CONCLUSÕES DA ADVOGADA‑GERAL
LAILA MEDINA
apresentadas em 30 de maio de 2024 (1)
Processo C‑200/23
Agentsia po vpisvaniyata
contra
OL,
sendo intervenientes
Varhovna administrativna prokuratura
[pedido de decisão prejudicial apresentado pelo Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária)]
«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Publicação, no Registo Comercial, de um contrato de sociedade com dados pessoais — Diretiva (UE) 2017/1132 — Responsável pelo tratamento — Direito ao apagamento dos dados pessoais»
I. Introdução
1. Com o seu pedido de decisão prejudicial, o Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária) submete ao Tribunal de Justiça uma série de questões relativas, em substância, à articulação entre as disposições em matéria de publicidade dos atos das sociedades, que são objeto de coordenação ao nível da União (2), e o Regulamento (UE) 2016/679 (3).
2. Este pedido foi apresentado no âmbito de um litígio que opõe a Agentsia po vpisvaniyata (Agência de Registos, Bulgária, a seguir «Agência») a OL, a propósito da recusa desta Agência de eliminar determinados dados pessoais relativos a OL que figuram num ato disponibilizado ao público no Registo Comercial.
II. Quadro jurídico
A. Direito da União
3. Para efeitos das presentes conclusões, entram em linha de conta, nomeadamente, os artigos 14.o e 16.o da Diretiva 2017/1132, que substituiu a Diretiva 2009/101, bem como os artigos 4.o a 6.o e 17.o do RGPD. Para facilitar a leitura, será feita referência à redação das disposições pertinentes destes artigos no âmbito da presente análise.
B. Direito búlgaro
4. O artigo 2.o da Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (Lei relativa ao Registo Comercial e ao Registo das Pessoas Coletivas sem Fins Lucrativos (4)), na sua versão aplicável ao litígio no processo principal (a seguir «Lei relativa aos Registos»), dispõe:
«(1) O registo comercial e o registo das pessoas coletivas sem fins lucrativos [a seguir «os registos»] são uma base de dados eletrónica comum que contém as circunstâncias inscritas por força de uma lei, bem como os atos disponibilizados ao público ao abrigo de uma lei, que dizem respeito aos comerciantes e sucursais de comerciantes estrangeiros, às pessoas coletivas sem fins lucrativos e às sucursais de pessoas coletivas estrangeiras sem fins lucrativos.
(2) As circunstâncias e os atos referidos no n.o 1 são disponibilizados ao público sem as informações que constituam dados pessoais na aceção do artigo 4.o, ponto 1, do [RGPD], com exceção das informações que devam ser disponibilizadas ao público por força da lei»
5. Nos termos do artigo 6.o, n.o 1, da Lei relativa aos Registos, todos os comerciantes e todas as pessoas coletivas sem fins lucrativos são obrigados a requerer a inscrição nos registos, declarando as circunstâncias cuja inscrição é exigida e apresentando os atos a disponibilizar ao público.
6. O artigo 11.o dessa lei tem a seguinte redação:
«(1) [Os registos] são públicos. Todas as pessoas têm o direito de aceder livre e gratuitamente à base de dados que constitui os registos.
(2) A [Agência] assegura o acesso registado ao processo do comerciante ou da pessoa coletiva sem fins lucrativos.»
7. O artigo 13.o, n.os 1, 2, 6 e 9, da referida lei dispõe:
«(1) A inscrição, a eliminação e a disponibilização ao público são efetuados com base num formulário de pedido.
(2) O pedido incluirá:
1. as informações de contacto do requerente;
[…]
3. a circunstância sujeita a inscrição, a inscrição cuja eliminação é pedida, ou o ato a disponibilizar ao público;
[…]
(6) [O] pedido é acompanhado dos documentos ou, consoante o caso, do ato a disponibilizar ao público, em conformidade com as exigências da lei. Os documentos devem ser apresentados sob a forma de um original, de uma cópia certificada pelo requerente ou de uma cópia autenticada por via notarial. O requerente deve igualmente apresentar cópias autenticadas dos atos a disponibilizar ao público no Registo Comercial, em que tenham sido ocultados os dados pessoais que não sejam exigidos por lei.
[…]
(9) Sempre que o pedido ou os documentos juntos mencionarem dados pessoais que não sejam exigidos pela lei, considera‑se que as pessoas que os forneceram deram o seu consentimento para o seu tratamento pela [Agência] e para a sua disponibilização ao público».
8. O artigo 101.o, ponto 3, do Targovski zakon (Código Comercial (5)), na sua versão aplicável ao litígio no processo principal (a seguir «Código Comercial»), dispõe que o contrato de sociedade deve incluir «o nome, a denominação social e o código de identificação único dos sócios».
9. Nos termos do artigo 119.o, n.o 1, do Código Comercial, a inscrição de uma sociedade no Registo Comercial exige, designadamente, a apresentação do contrato de sociedade que é disponibilizado ao público. Em conformidade com o n.o 4 deste artigo, «a fim de alterar ou completar o contrato de sociedade no Registo Comercial, deve ser apresentada uma cópia do referido contrato que inclua todas as alterações e aditamentos, certificada pelo órgão de representação da sociedade, tendo em vista a sua disponibilização ao público».
III. Litígio no processo principal e questões prejudiciais
10. OL é sócia de uma «OOD», sociedade de responsabilidade limitada de direito búlgaro, que foi inscrita em 14 de janeiro de 2021 no Registo Comercial. O pedido de inscrição foi acompanhado do contrato de sociedade, datado de 30 de dezembro de 2020, assinado pelos sócios (a seguir «contrato de sociedade de 2020»). Este contrato, contendo o apelido e o nome próprio de OL, o seu número de identificação, o número do seu bilhete de identidade, a data e o local da sua emissão e o seu endereço permanente, foi inscrito e disponibilizado ao público tal como tinha sido apresentado. Em 8 de julho de 2021, OL pediu à AV que elimine os dados pessoais que lhe diziam respeito constantes do contrato de sociedade de 2020, precisando que, embora o tratamento dos seus dados se baseasse no seu consentimento, ela retirava‑o. Na falta de resposta da Agência, OL recorreu para o Administrativen sad Dobrich (Tribunal Administrativo de Dobrich, Bulgária), que anulou o indeferimento tácito, pela Agência, do pedido de OL e lhe remeteu o processo para que adotasse uma nova decisão. Em execução dessa sentença, e de uma sentença análoga relativa ao outro sócio que efetuou a mesma diligência, por carta de 26 de janeiro de 2022, a Agência indicou que lhe devia ser enviada uma cópia autenticada do contrato de sociedade de 2020 que ocultasse os dados pessoais dos sócios, com exceção dos exigidos por lei, para que pudesse ser deferido o pedido de eliminação (a seguir «carta de 26 de janeiro de 2022»). Em 31 de janeiro de 2022, OL intentou uma nova ação no Administrativen sad Dobrich (Tribunal Administrativo de Dobrich), pedindo que a carta de 26 de janeiro de 2022 fosse anulada e a Agência condenada a indemnizá‑la pelos danos morais que lhe causou, violando os direitos conferidos pelo RGPD. Em 1 de fevereiro de 2022, antes de receber a notificação desse recurso, a Agência eliminou oficiosamente o número de identificação, os dados relativos ao bilhete de identidade e o endereço de OL, mas não o seu apelido, nome próprio e assinatura. Por sentença de 5 de maio de 2022, o Administrativen sad Dobrich (Tribunal Administrativo de Dobrich) anulou a carta de 26 de janeiro de 2022 e condenou a Agência a indemnizar OL no montante de 500 levs búlgaros (BGN) (cerca de 255 euros), acrescidos de juros legais, a título de danos morais, nos termos do artigo 82.o do RGPD. Segundo essa sentença, esse dano consistia em emoções e experiências negativas resultantes dessa carta, conduzindo a uma violação do direito ao apagamento consagrado no artigo 17.o, n.o 1, do RGPD, bem como a um tratamento ilícito dos seus dados contidos no contrato disponibilizado ao público. A Agência interpôs recurso de cassação desta sentença para o órgão jurisdicional de reenvio. Alega, nomeadamente, que é responsável pelo tratamento mas também destinatária dos dados transmitidos no âmbito do procedimento de registo e que, embora o tenha pedido antes do registo da sociedade de que OL era sócia, não recebeu nenhuma cópia do contrato dessa sociedade que ocultasse os dados que não deviam ser disponibilizados ao público. Ora, a inscrição de uma sociedade comercial não pode ser recusada apenas por esse motivo. Refere‑se a um parecer de 2021 da autoridade de controlo nacional, a Komisia za zashtita na lichnite danni (Comissão para a Proteção de Dados Pessoais, Bulgária), apresentado nos termos do artigo 58.o, n.o 3, alínea b), do RGPD (a seguir «parecer de 2021») (6), no qual se afirma que não está autorizada a alterar o conteúdo dos atos que recebe com vista à sua inscrição no registo. Por seu lado, OL sustenta que, enquanto responsável pelo tratamento, a Agência não pode impor a outras pessoas as suas próprias obrigações de eliminação. Invoca uma jurisprudência nacional segundo a qual o parecer de 2021 não está em conformidade com as disposições do RGPD.
11. Nestas condições, o Varhoven administrativen sad (Supremo Tribunal Administrativo) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) Pode o artigo 4.o, n.o 2, da Diretiva [2009/101] ser interpretado no sentido de que impõe ao Estado‑Membro a obrigação de permitir a divulgação de um contrato de sociedade sujeito a registo nos termos do artigo 119.o do [Código Comercial], quando o mesmo contém outros dados pessoais, além dos nomes dos sócios sujeitos a divulgação obrigatória nos termos do artigo 2.o, n.o 2, da [Lei relativa aos Registos]? Para responder a esta questão, há que ter em conta que a [Agência] constitui uma instituição do setor público contra a qual podem ser invocadas, segundo jurisprudência assente do Tribunal de Justiça, as disposições da diretiva que têm efeito direto (Acórdão de 7 de setembro de 2006, Vassallo, C‑180/04, EU:C:2006:518, n.o 26 e jurisprudência referida).
