—

em representação de B. Lindqvist, por S. Larsson, advokat,

—

em representação do Governo sueco, por A. Kruse, na qualidade de agente,

—

em representação do Governo neerlandês, por H. G. Sevenster, na qualidade de agente,

—

em representação do Governo do Reino Unido, por G. Amodeo, na qualidade de agente, assistida por J. Stratford, barrister,

—

em representação da Comissão das Comunidades Europeias, por L. Ström e X. Lewis, na qualidade de agentes,

1

Por despacho de 23 de Fevereiro de 2001, que deu entrada no Tribunal de Justiça em 1 de Março seguinte, o Göta hovrätt colocou, nos termos do artigo 234.° CE, sete questões prejudiciais relativas, nomeadamente, à interpretação da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).

2

Estas questões foram suscitadas no âmbito de um processo penal pendente no referido órgão jurisdicional contra B. Lindqvist, acusada de ter violado a legislação sueca relativa à protecção dos dados de caracter pessoal ao publicar no seu sítio Internet dados de caracter pessoal relativos a um determinado número de pessoas que trabalham, como ela, a título benévolo, numa paróquia da Igreja Protestante da Suécia.

3

A Directiva 95/46 visa, como resulta do seu artigo 1.°, n.° 1, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

4

O artigo 3.° da Directiva 95/46, relativo ao seu âmbito de aplicação, dispõe:

5

O artigo 8.° da Directiva 95/46, sob a epígrafe «Tratamento de certas categorias específicas de dados», prevê:

6

O artigo 9.° da Directiva 95/46, sob a epígrafe «Tratamento de dados pessoais e liberdade de expressão», dispõe:

«Os Estados-Membros estabelecerão isenções ou derrogações ao disposto no presente capítulo e nos capítulos IV e VI para o tratamento de dados pessoais efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, apenas na medida em que sejam necessárias para conciliar o direito à vida privada com as normas que regem a liberdade de expressão.»

7

O artigo 13.° da Directiva 95/46, sob a epígrafe «Derrogações e restrições», prevê que os Estados-Membros podem introduzir restrições a determinadas obrigações que a directiva coloca a cargo do responsável do tratamento de dados, designadamente no que diz respeito à informação das pessoas em causa, na medida em que as referidas restrições são necessárias à salvaguarda, por exemplo, da segurança do Estado, da defesa, da segurança pública, de um interesse económico ou financeiro importante de um Estado-Membro ou da União Europeia, bem como da investigação e repressão de infracções penais e de violações da deontologia de profissões regulamentadas.

8

O artigo 25.° da Directiva 95/46, que consta do capítulo IV, sob a epígrafe «Transferência de dados pessoais para países terceiros», tem o seguinte teor:

9

Quando da adopção da Directiva 95/46, o Reino da Suécia fez uma declaração sobre o artigo 9.°, exarada na acta do Conselho (documento n.° 4649/95 do Conselho, de 2 de Fevereiro de 1995), que enuncia:

«O Reino da Suécia considera que a noção de expressão artística e literária remete, não tanto para o conteúdo da comunicação ou a sua qualidade, mas essencialmente para os meios de expressão.»

10

A Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de Novembro de 1950 (a seguir «CEDH»), prevê, no artigo 8.°, o direito ao respeito pela vida privada e familiar e contém, no artigo 10.°, disposições relativas à liberdade de expressão.

11

A Directiva 95/46 foi transposta para direito sueco pela Personuppgiftslag, SFS 1998, n.° 204 (lei sueca relativa aos dados de carácter pessoal, a seguir «PUL»).

12

Além de ter um emprego remunerado como agente de manutenção, B. Lindqvist exercia funções de catequista na paróquia de Alseda (Suécia). Frequentou um curso de informática no âmbito do qual devia, nomeadamente, criar uma página Internet. No final de 1998, B. Lindqvist criou, em casa e com o seu computador pessoal, páginas Internet com o objectivo possibilitar aos paroquianos que preparam o crisma obter facilmente as informações de que podiam necessitar. A seu pedido, o administrador do sítio Internet da Igreja da Suécia estabeleceu uma ligação entre essas páginas e o referido sítio.

13

As páginas em causa continham informações sobre B. Lindqvist e 18 dos seus colegas da paróquia, incluindo o seu nome completo ou por vezes apenas o seu nome próprio. Além disso, B. Lindqvist descreveu as funções ocupadas pelos colegas e os seus hábitos dos tempos livres em termos ligeiramente humorísticos. Em vários casos, era feita referência à situação familiar, ao número de telefone e a outros dados. Por outro lado, referiu que uma das colegas tinha uma lesão num pé e que estava com baixa por doença a meio tempo.

14

B. Lindqvist não informou os seus colegas da existência destas páginas, não obteve o seu consentimento, nem declarou a sua actuação ao Datainspektion (organismo público para a protecção dos dados transmitidos por via informática). Logo que tomou conhecimento de que alguns colegas não apreciaram as páginas em causa, suprimiu-as.

