Edição provisória
CONCLUSÕES DO ADVOGADO‑GERAL
PRIIT PIKAMÄE
apresentadas em 22 de fevereiro de 2024 (1)
Processo C‑693/22
I. sp. z o. o.
contra
M. W.
[pedido de decisão prejudicial apresentado pelo Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Primeira Instância de Varsóvia‑Capital, Polónia)]
«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Venda de uma base de dados que contém dados pessoais no âmbito de um processo de execução — Artigo 4.°, ponto 7 — Conceito de “responsável pelo tratamento” — Artigo 5.°, n.° 1, alínea b) — Limitação das finalidades — Artigo 6.°, n.os 1, 3 e 4 — Licitude do tratamento — Cumprimento de uma obrigação legal imposta ao responsável pelo tratamento — Execução de uma função de interesse público — Artigo 23.°, n.° 1, alínea j) — Execução de ações cíveis — Medida necessária e proporcionada»
1. Pode a venda, no âmbito de um processo de execução, de uma base de dados que contém dados pessoais estar em conformidade com as disposições do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (a seguir «RGPD»)(2), se as pessoas a quem esses dados dizem respeito não tiverem dado o seu consentimento para essa venda?
2. Trata‑se da questão principal submetida ao Tribunal de Justiça pelo Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Primeira Instância de Varsóvia‑Capital, Polónia) no âmbito do presente reenvio prejudicial.
3. O Tribunal de Justiça é assim chamado a examinar uma situação específica à luz do RGPD e a tomar posição sobre certos elementos‑chave deste regulamento, como o conceito de «responsável pelo tratamento», a licitude do tratamento e o alcance do princípio da limitação das finalidades.
Quadro jurídico
Direito da União
4. O artigo 4.° do RGPD prevê:
«Para efeitos do presente regulamento, entende‑se por:
1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); [...]
2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
[...]
7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;
[...]»
5. O artigo 5.° deste regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe, nos seus n.os 1 e 2:
«1. Os dados pessoais são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades;
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);
[...]
2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.° 1 e tem de poder comprová‑lo (“responsabilidade”).»
6. O artigo 6.° do referido regulamento, sob a epígrafe «Licitude do tratamento», tem a seguinte redação:
«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
[...]
c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
[...]
e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
[...]
3. O fundamento jurídico para o tratamento referido no n.° 1, alíneas c) e e), é definido:
a) Pelo direito da União; ou
b) Pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito.
A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.° 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. [...] O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.
4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.°, n.° 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:
a) Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;
b) O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;
c) A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.°, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.°;
d) As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;
e) A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.»
7. O artigo 23.°, n.° 1, do RGPD, sob a epígrafe «Limitações», prevê:
«1. O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.° a 22.° e no artigo 34.°, bem como no artigo 5.°, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.° a 22.°, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
[...]
j) A execução de ações cíveis.»
Direito polaco
8. O artigo 299.° da ustawa Kodeks spółek handlowych (Lei que aprova o Código das Sociedades Comerciais), de 15 de setembro de 2000 (Dz. U. de 2022, posição 1467, a seguir «Código das Sociedades Comerciais»), tem a seguinte redação:
«§ 1. Se a execução contra a sociedade se revelar ineficaz, os membros do conselho de administração serão solidariamente responsáveis pelas suas obrigações.
§ 2. Um membro do conselho de administração pode isentar‑se da responsabilidade referida no § 1 se provar que um pedido de falência foi apresentado em tempo útil ou que, ao mesmo tempo, foi emitida uma decisão nessa mesma altura de início de um processo de reestruturação ou de aprovação de um acordo no âmbito de um processo de aprovação de um acordo, ou que a falta de apresentação do pedido de falência não lhe é imputável, ou que apesar da falta de apresentação de um pedido de falência e da prolação de uma decisão de início de um processo de reestruturação ou de não aprovação de um acordo no âmbito de um processo de aprovação de um acordo, o credor não sofreu nenhum prejuízo.»
9. Nos termos do artigo 796.°, n.° 1, da ustawa Kodeks postępowania cywilnego (Lei que aprova o Código de Processo Civil), de 17 de novembro de 1964 (Dz. U. de 2021, posição 1805), conforme alterada (a seguir «Código de Processo Civil):
«O pedido de início de uma execução deve ser apresentado ao tribunal ou ao oficial de justiça, em conformidade com as regras de competência. O pedido dirigido ao oficial de justiça pode ser apresentado através de um formulário oficial.»
10. O artigo 799.°, n.° 1, primeiro período, do Código de Processo Civil dispõe:
«Um pedido de início de uma execução ou um pedido de execução oficiosa permite que a execução seja efetuada de acordo com todas as modalidades admissíveis, com exceção da execução de penhoras de bens imóveis […]»
11. O artigo 824.°, n.° 1, ponto 3, deste código tem a seguinte redação:
«A extinção total ou parcial do processo judicial de execução é declarada oficiosamente.
[...]
3) quando se verifique claramente que a execução não resultará na obtenção de um montante superior aos seus custos.»
12. O artigo 831.° do referido código prevê:
«§ 1 Não podem ser objeto de execução:
[...]
3) direitos não transferíveis, a menos que a sua transferência seja excluída ao abrigo de um contrato e o seu objeto seja passível de execução ou o exercício do direito possa ser confiado a outra pessoa.»
13. A ustawa o komornikach sądowych (Lei sobre os Oficiais de Justiça), de 22 de março de 2018 (Dz. U. de 2022, posição 1168), conforme alterada (a seguir «Lei sobre os Oficiais de Justiça»), regula o estatuto e as atividades dos oficiais de justiça. Nos termos do seu artigo 3.°, n.os 1 e 3:
«O oficial de justiça é uma autoridade pública no âmbito da execução de atos em processos executivos e cautelares. Estes atos são executados pelo oficial de justiça, sem prejuízo das exceções previstas na lei.
[...]
O oficial de justiça tem as seguintes funções:
1) a execução das decisões judiciais em processos de créditos pecuniários e não pecuniários e de depósito de garantia, incluindo as decisões europeias de arresto de contas, sem prejuízo das exceções previstas [no Código de Processo Civil];
[...]»
14. O artigo 9.°, n.° 1, desta lei dispõe:
«O oficial de justiça não pode recusar um pedido de:
1) início de uma execução,
[...]
que seja competente para realizar nos termos das disposições do [Código de Processo Civil].»
15. O artigo 31.°, n.° 1, primeiro período, da referida lei tem a seguinte redação:
«Os créditos objeto de execução sobre uma conta bancária, a conta de uma caixa cooperativa de poupança e crédito ou a conta de uma entidade que realiza atividades de corretagem, obtidos com o primeiro pagamento efetuado pelo devedor do crédito penhorado, devem ser transferidos pelo oficial de justiça para o credor não antes do 7.° dia e não depois do 14.° dia a contar da data da sua receção […].