2) Em caso de resposta afirmativa à primeira questão, pode considerar‑se que, nas circunstâncias que deram origem ao litígio no processo principal, o tratamento de dados pessoais pela [Agência] é necessário, na aceção do artigo 6.o, n.o 1, alínea e), do [RGPD], ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento?
3) Em caso de resposta afirmativa às duas primeiras questões, pode uma disposição nacional, como a constante do artigo 13.o, n.o 9, da [Lei relativa aos Registos], segundo a qual, se forem fornecidos dados pessoais não exigidos por lei num pedido ou nos documentos relativos a esse pedido, deve considerar‑se que as pessoas que os forneceram deram o seu consentimento para o tratamento desses dados pela Agência e para a divulgação dos mesmos ao público, não obstante os considerandos 32, 40, 42, 43 e 50 do [RGPD], ser considerada admissível como clarificação sobre a possibilidade de uma “publicidade voluntária”, na aceção do artigo 4.o, n.o 2, da Diretiva [2009/101], também de dados pessoais?
4) Para dar cumprimento à obrigação prevista no artigo 3.o, n.o 7, da Diretiva [2009/101], por força do qual os Estados‑Membros devem tomar as medidas necessárias para evitar qualquer discordância entre o conteúdo da publicidade em conformidade com o n.o 5 e o conteúdo do registo ou do processo e ter em conta os interesses de terceiros em conhecer os atos essenciais da sociedade e certas indicações a ela respeitantes, referidos no considerando 3 desta diretiva, é permitida legislação nacional que preveja um regime processual (formulário de pedido, apresentação de cópias de documentos com dados pessoais anonimizados) para o exercício do direito da pessoa singular, previsto no artigo 17.o do [RGPD], de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, quando os dados pessoais cujo apagamento é solicitado fazem parte de documentos divulgados publicamente (publicados) que tenham sido disponibilizados ao responsável pelo tratamento, ao abrigo de um regime processual semelhante, por outra pessoa que, através desse ato, também determinou a finalidade do seu tratamento?
5) Na situação que deu origem ao litígio no processo principal, a [Agência] atua apenas como responsável pelo tratamento dos dados pessoais ou é também destinatária dos mesmos, quando as finalidades do seu tratamento foram determinadas por outro responsável, como parte dos documentos apresentados para divulgação?
6) A assinatura manuscrita de uma pessoa singular constitui uma informação relativa a uma pessoa singular identificada, no sentido de que está abrangida pelo conceito de “dados pessoais” na aceção do artigo 4.o, [ponto] 1, do [RGPD]?
7) Deve o conceito de “danos imateriais”, na aceção do artigo 82.o, n.o 1, do [RGPD], ser interpretado no sentido de que a declaração da existência de danos imateriais exige um dano significativo e um prejuízo objetivamente apreciável dos interesses pessoais, ou é suficiente, para esse efeito, a simples perda, a curto prazo, do poder de disposição do titular dos dados sobre estes, devido à publicação de dados pessoais no Registo Comercial, que não teve consequências significativas ou prejudiciais para o interessado?
8) Pode ser admitido como prova de que a [Agência] não é de modo algum responsável pelo evento que deu origem aos danos causados à pessoa singular, na aceção do artigo 82.o, n.o 3, do [RGPD], o parecer da autoridade nacional de controlo, a [Comissão para a Proteção de Dados Pessoais], [de2021], adotado em conformidade com o artigo 58.o, n.o 3, alínea b), do [RGPD], segundo o qual a [Agência] não tem a faculdade legal nem o poder, oficiosamente ou a pedido do titular dos dados, de limitar o tratamento dos dados já divulgados?»
IV. Tramitação processual no Tribunal de Justiça
12. As partes no processo principal, os Governos Búlgaro, Alemão, Irlandês, Italiano, Polaco e Finlandês, bem como a Comissão, apresentaram observações escritas, nos termos do artigo 23.o do Estatuto do Tribunal de Justiça da União Europeia, quer sobre a totalidade quer sobre uma parte das questões prejudiciais. Foram igualmente ouvidas as alegações das partes no processo principal, dos Governos Búlgaro e Irlandês bem como da Comissão na audiência de 7 de março de 2024.
A. Análise
13. A pedido do Tribunal de Justiça, as presentes conclusões centrar‑se‑ão na quarta e quinta questões prejudiciais, que proponho tratar conjuntamente. Antes de proceder à minha análise, considero necessário fazer algumas observações preliminares no que diz respeito ao reenvio prejudicial na sua totalidade.
1. Observações preliminares
14. Importa, antes de mais, salientar — como fizeram as partes no processo principal, a Comissão e a maioria dos Estados‑Membros que apresentaram observações ao Tribunal de Justiça — que os fundamentos da decisão de reenvio, bem como a redação das questões prejudiciais — incluindo, nomeadamente, a quarta questão — fazem referência às disposições da Diretiva 2009/101. Esta foi, no entanto, revogada e substituída, a partir de 20 de julho de 2017, pela Diretiva 2017/1132, que é aplicável ratione temporis aos factos do processo principal. Na parte restante da minha análise, referir‑me‑ei, portanto, apenas a esta última diretiva.
15. Em seguida, há que recordar que a Diretiva 2017/1132, nomeadamente os seus artigos 16.o e 161.o, na parte relevante para efeitos da análise do presente reenvio prejudicial, foram alterados pela Diretiva (UE) 2019/1151 (7), que entrou em vigor em 31 de julho de 2019. Ora, embora seja verdade, como sublinha a Comissão, que a inscrição no Registo Comercial do contrato de sociedade de 2020 que contém os dados pessoais de OL ocorreu antes de 1 de agosto de 2021, data do termo do prazo de transposição da Diretiva 2019/1151 (8), uma parte dos factos ocorreu depois dessa data, incluindo o envio pela Agência da carta de 26 de janeiro de 2022, o apagamento oficioso por esta de alguns desses dados, bem como a sua nova disponibilização no registo, a que a recorrida no processo principal faz referência nas suas observações escritas. Por conseguinte, não está excluído que a versão da Diretiva 2017/1132, conforme alterada pela Diretiva 2019/1151, seja a aplicável ratione temporis no âmbito do litígio no processo principal, o que cabe ao órgão jurisdicional de reenvio verificar. É por esta razão que farei referência, no resto da minha análise, a esta versão.
16. Esclareço, no entanto, desde já, que as alterações introduzidas pela Diretiva 2019/1151 apenas têm, enquanto tais, uma incidência limitada na questão de saber segundo que modalidades deve a autoridade de um Estado‑Membro responsável pela manutenção do registo das sociedades assegurar a proteção dos dados pessoais no exercício das suas funções. Em contrapartida, importa sublinhar, num plano mais geral, que esta diretiva visa reforçar e consolidar a utilização de ferramentas e processos digitais na recolha e gestão dos fluxos de informação das sociedades, o que implica um acesso acrescido aos dados pessoais neles contidos e aumenta o risco de violação do direito à proteção desses dados, bem como o caráter danoso de tais violações (9). Ora, um tal processo de digitalização (10), associado a um aumento do acesso transfronteiriço às referidas informações, igualmente visado pelo legislador da União (11), requer uma atenção especial aquando da ponderação entre, por um lado, os objetivos de segurança jurídica e de proteção dos direitos de terceiros que subjazem, como veremos, às regras em matéria de publicidade relativas às sociedades e, por outro, os direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais (12).
17. Ainda a título preliminar, saliento que o litígio no processo principal tem por objeto a supressão, no Registo Comercial de um Estado‑Membro, de dados pessoais cuja disponibilização ao público não é exigida pela Diretiva 2017/1132 nem pelo direito do Estado‑Membro em causa, bem como a responsabilidade da autoridade nacional encarregada da manutenção desse registo pelos danos morais causados pela recusa de dar seguimento imediato e incondicional ao pedido de apagamento desses dados. Em contrapartida, o litígio no processo principal não trata diretamente da questão de saber quais são as obrigações que incumbem a essa autoridade a título da proteção dos dados pessoais no momento da inscrição no Registo Comercial dos atos constitutivos de uma sociedade que contêm dados cuja publicação não é obrigatória. Esta questão permanece subjacente, no entanto, como se pode verificar pelo facto de muitos dos Estados‑Membros intervenientes lhe terem consagrado uma grande parte das suas observações, propondo uma reformulação radical das quatro primeiras questões prejudiciais ou de algumas delas. Na parte restante da minha análise, abordarei alguns aspetos desta questão, mantendo‑me dentro dos limites traçados pelo objeto do processo principal e pelas questões prejudiciais sobre as quais incidem as presentes conclusões.
2. Quanto às quarta e quinta questões prejudiciais
18. Com a sua quarta questão prejudicial, cuja admissibilidade é contestada pelo Governo Búlgaro, o órgão jurisdicional de reenvio pretende saber, em substância, se a Diretiva 2017/1132 deve ser interpretada no sentido de que permite submeter a requisitos processuais específicos o direito de uma pessoa singular, no caso em apreço os sócios de uma sociedade de responsabilidade limitada visada por esta diretiva (13), obter o apagamento do Registo Comercial dos seus dados pessoais, que, embora não se encontrem entre as informações sujeitas a publicidade obrigatória nos termos do direito nacional, figuram no ato constitutivo dessa sociedade que foi disponibilizado ao público no âmbito da sua inscrição no referido registo. Com a sua quinta questão prejudicial, o órgão jurisdicional de reenvio pede, em contrapartida, ao Tribunal de Justiça que precise se, no que respeita a esses dados, a autoridade encarregada do Registo Comercial atua na qualidade de «responsável pelo tratamento» nos termos do artigo 4.o, ponto 7, do RGPD ou se é igualmente «destinatária» dos dados que trata, na aceção do artigo 4.o, ponto 9, deste regulamento, uma vez que a finalidade do seu tratamento foi determinada a montante por um terceiro.
19. Como já referi anteriormente, estas duas questões devem, na minha opinião, ser tratadas conjuntamente. Para o efeito, abordarei as diferentes interrogações que suscitam pela ordem seguinte. Após uma breve apreciação do alcance das obrigações em matéria de publicidade das sociedades referidas no anexo II da Diretiva 2017/1132, analisarei, em primeiro lugar, a questão de saber quem é o responsável pelo tratamento dos dados pessoais contidos em atos sujeitos a publicidade obrigatória no contexto da inscrição de uma sociedade no Registo Comercial de um Estado‑Membro quando, como no caso em apreço, a divulgação dos dados em causa não é exigida pelo direito harmonizado da União nem pelo direito do Estado‑Membro em causa. Em segundo lugar, abordarei a questão de saber qual é, no caso em apreço, o fundamento jurídico do tratamento desses dados. Em terceiro lugar, debruçar‑me‑ei sobre a questão de saber se, uma vez que os referidos dados foram disponibilizados na sequência da disponibilização ao público do ato em que estavam contidos, as pessoas interessadas dispõem de um direito ao apagamento em conformidade com o artigo 17.o do RGPD. Por último, em quarto lugar, abordarei a questão de saber se esse direito pode ser sujeito a modalidades processuais como as mencionadas pelo órgão jurisdicional de reenvio.
20. Antes de proceder a esta análise, há que responder às alegações do Governo Búlgaro quanto à admissibilidade da quarta questão prejudicial. Este Governo considera que a quarta questão prejudicial diz respeito, em substância, à compatibilidade com o artigo 16.o, n.o 7, da Diretiva 2017/1132 — na sua versão anterior às alterações introduzidas pela Diretiva 2019/1151 — de uma legislação nacional que ainda não foi adotada. A questão tem, portanto, natureza hipotética. A este respeito, saliento que o órgão jurisdicional de reenvio é chamado a pronunciar‑se, em última instância, sobre a legalidade da recusa da Agência em proceder ao apagamento de certos dados pessoais da recorrida contidos num ato disponibilizado ao público na sequência da sua inscrição no Registo Comercial, bem como sobre as consequências dessa recusa. Para o efeito, o órgão jurisdicional de reenvio é, nomeadamente, chamado a apreciar, tendo em conta as disposições da Diretiva 2017/1132 e do RGPD, se essa recusa pode ser justificada, designadamente, pelo facto de a cópia autenticada desse documento, expurgada dos dados pessoais em causa, não ter sido junta ao processo. A decisão prejudicial solicitada é, portanto, necessária para permitir ao órgão jurisdicional de reenvio proferir a sua decisão no litígio que lhe é submetido. Além disso, apesar da redação ambígua da quarta questão prejudicial, resulta claramente da decisão de reenvio que esta questão não visa obter um parecer sobre a compatibilidade com o direito da União de uma legislação nacional ainda não adotada, mas solicitar ao Tribunal de Justiça os elementos de interpretação desse direito que lhe são necessários para a resolução do litígio que é chamado a decidir. Na minha opinião a quarta questão prejudicial é, portanto, admissível.
3. Breve resumo do alcance das obrigações em matéria de publicidade dos atos e das indicações respeitantes às sociedades referidas no anexo II da Diretiva 2017/1132
21. O artigo 14.o da Diretiva 2017/1132 prevê que, para os tipos de sociedades constantes do anexo II desta diretiva, os Estados‑Membros publicarão obrigatoriamente, «pelo menos», os documentos e indicações nele enumerados. Entre os atos sujeitos a publicidade obrigatória, o artigo 14.o da referida diretiva menciona, nas alíneas a) a c), «o ato constitutivo e os estatutos [da sociedade], se estes forem objeto de um ato separado», bem como as respetivas alterações. Em conformidade com o artigo 4.o, alínea i), da mesma diretiva, a informação obrigatória a fornecer nos estatutos, no ato constitutivo ou num documento separado que deve ser objeto de publicidade incluem a identidade das pessoas singulares ou coletivas ou das sociedades que subscreveram ou em nome das quais foram subscritos os estatutos ou o ato constitutivo. Entre as indicações cuja publicidade deve ser assegurada, este artigo 14.o menciona, na sua alínea d), «a nomeação e a cessação de funções, assim como a identidade das pessoas que, na qualidade de órgão legalmente previsto ou de membros de tal órgão […] têm o poder de vincular a sociedade para com terceiros e de a representar em juízo» e/ou «participam na administração, na vigilância ou na fiscalização da sociedade». Em conformidade com o artigo 16.o, n.o 2, da Diretiva 2017/1132, conforme alterada pela Diretiva 2019/1151, todos os documentos e informações sujeitos a publicação, por força do artigo 14.o, são conservados no processo a que se refere o n.o 1 desse artigo, aberto junto de um registo central, comercial ou das sociedades, ou são diretamente inscritos no registo (14). Nos termos do artigo 16.o, n.os 3 e 4, desta diretiva, conforme alterada pela Diretiva 2019/1151, os Estados‑Membros devem assegurar a publicidade dos documentos e informações a que se refere o artigo 14.o através da sua disponibilização ao público no registo. Além disso, os Estados‑Membros podem igualmente exigir que alguns ou todos os documentos e informações sejam publicados num Jornal Oficial de um Estado‑Membro designado para esse efeito ou através de meios igualmente eficazes. Os Estados‑Membros devem tomar todas as medidas necessárias para evitar qualquer discrepância entre o que consta do registo e do ficheiro, bem como entre o que é publicado no registo e o que é publicado no Jornal Oficial.
22. As observações que se seguem podem ser feitas à luz das disposições acima referidas da Diretiva 2017/1132.
23. Primeiro, a Diretiva 2017/1132 prevê a publicidade obrigatória e a acessibilidade, através do registo, da totalidade do ato constitutivo da sociedade, bem como das suas alterações (15).
24. Segundo, para as sociedades referidas no anexo II, esta diretiva apenas exige a publicidade e a acessibilidade através do registo das informações relativas a determinadas categorias de pessoas, a saber, nomeadamente, as que têm o poder de vincular a sociedade ou que participam na administração, fiscalização ou controlo desta. Em conformidade com o artigo 4.o, alínea i), da referida diretiva, a identidade das pessoas singulares que subscreveram o ato constitutivo da sociedade é igualmente sujeita a publicidade.
25. Terceiro, essas informações, relativas a pessoas singulares identificadas ou identificáveis, constituem «dados pessoais» nos termos do artigo 4.o, ponto 1, do RGPD (16).
26. Quarto, as disposições supramencionadas da Diretiva 2017/1132 contêm apenas requisitos mínimos em matéria de publicidade dos atos e das informações relativas às sociedades. Compete, pois, aos Estados‑Membros determinar, nomeadamente, que categorias de informações relativas à identidade das pessoas referidas no artigo 4.o, alínea i), e no artigo 14.o, alínea d), desta diretiva são objeto de publicidade obrigatória. Por outro lado, os Estados‑Membros são livres de submeter a tal publicidade outros atos ou outras indicações relativas, eventualmente, a outras categorias de pessoas. É evidente que, nesse exercício, estão obrigados a respeitar todas as disposições do direito da União, nomeadamente os princípios consagrados no artigo 8.o e no artigo 52.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta») e as disposições do RGPD.
4. Quanto ao responsável pelo tratamento
27. O artigo 4.o, ponto 7, do RGPD define de maneira ampla o conceito de «responsável pelo tratamento» como a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que, individualmente ou em conjunto com outras, «determina as finalidades e os meios de tratamento» de dados pessoais. O objetivo desta definição ampla consiste, em conformidade com esse regulamento, em assegurar uma proteção eficaz das liberdades e dos direitos fundamentais das pessoas singulares, bem como, nomeadamente, um elevado nível de proteção do direito de qualquer pessoa à proteção dos dados pessoais que lhe digam respeito (17). O conceito de «tratamento» está também sujeito a uma definição ampla (18). Nos termos do artigo 4.o, ponto 2, do RGPD, entende‑se por «tratamento», «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição».
28. Resulta do Acórdão Manni que, ao inscrever e conservar no Registo Comercial as informações sobre a identidade das pessoas mencionadas no artigo 14.o, alínea d), da Diretiva 2017/1132, e ao divulgá‑las, a autoridade encarregada da manutenção desse registo procede a um «tratamento de dados pessoais», pelo qual é «responsável», na aceção das definições constantes do artigo 4.o, pontos 2 e 7, do RGPD. É evidente que o mesmo acontece quando a inscrição nesse registo, a conservação e a divulgação têm por objeto dados pessoais diferentes dos expressamente mencionados nesta diretiva, quando a publicidade desses dados é prescrita pelo direito de um Estado‑Membro.
29. A questão que se coloca no presente processo é, no entanto, a de saber se essa autoridade, neste caso a Agência, é responsável pela disponibilização ao público de dados pessoais cuja publicidade não é exigida pela Diretiva 2017/1132 nem pelo direito do Estado‑Membro em causa, neste caso o direito búlgaro, mas que estão contidos num ato cuja inscrição e divulgação são obrigatórias.
30. Esta questão deve, no meu entender, ter uma resposta afirmativa.
31. Com efeito, a disponibilização ao público no Registo Comercial dos dados pessoais de OL ocorreu no exercício das atribuições conferidas à Agência enquanto autoridade encarregada da manutenção desse registo. Como foi anteriormente referido, a legislação búlgara prevê que o pedido de inscrição de uma sociedade nesse registo é acompanhado do original ou de uma cópia autenticada dos atos que estão sujeitos a publicidade, entre os quais figura o contrato de sociedade, que a Agência é obrigada a disponibilizar ao público. As finalidades e os meios do tratamento dos dados pessoais efetuado pela Agência no cumprimento da sua missão são também determinados pelo direito búlgaro e pelo direito da União que, como se viu, procedeu a uma aproximação das legislações dos Estados‑Membros em matéria de publicidade das sociedades. Enquanto autoridade encarregada do tratamento dos dados pessoais incluídos nos atos inscritos no Registo Comercial em conformidade com as finalidades e os meios previstos pela legislação búlgara e da União, a Agência deve, por conseguinte, ser considerada «responsável pelo tratamento» na aceção do artigo 4.o, ponto 7, do RGPD. Saliento que o Tribunal de Justiça chegou recentemente a uma conclusão análoga, relativamente ao organismo nacional encarregado pela lei da manutenção do Jornal Oficial de um Estado‑Membro, no Acórdão de 11 de janeiro de 2024, Estado belga (Dados tratados por um Jornal Oficial) (19).
32. Esta conclusão não é posta em causa pela circunstância de, no caso em apreço, os dados contidos no contrato de sociedade de 2020 não se encontrarem entre os que devem ser disponibilizados ao público por força do direito búlgaro. Por um lado, a não incidência de tal circunstância na identificação do responsável pelo tratamento foi implicitamente admitida pelo Tribunal de Justiça no acórdão Estado belga. Com efeito, no processo que deu origem a esse acórdão, como no processo que deu origem ao presente reenvio prejudicial, o litígio tinha por objeto dados cuja disponibilização ao público não era exigida pela lei do Estado‑Membro em causa. Por outro lado, o artigo 13.o, n.o 9, da Lei relativa aos Registos prevê expressamente que, no caso de o requerente não apresentar uma cópia autenticada do ato sujeito a publicidade expurgada dos dados pessoais não exigidos, a Agência procede ao seu tratamento e à sua disponibilização ao público com fundamento num alegado consentimento implícito. Por conseguinte, mesmo em tais circunstâncias, a legislação búlgara designa explicitamente a Agência como responsável pelo tratamento.
33. Nestas circunstâncias, não posso subscrever a tese avançada pela Agência nas suas observações escritas, segundo a qual se o requerente não proceder à ocultação das informações não exigidas pela lei contidas nos atos que transmite para efeitos de inscrição no registo, torna‑se ele próprio responsável pelo tratamento que consiste na sua colocação em linha nesse registo. Com efeito — independentemente da questão de saber se um consentimento para a publicação destas informações pode ser validamente dado operando a presunção prevista no artigo 13.o, n.o 9, da Lei relativa aos Registos — a existência desse consentimento não pode influir na determinação do responsável pelo tratamento, mas apenas na sua licitude.
34. Do mesmo modo, é irrelevante a circunstância, igualmente salientada pela Agência, de os documentos apresentados no âmbito de um pedido de inscrição no Registo Comercial não serem dados estruturados ou legíveis por máquina, contrariamente aos campos digitais desse registo, que são preenchidos pelo agente que procede à inscrição e correspondem à definição legal do «registo» no direito búlgaro. Com efeito, a Agência é a autoridade encarregada pela lei búlgara de manter o Registo Comercial e é, por conseguinte, responsável por qualquer tratamento dos dados pessoais publicados neste último, independentemente da circunstância de esses dados estarem contidos num documento que acompanha o pedido ou serem codificados por um funcionário da agência. Assim, mesmo quando não procede ela própria a uma transformação digital dos documentos que recebe, é, no entanto, responsável pela divulgação desses documentos, e dos dados que contêm, através do registo. Mais genericamente, no âmbito da sua missão de interesse público, recolhe, regista, conserva, organiza e ordena todos os dados, atos e documentos que recebe numa base de dados estruturada, que é reconhecida como fonte fiável e autêntica de informações.
35. Por último, a qualificação da Agência como «responsável pelo tratamento» na aceção do artigo 4.o, n.o 7, do RGPD não é posta em causa pelo facto de não controlar, antes da sua colocação em linha, os dados pessoais contidos nas imagens eletrónicas ou nos originais em papel dos documentos transmitidos para efeitos da inscrição, nem pelo facto de não poder alterar ou retificar esses dados. A este respeito, recordo que o Tribunal de Justiça já teve oportunidade de rejeitar uma argumentação com um teor análogo no Acórdão Estado belga, no que respeita à publicação, no Jornal Oficial de um Estado‑Membro, de atos e documentos preparados por terceiros, e posteriormente apresentados a uma autoridade judiciária e transmitidos ao organismo encarregado desse Jornal com vista à sua divulgação. No n.o 38 desse acórdão, o Tribunal de Justiça observou, por um lado, que a publicação desses atos e documentos sem possibilidade de controlo ou de alteração do seu conteúdo estava intrinsecamente ligada à função de um Jornal Oficial, que se limita a informar o público da sua existência em conformidade com o direito nacional aplicável, para torná‑los oponíveis a terceiros. Por outro lado, precisou que seria contrário ao objetivo do artigo 4.o, n.o 7, do RGPD, que consiste em assegurar uma proteção eficaz e completa das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais, excluir do conceito de «responsável pelo tratamento» o Jornal Oficial de um Estado‑Membro pelo facto de este último não exercer controlo sobre tais dados. Considerações análogas aplicam‑se, mutatis mutandis, à publicação de atos e documentos efetuada nos registos das sociedades dos Estados‑Membros. Com efeito, como era o caso do Moniteur belge, no referido acórdão, se é verdade que a Agência deve publicar o ato em causa tal qual, é só ela quem assume essa tarefa e procede à sua difusão (20).
36. Nesta fase, coloca‑se a questão de saber se a Agência deve ser considerada a única responsável pelo tratamento dos dados controvertidos, e, por conseguinte, pelo respeito dos princípios referidos no artigo 5.o, n.o 1, do RGPD, ou se partilha essa responsabilidade com o requerente, agindo por conta da sociedade, pelo facto de este não ter enviado à Agência uma cópia do contrato de sociedade de 2020 expurgada dos referidos dados.
37. A este respeito, recordo, desde já, que o artigo 26.o, n.o 1, do RGPD prevê que duas pessoas ou mais podem assumir a responsabilidade conjunta pelo tratamento e que os seus respetivos deveres podem ser determinados por acordo entre si ou determinados pelo direito da União ou do Estado‑Membro a que estejam sujeitos (21). A este respeito, o Tribunal de Justiça precisou que a qualificação de «responsáveis conjuntos pelo tratamento» decorre do facto de várias entidades terem participado na determinação das finalidades e dos meios do tratamento (22). Na falta de tal participação, uma responsabilidade conjunta pelo tratamento é em contrapartida excluída e os diferentes intervenientes devem ser considerados responsáveis pelo tratamento independentes e sucessivos. Tal como referido pela EDPS, o intercâmbio dos mesmos dados ou conjuntos de dados entre duas entidades, sem que estas determinem conjuntamente as finalidades ou os meios de tratamento, deve ser considerado uma comunicação de dados entre responsáveis pelo tratamento distintos (23).
38. Assim, o simples facto de a Agência ser simultaneamente «responsável pelo tratamento» nos termos do artigo 4.o, ponto 7, do RGDP e «destinatário» na aceção do ponto 9 deste artigo, pelo facto de receber uma comunicação de dados pessoais contidos nos atos e documentos que acompanham o pedido de inscrição no Registo Comercial não permite excluir que assuma sozinha a responsabilidade pela disponibilização ao público desses dados. Com efeito, essa disponibilização ao público, tal como a transformação digital, quando ocorre, dos dados que figuram nos atos que lhe são submetidos, bem como a sua conservação, constituem um tratamento distinto e posterior em relação à transmissão dos dados efetuada, para efeitos do registo da sociedade, pelo requerente. Ora, a Agência procede sozinha a todos esses tratamentos, no âmbito da missão de ordem pública de que está encarregada e em conformidade com as finalidades e modalidades estabelecidas pela legislação búlgara (24).
39. É certo, por um lado, que o Tribunal de Justiça precisou, no Acórdão Estado belga (25), que basta que uma pessoa influencie, para fins que lhe são próprios, o tratamento de dados pessoais, participando assim na determinação das finalidades e dos meios desse tratamento para poder ser conjuntamente considerada responsável pelo tratamento (26). No entanto, neste caso, resulta dos autos de que dispõe o Tribunal que as finalidades e os meios de tratamento de dados pessoais contidos nos documentos disponibilizados ao público através do Registo Comercial são determinados unicamente pela lei. Os sujeitos que, por conta da sociedade, carregam os documentos e as informações cuja publicidade é exigida pela lei na base de dados desse registo (27) não exercem nenhuma influência nessa determinação e não podem, por conseguinte, ser considerados responsáveis — tal como a própria sociedade — pelos tratamentos posteriores dos dados que comunicam à Agência, incluindo a divulgação desses dados através da base de dados eletrónica do registo. Além disso, ao transmitir à Agência os atos sujeitos a publicidade e ao tratar os dados que contêm, esses sujeitos prosseguem finalidades que lhes são próprias, a saber, cumprir as formalidades necessárias ao registo da sociedade, que diferem das finalidades públicas atribuídas ao registo e prosseguidas pela Agência quando assegura a disponibilização ao público de tais atos (28).
40. Por outro lado, no Acórdão Estado belga, o Tribunal de Justiça reconheceu que, no âmbito de uma cadeia de tratamentos efetuados por diferentes pessoas ou entidades e que tenham por objeto os mesmos dados pessoais, o direito nacional pode determinar as finalidades e os meios de todos os tratamentos efetuados sucessivamente por essas diferentes pessoas ou entidades, para que estas sejam conjuntamente consideradas responsáveis pelo tratamento (29). Assim, por força das disposições conjugadas do artigo 26.o, n.o 1, e do artigo 4.o, ponto 7, do RGPD, a responsabilidade conjunta de vários intervenientes numa cadeia de tratamento dos mesmos dados pessoais pode ser estabelecida pelo direito nacional, desde que as diferentes operações de tratamento estejam unidas por finalidades e meios determinados por esse direito e que este defina, de maneira direta ou indireta, as obrigações respetivas de cada um dos responsáveis conjuntos pelo tratamento (30). Ora, na minha opinião, não é esse o caso do artigo 13.o, n.os 6 e 9, da Lei relativa aos Registos, que se limita a definir as condições em que, de acordo com a legislação búlgara, o consentimento para a publicação no Registo Comercial de dados pessoais não sujeitos a divulgação foi validamente dado pela pessoa em causa. Com efeito, esta disposição não tem por objeto estabelecer uma responsabilidade conjunta do requerente pelo tratamento posterior desses dados, mas antes precisar o fundamento da licitude do tratamento efetuado pela Agência. Por outro lado, como já salientei, as finalidades privadas prosseguidas pela sociedade diferem das finalidades públicas prosseguidas pela Agência, de modo que as condições exigidas pelo Acórdão Estado belga para que a sua responsabilidade conjunta, enquanto intervenientes de uma «cadeia de tratamento dos mesmos dados pessoais», possa ser considerada estabelecida pelo direito búlgaro não estão, na minha opinião, reunidas.