15

O Ministério Público intentou uma acção contra B. Lindqvist, por violação da PUL, e pediu a sua condenação por ter:

16

B. Lindqvist reconheceu os factos, mas negou ter cometido qualquer infracção. Tendo sido condenada pelo Eksjö tingsrätt (Suécia) no pagamento de uma multa, B. Lindqvist interpôs recurso desta decisão no órgão jurisdicional de reenvio.

17

A multa ascendia a 4000 SEK, tendo em conta a aplicação de um coeficiente de 100 SEK, calculado em função da situação financeira de B. Lindqvist, de um multiplicador de 40 representando a gravidade da infracção. B. Lindqvist foi ainda condenada no pagamento de 300 SEK a um fundo sueco de auxílio às vítimas de infracções.

18

Tendo dúvidas sobre a interpretação do direito comunitário aplicável à matéria, nomeadamente a Directiva 95/46, o Göta hovrätt decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

Se a resposta a qualquer das questões for afirmativa, o hovrätt formula ainda as seguintes questões:

Finalmente, o hovrätt coloca a seguinte questão:

19

Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta se a operação que consiste na referência, feita numa página da Internet, a várias pessoas e a sua identificação pelo nome ou por outros meios, por exemplo, o número de telefone ou informações relativas às condições de trabalho e aos seus passatempos, constitui um «tratamento de dados pessoais por meios total ou parcialmente automatizados» na acepção do artigo 3.°, n.° 1, da Directiva 95/46.

20

Segundo B. Lindqvist, não é razoável considerar que a simples menção do nome de uma pessoa ou de dados de carácter pessoal num texto de uma página Internet constitui um tratamento automatizado de dados. Em contrapartida, a menção desses dados numa palavra-chave nos «identificadores meta» («meta tags») de uma página Internet, que permite proceder a uma classificação e encontrar essa página através de um motor de busca, pode constituir um tratamento desse tipo.

21

O Governo sueco sustenta que o conceito de «tratamento de dados pessoais por meios total ou parcialmente automatizados», referido no artigo 3.°, n.° 1, da Directiva 95/46, inclui todo o tratamento em formato informático, ou seja, em formato binario. Em consequência, quando um dado de carácter pessoal é tratado por computador, quer seja, por exemplo, através de um programa de tratamento de texto ou para inseri-lo numa página Internet, é objecto de um tratamento abrangido pela Directiva 95/46.

22

O Governo neerlandês alega que a inserção de dados de carácter pessoal numa página Internet é feita através de um computador e de um servidor, o que constitui uma característica importante da automatização, de maneira que tem de considerar-se que esses dados são objecto de um tratamento automatizado.

23

A Comissão sustenta que a Directiva 95/46 aplica-se a qualquer tratamento de dados de carácter pessoal referido no artigo 3.°, independentemente dos meios técnicos utilizados. A disponibilização de dados de carácter pessoal na Internet constitui, em consequência, um tratamento total ou parcialmente automatizado, desde que não existam limitações técnicas que restrinjam o tratamento a uma operação exclusivamente manual. Uma página Internet é abrangida, por conseguinte, pela sua própria natureza, no âmbito de aplicação da Directiva 95/46.

24

O conceito de «dados pessoais» utilizado no artigo 3.°, n.° 1, da Directiva 95/46 engloba, de acordo com a definição constante do artigo 2.°, alínea a), do mesmo diploma, «qualquer informação relativa a uma pessoa singular identificada ou identificável». Este conceito abrange, seguramente, o nome de uma pessoa a par do seu contacto telefónico ou de informações relativas às suas condições de trabalho ou aos seus passatempos.

25

Quanto ao conceito de «tratamento» desses dados utilizado no artigo 3.°, n.° 1, da Directiva 95/46, ele abrange, de acordo com a definição do seu artigo 2.°, alínea b), «qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados». Esta última disposição dá vários exemplos dessas operações, entre as quais figuram a comunicação por transmissão, a difusão ou qualquer outra forma de colocação à disposição de dados. Daqui resulta que a operação que consiste em fazer constar, numa página Internet, dados de carácter pessoal consubstancia esse tratamento.

26

Resta determinar se esse tratamento é «total ou parcialmente automatizado». A este respeito, importa referir que apresentar informações numa página Internet implica, segundo os procedimentos técnicos e informáticos aplicados actualmente, realizar uma operação de carregamento dessa página num servidor e as operações necessárias para tornar essa página acessível às pessoas que estão ligadas à Internet. Estas operações são efectuadas, pelo menos em parte, de maneira automatizada.

27

Cumpre, assim, responder à primeira questão no sentido de que a operação que consiste na referência, feita numa página da Internet, a várias pessoas e a sua identificação pelo nome ou por outros meios, por exemplo, o número de telefone ou informações relativas às suas condições de trabalho e aos seus passatempos, constitui um «tratamento de dados pessoais por meios total ou parcialmente automatizados» na acepção do artigo 3.°, n.° 1, da Directiva 95/46.

28

Tendo a resposta à primeira questão sido afirmativa, não é necessário responder à segunda questão, que só foi colocada em caso de resposta negativa à primeira questão.

29

Com a sua terceira questão, o órgão jurisdicional de reenvio procura, no essencial, saber se um tratamento de dados de carácter pessoal como o que está em causa na primeira questão se inclui numa das excepções do artigo 3.°, n.° 2, da Directiva 95/46.

30

B. Lindqvist sustenta que um privado que, usando a sua liberdade de expressão, cria páginas Internet no âmbito de uma actividade não lucrativa ou dos seus passatempos não exerce uma actividade económica, não lhe sendo, por conseguinte, aplicado o direito comunitário. Se o Tribunal de Justiça decidisse diversamente, colocar-se-ia então a questão da validade da Directiva 95/46, visto que ao adoptá-la o legislador comunitário teria ultrapassado as competências que lhe foram conferidas pelo artigo 100.°-A do Tratado CE (que passou, após alteração, a artigo 95.° CE). Com efeito, a aproximação das legislações, que tem por objecto o estabelecimento e o funcionamento do mercado interno, não pode servir de base legal para medidas comunitárias que regulamentam o direito dos privados à liberdade de expressão na Internet.

31

O Governo sueco alega que, no momento da transposição da Directiva 95/46 para o direito interno, o legislador sueco considerou que o tratamento de dados de carácter pessoal por uma pessoa singular que consiste em transmitir esses dados a um número indeterminado de destinatários, por exemplo, através da Internet, não pode ser qualificado de «actividade exclusivamente pessoal ou doméstica» na acepção do artigo 3.°, n.° 2, segundo travessão, da Directiva 95/46. Em contrapartida, este governo não exclui que a excepção prevista no primeiro travessão deste número abranja os casos em que uma pessoa singular publica dados de carácter pessoal numa página Internet apenas no quadro do exercício da sua liberdade de expressão e sem qualquer ligação com uma actividade profissional ou comercial.

32

Segundo o Governo neerlandês, um tratamento automatizado de dados como o que está em causa no processo principal não se inclui em nenhuma das excepções previstas no artigo 3.°, n.° 2, da Directiva 95/46. No que diz mais particularmente respeito à excepção prevista no segundo travessão deste número, o Governo neerlandês refere que o criador de uma página Internet dá a conhecer os dados que nela foram introduzidos a um grupo de pessoas que é, em princípio, indeterminado.

33

A Comissão alega que não se pode considerar que uma página Internet como a que está em causa no processo principal não é abrangida pelo âmbito de aplicação da Directiva 95/46 por força do seu artigo 3.°, n.° 2, mas constitui, tendo em conta as finalidades da página Internet em causa no processo principal, uma criação artística e literária na acepção do artigo 9.° da referida directiva.

34

A Comissão considera que o artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46 permite duas interpretações distintas. Uma consiste em limitar o alcance desta disposição aos domínios referidos como exemplos, ou seja, actividades que se incluem nos habitualmente chamados segundo e terceiro pilares. A outra interpretação consiste em excluir do âmbito de aplicação da Directiva 95/46 o exercício de qualquer actividade não abrangida pelo direito comunitário.

35

A Comissão sustenta que o direito comunitário não se limita apenas às actividades económicas ligadas às quatro liberdades fundamentais. Fazendo referência à base jurídica da Directiva 95/46, ao seu objectivo, ao artigo 6.° UE, à Carta dos Direitos Fundamentais da União Europeia, proclamada em Nice em 18 de Dezembro de 2000 (JO C 364, p. 1), e à Convenção do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal, a Comissão conclui que esta directiva visa regulamentar a livre circulação de dados de carácter pessoal como o exercício não apenas de uma actividade económica, mas igualmente de uma actividade social no âmbito da integração e do funcionamento do mercado interno.

36

A Comissão acrescenta que excluir de uma maneira geral do âmbito de aplicação da Directiva 95/46 as páginas Internet que não contêm qualquer elemento comercial ou de prestação de serviços pode causar graves problemas de delimitação. Um grande número de páginas Internet que contêm dados pessoais, destinados a estigmatizar determinadas pessoas com um fim específico, podem assim ser excluídas do âmbito de aplicação desta directiva.

37

O artigo 3.°, n.° 2, da Directiva 95/46 prevê duas excepções ao seu âmbito de aplicação.

38

A primeira excepção diz respeito ao tratamento de dados de carácter pessoal efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem-estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal.

39

Uma vez que as actividades de B. Lindqvist em causa no processo principal não são essencialmente económicas, mas benévolas e religiosas, importa examinar se elas constituem um tratamento de dados de caracter pessoal «efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário» na acepção do artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46.

40

O Tribunal de Justiça já decidiu a propósito da Directiva 95/46, baseada no artigo 100.°-A do Tratado, que o recurso a este fundamento jurídico não pressupõe a existência de uma ligação efectiva com a livre circulação entre Estados-Membros em cada uma das situações visadas pelo acto baseado em tal fundamento (v. acórdão de 20 de Maio de 2003, Österreichischer Rundfunk e o., C-465/00, C-138/01 e C-139/01, Colect., p. I-4989, n.° 41, e jurisprudencia ai referida).

41

Uma interpretação contraria poderia tornar os limites do domínio de aplicação da referida directiva particularmente incertos e aleatorios, o que seria contrario ao objectivo essencial desta, que é aproximar as disposições legislativas, regulamentares e administrativas dos Estados-Membros a fim de eliminar os obstáculos ao funcionamento do mercado interno que decorrem precisamente das disparidades entre as legislações nacionais (acórdão Österreichischer Rundfunk e.o, já referido, n.° 42).

42

Nestas condições, não é adequado interpretar a expressão «actividades não sujeitas à aplicação do direito comunitário» como tendo um alcance tal que seria necessário verificar casuisticamente se a actividade específica em causa afecta directamente a livre circulação entre Estados-Membros.

43

As actividades referidas a título de exemplo no artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46 (a saber, as actividades previstas nos títulos V e VI do Tratado da União Europeia e o tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado e as actividades do Estado no domínio do direito penal) são, em todos os casos, actividades próprias aos Estados ou às autoridades estatais e alheias aos domínios de actividade dos particulares.

44

Importa, assim, considerar que as actividades mencionadas a título de exemplo no artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46 destinam-se a definir o alcance da excepção aí prevista, de maneira que essa excepção só se aplica às actividades aí expressamente mencionadas ou que podem ser classificadas na mesma categoria (ejusdem generis).

45

Ora, as actividades benévolas ou religiosas, como as que são exercidas por B. Lindqvist, não são comparáveis às actividades referidas no artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46, não estando, por isso, abrangidas por esta excepção.

46

Quanto à excepção prevista no artigo 3.°, n.° 2, segundo travessão, da Directiva 95/46, o seu considerando 12, relativo a esta excepção, aponta como exemplos de tratamento de dados efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas a correspondência e as listas de endereços.

47

Esta excepção deve, portanto, ser interpretada como tendo unicamente por objecto as actividades que se inserem no âmbito da vida privada ou familiar dos particulares, o que não é manifestamente o caso do tratamento de dados de caracter pessoal que consiste na sua publicação na Internet de maneira que esses dados são disponibilizados a um número indefinido de pessoas.

48

Há, assim, que responder à terceira questão no sentido de que o tratamento de dados de caracter pessoal como o que é referido na resposta à primeira questão não se inclui em nenhuma das excepções do artigo 3.°, n.° 2, da Directiva 95/46.

49

Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta se a indicação de uma pessoa se ter lesionado num pé e estar com baixa por doença a meio tempo constitui um dado de caracter pessoal relativo à saúde na acepção do artigo 8.°, n.° 1, da Directiva 95/46.

50

Atendendo ao objecto desta directiva, há que dar à expressão «dados relativos à saúde» utilizada no artigo 8.°, n.° 1, uma interpretação lata, de modo que inclua informações relativas a todos os aspectos, quer físicos quer psíquicos, da saúde de uma pessoa.

51

Por conseguinte, deve responder-se à quarta questão no sentido de que a indicação do facto de uma pessoa se ter lesionado num pé e estar com baixa por doença a meio tempo constitui um dado de caracter pessoal relativo à saúde na acepção do artigo 8.°, n.° 1, da Directiva 95/46.

52

Com a quinta questão, o órgão jurisdicional de reenvio procura, no essencial, saber se existe uma «transferência para um país terceiro de dados» na acepção do artigo 25.° da Directiva 95/46 quando uma pessoa que se encontra num Estado-Membro insere numa página Internet, de uma pessoa singular ou colectiva que alberga o sítio Internet no qual a página pode ser consultada (a seguir «fornecedor de serviços de anfitrião») e que está estabelecida nesse mesmo Estado ou noutro Estado-Membro, dados de caracter pessoal, tornando-os deste modo acessíveis a qualquer pessoa que se ligue à Internet, incluindo pessoas que se encontram em países terceiros. O órgão jurisdicional de reenvio pergunta também se a resposta a esta questão é idêntica quando, na realidade, ninguém de um país terceiro teve acesso a esses dados ou quando o servidor em que a página é armazenada se encontra fisicamente num país terceiro.

53

A Comissão e o Governo sueco consideram que a inserção, por intermédio de um computador, de dados de carácter pessoal numa página Internet, de modo que estes se tornam acessíveis a nacionais de países terceiros, constitui uma transferência de dados para países terceiros na acepção da Directiva 95/46. A resposta seria idêntica se nenhum nacional de um país terceiro tomasse efectivamente conhecimento dos referidos dados ou se o servidor onde estão armazenados se encontrasse fisicamente num país terceiro.

54

O Governo neerlandês recorda que o conceito de «transferência» não está definido na Directiva 95/46. Considera, por um lado, que este conceito deve ser entendido como tendo por objecto um acto que visa deliberadamente transferir dados de carácter pessoal do território de um Estado-Membro para um país terceiro e, por outro, que não se pode efectuar uma distinção entre as diferentes formas sob as quais os dados são tornados acessíveis a terceiros. Daqui se conclui que a inserção de dados de carácter pessoal numa página Internet por intermédio de um computador não pode ser considerada uma transferência para um país terceiro de dados de carácter pessoal na acepção do artigo 25.° da Directiva 95/46.

