da pessoa em causa para tratar os seus dados pessoais com a mesma finalidade, basta que, para retirar tal consentimento, essa pessoa se dirija a qualquer um dos responsáveis pelo tratamento, que se baseiam nesse mesmo consentimento, para obter a retirada solicitada.

85

Como acertadamente salienta a Comissão, para garantir a efetividade do direito de retirar o seu consentimento, previsto no artigo 7.o, n.o 3, do RGPD, e assegurar que o consentimento da pessoa em causa está estritamente ligado à finalidade para a qual o mesmo foi dado, o responsável pelo tratamento, junto do qual a pessoa em causa tenha retirado o seu consentimento para o tratamento dos seus dados pessoais, é efetivamente obrigado a informar dessa retirada qualquer pessoa que lhe tenha transmitido esses dados, bem como a pessoa a quem, por sua vez, esse responsável os tenha transmitido. Os responsáveis pelo tratamento assim informados têm depois, por sua vez, a obrigação de transmitir essas informações aos outros responsáveis pelo tratamento aos quais comunicaram esses dados.

86

A este respeito, importa, antes de mais, salientar que tal obrigação de informação visa prevenir qualquer violação eventual das regras previstas no RGPD para assegurar o direito à proteção de dados e, assim sendo, inscreve‑se, no âmbito das medidas adequadas, na aceção do artigo 24.o deste regulamento. Além disso, como salientou o advogado‑geral no n.o 68 das suas conclusões, inscreve‑se igualmente no âmbito da exigência prevista no artigo 12.o, n.o 2, deste regulamento, por força do qual o responsável pelo tratamento é obrigado a facilitar aos titulares de dados o exercício dos seus direitos ao abrigo nomeadamente do artigo 17.o do referido regulamento.

87

Em seguida, há que constatar que, se o responsável pelo tratamento não estivesse sujeito a tal obrigação de informação da retirada do consentimento da pessoa em causa, essa retirada do consentimento poderia tornar‑se particularmente difícil, uma vez que essa pessoa poderia considerar‑se obrigada a dirigir‑se a cada um dos operadores. Tal abordagem seria, assim, contrária ao artigo 7.o, n.o 3, do RGPD, segundo o qual deve ser tão simples retirar como dar o seu consentimento para o tratamento de dados pessoais.

88

Por último, em conformidade com a jurisprudência recordada no n.o 49 do presente acórdão, o consentimento, nos termos do artigo 12.o, n.o 2, da Diretiva 2002/58, de um assinante devidamente informado, para a publicação numa lista pública dos seus dados pessoais diz respeito à finalidade dessa publicação e é assim extensivo a qualquer tratamento posterior dos referidos dados por parte de empresas terceiras que operam no mercado das listas, desde que esses tratamentos prossigam essa mesma finalidade.

89

Daqui resulta que, como salientou o advogado‑geral no n.o 68 das suas conclusões, uma vez que o fornecedor de listas pode invocar o consentimento que um assinante tenha dado, para essa finalidade, a outro fornecedor ou ao seu operador de serviços telefónicos, o assinante, para retirar o seu consentimento, deve poder contactar qualquer um dos fornecedores de listas ou o referido operador para retirar os seus dados de contacto das listas publicadas por todos os que se tenham baseado no seu ato único de consentimento.

90

Tendo em conta as considerações precedentes, há que responder à terceira questão que o artigo 5.o, n.o 2, e o artigo 24.o do RGPD devem ser interpretados no sentido de que uma autoridade de controlo nacional pode exigir que o fornecedor de listas, enquanto responsável pelo tratamento, tome as medidas técnicas e organizacionais adequadas para informar os terceiros responsáveis pelo tratamento, a saber, o operador de serviços telefónicos que lhe comunicou os dados pessoais do seu assinante e os outros fornecedores de listas aos quais tenha fornecido esses dados, da retirada do consentimento desse assinante.

91

Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 17.o, n.o 2, do RGPD deve ser interpretado no sentido de que se opõe a que uma autoridade de controlo nacional ordene a um fornecedor de listas, ao qual o assinante de um operador de serviços telefónicos pediu que deixasse de publicar os seus dados pessoais, que tome as «medidas que forem razoáveis», na aceção desta disposição, para informar os fornecedores de motores de busca desse pedido de apagamento dos dados.