[…]»
16. A ustawa o ochronie baz danych (Lei de Proteção das Bases de Dados), de 27 de julho de 2001 (Dz. U. de 2021, posição 386) (a seguir «Lei de Proteção das Bases de Dados»), prevê, no seu artigo 2.°, n.° 1, ponto 1), o seguinte:
«Na aceção da presente lei, entende‑se por:
1. “base de dados”: uma recolha de dados ou qualquer outro material e elementos coligidos de acordo com determinado método ou sistemática, individualmente acessível por um qualquer meio, incluindo por via eletrónica, que exija um investimento substancial, em termos de qualidade ou quantidade, para compilar, verificar ou apresentar o seu conteúdo.»
17. O artigo 6.°, n° 1, da Lei de Proteção das Bases de Dados dispõe:
«O fabricante da base de dados tem o direito exclusivo e transferível de extrair os dados e de os reutilizar na totalidade ou em grande parte, no que respeita à qualidade ou à quantidade.»
Litígio no processo principal, questão prejudicial e tramitação processual no Tribunal de Justiça
18. A sociedade I. (a seguir «recorrente» ou «sociedade credora»), com sede na Polónia, possui um crédito, confirmado por uma decisão judicial definitiva, sobre a sociedade NMW, especializada na venda em linha, da qual M.W. é membro do conselho de administração.
19. A pedido da recorrente, foi instaurado contra a sociedade NMW um processo de execução para satisfação deste crédito. Este processo resultou numa decisão do oficial de justiça de por fim a esta execução pelo facto de a sociedade NMW não ter ativos que pudessem ser objeto da mesma. Nestas condições, a recorrente intentou uma ação contra M.W. no Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Primeira Instância de Varsóvia‑Capital), com base no artigo 299.°, § 1, do Código das Sociedades Comerciais, que prevê a responsabilidade por danos de um membro do conselho de administração da sociedade devedora no caso de impossibilidade de satisfazer o crédito com base no património da sociedade.
20. M. W. concluiu pedindo que a ação fosse julgada improcedente pelo facto de a sociedade NMW deter bens patrimoniais cada um com um valor superior ao crédito da recorrente, isto é, um código fonte de um software de compras em linha ligado a um serviço de quase cashback (a seguir «plataforma M.»), bem como duas bases de dados relativos aos utilizadores dessa plataforma.
21. Não obstante, o órgão jurisdicional de reenvio indica que vender apenas a plataforma M., sem essas bases de dados, não é tão atrativa no mercado como a venda de todo o «pacote».
22. Por conseguinte, segundo esse órgão jurisdicional, é necessário obter uma resposta à questão de saber se as bases de dados criadas pela NMW podem ser cedidas no âmbito de um processo de execução judicial. Com efeito, uma resposta afirmativa conduziria a que a ação no processo principal fosse julgada improcedente.
23. A este respeito, o órgão jurisdicional de reenvio especifica que, embora não esteja vinculado pela avaliação do valor dos ativos em causa na qual M.W. se baseou — tanto mais que essa avaliação não foi efetuada por um perito judicial —, a resposta à questão acima referida mantém‑se necessária para a resolução do litígio no processo principal na medida em que as disposições que regulam o processo civil polaco não permitem a admissão de tal prova sem primeiro estabelecer que se trata de uma prova pertinente.
24. Esse órgão jurisdicional considera que as bases de dados em causa estão abrangidas pelo conceito de «base de dados» na aceção do artigo 1.° da Diretiva 96/9/CE do Parlamento Europeu e do Conselho, de 11 de março de 1996, relativa à proteção jurídica das bases de dados (3), pelo que o seu titular, a sociedade NMW, detém o direito patrimonial de ceder essas bases de dados ao abrigo do artigo 7.° desta diretiva. Com efeito, os processos de execução poderiam ser exercidos relativamente a qualquer direito patrimonial, salvo se uma disposição excluísse expressamente essa possibilidade. Ora, o legislador polaco não teria previsto uma regra que proibisse a execução de uma base de dados como a que está em causa no processo principal.
25. O órgão jurisdicional de reenvio tem dúvidas quanto ao facto de essas bases de dados poderem ser objeto de execução uma vez que contêm dados pessoais de centenas de milhares de utilizadores da plataforma M. e que não existe nenhuma prova de que os utilizadores desta plataforma tenham consentido no tratamento dos seus dados pessoais sob a forma de uma disponibilização desses dados a terceiros, fora da referida plataforma. A este respeito, especificou que os respetivos dados não estão abrangidos pelas categorias especiais de dados pessoais na aceção do artigo 9.° do RGPD.
26. Este órgão jurisdicional interroga‑se também sobre a articulação entre as limitações ao tratamento de dados pessoais estabelecidas pelo RGPD e o direito de dispor livremente de uma base de dados decorrente da Diretiva 96/9 e do direito nacional, incluindo, em seu entender, o de transferir a base de dados no âmbito de um processo de execução.
27. Foi neste contexto que o Sąd Rejonowy dla m.st. Warszawy w Warszawie (Tribunal de Primeira Instância de Varsóvia‑Capital) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:
«Deve o artigo 5.°, n.° 1, alínea a), em conjugação com o artigo 6.°, n.° 1, alíneas a), c), e e), e com o artigo 6.°, n.° 3, do [RGPD], ser interpretado no sentido de que se opõe a uma regulamentação de direito nacional que permite, no âmbito de um processo de execução, a venda de uma base de dados na aceção do artigo 1.°, n.° 2, da [Diretiva 96/9], composta por dados pessoais, se as pessoas a quem esses dados dizem respeito não tiverem dado o seu consentimento para essa venda?»
28. Foram apresentadas observações escritas pelo Governo Polaco e pela Comissão Europeia. Estes mesmos interessados, bem como I., apresentaram alegações orais na audiência de 16 de novembro de 2023.
Análise
Quanto à admissibilidade
29. Desde logo, devem ser abordadas duas questões relativas à admissibilidade da presente questão prejudicial.
30. Primeiro, na audiência, a recorrente no processo principal manifestou dúvidas quanto à relevância dessa questão. Segundo esta parte, a sociedade NMW já cessou a sua atividade económica há alguns anos. Mais precisamente, esta sociedade não teria conselho de administração nem direção e, desde abril de 2019, não forneceria serviço aos utilizadores da plataforma M (4). Assim, teria necessariamente cessado qualquer tratamento de dados pessoais ligado ao exercício da sua atividade. Nestas condições, os princípios da limitação das finalidades e da limitação da conservação teriam exigido o apagamento dos dados em causa, sem o qual a própria existência das bases de dados em causa no processo principal seria ilícita. Tendo isto em conta, a questão submetida pelo órgão jurisdicional de reenvio, relativa à legalidade da venda das mesmas no âmbito de um processo de execução, não é relevante para a resolução do litígio no processo principal.
31. Importa observar que, nos termos do artigo 5.°, n.° 1, alínea e), do RGPD, os dados pessoais (5) são conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados. Daqui resulta que, mesmo um tratamento inicialmente lícito de dados se pode tornar, com o tempo, incompatível com o RGPD quando esses dados já não sejam necessários para a realização dessas finalidades (6). Nessa hipótese, os dados devem ser apagados (7). No caso vertente, os dados em causa foram certamente recolhidos para os fins da atividade de venda em linha exercida pela NMW. Se esta última tivesse cessado a referida atividade em abril de 2019, não restaria dúvida de que esses dados já não teriam sido necessários para a sua realização, e deveriam, assim, ter sido apagados. Na falta de tal apagamento, a existência das bases de dados em questão não estaria em conformidade com o RGPD, e a falta de pertinência da presente questão prejudicial para a resolução do litígio no processo principal seria manifesta.
32. Assim sendo, há que recordar que, segundo jurisprudência constante, o Tribunal de Justiça apenas tem competência para se pronunciar sobre a interpretação do direito da União à luz do quadro factual e jurídico definido pelo juiz nacional sob a sua responsabilidade, sem poder pô‑lo em causa nem verificar a sua exatidão (8).
33. Ora, não resulta de nenhum ponto da decisão de reenvio que a sociedade NMW tenha posto termo à sua atividade em abril de 2019, como sustenta a demandante.
34. Segundo, o órgão jurisdicional de reenvio tem dúvidas quanto à aplicabilidade do RGPD à luz das disposições da Diretiva 96/9.
35. Importa recordar, a título preliminar, que a Diretiva 96/9 visa suprimir, através de uma aproximação das legislações nacionais, as disparidades que existiam entre elas em matéria de proteção jurídica das bases de dados e que prejudicam o funcionamento do mercado interno, a livre circulação de bens e serviços na União, bem como o desenvolvimento de um mercado da informação no interior da União (9). Em conformidade com o seu artigo 1.°, n.° 1, esta diretiva diz respeito à proteção jurídica das bases de dados, seja qual for a forma de que estas se revistam, precisando‑se que o n.° 2 deste artigo define a «base de dados» como «uma coletânea de obras, dados ou outros elementos independentes, dispostos de modo sistemático ou metódico e suscetíveis de acesso individual por meios eletrónicos ou outros».
36. A referida diretiva impõe a todos os Estados‑Membros que prevejam no seu direito nacional uma proteção das bases de dados através de um direito sui generis. Mais especificamente, o artigo 7.°, n.° 1, da Diretiva 96/9 reserva ao fabricante de uma base de dados que tenha exigido um investimento substancial, de um ponto de vista qualitativo ou quantitativo, o direito de proibir os atos de extração e/ou de reutilização da totalidade ou de uma parte substancial do conteúdo dessa base. Este direito é alienável nos termos do artigo 7.°, n.° 3, desta diretiva.
37. Segundo o órgão jurisdicional de reenvio, as bases de dados pertencentes à sociedade NMW preenchem as condições para serem abrangidas pela proteção assegurada pela Lei de Proteção das Bases de Dados e pela Diretiva 96/9, a primeira das quais constitui a transposição da segunda para a ordem jurídica polaca. O artigo 6.° desta lei prevê, nomeadamente, que o fabricante dispõe do direito exclusivo e alienável de extrair os dados e de os reutilizar na totalidade ou numa parte substancial. Tratar‑se‑ia, portanto, segundo o órgão jurisdicional de reenvio, de um direito patrimonial de natureza absoluta e que produz efeitos erga omnes. Em conformidade com o direito polaco, qualquer direito patrimonial pode ser objeto de um processo de execução, salvo exceção expressamente prevista na lei. Ora, o legislador polaco não teria previsto nenhuma regra que proibisse a execução relativa a uma base de dados. Tal significaria que o oficial de justiça seria, no caso em apreço, titular de um direito de ceder as bases de dados em nome do credor, que derivaria do direito do fabricante em causa no processo de execução de dispor livremente destas. A invocação desse direito poderia obstar à aplicação das regras do RGPD num caso como o que está em apreço e tornar a presente questão inadmissível.
38. Desde logo, cumpre observar que o direito sui generis reconhecido no artigo 7.° desta diretiva não é corretamente identificado pelo órgão jurisdicional de reenvio. Trata‑se, na realidade, de um direito de se opor a atos que consistem, designadamente, em reconstituir a base de dados ou uma parte substancial desta a um custo muito inferior ao de uma conceção autónoma de uma base de dados (10), sendo o objetivo assim prosseguido pelo legislador da União o de garantir à pessoa que tomou a iniciativa e assumiu o risco de dedicar um investimento substancial à obtenção, verificação ou apresentação do conteúdo de uma base de dados, a remuneração do seu investimento, protegendo‑a contra a apropriação não autorizada dos resultados desse investimento (11).
39. Além disso, e sobretudo, no que respeita à articulação entre a Diretiva 96/9 e o RGPD, resulta do artigo 13.° desta diretiva que esta não prejudica as disposições relativas, nomeadamente, à proteção dos dados pessoais e da vida privada, e do considerando 48 da referida diretiva que as suas disposições não prejudicam a aplicação das regras em matéria de proteção de dados previstas na Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (12), à qual sucedeu o RGPD (13).
40. Por conseguinte, considero que o Tribunal de Justiça deve pronunciar‑se sobre o mérito do presente processo.
Quanto ao mérito
41. Com a sua questão, o órgão jurisdicional de reenvio pretende saber, em substância, se o artigo 5.°, n.° 1, alínea a), o artigo 6.°, n.° 1, primeiro parágrafo, alíneas a), c) e e), e o artigo 6.°, n.° 3, do RGPD devem ser interpretados no sentido de que se opõem a uma regulamentação nacional que permite a um oficial de justiça vender, no âmbito de um processo de execução, uma base de dados que contém dados pessoais quando as pessoas a quem esses dados dizem respeito não tiverem dado o seu consentimento para tal venda.
42. A minha análise jurídica será efetuada da seguinte forma. No que respeita ao RGPD, a questão da aplicabilidade deste regulamento ao caso em apreço e a relativa à identificação do responsável pelo tratamento em causa serão abordadas antes de me centrar na interpretação das regras que regulam a licitude desse tratamento.
43. O raciocínio desenvolvido nas presentes conclusões mostrará que as disposições do direito da União que o Tribunal de Justiça é chamado a ter em conta coincidem apenas parcialmente com as evocadas na questão prejudicial. Por conseguinte, a proposta de resposta incidirá sobre estas disposições (14).
Quanto à existência de um tratamento e à identificação do responsável pelo tratamento
44. Como decorre do seu considerando 10 do RGPD, este visa nomeadamente assegurar um nível de proteção elevado das pessoas singulares na União e, para esse fim, assegurar uma aplicação coerente e homogénea das regras de proteção das liberdades e dos direitos fundamentais dessas pessoas no que diz respeito ao tratamento de dados pessoais em toda a União (15).
45. Nos termos do seu artigo 2.°, n.° 1, este regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados, sempre que tais dados estejam contidos em ficheiros ou estejam destinados a constar de ficheiros.
46. O n.° 2 deste artigo prevê uma série de exceções ao âmbito de aplicação do referido regulamento, baseadas no tipo de atividade no exercício da qual o tratamento é efetuado. Resulta da jurisprudência do Tribunal de Justiça que, à luz da necessidade de interpretar estas exceções restritivamente, é necessário que essa atividade figure entre as que estão expressamente mencionadas no artigo 2.°, n.° 2, do RGPD ou que possa ser classificada na mesma categoria. Assim, a caracterização de uma atividade como própria do Estado ou de uma autoridade pública não é suficiente para se considerar que o tratamento em questão é efetuado no exercício de uma atividade não abrangida pelo âmbito de aplicação do direito da União no sentido da exceção que figura no artigo 2.°, n.° 2, alínea a), do RGPD (16).
47. Relativamente ao que nos interessa, importa observar que o tratamento efetuado no contexto da execução de um pedido de direito civil não escapa ao âmbito de aplicação deste regulamento.
48. Os contornos do âmbito de aplicação do RGPD são definidos pelo conceito de «tratamento». Nos termos do artigo 4.°, ponto 2, deste regulamento, este conceito inclui uma operação efetuada ou não por meios automatizados sobre dados pessoais ou sobre conjuntos de dados pessoais, tal como, nomeadamente, «a recuperação», «a consulta», «a utilização» e «qualquer outra forma de disponibilização» desses dados. O legislador da União pretendeu assim conferir um alcance amplo ao referido conceito (17).
49. Existe um tratamento de dados pessoais no caso em apreço?
50. Impõe‑se um esclarecimento preliminar. As operações sobre dados pessoais realizadas pela sociedade NMW para efeitos do exercício da sua atividade de venda em linha através da plataforma M. não estão abrangidas pelo âmbito da questão submetida pelo órgão jurisdicional de reenvio. Esta questão visa exclusivamente o processo de execução destinado à venda executiva das bases de dados em causa. Segundo o órgão jurisdicional de reenvio, tal processo implica um tratamento na aceção do RGPD, pelo qual o oficial de justiça é o responsável.
51. Os esclarecimentos prestados na audiência pelo Governo Polaco à luz da missão confiada ao oficial de justiça no âmbito desse processo de execução não deixam subsistir nenhuma dúvida, a meu ver, quanto à exatidão desta interpretação.
52. Este Governo explicou que o processo em questão se inicia com a apreensão da base de dados, através da qual o oficial de justiça obtém acesso aos dados pessoais que nela figuram para proceder à estimativa do seu valor e para o indicar no auto de penhora. Para efeitos de tal estimativa, o oficial de justiça efetua uma série de operações que incluem a recuperação, a consulta e a utilização desses dados (18). O processo de execução finda com a alienação da base de dados em hasta pública. Uma vez que a proposta se torne definitiva e que a totalidade do preço seja paga, o oficial de justiça procede à colocação da referida base de dados à disposição do adquirente.
53. Daqui resulta que os dados pessoais contidos em bases de dados como as aqui em causa são, pelo menos, recuperados, consultados e utilizados pelo oficial de justiça no âmbito da estimativa do seu valor e, em seguida, disponibilizados ao adquirente. A este respeito, importa observar que um tratamento de dados pessoais pode ser constituído por várias operações, visando cada uma delas uma das diversas fases que um tratamento pode conter (19). Deste modo, no caso em apreço, deve considerar‑se que estas operações constituem um «tratamento» na aceção do RGPD.
54. Em seguida, há que identificar o responsável por esse tratamento.
55. Recordo que, por força do artigo 4.°, ponto 7, do RGPD, o conceito de «responsável pelo tratamento» abrange as pessoas singulares ou coletivas, as autoridades públicas, as agências ou outros organismos que, individualmente ou em conjunto com outras, determinam as finalidades e os meios de tratamento (20). Esta disposição enuncia igualmente que, sempre que as finalidades e os meios do tratamento sejam determinados, nomeadamente pelo direito de um Estado‑Membro, o responsável pelo tratamento pode ser designado ou os critérios específicos aplicáveis a essa designação podem ser previstos por esse direito. Esta definição ampla do conceito de «responsável pelo tratamento» visa assegurar, segundo jurisprudência constante, uma proteção eficaz e completa das pessoas em causa (21).
56. Quando a determinação das finalidades e dos meios do tratamento é efetuada pelo direito nacional, importa, segundo a jurisprudência mais recente, verificar se esse direito designa o responsável pelo tratamento ou prevê os critérios específicos aplicáveis à sua designação. A designação do responsável pelo tratamento pelo direito nacional pode ser não só explícita, mas também implícita. Neste último caso, exige‑se, no entanto, que esta determinação decorra de maneira suficientemente certa do papel, da missão ou das atribuições conferidas à pessoa ou à entidade em causa (22).
57. No caso em apreço, decorre do artigo 3.°, n.° 1, da Lei sobre os Oficiais de Justiça que o oficial de justiça é uma autoridade pública que efetua, sob reserva das exceções previstas na lei, atos nomeadamente no âmbito dos processos de execução. Além disso, e como acima referido, resulta dos elementos dos autos que, quando a execução tem por objeto bases de dados, esses atos consistem nomeadamente na recuperação, na consulta, na utilização dos dados pessoais que aí figuram no âmbito da estimativa do valor dessas bases de dados com vista a uma venda em hasta pública, bem como na colocação à disposição do adquirente depois de a proposta se ter tornado definitiva. Parece‑me que o direito polaco determinou assim, pelo menos implicitamente, as finalidades e os meios do tratamento dos dados pessoais realizado pelo oficial de justiça.
58. Daqui resulta que se pode considerar que o oficial de justiça é, no caso em apreço, enquanto autoridade pública encarregada de conduzir qualquer processo de execução, incluindo o que tem por objeto uma base de dados, o responsável pelo tratamento dos dados pessoais aí contidos na aceção do artigo 4.°, ponto 7, do RGPD.
59. O órgão jurisdicional de reenvio não refere nenhuma disposição de direito polaco que imponha à sociedade devedora NMW obrigações de cooperação com o oficial de justiça para lhe permitir estimar o valor das bases de dados em causa com vista à sua venda executiva.
60. Não se pode excluir que tais obrigações impliquem a realização de outro tratamento na aceção do RGPD, pelo qual esta sociedade seria responsável. A este respeito, importa recordar que, no Acórdão Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), o Tribunal de Justiça considerou que a comunicação e a disponibilização à Autoridade Tributária de um Estado‑Membro por um operador económico de dados pessoais que este último está legalmente obrigado a fornecer implicava esse tratamento, que acrescia ao tratamento efetuado por essa autoridade através do pedido pelo qual solicitava a comunicação e a disponibilização desses dados (23).
61. Menos verosímil, ainda que abstratamente concebível, é que o oficial de justiça e a sociedade devedora NMW possam ser conjuntamente responsabilizados pelos tratamentos efetuados em relação aos dados pessoais em causa para efeitos da venda executiva. Esta conclusão é concebível, segundo o Acórdão Estado belga (Dados tratados por um jornal oficial), quando as diferentes operações de tratamento estejam unidas por finalidades e meios determinados pelo direito nacional e este defina as obrigações respetivas de cada um dos responsáveis conjuntos pelo tratamento (24).
62. Dito isto, a análise que se segue assenta na premissa, à luz dos elementos do caso em apreço, de que o oficial de justiça é o único responsável pelo tratamento em causa no processo principal.
63. Na qualidade de responsável pelo tratamento, o oficial de justiça é não só responsável pela observância dos princípios que regem o tratamento de dados pessoais (25), mas também destinatário de um considerável numero de obrigações que correspondem a direitos dos titulares dos dados (26). Essas obrigações podem apenas ser limitadas pelo legislador nacional nas condições previstas no artigo 23.° do RGPD. Interrogado na audiência sobre a existência de tais disposições legislativas no direito nacional, o Governo Polaco apenas indicou o artigo 4.° da Lei de Proteção de Dados. Não obstante, este artigo limita apenas o âmbito das obrigações do responsável pelo tratamento que exercem uma missão pública nos termos do artigo 14.°, n.°s 1, 2 e 4, do RGPD («Informações a facultar quando os dados pessoais não são recolhidos junto do titular»).
Quanto à licitude do tratamento de dados pessoais em causa
64. Como o Tribunal de Justiça declarou reiteradamente, qualquer tratamento de dados pessoais deve, nomeadamente, respeitar os princípios relativos ao tratamento de dados enunciados no artigo 5.°, n.° 1, do RGPD e, tendo em conta o princípio da licitude do tratamento, cumprir as condições de licitude do tratamento enumeradas no artigo 6.° deste regulamento (27).
65. O artigo 6.°, n.° 1, primeiro parágrafo, do referido regulamento prevê uma lista exaustiva e taxativa das hipóteses em que um tratamento de dados pessoais pode ser qualificado como lícito. Tal qualificação implica que o tratamento seja abrangido por uma dessas hipóteses. Ora, importa observar que o tratamento em causa não está abrangido pela hipótese principal prevista nesta disposição, a saber, aquela em que o titular dos dados deu o seu consentimento para o tratamento para uma ou mais finalidades especificas (28). Como resulta da decisão de reenvio, nenhuma prova foi produzida no processo principal que permita constatar que as pessoas a quem dizem respeito os dados pessoais recolhidos nas bases de dados em causa tenham consentido a que os seus dados sejam transferidos para terceiros fora da atividade ligada à plataforma M., nomeadamente que sejam vendidos na sequência de um processo de execução.
66. Segundo o órgão jurisdicional de reenvio, o tratamento pelo oficial de justiça pode estar abrangido pelo âmbito de aplicação do artigo 6.°, n.° 1, primeiro parágrafo, alínea c), do RGPD (tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito), ou do artigo 6.°, n.° 1, primeiro parágrafo, alínea e), deste regulamento (tratamento necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento) (29).
67. Como observa o órgão jurisdicional de reenvio, o artigo 3.° da Lei sobre os Oficiais de Justiça confere ao oficial de justiça o estatuto de autoridade pública. Na minha opinião, seria difícil sustentar que as operações que lhe são confiadas no âmbito da realização de uma execução destinada a satisfazer o credor não traduzam a execução de uma função abrangida pelo exercício da autoridade pública de que esse oficial de justiça está investido.
68. Além disso, não seria fácil considerar que a hipótese prevista no artigo 6.°, n.° 1, primeiro parágrafo, alínea c), do RGPD se aplica à situação do caso em apreço. A este respeito, importa observar que o âmbito de aplicação desta disposição está estritamente delimitado. Com efeito, como resulta do Parecer 6/2014 do Grupo de Trabalho «artigo 29.°» (30), a obrigação legal a que o responsável pelo tratamento está sujeito deve ser suficientemente clara quanto ao tratamento de dados pessoais que exige. Isto implica, em especial, a existência de disposições jurídicas que mencionem expressamente a natureza e o objeto do tratamento (31).
69. No caso em apreço, não penso que as disposições evocadas pelo órgão jurisdicional de reenvio, a saber, o artigo 3.°, n.° 1, o artigo 9.°, n.° 1, ponto 1, e o artigo 31.°, n.° 1, primeira frase, da Lei sobre os Oficiais de Justiça, bem como o artigo 796.°, n.° 1, e o artigo 799.°, n.° 1, primeira frase, do Código de Processo Civil, possam ser qualificadas como tais, na medida em que resulta destas disposições unicamente que o oficial de justiça, na sua qualidade de autoridade pública, é obrigado a dar seguimento a qualquer pedido que tenha por objeto a realização de uma execução segundo todos os métodos autorizados. Mais especificamente, o direito polaco não parece impor ao oficial de justiça uma obrigação legal de venda executiva de uma base de dados que contém dados pessoais. A este respeito, há que salientar que o artigo 831.°, n.° 1, ponto 3, do Código de Processo Civil exclui da execução os «direitos inalienáveis», o que pode ser entendido como uma proibição de cessão de uma base de dados no caso de esta ser incompatível com o RGPD.
70. Em todo o caso, não há necessidade de excluir que esta última hipótese seja igualmente pertinente no caso em apreço. Com efeito, embora baste que se aplique uma única hipótese de licitude, como confirma a redação do artigo 6.°, n.° 1, primeiro parágrafo, do RGPD, o Tribunal de Justiça admitiu que um único e mesmo tratamento pode responder a várias dessas hipóteses (32).
71. Por conseguinte, na minha opinião, o tratamento em causa está abrangido pela hipótese de licitude prevista no artigo 6.°, n.° 1, primeiro parágrafo, alínea e), do RGPD.
72. Importa observar que esta hipótese implica a tomada em consideração de outra condição de licitude do tratamento. Com efeito, o artigo 6.°, n.° 3, do RGPD especifica que o fundamento do tratamento referido, nomeadamente, no artigo 6.°, n.° 1, primeiro parágrafo, alínea e), deste regulamento deve ser definido pelo direito da União ou pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito, e deve corresponder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido (33).
73. As disposições conjugadas do artigo 6.°, n.° 1, primeiro parágrafo, alínea e), e do artigo 6.°, n.° 3, do RGPD exigem, assim, a existência de um fundamento jurídico, nomeadamente nacional, que serve de fundamento ao tratamento de dados pessoais pelos responsáveis por esse tratamento que atuam, nomeadamente, no âmbito de uma função abrangida pelo exercício da autoridade pública, como a assegurada pelo oficial de justiça no âmbito da execução dos ativos de uma sociedade (34).
74. Na minha opinião, este fundamento jurídico consiste em todas as disposições do direito polaco mencionadas na primeira frase do n.° 69 das presentes conclusões, das quais resulta que o oficial de justiça, na sua qualidade de autoridade pública, é obrigado a dar seguimento a qualquer pedido que tenha por objeto a realização de uma execução segundo todos os métodos autorizados.
75. A questão de saber se o tratamento em causa está em conformidade com o RGPD exige, por último, que se aborde uma problemática jurídica adicional, que se situa no cerne do presente processo.
76. Com efeito, observo que a finalidade do tratamento dos dados pessoais realizado pelo oficial de justiça, a saber, a venda executiva de bases de dados de utilizadores da plataforma M. para pagar os credores da sociedade NMW, difere da finalidade inicial do tratamento dos dados pessoais por essa sociedade, a saber, permitir a utilização da plataforma M. para efeitos da atividade de venda em linha da referida sociedade.
77. A este respeito, importa recordar que, nos termos do artigo 5.°, n.° 1, alínea b), do RGPD, que enuncia o princípio da «limitação das finalidades», os dados pessoais devem, por um lado, ser recolhidos para finalidades determinadas, explícitas e legítimas e, por outro, não serem posteriormente tratados de modo incompatível com essas finalidades. No entanto, esta disposição não contém indicações sobre as condições em que um tratamento posterior de dados pessoais pode ser considerado compatível com as finalidades da recolha inicial desses dados (35).
78. Resulta do artigo 6.°, n.° 4, do RGPD, lido à luz do considerando 50 deste regulamento (36), que o exame dessa compatibilidade implica a tomada em consideração de uma série de critérios, não taxativos, aí enumerados.
79. É evidente que a tomada em consideração destes critérios no caso vertente não pode conduzir a uma resposta afirmativa quanto à compatibilidade das finalidades em causa. Como o Tribunal de Justiça especificou recentemente, os referidos critérios traduzem a necessidade de uma ligação concreta, lógica e suficientemente estreita entre as finalidades da recolha dos dados pessoais e o tratamento posterior desses dados, e permitem assim assegurar que esse tratamento posterior não se afasta das expectativas legítimas dos titulares dos dados quanto à utilização posterior dos seus dados (37). Ora, tal ligação não pode ser estabelecida no presente processo.
80. Em todo o caso, resulta da primeira frase do artigo 6.°, n.° 4, do RGPD que a apreciação da compatibilidade das finalidades só se torna necessária «[q]uando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados‑Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.°, n.° 1 [do RGPD]».
81. No caso em apreço, é facto assente que os utilizadores da plataforma M. não deram o seu consentimento para um tratamento para uma finalidade diferente daquela para a qual os seus dados pessoais foram recolhidos. Importa então perguntar se tal tratamento se baseia no direito nacional ou da União e se pode ser considerado uma medida necessária e proporcionada numa sociedade democrática para alcançar um dos objetivos enumerados no artigo 23.°, n.° 1, do RGPD.
82. A este respeito, parece‑me necessário precisar que esta hipótese foi interpretada pelo Tribunal de Justiça como constitutiva de uma verdadeira derrogação ao princípio da limitação das finalidades. Baseando‑se no considerando 50 do RGPD, o Tribunal de Justiça indicou que o responsável pelo tratamento está assim autorizado a efetuar um tratamento posterior dos dados em causa independentemente da compatibilidade desse tratamento com as finalidades para as quais esses dados foram inicialmente recolhidos, a fim de salvaguardar os objetivos importantes de interesse público geral enunciados no artigo 23.°, n.° 1, do RGPD. Assim, concluiu que o artigo 6.°, n.° 4, primeiro período, deste regulamento se aplica à apresentação como elemento de prova de um documento que contém dados pessoais de terceiros recolhidos principalmente para efeitos de inspeção tributária, ordenada por um tribunal no âmbito de um processo cível (38).
83. Embora esta interpretação possa desagradar aqueles que consideram que o direito à proteção dos dados pessoais deveria poder ser limitado apenas por medidas legislativas nacionais, está em plena conformidade, no meu entender, com as intenções do legislador da União. Com efeito, importa recordar que a exposição de motivos relativa à posição do Conselho nos trabalhos preparatórios do RGPD exprime, talvez ainda mais claramente do que o considerando 50 deste regulamento, a opção de permitir ao responsável pelo tratamento uma margem, cuidadosamente enquadrada, para efetuar um tratamento incompatível com as finalidades indicadas no momento da recolha dos dados pessoais que deste são objeto (39).
84. Tendo já sido demonstrada a existência de uma base jurídica que serve de fundamento ao tratamento em causa no presente processo, importa, em seguida, determinar se esse tratamento visa garantir os objetivos enunciados no artigo 23.° do RGPD.
85. Observo que entre esses objetivos figura, em conformidade com o n.° 1, alínea j), desta disposição, «a execução de ações cíveis». Parece‑me que o tratamento dos dados pessoais em causa é adequado para garantir o cumprimento desse objetivo. A este respeito, importa observar que, segundo o órgão jurisdicional de reenvio, a finalidade deste tratamento resulta da leitura conjugada do artigo 911.° do Código de Processo Civil e do artigo 31.°, n.° 1, primeiro período, da Lei sobre os Oficiais de Justiça, que habilitam o oficial de justiça a vender a base de dados e, em seguida, a transferir para o credor o montante obtido através dessa venda executiva.
86. A questão de saber se o tratamento efetuado pelo oficial de justiça no âmbito do processo de execução se traduz numa medida necessária e proporcionada numa sociedade democrática para alcançar o objetivo de assegurar a execução dos pedidos de direito civil, é da competência do órgão jurisdicional de reenvio. Cabe, contudo, ao Tribunal de Justiça dar a esse órgão jurisdicional, com base nas informações disponíveis, todas as indicações necessárias para o efeito, à luz do direito da União (40).
87. No que respeita à necessidade, é facto assente que uma medida é necessária quando o objetivo legítimo prosseguido não pode ser alcançado através de uma medida igualmente adequada mas menos restritiva. Noutros termos, é possível garantir a execução do pedido da sociedade credora por outros meios igualmente eficazes, mas menos atentatórios do direito à vida privada e à proteção dos dados pessoais dos utilizadores da plataforma M.? A este respeito, limito‑me a observar que, segundo o órgão jurisdicional de reenvio, não é possível pagar a sociedade credora com o património da sociedade devedora sem efetuar a venda executiva das bases de dados em causa.
88. Quanto à proporcionalidade, a apreciação deste requisito exige que se proceda a uma ponderação dos interesses opostos existentes em função das circunstâncias concretas do caso particular examinado.
89. No caso em apreço, o primeiro destes interesses, que é um direito fundamental consagrado no artigo 8.°, n.° 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») e no artigo 16.° TFUE, consiste na proteção dos utilizadores da plataforma M. no que respeita ao tratamento de dados pessoais. Estreitamente ligado a este é o direito ao respeito pela vida privada, consagrado no artigo 7.° da Carta. Como enuncia o considerando 4 do RGPD, o direito à proteção de dados pessoais não é absoluto, mas deve ser tido em consideração em relação à sua função na sociedade e ser ponderado, em conformidade com o princípio da proporcionalidade, com outros direitos fundamentais. Um destes direitos é o direito de propriedade, consagrado no artigo 17.° da Carta. Ora, a venda de uma base de dados pertencente ao devedor no âmbito de um processo de execução contribui, na minha opinião, para o respeito do direito de propriedade do detentor de um crédito judicialmente apurado.
90. A este respeito, importa recordar que o artigo 17.° da Carta corresponde ao artigo 1.° do Protocolo Adicional à Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma, em 4 de novembro de 1950 (a seguir «CEDH»), pelo que o seu sentido e o seu alcance são, por força do artigo 52.°, n.° 3, da Carta, os mesmos que são dados a este artigo 1.° pela CEDH.
91. Segundo jurisprudência do Tribunal Europeu dos Direitos Humanos, o direito de propriedade implica que os Estados estejam vinculados à obrigação positiva de criar um sistema de execução de decisões judiciais que seja eficiente tanto do ponto de visto prático como do direito e que permita assegurar que os processos que a legislação estabeleceu para a execução de decisões judiciais definitivas sejam implementados sem demora indevida (41). Quando o credor é um operador privado, o Estado é obrigado a prestar a necessária assistência aos credores na execução das decisões judiciais em causa, por exemplo, através de um serviço de oficiais de justiça (42). Neste contexto, quando as autoridades estão obrigadas a atuar para executar uma decisão judicial e se abstêm de o fazer, a sua inatividade pode implicar a responsabilidade do Estado, nomeadamente, no âmbito do artigo 1.° do Protocolo Adicional n.° 1 à CEDH (43).
92. No âmbito da apreciação desta ponderação entre o direito de propriedade, por um lado, e os direitos à proteção de dados pessoais e ao respeito pela vida privada, por outro, um elemento específico que resulta dos autos poderia, na minha opinião, ser tido em conta.
93. Segundo a decisão de reenvio, nenhuma disposição de direito polaco introduz limitações no plano subjetivo quanto ao adquirente de uma base de dados, sendo a única condição deter capacidade jurídica, implicando esta lacuna que o terceiro adquirente também possa ser uma entidade estabelecida fora da União Europeia, que não está obrigada, enquanto tal, a cumprir as regras em matéria de tratamento de dados pessoais previstas no RGPD.
94. Em tal situação, parece‑me que o tratamento em causa implicaria um sacrifício excessivo do direito à proteção dos dados pessoais e não poderia, assim, ser considerado uma medida proporcionada. Permitiria evitar esse resultado, a título de exemplo, uma norma jurídica nacional que obrigasse o oficial de justiça a incluir no caderno de encargos redigido para efeitos da venda em hasta pública uma cláusula que impõe ao terceiro adquirente o cumprimento das regras do RGPD.
Conclusão
95. À luz das considerações precedentes, proponho ao Tribunal de Justiça que responda do seguinte modo à questão prejudicial submetida pelo Sąd Rejonowy dla m. st. Warszawy w Warszawie (Tribunal de Primeira Instância de Varsóvia‑Capital, Polónia):
O artigo 6.°, n.° 1, primeiro parágrafo, alínea e), n.° 3, e n.° 4, primeiro período, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),
deve ser interpretado no sentido de que:
não se opõe a uma regulamentação nacional que permite a um oficial de justiça vender, no âmbito de um processo de execução, uma base de dados que contém dados pessoais, quando as pessoas a quem esses dados dizem respeito não tenham dado o seu consentimento para essa venda, desde que o tratamento efetuado por esse oficial de justiça relativamente aos referidos dados constitua uma medida necessária e proporcionada numa sociedade democrática para garantir a execução de um pedido de direito civil.
1 Língua original: francês.
2 JO 2016, L 119, p. 1.
3 JO 1996, L 77, p. 20.
4 Os utilizadores da plataforma M. teriam recebido uma mensagem de correio eletrónico, em 30 de abril de 2019, informando‑os de que a NMW cessou as suas atividades ligadas a tal plataforma.
5 Não foi suscitada nenhuma dúvida quanto ao facto de os dados que constam das bases de dados em causa no processo principal deverem ser qualificados de «dados pessoais» na aceção do artigo 4.°, ponto 1, do RGPD.
6 Acórdão de 20 de outubro de 2022, Digi (C‑77/21, EU:C:2022:805, n.° 54).
7 Acórdão de 7 de maio de 2009, Rijkeboer (C‑553/07, EU:C:2009:293, n.° 33).
8 V. Acórdão de 3 de junho de 2021, Ministero dell’Istruzione, dell’Universitàe della Ricerca — MIUR e o. (Investigadores universitários) (C‑326/19, EU:C:2021:438, n.° 36 e jurisprudência referida).
9 V. Acórdão de 18 de outubro de 2012, Football Dataco e o. (C‑173/11, EU:C:2012:642, n.° 25 e jurisprudência referida).
10 V. considerando 7 da Diretiva 96/9.
11 V. considerandos 39 e 40 da Diretiva 96/9. V. igualmente Acórdão de 19 de dezembro de 2013, Innoweb (C‑202/12, EU:C:2013:850, n.° 36).
12 JO 1995, L 281, p. 31.
13 Contrariamente ao que a Comissão considera nas suas observações escritas, o artigo 7.°, n.° 4, da Diretiva 96/9 («A proteção das bases de dados pelo direito previsto no n.° 1 não prejudica os direitos existentes sobre o seu conteúdo») não regula a articulação desta diretiva com o RGPD. V., a este respeito, considerando 18 da referida diretiva.
14 Segundo jurisprudência constante, para dar uma resposta útil que permita ao órgão jurisdicional nacional decidir o litígio que lhe foi submetido, o Tribunal de Justiça pode ser levado a tomar em consideração normas de direito da União a que o juiz nacional não fez referência no enunciado da sua questão. V. Acórdão de 21 de dezembro de 2023, Infraestruturas de Portugal e Futrifer Indústrias Ferroviárias (C‑66/22, EU:C:2023:1016, n.° 41 e jurisprudência referida).