55

O Governo do Reino Unido alega que o artigo 25.° da Directiva 95/46 tem por objecto as transferências de dados para países terceiros e não a sua acessibilidade a partir de países terceiros. O conceito de «transferência» implica a transmissão de um dado por uma pessoa situada num local preciso a um terceiro situado noutro local. Só em caso de transferência deste tipo é que o artigo 25.° da Directiva 95/46 impõe aos Estados-Membros velar pelo carácter adequado do nível de protecção dos dados de carácter pessoal num país terceiro.

56

A Directiva 95/46 não define nem no artigo 25.° nem em qualquer outra disposição, nomeadamente o artigo 2.°, o conceito de «transferência para um país terceiro».

57

Para determinar se a inserção numa página Internet de dados de carácter pessoal, pelo simples facto de torná-los acessíveis às pessoas que se encontram num país terceiro, constitui uma «transferência» desses dados para um país terceiro na acepção do artigo 25.° da Directiva 95/46, é necessário ter em conta, por um lado, a natureza tecnica das operações assim efectuadas e, por outro, o objectivo e a economia do capítulo IV da referida directiva, onde se insere o artigo 25.°

58

As informações que se encontram na Internet podem ser consultadas por um número indefinido de pessoas que residem em varios locais e praticamente a todo o momento. O carácter ubíquo destas informações resulta nomeadamente do facto de os meios técnicos utilizados no âmbito da Internet serem relativamente simples e cada vez menos dispendiosos.

59

Segundo as modalidades de utilização da Internet, tal como foram disponibilizadas a particulares como B. Lindqvist no decurso dos anos 90, o autor de uma página destinada a ser publicada na Internet transmite os dados que constituem essa página ao seu fornecedor de serviços de anfitrião. Este gere a infra-estrutura informática necessária para assegurar o armazenamento desses dados e a conexão do servidor que alberga o sítio Internet. Isso permite a transmissão posterior desses dados a qualquer pessoa que se ligar à Internet e pretender obtê-los. Os computadores que constituem esta infra-estrutura informática podem estar situados, estando mesmo frequentemente situados, num ou em vários países que não o lugar de estabelecimento do fornecedor de serviços de anfitrião, sem que a clientela deste último tenha ou possa razoavelmente ter conhecimento da sua existência.

60

Resulta dos autos que, para obter as informações que constam das páginas Internet nas quais B. Lindqvist inserira dados relativos aos seus colegas, um utilizador da Internet devia não apenas ligar-se a esta como também efectuar, a título pessoal, as acções necessárias para consultar as referidas páginas. Por outras palavras, as páginas Internet de B. Lindqvist não incluíam os mecanismos técnicos que permitiriam o envio automático dessas informações a pessoas que não tinham deliberadamente tentado aceder a essas páginas.

61

Daqui decorre que, nas circunstâncias como as do caso em análise no processo principal, os dados de caracter pessoal que chegam ao computador de uma pessoa situada num país terceiro, provenientes de uma pessoa que os carregou num sítio Internet, não foram transferidos directamente entre essas duas pessoas, mas através da infra-estrutura informática do fornecedor de serviços de anfitrião onde a página está armazenada.

62

É neste contexto que é necessário analisar se o legislador comunitário teve a intenção, para efeitos da aplicação do capítulo IV da Directiva 95/46, de incluir no conceito de «transferência para um país terceiro dos dados» na acepção do artigo 25.° desta directiva operações como as efectuadas por B. Lindqvist. Cumpre sublinhar que a quinta questão colocada pelo órgão jurisdicional de reenvio só diz respeito a estas operações, com exclusão das efectuadas pelos fornecedores de serviços de anfitrião.

63

O capítulo IV da Directiva 95/46, no qual se insere o artigo 25.°, institui um regime especial, com regras específicas, que visa assegurar o controlo, pelos Estados-Membros, das transferências de dados de carácter pessoal para países terceiros. Este capítulo institui um regime complementar ao regime geral instituído pelo capítulo II da referida directiva, relativo à licitude do tratamento de dados de caracter pessoal.

64

O objectivo do capítulo IV está definido nos considerandos 56 a 60 da Directiva 95/46, que prevêem, nomeadamente, que, embora a protecção das pessoas garantida na Comunidade por esta directiva não obste às transferências de dados de carácter pessoal para países terceiros que assegurem um nível de protecção adequado, este carácter adequado deve ser apreciado em função de todas as circunstâncias associadas à transferência ou a uma categoria de transferências. Sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados de carácter pessoal para esse país deve ser proibida.

65

O artigo 25.° da Directiva 95/46 impõe, por seu turno, uma série de obrigações aos Estados-Membros e à Comissão destinadas a controlar as transferências de dados de caracter pessoal para os países terceiros, tendo em conta o nível de protecção concedido a tais dados em cada um desses países.

66

Em particular, o artigo 25.°, n.° 4, da Directiva 95/46 prevê que, sempre que a Comissão verificar que um país terceiro não assegura um nível de protecção adequado, os Estados-Membros tomarão as medidas necessárias para impedir qualquer transferência de dados de carácter pessoal para o país terceiro em causa.

67

O capítulo IV da Directiva 95/46 não contém qualquer disposição relativa à utilização da Internet. Não precisa, designadamente, os critérios que permitem determinar se, no que respeita às operações efectuadas através de fornecedores de serviços de anfitrião, deve basear-se no lugar de estabelecimento do fornecedor ou do seu domicílio profissional ou antes no ou nos lugares onde se encontram os computadores que constituem a infra-estrutura informática do fornecedor.

68

Tendo em conta, por um lado, o estádio de evolução da Internet à época da elaboração da Directiva 95/46 e, por outro, a ausência, no capítulo IV, de critérios aplicáveis à utilização da Internet, não se pode presumir que o legislador comunitário tinha a intenção de incluir prospectivamente no conceito de «transferência para um país terceiro de dados» a inserção, por uma pessoa que se encontra na mesma situação de B. Lindqvist, de dados numa página Internet, mesmo que estes se tornem deste modo acessíveis às pessoas de países terceiros que possuam os meios técnicos para acederem a esses dados.

69

Se o artigo 25.° da Directiva 95/46 fosse interpretado no sentido de que existe uma «transferência para um país terceiro de dados» cada vez que são carregados dados de carácter pessoal numa página Internet, essa transferência seria necessariamente uma transferência para todos os países terceiros onde existem os meios técnicos necessários para aceder à Internet. O regime especial previsto no capítulo IV da referida directiva tornar-se-ia, necessariamente, no que respeita às operações na Internet, um regime de aplicação geral. Com efeito, desde que a Comissão verificasse, em aplicação do artigo 25.°, n.° 4, da Directiva 95/46, que um país terceiro não assegura um nível de protecção adequado, os Estados-Membros seriam obrigados a impedir qualquer colocação na Internet de dados de carácter pessoal.

70

Nestas condições, conclui-se que o artigo 25.° da Directiva 95/46 deve ser interpretado no sentido de que as operações como as que foram efectuadas por B. Lindqvist não constituem em si mesmas uma «transferência para um país terceiro de dados». Por conseguinte, não é necessário investigar se uma pessoa de um país terceiro teve acesso à página Internet em causa ou se o servidor desse fornecedor está fisicamente situado num país terceiro.

71

Há, assim, que responder à quinta questão no sentido de que não existe uma «transferência para um país terceiro de dados» na acepção do artigo 25.° da Directiva 95/46 quando uma pessoa que se encontra num Estado-Membro insere numa página Internet, armazenada num fornecedor de serviços de anfitrião que está estabelecido nesse mesmo Estado ou noutro Estado-Membro, dados de carácter pessoal, tornando-os deste modo acessíveis a qualquer pessoa que se ligue à Internet, incluindo pessoas que se encontram em países terceiros.

72

Com a sua sexta questão, o órgão jurisdicional de reenvio pergunta se há que considerar que as disposições da Directiva 95/46 implicam, num caso como o que está em análise no processo principal, uma restrição que viola o princípio geral da liberdade de expressão ou outros direitos e liberdades que vigoram na União Europeia e que correspondem, nomeadamente, ao direito previsto no artigo 10.° da CEDH.

73

Fazendo referência, nomeadamente, ao acórdão de 6 de Março de 2001, Connolly/Comissão (C-274/99 P, Colect., p. I-1611), B. Lindqvist alega que a Directiva 95/46 e a PUL, na medida em que prevêem condições de consentimento prévio e de notificação prévia a uma autoridade de controlo, bem como o princípio da proibição do tratamento dos dados de carácter pessoal de natureza sensível, são contrarios ao princípio geral da liberdade de expressão reconhecido em direito comunitário. Mais especificamente, B. Lindqvist sustenta que a definição de «tratamento de dados pessoais por meios total ou parcialmente automatizados» não cumpre os critérios de previsibilidade e de precisão.

74

Além disso, alega que o simples facto de citar nominativamente uma pessoa singular, de revelar os seus contactos telefónicos e as suas condições de trabalho e de dar informações sobre o seu estado de saúde e os seus passatempos, informações que são públicas, notórias ou triviais, não constitui uma violação substancial do direito ao respeito da vida privada. B. Lindqvist considera que, de qualquer das formas, as obrigações impostas pela Directiva 95/46 são desproporcionadas face ao objectivo prosseguido de protecção da reputação e da vida privada de terceiros.

75

O Governo sueco considera que a Directiva 95/46 permite ponderar os interesses em causa e, deste modo, salvaguardar a liberdade de expressão e a protecção da vida privada. Acrescenta que apenas o juiz nacional pode, perante as circunstâncias de cada caso concreto, apreciar a proporcionalidade da restrição ao exercício do direito à liberdade de expressão que pressupõe a aplicação de regras destinadas à protecção dos direitos de outrem.

76

O Governo neerlandês lembra que quer a liberdade de expressão quer o direito ao respeito da vida privada fazem parte dos princípios gerais do direito cujo respeito é assegurado pelo Tribunal de Justiça e que a CEDH não estabelece qualquer hierarquia entre os diferentes direitos fundamentais. Considera, assim, que o órgão jurisdicional nacional deve esforçar-se por conciliar os diferentes direitos fundamentais em causa, tomando em consideração as circunstâncias do caso concreto.

77

O Governo do Reino Unido observa que a sua proposta de resposta à quinta questão, exposta no n.° 55 do presente acórdão, está perfeitamente de acordo com os direitos fundamentais e permite evitar uma violação desproporcionada da liberdade de expressão. Acrescenta que uma interpretação que tenha por efeito que uma publicação de dados de carácter pessoal sob uma forma particular, a saber, numa página Internet, esteja sujeita a restrições mais rígidas do que as aplicáveis às publicações realizadas sob outras formas de publicação, como o papel, é difícil de justificar.

78

A Comissão sustenta igualmente que a Directiva 95/46 não implica uma restrição contrária ao princípio geral da liberdade de expressão ou a outros direitos e liberdades aplicáveis na União Europeia e que corresponde, nomeadamente, ao direito previsto no artigo 10.° da CEDH.

79

Resulta do considerando 7 da Directiva 95/46 que o estabelecimento e o funcionamento do mercado interno são susceptíveis de ser seriamente afectados pelas diferenças entre os regimes nacionais aplicáveis ao tratamento de dados de carácter pessoal. Segundo o considerando 3 da mesma directiva, a harmonização desses regimes nacionais deve ter como objectivos não apenas a livre circulação desses dados entre Estados-Membros, mas igualmente a protecção dos direitos fundamentais das pessoas. Esses objectivos podem, evidentemente, entrar em conflito.

80

Por um lado, a integração económica e social resultante do estabelecimento e funcionamento do mercado interno provocará necessariamente um aumento sensível dos fluxos de dados de caracter pessoal entre todos os intervenientes na vida económica e social dos Estados-Membros, quer se trate de empresas ou de administrações dos Estados-Membros. Os referidos intervenientes têm, em certa medida, necessidade de dispor de dados de carácter pessoal para efectuar as suas transacções ou para desempenhar as suas atribuições no âmbito do espaço sem fronteiras constituído pelo mercado interno.

81

Por outro lado, as pessoas afectadas pelo tratamento de dados de carácter pessoal pedem, com razão, que esses dados sejam protegidos de maneira eficaz.

82

Os mecanismos que permitem ponderar esses diferentes direitos e interesses estão inscritos, por um lado, na própria Directiva 95/46, na medida em que prevê regras que determinam em que situações e em que medida o tratamento dos dados de caracter pessoal é lícito e quais as garantias que devem ser previstas. Por outro lado, resultam da adopção, pelos Estados-Membros, de disposições nacionais que assegurem a transposição desta directiva e da eventual aplicação destas medidas pelas autoridades nacionais.

83

Quanto à própria Directiva 95/46, as suas disposições são, necessariamente, relativamente gerais, visto que devem aplicar-se a um grande número de situações bastante diversas. Ao contrário do que alega B. Lindqvist, esta directiva contém, acertadamente, regras que se caracterizam por uma certa flexibilidade, deixando, em vários casos, ao cuidado dos Estados-Membros adoptarem os detalhes ou escolherem entre várias opções.

84

É certo que os Estados-Membros dispõem, em relação a vários aspectos, de uma margem de manobra na transposição da Directiva 95/46. No entanto, nada permite considerar que o regime que esta prevê carece de previsibilidade ou que as suas disposições são, em si mesmas, contrárias aos princípios gerais do direito comunitário, nomeadamente aos direitos fundamentais protegidos pela ordem jurídica comunitária.

85

É de preferência na fase de aplicação no plano nacional da regulamentação que transpõe a Directiva 95/46 a casos concretos específicos que deve ser encontrado o justo equilíbrio entre os direitos e interesses visados.

86

Neste contexto, os direitos fundamentais revestem uma importância especial, como demonstra o processo principal onde é essencialmente necessário ponderar entre, por um lado, a liberdade de expressão de B. Lindqvist no âmbito do seu trabalho como catequista e a liberdade de exercer actividades que contribuem para a vida religiosa e, por outro, a protecção da vida privada das pessoas em relação às quais B. Lindqvist introduziu dados no seu sítio Internet.

87

Em consequência, compete às autoridades e aos órgãos jurisdicionais dos Estados-Membros não apenas interpretar o seu direito nacional em conformidade com a Directiva 95/46, mas igualmente velar por que não se baseiem numa interpretação desta última que provoque um conflito com os direitos fundamentais protegidos pela ordem jurídica comunitária ou com os outros princípios gerais do direito comunitário, como o princípio da proporcionalidade.

88

Embora seja certo que a protecção da vida privada requer a aplicação de sanções eficazes a pessoas que tratam os dados de carácter pessoal de maneira não conforme à Directiva 95/46, essas sanções devem respeitar sempre o princípio da proporcionalidade. Tanto assim é que o âmbito de aplicação da Directiva 95/46 é muito amplo e que as obrigações das pessoas que procedem ao tratamento de dados pessoais são numerosas e importantes.

89

Em aplicação do princípio da proporcionalidade, compete ao órgão jurisdicional de reenvio tomar em consideração todas as circunstâncias do processo que lhe foi submetido, nomeadamente a duração da violação das regras de execução da Directiva 95/46 e a importância, para os interessados, da protecção dos dados divulgados.

90

Importa, assim, responder à sexta questão no sentido de que as disposições da Directiva 95/46 não contêm, em si mesmas, uma restrição contrária ao princípio geral da liberdade de expressão ou a outros direitos e liberdades que vigoram na União Europeia e que correspondem, nomeadamente, ao artigo 10.° da CEDH. Compete às autoridades e aos órgãos jurisdicionais nacionais encarregados de aplicar a regulamentação nacional que procede à transposição da Directiva 95/46 assegurar um justo equilíbrio entre os direitos e interesses em causa, incluindo os direitos fundamentais protegidos pela ordem jurídica comunitária.

91

Com a sua sétima questão, o órgão jurisdicional de reenvio pergunta, no essencial, se os Estados-Membros podem prever uma maior protecção dos dados de carácter pessoal ou um âmbito de aplicação mais amplo do que o que resulta da Directiva 95/46.

92

O Governo sueco afirma que a Directiva 95/46 não se limita a fixar condições mínimas de protecção dos dados de carácter pessoal. Os Estados-Membros são obrigados, no âmbito da transposição desta directiva, a alcançar o nível de protecção por ela fixado e não estão habilitados a prever uma maior ou menor protecção. No entanto, importa ter em conta a margem de apreciação de que dispõem os Estados-Membros na referida transposição para precisar no seu direito interno as condições gerais de licitude do tratamento dos dados de carácter pessoal.

93

O Governo neerlandês sustenta que a Directiva 95/46 não se opõe a que os Estados-Membros prevejam uma maior protecção em determinados domínios. Resulta, por exemplo, dos artigos 10.°, 11.°, n.° 1, 14.°, primeiro parágrafo, alínea a), 17.°, n.° 3, 18.°, n.° 5, e 19.°, n.° 1, da referida directiva que os Estados-Membros podem prever uma protecção mais ampla. Além disso, os Estados-Membros são livres de aplicar os princípios da Directiva 95/46 também a actividades que não se incluem no seu âmbito de aplicação.

94

A Comissão alega que a Directiva 95/46 tem como base jurídica o artigo 100.°-A do Tratado e que, se um Estado-Membro deseja manter ou adoptar uma legislação que derrogue uma tal directiva de harmonização, tem de notificar a Comissão nos termos do n.° 4 ou do n.° 5 do artigo 95.° CE. A Comissão sustenta, em consequência, que um Estado-Membro não pode prever uma protecção de dados de carácter pessoal mais extensa ou um âmbito de aplicação mais amplo que os que resultam da referida directiva.

95

A Directiva 95/46 visa, como resulta nomeadamente do seu considerando 8, tornar equivalente em todos os Estados-Membros o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados de caracter pessoal. O considerando 10 acrescenta que a aproximação das referidas legislações não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de protecção na Comunidade.

96

A harmonização das referidas legislações nacionais não se limita, portanto, a uma harmonização mínima, mas conduz a uma harmonização que é, em princípio, total. É nesta óptica que a Directiva 95/46 pretende assegurar a livre circulação dos dados de carácter pessoal, ao mesmo tempo que garante um elevado nível de protecção dos direitos e dos interesses das pessoas visadas por esses dados.

97

É verdade que a Directiva 95/46 reconhece aos Estados-Membros uma margem de manobra em certos domínios e que os autoriza a manter ou a introduzir regimes especiais para situações específicas, como é demonstrado por um grande número das suas disposições. No entanto, essas possibilidades devem ser utilizadas da maneira prevista pela Directiva 95/46 e em conformidade com o seu objectivo de manter um equilíbrio entre a livre circulação dos dados de carácter pessoal e a protecção da vida privada.

98

Em contrapartida, nada se opõe a que um Estado-Membro alargue o alcance da legislação nacional que procede à transposição da Directiva 95/46 a domínios não incluídos no seu campo de aplicação, desde que nenhuma outra disposição do direito comunitário a tal obste.

99

Tendo em conta estas considerações, há que responder à sétima questão no sentido de que as medidas adoptadas pelos Estados-Membros para assegurar a protecção dos dados de carácter pessoal devem estar em conformidade quer com as disposições da Directiva 95/46 quer com o seu objectivo de manter um equilíbrio entre a livre circulação dos dados de carácter pessoal e a protecção da vida privada. Em contrapartida, nada se opõe a que um Estados-Membro alargue o alcance da legislação nacional que procede à transposição da Directiva 95/46 a domínios não incluídos no seu âmbito de aplicação, desde que nenhuma outra disposição do direito comunitário a tal obste.

100

As despesas efectuadas pelos Governos sueco, neerlandês e do Reino Unido, bem como pela Comissão e pelo Órgão de Fiscalização da EFTA, que apresentaram observações ao Tribunal, nao são reembolsáveis. Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional nacional, compete a este decidir quanto às despesas.

Pelos fundamentos expostos,

O TRIBUNAL DE JUSTIÇA,

pronunciando-se sobre as questões que lhe foram submetidas pelo Göta hovrätt, por despacho de 23 de Fevereiro de 2001, declara: