–

em representação da Datenschutzbehörde, por M. Schmidl e E. Wagner, na qualidade de agentes,

–

em representação da Bundesministerin für Justiz, por E. Riedl, na qualidade de agente,

–

em representação do Governo Austríaco, por A. Posch, J. Schmoll e C. Gabauer, na qualidade de agentes,

–

em representação da Comissão Europeia, por A. Bouchagiar e M. Heller, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 4.o, ponto 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe o Amt der Tiroler Landesregierung (Gabinete do Governo do Land do Tirol, a seguir «Gabinete») à Datenschutzbehörde (Autoridade para a Proteção de Dados, Áustria) a respeito de um tratamento alegadamente ilegal de dados pessoais de uma pessoa singular pelo Gabinete.

3

Os considerandos 1, 7, 10, 45 e 74 do RGPD têm a seguinte redação:

[…]

[…]

[…]

[…]

4

O artigo 1.o deste regulamento, sob a epígrafe «Objeto e objetivos», dispõe, no n.o 2:

«O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.»

5

O artigo 4.o do referido regulamento, sob a epígrafe «Definições», tem a seguinte redação:

«Para efeitos do presente regulamento, entende‑se por:

[…]

[…]

[…]»

6

Nos termos do artigo 5.o do mesmo regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais»:

«1.   Os dados pessoais são:

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»

7

O artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento», dispõe, nos n.os 1 e 3:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

[…]

[…]

3.   O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. […]»

8

O § 56 da Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [Lei Regional relativa à Constituição do Land do Tirol (Regulamento do Land do Tirol de 1989)], de 21 de setembro de 1988, na sua versão aplicável ao litígio no processo principal (a seguir «Regulamento do Land do Tirol de 1989»), sob a epígrafe «Landeshauptmann (Governador do Land, Áustria, a seguir “Governador”)», prevê, no n.o 1:

«O [Governador] representa o Land do Tirol.»

9

O § 58 do Regulamento do Land do Tirol de 1989, sob a epígrafe «[Gabinete]», dispõe, no n.o 1:

«O [Governador], o Governo do Land e os seus membros devem recorrer ao [Gabinete] para tratar dos seus assuntos. O [Governador] é o presidente do [Gabinete].»

10

O § 2 da Tiroler Datenverarbeitungsgesetz (Lei relativa ao Tratamento de Dados do Land do Tirol, a seguir «TDVG»), prevê:

«1.   É considerado responsável pelo tratamento na aceção do artigo 4.o, ponto 7, do [RGPD]:

[…]

3.   Quando o tratamento de dados é efetuado ou encomendado pelo Land do Tirol, o [Gabinete] é sempre considerado responsável por esse tratamento, na medida em que

11

No âmbito de medidas destinadas ao combate à pandemia de COVID‑19, o Gabinete, uma entidade administrativa auxiliar ao serviço do Governador e do Governo do Land do Tirol, enviou uma «carta recordatória de vacinação» a todas as pessoas maiores de 18 anos que residem no Land do Tirol, que ainda não tinham sido vacinadas contra o vírus relativo a essa doença. Para identificar os destinatários dessas cartas, o Gabinete mandatou duas empresas privadas, que procederam a um cruzamento dos dados constantes do registo central de vacinação e do registo dos pacientes, o qual mencionava o seu endereço de residência.

12

Em 21 de dezembro de 2021, CW, um desses destinatários apresentou à Autoridade para a Proteção de Dados uma reclamação contra o Gabinete por tratamento ilegal dos seus dados pessoais. Perante esta autoridade, o Gabinete indicou ter a qualidade de «responsável pelo tratamento» e que estava na origem da carta enviada a CW.

13

Por Decisão de 22 de agosto de 2022, a referida autoridade declarou que o Gabinete tinha violado o direito de CW à proteção dos seus dados pessoais, uma vez que, para lhe enviar uma «carta recordatória de vacinação», o Gabinete tinha consultado os dados do interessado que figuravam no registo de vacinação, apesar de não dispor de um direito de acesso a esse registo nem ao registo dos pacientes. O tratamento dos dados pessoais de CW terá sido, portanto, ilícito.