92

Para responder a esta questão, importa recordar que o artigo 17.o, n.o 2, do RGPD impõe ao responsável pelo tratamento que tornou públicos os dados pessoais, tendo em conta as tecnologias disponíveis e os custos da sua aplicação, que tome medidas razoáveis, incluindo de ordem técnica, para informar os responsáveis pelo tratamento efetivo desses dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.

93

Como resulta do considerando 66 do RGPD, o objetivo desta obrigação é o reforço do direito a ser esquecido no ambiente por via eletrónica, sendo que, consequentemente, a mesma visa em especial as informações disponibilizadas na Internet pelos fornecedores de motores de busca que tratam dados publicados por via eletrónica.

94

No caso em apreço, é pacífico que a Proximus publicou, na sua lista, os dados pessoais do autor da reclamação e, portanto, que esta sociedade deve ser considerada um responsável pelo tratamento que tornou públicos esses dados, na aceção do artigo 17.o, n.o 2, do RGPD.

95

Além disso, há que recordar que, em conformidade com jurisprudência constante, a atividade de um motor de busca que consiste em encontrar informações publicadas ou disponibilizadas na Internet por terceiros, indexá‑las de maneira automática, em armazená‑las temporariamente e, por último, em pô‑las à disposição dos internautas segundo uma ordem de preferência determinada, deve ser qualificada de «tratamento» de dados pessoais, na aceção do artigo 4.o, n.o 2, do RGPD, quando essas informações contenham dados pessoais e, por outro lado, que o operador desse motor de busca deve ser considerado «responsável» pelo referido tratamento, na aceção do artigo 4.o, n.o 7, deste regulamento, e, portanto, igualmente do seu artigo 17.o, n.o 2, [v., neste sentido, Acórdão de 24 de setembro de 2019, GC e o. (Supressão de referências e dados sensíveis), C‑136/17, EU:C:2019:773, n.o 35 e jurisprudência referida].

96

Por conseguinte, em circunstâncias como as que estão em causa no processo principal, há que considerar que um responsável pelo tratamento como a Proximus é obrigado, por força do artigo 17.o, n.o 2, do RGPD, a tomar medidas razoáveis para informar os motores de busca do pedido que lhe foi dirigido pelo assinante de um operador de serviços telefónicos com vista ao apagamento dos seus dados pessoais. Todavia, como salientou o advogado‑geral no n.o 76 das suas conclusões, para apreciar a razoabilidade das medidas tomadas pelo fornecedor de listas, o artigo 17.o, n.o 2, do RGPD prevê que devem ser tidos em conta a tecnologia disponível e os custos da sua aplicação, tarefa que incumbe principalmente à autoridade competente nesta matéria e que está sujeita a fiscalização jurisdicional.

97

No caso em apreço, resulta das observações escritas apresentadas pela APD, que não foram contestadas neste ponto pelas outras partes no presente processo, que, no segundo trimestre de 2020, o número de fornecedores de motores de busca que operam na Bélgica era limitado. Em particular, a Google detinha uma quota de mercado compreendida entre 90 %, no que respeita às pesquisas em computadores fixos, e 99 %, no que respeita às pesquisas em smartphones e tablets.

98

Além disso, como foi indicado no n.o 26 do presente acórdão, resulta dos autos submetidos ao Tribunal de Justiça que, na sequência do pedido do assinante para que os seus dados não fossem incluídos nas listas desse fornecedor, a Proximus respondeu que não só tinha suprimido esses dados das listas telefónicas e dos serviços de informação telefónica, como também tinha contactado a Google para que as hiperligações pertinentes para o sítio Internet da Proximus fossem suprimidas.

99

Tendo em conta as considerações precedentes, há que responder à quarta questão que o artigo 17.o, n.o 2, do RGPD deve ser interpretado no sentido de que não se opõe a que uma autoridade de controlo nacional ordene a um fornecedor de listas, ao qual o assinante de um operador de serviços telefónicos pediu que deixasse de publicar os seus dados pessoais, que tome as «medidas que forem razoáveis», na aceção desta disposição, para informar os fornecedores de motores de busca desse pedido de apagamento dos dados.

100

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quarta Secção) declara: