Processo C‑604/22
IAB Europe
contra
Gegevensbeschermingsautoriteit
(pedido de decisão prejudicial apresentado pelo hof van beroep te Brussel)
Acórdão do Tribunal de Justiça (Quarta Secção) de 7 de março de 2024
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Organização setorial normativa que propõe aos seus membros regras relativas ao tratamento do consentimento dos utilizadores — Artigo 4.o, ponto 1 — Conceito de “dados pessoais” — Cadeia de letras e de carateres que captam, de forma estruturada e legível por uma máquina, as preferências de um utilizador da Internet relativas ao consentimento desse utilizador quanto ao tratamento dos seus dados pessoais — Artigo 4.o, ponto 7 — Conceito de “responsável pelo tratamento” — Artigo 26.o, n.o 1 — Conceito de “responsáveis conjuntos pelo tratamento” — Organização que não tem, ela própria, acesso aos dados pessoais tratados pelos seus membros — Responsabilidade da organização que abrange os tratamentos posteriores de dados efetuados por terceiros»
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Conceito de dados pessoais — Cadeia de letras e de carateres que contém as preferências de um utilizador de Internet relativas ao consentimento desse utilizador para o tratamento dos seus dados pessoais — Inclusão — Requisito — Cadeia que permite identificar a pessoa em questão — Impossibilidade de uma organização setorial que detém essa cadeia de aceder aos dados tratados pelos seus membros ou de combinar a referida cadeia com outros elementos — Não incidência
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 4.o, ponto 1)
(cf. n.os 41‑51, disp. 1)
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Conceito de “responsáveis conjuntos pelo tratamento” — Organização setorial normativa que propõe aos seus membros regras relativas ao tratamento do consentimento dos utilizadores — Inclusão — Requisito — Influência desta organização no tratamento dos dados pessoais em questão e na determinação, conjuntamente com os seus membros, das finalidades e dos meios desse tratamento — Organização que não tem acesso direto aos dados pessoais tratados pelos seus membros — Não incidência
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigos 4.°, ponto 7, e 26.°, n.o 1)
(cf. n.os 57‑68, 77, disp. 2)
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Responsabilidade conjunta do tratamento — Organização setorial normativa que propõe aos seus membros regras relativas ao tratamento do consentimento dos utilizadores — Responsabilidade conjunta desta organização estende‑se automaticamente aos tratamentos posteriores de dados efetuados por terceiros — Inexistência
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigos 4.°, ponto 7, e 26.°, n.o 1)
(cf. n.os 74‑77, disp. 2)
Resumo
O Tribunal de Justiça, chamado a pronunciar‑se a título prejudicial, precisa, por um lado, o conceito de «dados pessoais» ( 1 ) e, por outro, as condições em que uma organização setorial, na medida em que propõe aos seus membros um quadro de regras relativo ao consentimento do tratamento de dados pessoais, deve ser qualificada de «responsável conjunto pelo tratamento» ( 2 ). O Tribunal de Justiça fixa igualmente os limites da responsabilidade conjunta de tal organização.
A IAB Europe é uma associação sem fins lucrativos estabelecida na Bélgica que representa as empresas do setor da publicidade e do marketing digitais a nível europeu.
A IAB Europe elaborou o Transparency & Consent Framework (quadro de transparência e de consentimento, a seguir «TCF»), um quadro de regras que visa assegurar a conformidade com o RGPD do tratamento de dados pessoais de um utilizador de um sítio Internet ou de uma aplicação efetuada por determinados operadores. O TCF favorece o cumprimento do RGPD quando estes operadores recorrem ao Protocolo OpenRTB, utilizado para o Real Time Bidding, um sistema de leilões em linha instantâneos e automatizados de perfis de utilizadores para efeitos de venda e de compra de espaços publicitários na Internet.
Neste contexto, o TCF facilita o registo das preferências dos utilizadores que são seguidamente codificadas e armazenadas numa cadeia composta por uma combinação de letras e de carateres designada pela IAB Europe sob o nome Transparency and Consent String (a seguir «TC String»). Esta é partilhada com intermediários de dados pessoais e com plataformas publicitárias que participam no protocolo OpenRTB, para que estes saibam o que é que o utilizador consentiu e a que é que se opôs. É também colocado um cookie no aparelho do utilizador que, combinado com a TC String, pode ser associado ao endereço IP desse utilizador.
Na sequência de várias queixas contra a IAB Europe, a Unidade de Contencioso da Gegevensbeschermingsautoriteit (Autoridade de Proteção de Dados, Bélgica), por Decisão de 2 de fevereiro de 2022, ordenou à IAB Europe, responsável pelo tratamento dos dados, que o tratamento de dados efetuado no quadro do TCF fosse realizado em conformidade com o disposto no RGPD.
A IAB Europe interpôs recurso desta decisão no hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica). Tendo dúvidas quanto à questão de saber se uma TC String, combinada ou não com um endereço IP, constitui um dado pessoal e, sendo caso disso, se a IAB Europe deve ser qualificada de responsável pelo tratamento dos dados no quadro do TCF, em especial no que diz respeito ao tratamento da TC String, o Tribunal de Recurso de Bruxelas submeteu ao Tribunal de Justiça um pedido de decisão prejudicial.
Apreciação do Tribunal de Justiça
Em primeiro lugar, o Tribunal de Justiça salienta que uma cadeia composta por uma combinação de letras e de carateres, como a TC String, contém as preferências de um utilizador de Internet ou de uma aplicação relativas ao consentimento desse utilizador para o tratamento por terceiros de dados pessoais que lhe dizem respeito ou relativas à sua eventual oposição a um tratamento desses dados baseado num interesse legítimo alegado ( 3 ).
A este respeito, o Tribunal considera que, na medida em que o facto de associar a TC String ao endereço IP do aparelho de um utilizador ou a outros identificadores, permite identificar esse utilizador, a TC String contém informações que dizem respeito a um utilizador identificável e constitui, portanto, um dado pessoal ( 4 ). Além disso, a circunstância de a IAB Europe não poder combinar, ela própria, a TC String com o endereço IP do aparelho de um utilizador e de não ter a possibilidade de aceder diretamente aos dados pessoais tratados pelos seus membros no quadro do TCF, não obsta a que uma TC String seja qualificada de «dado pessoal» ( 5 ).
De resto, os membros da IAB Europe são obrigados a comunicar‑lhe, a seu pedido, todas as informações que lhe permitem identificar os utilizadores cujos dados são objeto de uma TC String. Afigura‑se, portanto, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar a este respeito, que a IAB Europe dispõe de meios razoáveis que lhe permitem identificar uma determinada pessoa singular a partir de uma TC String, graças às informações que os seus membros e outras organizações que participam no TCF são obrigados a fornecer‑lhe ( 6 ).
Assim, o Tribunal conclui que uma TC String constitui um dado pessoal, na aceção do artigo 4.o, ponto 1, do RGPD. Pouco importa que, sem uma contribuição externa que ela tem o direito de exigir, essa organização setorial não possa aceder aos dados tratados pelos seus membros no quadro das regras que estabeleceu nem combinar a TC String com outros identificadores, tais como, nomeadamente, o endereço IP do aparelho de um utilizador.
Em segundo lugar, o Tribunal de Justiça examina se a IAB Europe pode ser considerada um responsável conjunto do tratamento ( 7 ). Para este efeito, há que apreciar se ela influencia, para fins que lhe são próprios, o tratamento de dados pessoais, como a TC String, e determina, conjuntamente com outros, as finalidades e os meios desse tratamento.
No respeitante, antes de mais, às finalidades desse tratamento de dados, o Tribunal observa que o TCF estabelecido pela IAB Europe visa, em substância, favorecer e permitir a venda e a compra de espaços publicitários na Internet por certos operadores que participam no leilão eletrónico de espaços publicitários. Por conseguinte, sob reserva das verificações que incumbem ao órgão jurisdicional de reenvio, a IAB Europe influencia, para fins que lhe são próprios, as operações de tratamento de dados pessoais e determina, por isso, conjuntamente com os seus membros, as finalidades dessas operações.
Em seguida, quanto aos meios utilizados para esse mesmo tratamento, o Tribunal constata, sob reserva das verificações efetuadas pelo órgão jurisdicional de reenvio, que o TCF constitui um quadro de regras que os membros da IAB Europe devem aceitar para aderir a esta associação. Em especial, se um dos seus membros não cumprir estas regras, a IAB Europe pode adotar uma decisão de não conformidade e de suspensão que pode levar à exclusão do referido membro do TCF e impedi‑lo de invocar a garantia de conformidade com o RGPD fornecida pelo TCF para o tratamento de dados efetuado através das TC Strings. Além disso, o TCF estabelecido pela IAB Europe contém especificações técnicas relativas ao tratamento da TC String, bem como regras precisas sobre o conteúdo da TC String, o seu armazenamento e a sua partilha. Mais, o Tribunal de Justiça sublinha que a IAB Europe prescreve, no quadro destas regras, a forma normalizada como as diversas partes envolvidas no TCF podem consultar as preferências, as objeções e os consentimentos dos utilizadores constantes das TC Strings.
Nestas condições, e sob reserva das referidas verificações, o Tribunal conclui que uma organização setorial como a IAB Europe influencia, para fins que lhe são próprios, as operações de tratamento de dados pessoais e determina, por isso, conjuntamente com os seus membros, os meios que estão na origem dessas operações. Deve ser, portanto, considerada «responsável conjunto pelo tratamento» ( 8 ).
Por último, o Tribunal de Justiça precisa que é feita uma distinção entre, por um lado, o tratamento de dados pessoais efetuado pelos membros da IAB Europe, como os fornecedores de sítios Internet ou de aplicações, os intermediários de dados ou ainda as plataformas publicitárias, no momento do registo numa TC String das preferências em matéria de consentimento dos utilizadores em questão segundo as regras estabelecidas no TCF e, por outro, o tratamento posterior desses dados efetuado por esses operadores e por terceiros com base nessas preferências, como a transmissão de dados a terceiros ou a oferta de publicidade personalizada a esses utilizadores.
Por conseguinte, uma organização setorial, como a IAB Europe, só pode ser considerada responsável por esses tratamentos posteriores quando se demonstre que ela influenciou a determinação das finalidades e das modalidades destes, o que incumbe ao órgão jurisdicional de reenvio verificar.
( 1 ) Na aceção do artigo 4.o, ponto 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).
( 2 ) Na aceção do artigo 26.o, n.o 1, do RGPD.
( 3 ) Ao abrigo do artigo 6.o, n.o 1, alínea f), do RGPD.
( 4 ) Na aceção do artigo 4.o, ponto 1, do RGPD.
( 5 ) Na aceção do artigo 4.o, ponto 1, do RGPD.
( 6 ) Em conformidade com o enunciado no considerando 26 do RGPD.
( 7 ) Na aceção dos artigos 4.o, ponto 7, e do artigo 26.o, n.o 1, do RGPD.
( 8 ) Na aceção dos artigos 4.o, ponto 7, e do artigo 26.o, n.o 1, do RGPD.