14

O Gabinete interpôs recurso desta decisão no Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria). Este decidiu que, ao abrigo do direito nacional aplicável, o Gabinete era o responsável pelo tratamento dos dados, mas não tinha o direito de consultar o registo de vacinação para efeitos de envio de uma carta recordatória como a que foi enviada a CW. Como este tribunal negou provimento ao recurso do Gabinete, este interpôs um recurso de «Revision» desta sentença junto do Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria), que é o órgão jurisdicional de reenvio.

15

Esse órgão jurisdicional considera que, para poder decidir no processo que lhe foi submetido, há que determinar se o Gabinete, no contexto deste processo, tem a qualidade de «responsável pelo tratamento», na aceção do artigo 4.o, ponto 7, do RGPD.

16

A este respeito, o órgão jurisdicional de reenvio sublinha o facto de o Gabinete apenas ter apresentado ao Governador uma proposta de envio de uma «carta recordatória de vacinação», proposta que este aprovou na sua qualidade de presidente do Gabinete e de representante do Land do Tirol, em conformidade, respetivamente, com o § 58 e com o § 56, n.o 1, do Regulamento do Land do Tirol de 1989. O Gabinete limitou‑se assim a indicar ao Governador, por um lado, qual a finalidade do tratamento dos dados pessoais previsto, a saber, um aumento da taxa de vacinação, e, por outro, os meios que seriam utilizados com base nesse tratamento, a saber, o envio dessa «carta recordatória de vacinação», utilizando os dados do registo central de vacinação e do registo dos pacientes.

17

Segundo o órgão jurisdicional de reenvio, tendo em conta esta aprovação pelo Governador, só este decidiu tanto a finalidade como os meios de tratamento dos dados pessoais, pelo que o Gabinete não pode ter a qualidade de «responsável pelo tratamento», na aceção do artigo 4.o, ponto 7, primeiro período, do RGPD.

18

No entanto, aquele órgão jurisdicional interroga‑se sobre se o Gabinete podia ter sido validamente designado como tal por uma disposição do direito nacional, a saber, o § 2, n.o 1, alínea a), do TDVG.

19

Com efeito, o Gabinete não é uma pessoa coletiva ou uma autoridade responsável pelo tratamento de dados pessoais que resultaram no envio de uma «carta recordatória de vacinação» a CW. O Gabinete só participou neste tratamento como entidade administrativa auxiliar ao serviço de uma autoridade pública. Não tem personalidade jurídica, nem capacidade jurídica própria. Por conseguinte, há que determinar se, nestas circunstâncias, se pode considerar que o Gabinete é uma «agência ou outro organismo», na aceção do artigo 4.o, ponto 7, primeiro período, do RGPD, suscetível de ser designado responsável pelo tratamento ao abrigo do direito nacional, em conformidade com o artigo 4.o, ponto 7, segundo período, deste regulamento.

20

Além disso, o referido órgão jurisdicional recorda que, em conformidade com o artigo 4.o, ponto 7, segundo período, do RGPD, um responsável pelo tratamento só pode ser designado diretamente se as finalidades e os meios do tratamento dos dados pessoais em questão forem determinados pelo direito nacional. Ora, embora o § 2, n.o 1, alínea a), do TDVG designe o Gabinete como responsável pelo tratamento, não indica, no entanto, de forma concreta, a que tipos de tratamento de dados pessoais pode proceder o Gabinete, nem as finalidades que esses tratamentos devem prosseguir, nem os meios que o Gabinete pode aplicar para esse efeito.

21

O órgão jurisdicional de reenvio acrescenta que resulta do artigo 6.o, n.o 1, alíneas c) e e), do RGPD que um tratamento de dados pessoais é lícito se for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, para o exercício de funções de interesse público ou para o exercício da autoridade pública de que está investido o responsável pelo tratamento. Resultaria destas condições de licitude e do objetivo prosseguido pelo artigo 4.o, ponto 7, do RGPD assegurar uma proteção eficaz e alargada dos titulares dos dados que os Estados‑Membros só podem designar como responsável pelo tratamento uma pessoa ou uma entidade que esteja em condições de determinar as finalidades e os meios de tratamento de dados pessoais ou, pelo menos, de participar nessa determinação.

22

Nestas circunstâncias, o Verwaltungsgerichtshof (Supremo Tribunal Administrativo) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«Deve o artigo 4.o, [ponto] 7, do [RGPD] ser interpretado no sentido de que se opõe à aplicação de uma disposição do direito nacional (como, no presente caso, o § 2, n.o 1, do [TDVG]) que prevê um determinado responsável pelo tratamento, na aceção do artigo 4.o, ponto 7, [segundo período], do RGPD, [quando]

23

Com a sua questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.o, ponto 7, do RGPD deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que designa, como responsável pelo tratamento, uma entidade administrativa auxiliar desprovida de personalidade jurídica, bem como de capacidade jurídica própria, sem indicar, de forma concreta, as operações específicas de tratamento de dados pessoais pelas quais essa entidade é responsável nem a finalidade dessas operações. Esse órgão jurisdicional também pretende saber se o artigo 4.o, ponto 7, do RGPD deve ser interpretado no sentido de que uma entidade designada pelo direito nacional como responsável pelo tratamento, em conformidade com esta disposição, deve decidir efetivamente sobre as finalidades e os meios do tratamento dos dados pessoais para ser obrigada a responder, enquanto responsável pelo tratamento, aos pedidos que lhe são dirigidos pelos titulares dos dados com fundamento nos direitos que lhes são conferidos pelo RGPD.

24

A título preliminar, há que recordar que, nos termos do artigo 4.o, ponto 7, do RGPD, o conceito de «responsável pelo tratamento» abrange as pessoas singulares ou coletivas, as autoridades públicas, as agências ou outros organismos que, individualmente ou em conjunto com outras, determinam as finalidades e os meios de tratamento. Esta disposição enuncia também que, sempre que as finalidades e os meios desse tratamento sejam determinados designadamente pelo direito de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos por esse direito.

25

Resulta da jurisprudência do Tribunal de Justiça que a referida disposição visa assegurar, através de uma definição ampla do conceito de «responsável pelo tratamento», uma proteção eficaz e completa dos titulares dos direitos (v., neste sentido, Acórdãos de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.o 29, e de 5 de dezembro de 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, n.o 40).

26

O objetivo prosseguido pelo RGPD, conforme resulta do artigo 1.o e dos considerandos 1 e 10, consiste nomeadamente em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular, do seu direito à vida privada no que diz respeito ao tratamento de dados pessoais, consagrado no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais e no artigo 16.o, n.o 1, TFUE (Acórdão de 7 de março de 2024, IAB Europe, C‑604/22, EU:C:2024:214, n.o 53 e jurisprudência referida).

27

Tendo em conta a redação do artigo 4.o, ponto 7, do RGPD, lido à luz deste objetivo, para determinar se uma pessoa ou uma entidade deve ser qualificada de «responsável pelo tratamento», na aceção desta disposição, há que averiguar se essa pessoa ou essa entidade determina, individualmente ou em conjunto com outras, as finalidades e os meios do tratamento ou se estes são determinados pelo direito nacional. Quando tal determinação é efetuada pelo direito nacional, importa então verificar se esse direito designa o responsável pelo tratamento ou prevê os critérios específicos aplicáveis à sua designação [Acórdão de 11 de janeiro de 2024, Estado Belga (Dados tratados por um jornal oficial),C‑231/22, EU:C:2024:7, n.o 29].

28

Tendo em conta a definição ampla do conceito de «responsável pelo tratamento», na aceção do artigo 4.o, ponto 7, do RGPD, a determinação das finalidades e dos meios do tratamento e, se for caso disso, a designação desse responsável pelo direito nacional podem ser não só explícitas, mas também implícitas. Neste último caso, exige‑se, no entanto, que esta determinação decorra de maneira suficientemente certa do papel, da missão e das atribuições conferidas à pessoa ou à entidade em causa [Acórdão de 11 de janeiro de 2024, Estado Belga (Dados tratados por um jornal oficial), C‑231/22, EU:C:2024:7 n.o 30].

29

É à luz destas considerações preliminares que cabe examinar a questão submetida. Para este efeito, importa, primeiro, determinar em que medida o legislador nacional pode validamente designar uma entidade administrativa auxiliar ao serviço das autoridades públicas como responsável pelo tratamento, na aceção do artigo 4.o, ponto 7, segundo período, do RGPD, quando essa entidade é desprovida de personalidade jurídica e de uma capacidade jurídica própria.

30

A este respeito, há que salientar, por um lado, que o Tribunal de Justiça já declarou que resulta da redação clara do artigo 4.o, ponto 7, do RGPD que um responsável pelo tratamento pode ser não só uma pessoa singular ou coletiva mas também uma autoridade pública, uma agência ou um organismo, não sendo essas entidades necessariamente dotadas de personalidade jurídica em função do direito nacional [v., neste sentido, Acórdão de 11 de janeiro de 2024, Estado Belga (Dados tratados por um jornal oficial)C‑231/22, EU:C:2024:7, n.o 36].

31

Assim, não se pode excluir que uma entidade possa ser qualificada de «responsável pelo tratamento», na aceção desta disposição, mesmo que seja desprovida de personalidade jurídica.

32

Por outro lado, quanto à questão de saber se a qualificação de uma entidade como «responsável pelo tratamento» exige que esta tenha capacidade jurídica própria, ou se, para esse efeito, basta que a entidade em questão seja dotada de uma certa capacidade de decisão e de ação no quadro da proteção de dados pessoais, importa recordar que resulta do considerando 74 do RGPD que o legislador da União quis que a responsabilidade que impende sobre o responsável pelo tratamento seja idêntica independentemente do tratamento de dados pessoais que efetua, seja feito por ele próprio ou por intermédio de um terceiro, mas por sua conta. Este legislador também pretendeu assegurar que o responsável pelo tratamento seja obrigado a aplicar medidas adequadas e eficazes e seja capaz de demonstrar a conformidade das atividades de tratamento com este regulamento, incluindo a eficácia das medidas em questão, devendo estas ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco que este representa para os direitos e liberdades das pessoas singulares.

33

É nesta medida que o artigo 5.o, n.o 2, do RGPD consagra um princípio de responsabilidade, nos termos do qual o responsável pelo tratamento é responsável pelo respeito dos princípios relativos ao tratamento de dados pessoais enunciados no n.o 1 deste artigo 5.o, e prevê que esse responsável terá de poder comprovar que esses princípios são respeitados.

34

Tendo em conta as obrigações legais a que está assim sujeito o responsável pelo tratamento referido no artigo 4.o, ponto 7, do RGPD, este deve, segundo as modalidades previstas pela regulamentação do Estado‑Membro a que pertence, estar em condições de cumprir, de facto e de direito, essas obrigações, sem que, para este efeito, seja relevante o facto de esta entidade ter ou não personalidade jurídica e capacidade jurídica própria.

35

No caso em apreço, incumbe ao órgão jurisdicional de reenvio verificar se o Gabinete está habilitado pelo direito austríaco a assumir as responsabilidades e as obrigações que o RGPD impõe ao responsável pelo tratamento, tendo em conta designadamente a circunstância, não contestada nos órgãos jurisdicionais nacionais chamados a conhecer do litígio no processo principal, de o Gabinete poder interpor recurso da decisão da Autoridade para a Proteção de Dados, tal como pode ser objeto de uma reclamação perante essa autoridade. O órgão jurisdicional de reenvio também poderá tomar em consideração o facto de o Gabinete ter mandatado duas empresas privadas para efetuar o tratamento de dados pessoais que constam do registo central de vacinação e do registo dos pacientes residentes no Land do Tirol.

36

Segundo, o órgão jurisdicional de reenvio interroga‑se sobre se um legislador nacional pode designar uma entidade como responsável pelo tratamento, ao abrigo do artigo 4.o, ponto 7, segundo período, do RGPD, sem especificar, de forma concreta, nem os tratamentos de dados pessoais que essa entidade pode ser levada a efetuar, nem a sua finalidade, nem os meios precisos que pode utilizar para efeitos desse tratamento.

37

Como foi recordado no n.o 28 do presente acórdão, quando o direito nacional designa uma entidade como responsável pelo tratamento, a determinação das finalidades e dos meios do tratamento por esse direito pode ser implícita, desde que essa determinação decorra de maneira suficientemente certa do papel, da missão e das atribuições conferidas a essa entidade. Esta condição está preenchida se essas finalidades e meios resultarem, em substância, das disposições de direito nacional que regem a atividade da referida entidade.

38

A designação direta, pelo legislador nacional, de uma entidade como responsável pelo tratamento contribui para o objetivo de segurança jurídica prosseguido pelo RGPD, como resulta do seu considerando 7, ao permitir que as pessoas singulares cujos dados pessoais estão sujeitos a tratamento identifiquem facilmente a entidade encarregada de assegurar o respeito dos direitos que este regulamento lhes confere.

39

No entanto, a validade dessa designação está subordinada à condição de a regulamentação nacional determinar o alcance do tratamento dos dados pessoais para a qual essa entidade é designada responsável, sem que, porém, seja necessário que esse legislador tenha indicado, de forma exaustiva, todas as operações de tratamento para as quais a referida entidade é assim designada. Como enunciado no considerando 45 deste regulamento, «[p]oderá ser suficiente uma lei para diversas operações de tratamento baseadas numa obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública».

40

Daqui resulta que uma regulamentação nacional que designa uma entidade como responsável pelo tratamento sem indicar expressamente todas as operações específicas de tratamento de dados pessoais pelas quais é responsável nem a finalidade dessas operações de tratamento é compatível com o artigo 4.o, ponto 7, do RGPD, desde que essa regulamentação determine, explicita ou pelo menos implicitamente, o alcance do tratamento dos dados pessoais pelo qual essa entidade é designada responsável.

41

No caso em apreço, cabe ao órgão jurisdicional de reenvio verificar, por um lado, se o tratamento de dados pessoais efetuado pelo Gabinete para efeitos da preparação e do envio das «cartas recordatórias de vacinação» em causa no processo principal é compatível com as finalidades a que devem responder as operações de tratamento de dados pessoais pelas quais o Gabinete foi designado responsável, tais como essas finalidades resultam, pelo menos implicitamente, de todas as disposições de direito nacional que regulam a sua atividade e, por outro lado, os meios que pode utilizar para esse efeito. A mera circunstância de estas disposições nacionais não especificarem, sendo caso disso, de forma concreta, as operações de tratamento que o Gabinete está autorizado a efetuar, não pode excluir a qualificação de uma entidade como o Gabinete de responsável pelo tratamento, na aceção do artigo 4.o, ponto 7, do RGPD.

42

Terceiro, o órgão jurisdicional de reenvio pergunta se uma entidade designada pela regulamentação nacional como responsável pelo tratamento, ao abrigo do artigo 4.o, ponto 7, segundo período, do RGPD, também deve decidir ela própria, ou em conjunto com outras autoridades competentes, as finalidades e os meios de tratamento dos dados pessoais pelos quais é designada responsável, para que seja obrigada a responder, nessa qualidade, aos pedidos que lhe são dirigidos pelos titulares dos dados com base nos direitos que lhes são conferidos pelo RGPD.

43

A este respeito, basta observar que é para demonstrar a qualidade de responsável pelo tratamento de uma entidade, na aceção do artigo 4.o, ponto 7, primeiro período, do RGPD, que há que analisar se essa entidade influenciou efetivamente, para fins que lhe são próprios, a determinação das finalidades e dos meios desse tratamento (v., neste sentido, Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.os 30 e 31).

44

Em contrapartida, para determinar a qualidade de responsável pelo tratamento de uma entidade, na aceção do artigo 4.o, ponto 7, segundo período, do RGPD, como resulta da redação clara desta disposição, não é necessário que essa entidade exerça uma influência na determinação das finalidades e dos meios deste tratamento.

45

Essa entidade, designada pelo direito nacional como responsável pelo tratamento, não deve, portanto, decidir ela própria sobre as finalidades e os meios do tratamento dos dados pessoais para ter de responder, enquanto responsável pelo tratamento, aos pedidos que os titulares dos dados lhe dirigem com base nos direitos que lhes são conferidos pelo RGPD.

46

A este respeito, o Tribunal de Justiça já declarou que a validade de uma designação direta não é afetada pela circunstância de, por força do direito nacional, a entidade designada como responsável pelo tratamento não exercer controlo sobre os dados pessoais que é chamada a tratar [v., neste sentido, Acórdão de 11 de janeiro de 2024, Estado Belga (Dados tratados por um jornal oficial)C‑231/22, EU:C:2024:7, n.os 37 e 38].

47

Tal interpretação está em conformidade com o objetivo de segurança jurídica prosseguido pelo RGPD. Como sublinhou a Comissão Europeia nas suas observações escritas, este objetivo ficaria comprometido se, para se poder considerar que essa designação foi validamente efetuada pelo legislador nacional, os titulares dos dados tivessem de verificar se a entidade designada como responsável pelo tratamento dos seus dados pessoais tem o poder de determinar ela própria as finalidades e os meios desse tratamento.

48

Importa ainda acrescentar que o facto de não ser necessário que uma entidade designada pelo direito nacional como responsável pelo tratamento também esteja habilitada a decidir ela própria sobre as finalidades e os meios do tratamento dos dados pessoais para ter de responder, enquanto responsável pelo tratamento, aos pedidos que os titulares dos dados lhe dirigem com fundamento nos direitos que lhes são conferidos pelo RGPD, não priva, contudo, essas pessoas da possibilidade de dirigirem esses pedidos a outra entidade que considerem responsável ou conjuntamente responsável pelo tratamento dos seus dados pessoais devido à influência que essa outra entidade exerceu na determinação das finalidades e dos meios do tratamento em questão.

49

Tendo em conta os fundamentos precedentes, há que responder à questão submetida que o artigo 4.o, ponto 7, do RGPD deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que designa, como responsável pelo tratamento, uma entidade administrativa auxiliar desprovida de personalidade jurídica, bem como de capacidade jurídica própria, sem indicar, de forma concreta, as operações específicas de tratamento de dados pessoais pelas quais essa entidade é responsável nem a finalidade dessas operações desde que, por um lado, essa entidade esteja apta a cumprir, em conformidade com esta regulamentação nacional, as obrigações que incumbem a um responsável pelo tratamento perante os titulares dos dados em matéria de proteção de dados pessoais e, por outro lado, que a referida regulamentação nacional determine, explicita ou pelo menos implicitamente, o alcance do tratamento dos dados pessoais pelo qual essa entidade é responsável.

50

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Oitava Secção) declara:

O artigo 4.o, ponto 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

não se opõe não se opõe a uma regulamentação nacional que designe, como responsável pelo tratamento, uma entidade administrativa auxiliar desprovida de personalidade jurídica, bem como de capacidade jurídica própria, sem indicar, de forma concreta, as operações específicas de tratamento de dados pessoais pelas quais essa entidade é responsável nem a finalidade dessas operações desde que, por um lado, essa entidade esteja apta a cumprir, em conformidade com esta regulamentação nacional, as obrigações que incumbem a um responsável pelo tratamento perante os titulares dos dados em matéria de proteção de dados pessoais e, por outro lado, que a referida regulamentação nacional determine, explicita ou pelo menos implicitamente, o alcance do tratamento dos dados pessoais pelo qual essa entidade é responsável.