41. Com base no conjunto das considerações precedentes, considero que o artigo 4.o, ponto 7, e o artigo 26.o, n.o 1, do RGPD devem ser interpretados no sentido de que a autoridade encarregada da manutenção do Registo Comercial de um Estado‑Membro, que, por força da legislação desse Estado, deve assegurar a publicidade dos atos que lhe são transmitidos no âmbito de um pedido de inscrição de uma sociedade nesse registo, é a única responsável pela disponibilização ao público dos dados pessoais contidos nesses atos, mesmo quando se trate de dados cuja publicação não seja exigida, e que, em conformidade com essa legislação, deviam ter sido expurgados dos mesmos antes da sua transmissão à referida autoridade.
5. Quanto ao fundamento da licitude do tratamento
42. Todo o tratamento de dados pessoais deve respeitar os princípios relativos ao tratamento de dados pessoais enunciados no artigo 5.o, n.o 1, do RGPD e satisfazer as situações enunciadas no artigo 6.o deste regulamento (31), que prevê uma lista exaustiva e taxativa dos casos em que o tratamento de dados pessoais pode ser considerado lícito (32). Nos termos do artigo 6.o, n.o 1, primeiro parágrafo, alínea a), do RGPD, o tratamento de dados pessoais é lícito se, e desde que, o titular dos dados tiver dado o seu consentimento para uma ou mais finalidades específicas. Não tendo esse consentimento sido prestado, ou quando esse consentimento não tenha sido dado de forma livre, específica, informada e explícita, mediante declaração ou ato positivo inequívoco, na aceção do artigo 4.o, ponto 11, do RGPD, esse tratamento é, não obstante, justificado quando cumpre um dos requisitos de necessidade mencionados no artigo 6.o, n.o 1, primeiro parágrafo, alíneas b) a f), deste regulamento, que devem ser objeto de uma interpretação restritiva (33).
43. No caso em apreço, a presunção de consentimento estabelecida pelo artigo 13.o, n.o 9, da Lei relativa aos Registos não dá manifestamente cumprimento às situações exigidas pelo artigo 6.o, n.o 1, primeiro parágrafo, alínea a), do RGPD, conjugado com o artigo 4.o, ponto 11, deste regulamento (34). Por conseguinte, é necessário verificar se um tratamento de dados como o que está em causa no processo principal corresponde a uma das outras justificações previstas no artigo 6.o, n.o 1, primeiro parágrafo, do referido regulamento.
44. Resulta do Acórdão Manni que o tratamento de dados pessoais efetuado pela autoridade encarregada da manutenção do registo na execução dos atos da União que coordenam as disposições nacionais em matéria de publicidade dos atos das sociedades responde, nomeadamente, aos motivos de licitude previstos no artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) e e), do RGPD, relativos, o primeiro, ao cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito e, o segundo, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. É, portanto, em relação a estes dois motivos que irei conduzir a minha análise.
45. No que respeita, em primeiro lugar, ao motivo previsto no artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, importa, antes de mais, examinar se a disponibilização ao público no Registo Comercial dos dados pessoais em causa no processo principal, que não fazem parte das informações sujeitas a publicidade nos termos da Diretiva 2017/1132 ou do direito búlgaro, era justificada pela exigência de assegurar a publicidade dos atos referidos no artigo 14.o desta diretiva e era, por conseguinte, necessária ao cumprimento de uma obrigação jurídica decorrente do direito da União.
46. Em conformidade com o artigo 16.o, n.o 3, da referida diretiva, os Estados‑Membros asseguram que esses atos sejam disponibilizados ao público no registo a que se refere o n.o 1, primeiro parágrafo, deste artigo. Os Governos Alemão, Irlandês e Polaco consideram, em substância, que, por força do referido artigo, lido em conjugação com o artigo 14.o acima mencionado, as autoridades encarregadas da manutenção do registo devem publicar os referidos atos tal como os recebem. São obrigadas, por isso, a tratar todos os dados pessoais que contêm, incluindo os não exigidos pelo direito da União ou pelo direito nacional aplicável.
47. Não concordo com esta interpretação. A Diretiva 2017/1132 prevê que determinados atos essenciais das sociedades estão obrigatoriamente sujeitos a publicidade e que esta é efetuada através do registo, mas não impõe o tratamento sistemático de todos os dados pessoais contidos nos referidos atos, mesmo que esse tratamento se revele contrário às disposições do RGPD. Como recordei anteriormente, o artigo 161.o desta diretiva, conforme alterada pela Diretiva 2019/1151, antes prevê que o tratamento de todos os dados pessoais efetuado no seu âmbito fica sujeito ao disposto no referido regulamento. Incumbe, por conseguinte, aos Estados‑Membros encontrar o justo equilíbrio entre os objetivos de segurança jurídica e de proteção dos interesses de terceiros que, como se verá atualmente, estão subjacentes às regras em matéria de publicidade dos atos das sociedades, e o direito fundamental ao respeito dos dados pessoais.
48. Em seguida, há que verificar se a publicação no Registo Comercial dos dados em causa no processo principal era necessária para o cumprimento de uma obrigação jurídica prevista pelo direito búlgaro. A este respeito, recordo que o artigo 2.o, n.o 2, da Lei relativa aos Registos prevê que os atos que devem constar do Registo Comercial «são disponibilizados ao público sem as informações que constituam dados pessoais na aceção do artigo 4.o, ponto 1, do [RGPD], com exceção das informações que devam ser disponibilizadas ao público por força da lei». Não se afigura que a licitude do tratamento dos dados em causa no processo principal possa assentar numa «obrigação jurídica» na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, à qual a Agência estava sujeita por força do direito búlgaro, o que, de resto, a presunção de consentimento introduzida pelo artigo 13.o, n.o 9, da Lei relativa aos Registos parece confirmar. No entanto, cabe ao órgão jurisdicional de reenvio, único competente para interpretar o direito nacional, pronunciar‑se sobre este ponto. Limito‑me a salientar que o simples facto, invocado pela Agência, de, na falta de uma cópia que oculte os dados pessoais não exigidos por lei, dever proceder à publicação do ato que lhe for transmitido não é suficiente, no meu entender, para caracterizar uma «obrigação jurídica» na aceção do artigo 6, n.o1, primeiro parágrafo, alínea c), do RGPD, uma vez que essa publicação está a priori excluída por lei e só é efetuada pela Agência com base num consentimento presumido (35). A este respeito, importa salientar que o responsável pelo tratamento deve assegurar‑se do caráter «lícito» do tratamento dos dados que efetua no que diz respeito às situações enunciadas no artigo 6.o, n.o 1, primeiro parágrafo, alíneas a) a f), desse regulamento (36).
49. Em segundo lugar, no que respeita ao fundamento previsto no artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD, a que se referem tanto o órgão jurisdicional de reenvio como a maior parte dos Estados‑Membros que apresentaram observações no presente processo, recordo que o Tribunal de Justiça já teve oportunidade de decidir que a atividade de uma autoridade pública que consiste em salvaguardar, numa base de dados, dados que as sociedades são obrigadas a comunicar com base em obrigações jurídicas, em permitir aos interessados a consulta desses dados e em lhes fornecer cópias destes se enquadra no exercício de poderes públicos (37) e consiste numa função de interesse público (38). Como salientou o advogado‑geral Bot nas suas conclusões no processo que deu origem ao Acórdão Manni, a inscrição e a publicação nos Registos Comerciais das informações essenciais relativas às sociedades têm por objetivo criar uma fonte de informação fiável e assim garantir a segurança jurídica que é necessária à proteção dos interesses de terceiros, nomeadamente os dos credores, a lealdade das transações comerciais e, logo, o bom funcionamento do mercado (39). Além disso, tal como o Tribunal de Justiça salientou, o armazenamento nesses registos de todos os dados pertinentes e a sua acessibilidade por terceiros contribui para o favorecimento das trocas entre Estados‑Membros, igualmente com o objetivo de desenvolver o mercado interno (40).
50. No caso em apreço, coloca‑se a questão de saber se esses objetivos e o motivo de licitude previsto no artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD podem ser invocados a respeito da disponibilização ao público, pela Agência, dos dados pessoais em causa no processo principal, que não fazem parte dos que, por força do direito da União ou do direito búlgaro, estão sujeitos a publicidade obrigatória.
51. A este respeito, recordo que, o artigo 6.o, n.o 3, do RGPD, lido em conjugação com o considerado 45 do mesmo, precisa, nomeadamente no que respeita à hipótese de licitude referida no n.o 1, primeiro parágrafo, alínea e), deste artigo, que o tratamento deve ser baseado no direito da União ou no direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito, e que esse fundamento jurídico deve responder a um objetivo de interesse público e ser proporcionado ao objetivo legítimo prosseguido (41). Ora, nenhuma destas exigências — que o Tribunal de Justiça esclareceu que constituem uma expressão das que decorrem do artigo 52.o, n.o 1, da Carta (42) — se afigura preenchida no presente processo que diz respeito a um tratamento de dados pessoais que, embora efetuado na ocasião do exercício de funções de interesse público na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do RGPD, não pode ser considerado a priori necessário à sua execução nos termos da legislação nacional aplicável, nem para as finalidades atribuídas ao Registo Comercial, e que só é autorizado com base no consentimento presumido da pessoa em causa.
52. Num nível mais geral, importa sublinhar que a publicação de dados pessoais não requeridos pelo direito da União ou pelo direito do Estado‑Membro em causa não serve nenhum dos objetivos enunciados no n.o 49 das presentes conclusões (43), que, por si só, justificam a ingerência nos direitos das pessoas em causa ao respeito da vida privada e à proteção de dados pessoais garantidos pelos artigos 7.o e 8.o da Carta (44). Além disso, como o Tribunal de Justiça salientou no Acórdão Manni, é devido, designadamente, ao facto de, em princípio, a publicidade estar apenas prevista para um número limitado de dados pessoais — a saber os que se referem à identidade e às funções respetivas das pessoas com poderes para vincular a sociedade e são, por conseguinte, necessários para proteger os interesses de terceiros — que essa ingerência não é considerada desproporcionada (45).
53. O Governo Búlgaro e a Agência sustentam, em substância, que o tratamento em causa no processo principal encontra o seu fundamento, no direito búlgaro, na exigência de assegurar a publicidade dos atos essenciais das sociedades, preservar a sua integridade e fiabilidade e não impedir o exercício pela Agência da sua função de interesse público. Admitindo que o órgão jurisdicional de reenvio chega à mesma conclusão, incumbe‑lhe ainda assegurar o respeito do princípio da proporcionalidade. Nos termos deste princípio, restrições ao direito fundamental ao respeito dos dados pessoais devem ser introduzidas na estrita medida do necessário (46), o que não é o caso quando o objetivo de interesse geral prosseguido pode ser razoavelmente alcançado de maneira tão eficaz através de outros meios menos atentatórios desse direito (47). Há igualmente que recordar que o artigo 5.o, n.o 1, alínea c), do RGPD, prevê que os dados pessoais devem ser adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados e exige respeito, pelos Estados‑Membros, do princípio da «minimização dos dados», que dá expressão ao princípio da proporcionalidade (48).
54. Ora, parece‑me que o objetivo de assegurar a publicidade dos atos essenciais das sociedades pode ser razoavelmente alcançado através da instituição de procedimentos que permitam ocultar, antes da sua publicação, os dados pessoais cuja disponibilização ao público não é exigida. Esses procedimentos podem incluir, nomeadamente, a obrigação de a Agência suspender a inscrição da sociedade a fim de permitir a alteração dos atos que contêm tais dados ou de proceder, se for caso disso oficiosamente, ao seu apagamento.
55. Não me parece que os argumentos alegados por muitos Estados‑Membros que apresentaram observações no presente processo, segundo os quais a instituição de tais procedimentos poderia atrasar o tratamento dos pedidos de inscrição no registo das sociedades, em detrimento, nomeadamente, dos interesses dos sócios, ou onerar as autoridades nacionais com tarefas excessivamente pesadas, possam ser acolhidos. Com efeito, por um lado, estes procedimentos são necessários para conciliar os interesses prosseguidos pela publicidade dos atos das sociedades com o direito fundamental ao respeito dos dados pessoais, especialmente quando, como sublinhei no n.o 16 das presentes conclusões, os dados pessoais em causa se destinam a ser disponibilizados ao público sem restrições num ambiente digital. Por outro lado, podem invocar ferramentas de pesquisa e de identificação dos dados que permitam facilitar a tarefa dessas autoridades e ser concebidas de forma que, num primeiro momento, fique a cargo dos requerentes a tarefa de ocultar os dados pessoais que não devem ser divulgados, como, de resto, prevê o direito búlgaro.
56. Quanto à exigência de preservar a integridade e a fiabilidade dos atos das sociedades sujeitos a publicidade obrigatória transmitidos para efeitos da inscrição no registo das sociedades — igualmente mencionada pelo Governo Búlgaro e pela Agência, bem como pela maioria dos Estados‑Membros que apresentaram observações no presente processo — que determina a publicação desses atos tal como foram transmitidos às autoridades responsáveis pela manutenção do registo, não pode, na minha opinião, prevalecer sistematicamente sobre o direito fundamental à proteção dos dados pessoais, sob pena de tornar essa proteção puramente ilusória.
57. Com efeito, inclino‑me a pensar que esta exigência pode, quando muito, justificar a conservação dos dados pessoais não sujeitos a publicidade obrigatória contidos nesses atos, mas não a sua publicação, sem nenhuma limitação ou restrição, na base de dados do registo aberta ao público. Mais precisamente, considero que a disponibilização ao público da cópia desses atos expurgada dos dados pessoais não exigidos e a conservação do original nos autos permitiriam encontrar um justo equilíbrio entre esta exigência e a proteção dos dados das pessoas em causa. O eventual acesso ao original do ato e a todos os dados nele contidos só seria permitido caso a caso, perante um interesse legítimo que o justificasse — incluindo o da verificação do caráter autêntico do ato — e no respeito das disposições do RGPD.
58. A este respeito, contrariamente ao que sustenta, nomeadamente, o Governo Irlandês, considero que o artigo 16.o‑A da Diretiva 2017/1132, conforme alterada pela Diretiva 2019/1151, uma vez que prevê que «[o]s Estados‑Membros devem assegurar que possam ser obtidas junto do registo cópias integrais ou parciais dos documentos […] a que se refere o artigo 14.o», não implica que os Estados‑Membros sejam obrigados a permitir o acesso ilimitado a todos estes documentos. Em contrapartida, como já observei, o artigo 161.o da Diretiva 2017/1132, conforme alterada pela Diretiva 2019/1151, obriga os Estados‑Membros a instituir procedimentos que permitam garantir que, no exercício da função de interesse público que lhes é confiada, as autoridades encarregadas da manutenção do registo das sociedades respeitam todas as disposições do RGPD.
59. Com base em todas as considerações precedentes, entendo que não se pode reputar o tratamento de dados em causa no processo principal como baseado no consentimento da recorrida no processo principal, na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea a), do RGPD, lido em conjugação com o artigo 4.o, ponto 11, deste regulamento. Sem prejuízo das verificações a efetuar pelo órgão jurisdicional de reenvio, este tratamento também não parece satisfazer as situações de licitude previstas no artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD, nem as enunciadas na alínea e) desse artigo, lido em conjugação com o artigo 6.o, n.o 3, desse regulamento. Por uma questão de exaustividade, acrescentarei que o referido tratamento também não é suscetível de ser abrangido pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, relativo ao tratamento de dados pessoais necessários para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento. Com efeito, como foi precisado pelo Tribunal de Justiça, resulta claramente da redação do artigo 6.o, n.o 1, segundo parágrafo, do RGPD que o tratamento de dados pessoais efetuado por uma autoridade pública no âmbito da prossecução das suas atribuições não pode ser abrangido pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, de modo que a aplicação desta disposição e do seu artigo 6.o, n.o 1, primeiro parágrafo, alínea e), se excluem mutuamente (49). Ora, no caso em apreço, o tratamento de dados pessoais em causa no processo principal é efetuado pela Agência no exercício da função de interesse público que lhe é confiada, o que exclui desde logo a aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do RGPD, independentemente da questão de saber se corresponde às situações previstas no artigo 6.o, n.o 3, do RGPD.
60. Por conseguinte, não está excluído que o órgão jurisdicional de reenvio seja levado a concluir que o tratamento de dados em causa no processo principal, por não satisfazer uma das justificações previstas no artigo 6.o, n.o 1, do RGPD, era ilícito.
6. Direito ao apagamento
61. O artigo 17.o do RGPD institui um direito do titular dos dados ao apagamento dos seus dados pessoais quando um dos motivos enumerados no n.o 1 deste artigo se aplicar e impõe, correlativamente, ao responsável pelo tratamento a obrigação de proceder a esse apagamento sem demora injustificada.
62. O artigo 17.o, n.o 3, do RGPD precisa, todavia, que o n.o 1 deste artigo não se aplica quando o tratamento em causa se revele necessário por um dos motivos enumerados nesta primeira disposição. Entre esses motivos figuram, no artigo 17.o, n.o 3, alínea b), desse regulamento, o cumprimento de uma obrigação jurídica que exija o tratamento, prevista pelo direito da União ou pelo direito do Estado‑Membro a que o responsável esteja sujeito, o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento.
63. Uma vez que estas exceções ao direito ao apagamento refletem os motivos de justificação do tratamento enunciados no artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) e e), do RGPD, remeto, no que respeita à sua invocabilidade em circunstâncias como as do processo principal, para a análise efetuada nos n.os 45 a 58 das presentes conclusões (50).
64. Assim, na hipótese de o órgão jurisdicional de reenvio considerar que a disponibilização ao público no Registo Comercial dos dados pessoais em causa no processo principal não está abrangida, no direito búlgaro, pelo âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) ou e), do RGPD, lidos em conjugação com o artigo 6.o, n.o 3, deste regulamento, e, por conseguinte, do artigo 17.o, n.o 3, alínea b), do RGPD, a recorrida no processo principal dispõe de um direito ao apagamento, que consiste em pôr termo a essa disponibilização ao público, e a Agência, enquanto responsável pelo tratamento, é obrigada a dar‑lhe cumprimento. Com efeito, o artigo 17.o, n.o 1, alínea d), do RGPD prevê o direito absoluto do titular ao apagamento dos seus dados pessoais quando tenham sido tratados ilicitamente (51).
65. Na hipótese de o órgão jurisdicional de reenvio concluir, em contrapartida, que o tratamento de dados em causa no processo principal estava em conformidade com o artigo 6.o, n.o 1, primeiro parágrafo, alíneas c) ou e), do RGPD, o artigo 17.o, n.o 3, alínea b), desse regulamento seria a priori aplicável. No entanto, são necessárias duas precisões.
66. Por um lado, no caso de o órgão jurisdicional de reenvio concluir que a disponibilização ao público dos dados pessoais em causa no processo principal era necessária para o exercício da função de interesse público confiada à Agência para não atrasar a inscrição da sociedade no Registo Comercial, esta única razão não pode, no meu entender, ser invocada para justificar a manutenção desses dados no registo uma vez inscrita a sociedade e, por conseguinte, para excluir, ao abrigo do artigo 17.o, n.o 3, alínea b), do RGPD, o direito ao apagamento da recorrida no processo principal. Este direito seria então garantido pelo artigo 17.o, n.o 1, alínea c), desse regulamento, que se aplica no caso de o titular se opor, nos termos do artigo 21.o, n.o 1, do referido regulamento, por razões relacionadas com a sua situação específica, ao tratamento dos seus dados pessoais baseando‑se, nomeadamente, no artigo 6.o, n.o 1, primeiro parágrafo, alínea e), do mesmo regulamento e não existindo «interesses legítimos prevalecentes que justifiquem o tratamento», cabendo ao responsável pelo tratamento demonstrá‑lo (52). Ora, pelas mesmas razões já expostas no n.o 56 das presentes conclusões, sou da opinião de que a exigência de preservar a integridade e a fiabilidade dos atos em que se baseia a inscrição da sociedade no registo não pode constituir um interesse legitimo prevalecente. Com efeito, como já salientei, esta exigência pode ser cumprida recorrendo a outros meios menos atentatórios do direito fundamental ao respeito dos dados pessoais.
67. Por outro lado, resulta do Acórdão Manni que uma limitação do acesso apenas a terceiros que justifiquem um interesse específico pode, caso a caso, ser justificada, por razões preponderantes e legítimas relacionadas com a situação específica dos titulares, mesmo tratando‑se de dados pessoais sujeitos a publicidade obrigatória pela Diretiva 2017/1132 e, portanto, mesmo no caso de a disponibilização ao público decorrer de uma obrigação jurídica na aceção do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD. Ora, tal limitação deve, a fortiori, ser reconhecida no caso de dados pessoais que não estão sujeitos a publicidade nem ao abrigo do direito da União nem por força do direito nacional. Além disso, nesse caso, a condição a que, no Acórdão Manni, o Tribunal de Justiça sujeitou a limitação ao acesso às informações relativas à identidade do liquidatário da sociedade, a saber, que tenha decorrido um prazo suficientemente longo após a dissolução da sociedade, não é aplicável no caso em apreço e a limitação ao acesso a esses dados deve, por conseguinte, ser aplicada sem demora injustificada.
7. Quanto à subordinação do exercício do direito ao apagamento a modalidades processuais específicas
68. Resulta da decisão de reenvio que a Agência subordinou o pedido de OL de apagamento dos seus dados pessoais, cuja publicação não é exigida pelo direito búlgaro, ao respeito de modalidades processuais específicas, que exigem a apresentação de uma cópia do documento que contém os referidos dados no qual foram ocultados. Na falta de apresentação dessa cópia, esse pedido foi indeferido ou adiado sine die. Segundo as explicações fornecidas pela Agência, o respeito destas modalidades processuais é necessário porque não tem o poder de alterar o documento em causa, sendo esta modificação da competência exclusiva dos órgãos da sociedade.
69. Recordo que, segundo o artigo 23.o, n.o 1, do RGPD, o direito da União ou o direito nacional «pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o […] desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar» um dos objetivos aí enumerados. Uma vez que levam a uma limitação do exercício do direito ao apagamento, bem como ao exercício do direito de oposição previsto no artigo 21.o do RGPD, ou mesmo à sua exclusão, no caso de o titular não conseguir obter da sociedade as modificações exigidas pelo documento em causa, as modalidades processuais aplicadas pela Agência podem ser abrangidas pelo artigo 23.o, n.o 1, do RGPD (53). Por conseguinte, importa verificar se os requisitos mencionados por essa disposição estão, no caso concreto, preenchidos, mesmo que o órgão jurisdicional de reenvio não peça expressamente ao Tribunal de Justiça que se pronuncie sobre este ponto.
70. A este propósito, observo, antes de mais, que estas modalidades processuais parecem constituir uma simples prática interna da Agência (54). Sem prejuízo das verificações que incumbem ao órgão jurisdicional de reenvio, não parecem, mesmo por esta razão, conformes ao artigo 23.o, n.o 1, do RGPD, que prevê que as limitações aos direitos enumerados nesta disposição devem ser objeto de «medidas legislativas».
71. Estas modalidades processuais suscitam, em seguida, interrogações quanto ao respeito do princípio da proporcionalidade.
72. Com efeito, embora a exigência de garantir a fiabilidade e a autenticidade dos atos inscritos no Registo Comercial e, mais amplamente, a transparência e a segurança jurídica no exercício da sua função pública me pareça suscetível de responder a um «objetivo importante do interesse público geral da União ou de um Estado‑Membro», na aceção do artigo 23.o, n.o 1, alínea e), do RGPD, não justifica, na minha opinião, a limitação, ou mesmo a exclusão, do direito ao apagamento ou do direito de oposição em circunstâncias como as do processo principal, podendo ser utilizados outros meios menos atentatórios do direito fundamental ao respeito dos dados pessoais.
73. Neste contexto, a Comissão, embora considere justificado esperar que a sociedade altere o documento expurgando os dados cujo apagamento é pedido, propõe que a Agência proceda, ela própria, à ocultação desses dados após um período razoável de tempo, se se verificar que o titular não consegue que a sociedade efetue tal alteração.
74. Não estou convencida de que tal solução garanta um justo equilíbrio entre os diferentes direitos e interesses em jogo, uma vez que leva a que se mantenha, por tempo indefinido, à disposição do público, num ambiente digitalizado, dados que não se destinavam a ser divulgados. A meu ver, esse equilíbrio poderia, em contrapartida, ser garantido reconhecendo à Agência o poder de proceder ela própria, sem demora injustificada após a receção do pedido de apagamento, à ocultação dos dados em causa na cópia do documento disponibilizado ao público, conservando no processo o original desse documento e exigindo que a sociedade apresentasse uma alteração do mesmo, na qual os referidos dados seriam expurgados, alteração que seria também publicada no registo.
75. É certo que o artigo 16.o, n.o 4, primeiro e segundo parágrafos, da Diretiva 2017/1132 prevê que os Estados‑Membros tomarão as medidas necessárias para evitar qualquer discordância entre o conteúdo do registo e o conteúdo do processo e entre o que é publicado no registo e o que é publicado no Jornal Oficial nacional. Todavia, a exigência de manter a coerência entre as diferentes partes do registo e com o Jornal Oficial nacional, bem como o objetivo de segurança jurídica subjacente, não podem, na minha opinião, justificar o facto de manter à disposição do público, sem restrições e sem limites temporais, em documentos publicados no registo, dados pessoais cuja divulgação não é obrigatória, quando a pessoa em causa pede o seu apagamento. Com efeito, em primeiro lugar, as alterações desses documentos que se revelem necessárias à ocultação desses dados são identificáveis e rastreáveis e ocorrem de forma transparente. Em segundo lugar, essas alterações dizem respeito a elementos desses documentos cuja publicidade não é necessária para o exercício da função de interesse público confiada ao registo. Em terceiro lugar, a integridade e a autenticidade dos referidos documentos podem ser preservadas conservando no processo o seu original, ao qual os terceiros que demonstrem um interesse legítimo têm um acesso regulamentado.
76. Com base em tudo o que precede, considero que modalidades processuais como as aplicadas no caso em apreço pela Agência não são conformes com o artigo 23.o, n.o 1, do RGPD.
V. Conclusão
77. À luz de todas as considerações precedentes, proponho ao Tribunal de Justiça que responda do seguinte modo às quarta e quinta questões prejudiciais submetidas pelo Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária):
1) O artigo 4.o, ponto 7, e o artigo 26.o, n.o 1, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
devem ser interpretados no sentido de que:
a autoridade encarregada da manutenção do Registo Comercial de um Estado‑Membro, que, por força da legislação desse Estado, deve assegurar a publicidade dos atos que lhe são transmitidos no âmbito de um pedido de inscrição de uma sociedade nesse registo, é a única responsável pela disponibilização ao público dos dados pessoais contidos nesses atos, mesmo quando se trate de dados cuja publicação não seja exigida, e que, em conformidade com essa legislação, deviam ter sido expurgados dos mesmos antes da sua transmissão à referida autoridade.
2) O Regulamento 2016/679, nomeadamente o seu artigo 17.o e o seu artigo 23.o, n.o 1,
deve ser interpretado no sentido de que:
se opõe a uma legislação ou a uma prática nacional que subordina o direito de uma pessoa singular obter, da autoridade encarregada da manutenção do Registo Comercial de um Estado‑Membro, o apagamento dos seus dados pessoais, contidos em documentos disponibilizados ao público nesse registo, a modalidades processuais que exigem a apresentação de uma cópia do documento em causa em que estes dados foram expurgados. Na sua qualidade de responsável pelo tratamento, essa autoridade não pode ser exonerada da sua obrigação de deferir esse pedido de apagamento sem demora injustificada pelo simples facto de não ter recebido a comunicação dessa cópia.
3) A Diretiva (UE) 2017/1132, do Parlamento Europeu e do Conselho, de 14 de junho de 2017, relativa a determinados aspetos dos direitos das sociedades, conforme alterada pela Diretiva (UE) 2019/1151, do Parlamento Europeu e do Conselho, de 20 de junho de 2019, nomeadamente o seu artigo 16.o, n.os 2 a 4, lido à luz do considerando 8 desta diretiva,
não pode ser interpretada no sentido de que:
permite a adoção de tais modalidades processuais. Esta diretiva não se opõe a que a autoridade encarregada da manutenção do Registo Comercial de um Estado‑Membro defira um pedido de apagamento de dados pessoais não exigidos pela legislação desse Estado‑Membro, contidos num documento disponibilizado ao público nesse registo, expurgando ela própria os referidos dados desse documento e conservando cópia da versão não expurgada do mesmo no processo previsto no artigo 16.o, n.o 1, da referida diretiva.
1Língua original: francês.
2 Mais precisamente, o pedido de decisão prejudicial tem por objeto as disposições da Diretiva 2009/101/CE do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, tendente a coordenar as garantias que, para proteção dos interesses dos sócios e de terceiros, são exigidas nos Estados‑Membros às sociedades, na aceção do segundo parágrafo do artigo 48.o do Tratado, a fim de tornar equivalentes essas garantias em toda a Comunidade (JO 2009, L 258, p. 11). No entanto, como se verá adiante, é a Diretiva (UE) 2017/1132 do Parlamento Europeu e do Conselho, de 14 de junho de 2017, relativa a determinados aspetos do direito das sociedades (JO 2017, L 169, p. 46), que se aplica ratione temporis aos factos do processo principal.
3 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L119, p.1, a seguir «RGPD»).
4 DV n.o 34, de 25 de abril de 2006.
5 DV n.o 48, de 18 de junho de 1991.
6Trata‑se do Parecer n.o 01‑116 (20)/01.02.2021.
7 Diretiva do Parlamento Europeu e do Conselho, de 20 de junho de 2019, que altera a Diretiva 2017/1132 (JO L 2019, L 186, p. 80).
8 V. artigo 2.o, n.o 1, da Diretiva 2019/1151. Quanto às alterações introduzidas pelo artigo 1.o, ponto 6, desta diretiva, no que respeita ao artigo 16.o, n.o 6, da Diretiva 2017/1132, a data‑limite para a transposição era 1 de agosto de 2023.
9 V., neste sentido, as minhas Conclusões no processo Estado belga (Dados tratados por um Jornal Oficial) (C‑231/22, EU:C:2023:468, n.o 80).
10 Saliento que a Comissão adotou, em 29 de março de 2023, uma proposta de Diretiva do Parlamento Europeu e do Conselho, que altera as Diretivas 2009/102/CE e (UE) 2017/1132 no respeitante ao reforço da generalização e modernização da utilização de ferramentas e processos digitais no domínio do direito das sociedades (COM/2023/177 final).
11 V. sistema de interconexão dos registos das empresas, implementado desde 8 de junho de 2017 pela Diretiva 2012/17/UE do Parlamento Europeu e do Conselho, de 13 de junho de 2012, que altera a Diretiva 89/666/CEE do Conselho e as Diretivas 2005/56/CE e 2009/101/CE do Parlamento Europeu e do Conselho no que respeita à interconexão dos registos centrais, comerciais e das sociedades (JO 2012, L 156, p. 1), atualmente regulado pela Diretiva 2017/1132. Esse sistema liga os registos profissionais nacionais a uma plataforma central europeia e fornece um ponto de acesso único através do Portal Europeu da Justiça, através do qual cidadãos, empresas e administrações públicas podem procurar informações sobre empresas e suas sucursais abertas noutros Estados‑Membros.
12 No seu parecer sobre a proposta de alteração da Diretiva 2017/1132, a Autoridade Europeia para a Proteção de Dados (AEPD) chamou a atenção para a necessidade de «sensibilizar para os riscos resultantes da acessibilidade de dados pessoais que passarão a estar amplamente disponíveis na Internet em formato digital em várias línguas através de uma plataforma/ponto de acesso da UE facilmente acessível» (parecer de 26 de julho de 2018, acessível no endereço https://edps.europa.eu/data‑protection/our‑work/publications/opinions/digital‑tools‑and‑processed‑company‑law_fr).
13A OOD é referida no anexo II da Diretiva 2017/1132, bem como pelo anexo II-A desta diretiva, conforme alterada pela Diretiva 2019/1151.
14 Neste caso, o objeto das inscrições deve ficar registado no processo; v. artigo 16.o, n.o 2, da Diretiva 2017/1132.
15 V. artigo 16.o, n.o 3, da Diretiva 2017/1132, que apenas prevê a possibilidade de publicação, por extrato, dos atos referidos no seu artigo 14.o no Jornal Oficial do Estado‑Membro em causa.
16 V., no que respeita à Primeira Diretiva 68/151/CEE, do Conselho, de 9 de março de 1968, tendente a coordenar as garantias que, para proteção dos interesses dos sócios e de terceiros, são exigidas nos Estados‑Membros às sociedades, na aceção do segundo parágrafo do artigo 58.o do Tratado, a fim de tornar equivalentes essas garantias em toda a Comunidade (JO 1968, L 65, p.8), Acórdão de 9 de março de 2017, Manni (C‑398/15, a seguir «Acórdão Manni», EU:C:2017:197, n.o 34).
17 Acórdão de 5 de dezembro de 2023, Nacionalque visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, n.os 28 e 29).
18 V., neste sentido, Acórdão de 5 de outubro de 2023, Ministerstvo zdravotnictví (Aplicação móvel Covid‑19) (C‑659/22, EU:C:2023:745, n.o 28).
19 C‑231/22, a seguir «Acórdão Estado belga», EU:C:2024:7, n.o 35. V. igualmente as minhas Conclusões no processo que deu origem a este acórdão (C‑231/22, EU:C:2023:468, n.os 34 a 75).
20 V., neste sentido, Acórdão Estado belga, n.o 38.
21 V., neste sentido, Acórdão Estado belga, n.os 46 e 47.
22 V., neste sentido, Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, n.os 44 e 45).
23 V., neste sentido «Orientações 07/2020 sobre os conceitos de responsável pelo tratamento e subcontratante no RGPD» da EDPS, versão 2.0 adotada em 7 de julho de 2021, disponíveis em português no seguinte endereço Web: https://www.edpb.europa.eu/system/files/2023‑10/edpb_guidelines_202007_controllerprocessor_final_pt.pdf, n.os 70 e 72. V. também as minhas Conclusões no processo Estado belga (Dados tratados por um Jornal Oficial) (C‑231/22, EU:C:2023:468, n.o48 e nota 55).
24 V., neste sentido, Acórdão Estado belga, n.o 42.
25 V. Acórdão Estado belga, n.o 48.
26 Recordo, no entanto, que, no processo que deu origem ao acórdão Estado belga, se tratava da publicação de documentos no Jornal Oficial de um Estado‑Membro, que constituía a última etapa de um processo de tratamento que implicava diferentes autoridades públicas. A situação factual na origem desse acórdão era, logo, diferente da que está em causa no presente processo.
27 Nas suas observações, a Agência explica que, em caso de pedido on‑line, o requerente deve descarregar no sistema do Registo Comercial as imagens eletrónicas dos documentos assinados em papel necessários para a inscrição.
28 Estas finalidades são mencionadas no n.o 49 das presentes conclusões.
29 V. Acórdão Estado belga, n.o 45.
30 V. Acórdão Estado belga, n.os 49 e 50.
31 V. Acórdão de 21 de dezembro de 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, n.o 76 e jurisprudência referida).
32 V. Acórdão de 7 de dezembro de 2023, SCHUFA Holding (Remissão da dívida remanescente) (C‑26/22 e C‑64/22, EU:C:2023:958, n.os 72 e 73 e jurisprudência referida).
33 V. Acórdão de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social) (C‑252/21, EU:C:2023:537, n.os 91 a 93).
34 Recordo que o órgão jurisdicional de reenvio se interroga sobre essa compatibilidade no âmbito da sua terceira questão prejudicial.
35 Como sublinha o grupo de trabalho «Artigo 29.o» no seu Parecer 6/2014, o âmbito de aplicação do artigo 6.o, n.o 1, primeiro parágrafo, alínea c), do RGPD está «estritamente delimitado». Para que esta disposição possa ser aplicada a obrigação jurídica deve ser suficientemente clara e estar em conformidade com o direito aplicável em matéria de proteção de dados. Não me parece que seja esse o caso de uma lei que, por um lado, exclui o tratamento dos dados em causa e, por outro, o autoriza, ou até o impõe, com base num consentimento presumido.
36 V. Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa eletrónica judiciária) (C‑60/22, EU:C:2023:373, n.os 54 e 55).
37 V. Acórdão de 12 de julho de 2012, Compass‑Datenbank (C‑138/11, EU:C:2012:449, n.os 40 e 41), e Acórdão Manni, n.o 43.
38 V. Acórdão Manni, n.o 43.
39 C‑398/15, EU:C:2016:652, n.o 54.
40 V., neste sentido, Acórdão de 12 de novembro de 1974, Haaga (32/74, EU:C:1974:116, n.o 6), e Acórdão Manni, n.o 50.
41 V., neste sentido, Acórdão de 2 de março de 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, n.o 31).
42 V., neste sentido, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, n.o 69).
43 Em especial, o domicílio do representante da sociedade ou dos sócios não é um aspeto da sua identidade e o seu conhecimento não é, como sublinhado pelo advogado‑geral Szpunar nas suas Conclusões no processo All in One Star (C‑469/19, EU:C:2020:822, n.o 51), útil para a proteção de terceiros.
44 V. Acórdão Manni, n.o 57.
45 V. Acórdão Manni, n.o 58.
46 V. Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, n.o 70).
47 V., neste sentido, Acórdão de 22 de novembro de 2022, Luxembourg Business Registers (C‑37/20 e C‑601/20, EU:C:2022:912, n.o 66).
48 V., por analogia, Acórdão de 30 de janeiro de 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVRSofia (C‑118/22, EU:C:2024:97, n.o 41).
49 V. Acórdão de 8 de dezembro de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — Inquérito penal) (C‑180/21, EU:C:2022:967, n.o 85).
50 Embora, num obiter dictum contido no n.o 51 do Acórdão Estado belga, o Tribunal de Justiça tenha invocado a possibilidade de as exceções previstas no artigo 17.o, n.o 3, alíneas b) e d), do RGPD se aplicarem ao pedido de apagamento de dados pessoais publicados no Jornal Oficial do Estado‑Membro em causa, não se pronunciou sobre esta questão, que não tinha sido suscitada pelo órgão jurisdicional de reenvio no processo que deu origem a esse acórdão.
51 V., neste sentido, Acórdão de 7 de dezembro de 2023, SCHUFA Holding (Remissão da dívida remanescente) (C‑26/22 e C‑64/22, EU:C:2023:958, n.o 108); v. também as Conclusões do advogado‑geral Pikamäe nesse processo (C‑26/22 e C‑64/22, EU:C:2023:222, n.o 91).
52 V., neste sentido, Acórdão de 7 de dezembro de 2023, SCHUFA Holding (Remissão da dívida remanescente) (C‑26/22 e C‑64/22, EU:C:2023:958, n.os 111 e 112).
53 V., neste sentido, Acórdão de 26 de outubro de 2023, FT (Cópias do registo clínico) (C‑307/22, EU:C:2023:811, n.os 53 a 69). V. também as Conclusões do advogado‑geral Emiliou neste processo (C‑307/22, EU:C:2023:315, n.o 37).
54 Embora o referido procedimento reflita o previsto no artigo 13.o, n.o 6, da Lei relativa aos Registos, não se afigura que esta última disposição regule o direito ao apagamento ou o direito de oposição dos titulares dos dados.