15 Acórdão de 20 de outubro de 2022, Digi (C‑77/21, EU:C:2022:805, n.° 48).
16 V. Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535, n.° 70), no qual o Tribunal de Justiça foi chamado a pronunciar‑se sobre a qualificação de «responsável pelo tratamento» da Comissão das Petições do Parlamento desse Land. V., também, Acórdãos de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização) (C‑439/19, EU:C:2021:504, n.° 66), e de 20 de outubro de 2022, Koalitsia «Demokratichna Bulgaria — Obedinenie» (C‑306/21, EU:C:2022:813, n.° 39).
17 Esta interpretação decorre, segundo o Tribunal de Justiça, da redação desta disposição, designadamente da expressão «uma operação», e do caráter não taxativo, expresso pela locução «tal como», das operações aí enumeradas. V. Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais) (C‑175/20, EU:C:2022:124, n.° 35).
18 Pode ser nomeado um perito no caso de o oficial de justiça considerar que a estimativa do valor desta base de dados exige conhecimentos especializados em razão das suas características específicas. Nesta hipótese, a base de dados seria colocada à disposição do perito pelo oficial de justiça.
19 Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.° 72). Por uma questão de exaustividade, sublinho que o referido acórdão dizia respeito à interpretação do conceito de «tratamento» tal como estava definido no artigo 2.°, alínea b), da Diretiva 95/46. Embora esta diretiva já não esteja em vigor e tenha sido substituída pelo RGPD, a interpretação dada pelo Tribunal de Justiça continua a ser pertinente no âmbito da aplicação deste último, uma vez que a definição deste conceito continua a ser idêntica nos dois instrumentos, com exceção de pequenas alterações formais. Por conseguinte, farei referência aos acórdãos relativos a ambos os instrumentos sem fazer distinção.
20 Como o Tribunal de Justiça já declarou, o objetivo do artigo 4.°, ponto 7, do RGPD consiste em assegurar, através de uma definição ampla do conceito de «responsável pelo tratamento», uma proteção eficaz e completa dos titulares de dados. V. Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, n.° 29 e jurisprudência referida).
21 Acórdão de 8 de dezembro de 2022, Google (Supressão de um conteúdo pretensamente inexato) (C‑460/20, EU:C:2022:962, n.° 51 e jurisprudência referida).
22 Acórdão de 11 de janeiro de 2024, Estado belga (Dados tratados por um jornal oficial) (C‑231/22, EU:C:2024:7, n.os 29 e 30). V., também, Orientações 07/2020 relativas aos conceitos de responsável pelo tratamento e de subcontratante no RGPD, adotadas em 7 de julho de 2021, disponíveis no seguinte endereço Internet: https://edpb.europa.eu/system/files/202310/edpb_guidelines_202007_controllerproces sor_final_fr.pdf, n.° 24, segundo as quais, «mais comummente, ao invés de nomear diretamente o responsável pelo tratamento ou de definir os critérios para a sua nomeação, a lei estabelecerá uma tarefa ou imporá a alguém a obrigação de recolher e tratar determinados dados. Nesses casos, a finalidade do tratamento é amiúde determinada pela lei. Normalmente, o responsável pelo tratamento será o designado por lei para a realização desta finalidade, esta tarefa pública».
23 Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais) (C‑175/20, EU:C:2022:124, designadamente n.os 37, 38 e 60).
24 Acórdão de 11 de janeiro de 2024 (C‑231/22, EU:C:2024:7, n.° 49). Devo especificar que, segundo a jurisprudência, a existência de uma responsabilidade conjunta não se traduz necessariamente numa responsabilidade equivalente, para um mesmo tratamento de dados pessoais, dos diferentes intervenientes. Pelo contrário, esses intervenientes podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que, para avaliar o nível de responsabilidade de cada um, há que tomar em consideração todas as circunstâncias pertinentes do caso em apreço. V., neste sentido, Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, n.° 42 e jurisprudência referida).
25 V. capítulo II do RGPD. Nos termos do artigo 5.°, n.° 2, do RGPD, «[o] responsável pelo tratamento é responsável pelo cumprimento do disposto no n.° 1 e tem de poder comprová‑lo (“responsabilidade”)».
26 V. capítulo III do RGPD.
27 Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.° 208 e jurisprudência referida).
28 V. artigo 6.°, n.° 1, primeiro parágrafo, alínea a), e considerando 40 do RGPD, que traduz o adágio latino «volenti non fit iniuria» (ninguém faz mal a quem o consente).
29 Esta dúvida não é surpreendente, na medida em que existe uma sobreposição evidente dos campos de aplicação respetivos destas duas hipóteses, assentando as funções de interesse público ou de exercício da autoridade pública geralmente numa disposição legal.
30 Trata‑se de um órgão consultivo independente instituído por força do artigo 29.° da Diretiva 95/46 e substituído, desde a adoção do RGPD, pelo Comité Europeu para a Proteção de Dados.
31 A título de exemplo, é feita referência a uma obrigação, que incumbe a uma autoridade local, de recolher dados pessoais para efeitos do processamento das multas por estacionamento irregular.
32 Acórdão de 9 de março de 2017, Manni (C‑398/15, EU:C:2017:197, n.° 42).
33 V., também, considerando 45 do RGPD.
34 V. Acórdão de 2 de março de 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, n.° 32).
35 V. Acórdão de 20 de outubro de 2022, Digi (C‑77/21, EU:C:2022:805, n.° 32).
36 Nos termos deste considerando, «[c]aso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie em disposições do direito da União ou de um Estado‑Membro que constituam uma medida necessária e proporcionada, numa sociedade democrática, para salvaguardar, em especial, os importantes objetivos de interesse público geral, o responsável pelo tratamento deverá ser autorizado a proceder ao tratamento posterior dos dados pessoais, independentemente da compatibilidade das finalidades».
37 Acórdão de 20 de outubro de 2022, Digi (C‑77/21, EU:C:2022:805, n.° 36).
38 Acórdão de 2 de março de 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, n.°s 33 a 41).
39 Exposição de motivos do Conselho: posição (UE) n.° 6/2016 do Conselho em primeira leitura com vista à adoção do regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), adotado em 8 de abril de 2016 (n.° 3.3).
40 Acórdão de 7 de setembro de 2016, ANODE (C‑121/15, EU:C:2016:637, n.° 54 e jurisprudência referida).
41 TEDH, 7 de junho de 2005, Fuklev c. Ucrânia (CE:ECHR:2005:0607JUD007118601, § 91).
42 V., nomeadamente, TEDH, 19 de outubro de 2006, Kesyan c. Rússia (CE:ECHR:2006:1019JUD003649602, § 80).
43 V., nomeadamente, TEDH, 28 de setembro de 1995, Scollo c. Itália (CE:ECHR:1995:0928JUD001913391, § 44).