ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

24 de setembro de 2019 ( *1 )

«Reenvio prejudicial — Dados pessoais — Proteção das pessoas singulares no que diz respeito ao tratamento destes dados — Diretiva 95/46/CE — Regulamento (UE) 2016/679 — Motores de busca na Internet — Tratamento dos dados contidos em páginas web — Âmbito territorial do direito à supressão de referências»

No processo C‑507/17,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pelo Conseil d’État (Conselho de Estado, em formação jurisdicional, França), por Decisão de 19 de julho de 2017, que deu entrada no Tribunal de Justiça em 21 de agosto de 2017, no processo

Google LLC, sucessora da Google Inc.,

contra

Commission nationale de l’informatique et des libertés (CNIL),

sendo intervenientes:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press e o.,

Article 19 e o.,

Internet Freedom Foundation e o.,

Défenseur des droits,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader e F. Biltgen, presidentes de secção, M. Ilešič (relator), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda e S. Rodin, juízes,

advogado‑geral: M. Szpunar,

secretário: V. Giacobbo‑Peyronnel, administradora,

vistos os autos e após a audiência de 11 de setembro de 2018,

vistas as observações apresentadas:

em representação da Google LLC, por P. Spinosi, Y. Pelosi e W. Maxwell, avocats,

em representação da Commission nationale de l’informatique et des libertés (CNIL), por I. Falque‑Pierrotin, J. Lessi e G. Le Grand, na qualidade de agentes,

em representação da Wikimedia Foundation Inc., por C. Rameix‑Seguin, avocate,

em representação da Fondation pour la liberté de la presse, por T. Haas, avocat,

em representação da Microsoft Corp., por E. Piwnica, avocat,

em representação de Reporters Committee for Freedom of the Press e o., por F. Louis, avocat, e H.‑G. Kamann, C. Schwedler e M. Braun, Rechtsanwälte,

em representação de Article 19 e o., por G. Tapie, avocat, G. Facenna, QC, e E. Metcalfe, barrister,

em representação de Internet Freedom Foundation e o., por T. Haas, avocat,

em representação do Défenseur des droits, por J. Toubon, na qualidade de agente,

em representação do Governo francês, por D. Colas, R. Coesme, E. de Moustier e S. Ghiandoni, na qualidade de agentes,

em representação da Irlanda, por M. Browne, G. Hodge, J. Quaney e A. Joyce, na qualidade de agentes, assistidos por M. Gray, BL,

em representação do Governo helénico, por E.‑M. Mamouna, G. Papadaki, E. Zisi e S. Papaioannou, na qualidade de agentes,

em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por R. Guizzi, avvocato dello Stato,

em representação do Governo austríaco, por G. Eberhard e G. Kunnert, na qualidade de agentes,

em representação do Governo polaco, por B. Majczyna, M. Pawlicka e J. Sawicka, na qualidade de agentes,

em representação da Comissão Europeia, por A. Buchet, H. Kranenborg e D. Nardi, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 10 de janeiro de 2019,

profere o presente

Acórdão

1

O pedido de decisão prejudicial tem por objeto a interpretação da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Google LLC, sucessora da Google Inc., à Commission nationale de l’informatique et des libertés (Comissão Nacional de Informática e das Liberdades) (CNIL) (França) a respeito de uma sanção de 100000 euros aplicada à Google pela CNIL pelo facto de aquela sociedade, quando aceitou dar cumprimento a um pedido de supressão de referências, se ter recusado a aplicar essa supressão de referências a todas as extensões de nome do domínio do seu motor de busca.

Quadro jurídico

Direito da União

Diretiva 95/46

3

A Diretiva 95/46, de acordo com o seu artigo 1.o, n.o 1, tem por objeto a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, bem como a eliminação dos obstáculos à circulação destes dados.

4

Os considerandos 2, 7, 10, 18, 20 e 37 da Diretiva 95/46 enunciam:

«(2)

Considerando que os sistemas de tratamento de dados estão ao serviço do Homem; que devem respeitar as liberdades e os direitos fundamentais das pessoas singulares independentemente da sua nacionalidade ou da sua residência, especialmente a vida privada, e contribuir para o […] bem‑estar dos indivíduos;

[…]

(7)

Considerando que as diferenças entre os Estados‑Membros quanto ao nível de proteção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, no dom[í]nio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado‑Membro para o de outro Estado‑Membro; que estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício de uma série de atividades económicas à escala comunitária, […]

[…]

(10)

Considerando que o objetivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais[, assinada em Roma, em 4 de novembro de 1950,] como nos princípios gerais do direito comunitário; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a proteção que asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção na Comunidade;

[…]

(18)

Considerando que, a fim de evitar que uma pessoa seja privada da proteção a que tem direito por força da presente diretiva, é necessário que qualquer tratamento de dados pes[so]ais efetuado na Comunidade respeite a legislação de um dos Estados‑Membros; […]

[…]

(20)

Considerando que o facto de o tratamento de dados ser da responsabilidade de uma pessoa estabelecida num país terceiro não deve constituir obstáculo à proteção das pessoas assegurada pela presente diretiva; que, nesses casos, o tratamento deverá ser regido pela legislação do Estado‑Membro onde se encontram os meios utilizados para o tratamento de dados em causa e que deverão oferecer‑se garantias de que os direitos e as obrigações estabelecidos na presente diretiva serão efetivamente respeitados;

[…]

(37)

Considerando que o tratamento de dados pessoais para fins jornalísticos ou de expressão artística ou literária, nomeadamente no domínio do audiovisual, deve beneficiar de derrogações ou de restrições a determinadas disposições da presente diretiva, desde que tal seja necessário para conciliar os direitos fundamentais da pessoa com a liberdade de expressão, nomeadamente a liberdade de receber ou comunicar informações, tal como é garantida, nomeadamente pelo artigo 10.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais; que, por conseguinte, compete aos Estados‑Membros estabelecer, tendo em vista a ponderação dos direitos fundamentais, as derrogações e limitações necessárias que se prendam com as medidas gerais em matéria de legalidade do tratamento de dados, […]»

5

O artigo 2.o desta diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

a)

“Dados pessoais”, qualquer informação relativa a uma pessoa singular identificada ou identificável (“pessoa em causa”); […]

b)

“Tratamento de dados pessoais” (“tratamento”), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]

d)

“Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; […]

[…]»

6

O artigo 4.o da referida diretiva, intitulado «Direito nacional aplicável», prevê:

«1.   Cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força da presente diretiva ao tratamento de dados pessoais quando:

a)

O tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável;

b)

O responsável pelo tratamento não estiver estabelecido no território do Estado‑Membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público;

c)

O responsável pelo tratamento não estiver estabelecido no território da Comunidade e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado‑Membro, salvo se esses meios só forem utilizados para trânsito no território da Comunidade.

2.   No caso referido na alínea c) do n.o 1, o responsável pelo tratamento deve designar um representante estabelecido no território desse Estado‑Membro, sem prejuízo das ações que possam vir a ser intentadas contra o próprio responsável pelo tratamento.»

7

O artigo 9.o da Diretiva 95/46, intitulado «Tratamento de dados pessoais e liberdade de expressão», enuncia:

«Os Estados‑Membros estabelecerão isenções ou derrogações ao disposto no presente capítulo e nos capítulos IV e VI para o tratamento de dados pessoais efetuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, apenas na medida em que sejam necessárias para conciliar o direito à vida privada com as normas que regem a liberdade de expressão.»

8

O artigo 12.o desta diretiva, intitulado «Direito de acesso», enuncia:

«Os Estados‑Membros garantirão às pessoas em causa o direito de obterem do responsável pelo tratamento:

[…]

b)

Consoante o caso, a retificação, o apagamento ou o bloqueio dos dados cujo tratamento não cumpra o disposto na presente diretiva, nomeadamente devido ao caráter incompleto ou inexato desses dados;

[…]»

9

O artigo 14.o da referida diretiva, intitulado «Direito de oposição da pessoa em causa», dispõe:

«Os Estados‑Membros reconhecerão à pessoa em causa o direito de:

a)

Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7.o, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objeto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposição justificada, o tratamento efetuado pelo responsável deixa de poder incidir sobre esses dados;

[…]»

10

O artigo 24.o da Diretiva 95/46, intitulado «Sanções», prevê:

«Os Estados‑Membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva a determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adotadas nos termos da presente diretiva.»

11

O artigo 28.o desta diretiva, intitulado «Autoridade de controlo», tem a seguinte redação:

«1.   Cada Estado‑Membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adotadas pelos Estados‑Membros nos termos da presente diretiva.

[…]

3.   Cada autoridade do controlo disporá, nomeadamente:

de poderes de inquérito, tais como o poder de aceder aos dados objeto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

de poderes efetivos de intervenção, tais como, por exemplo, o […] de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento […]

[…]

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

4.   Qualquer pessoa ou associação que a represente pode apresentar à autoridade de controlo um pedido para proteção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais. A pessoa em causa será informada do seguimento dado ao seu pedido.

[…]

6.   Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado‑Membro dos poderes que lhe foram atribuídos em conformidade com o n.o 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

[…]»

Regulamento (UE) 2016/679

12

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação no JO 2018, L 127, p. 2), que se baseia no artigo 16.o TFUE, é aplicável, nos termos do seu artigo 99.o, n.o 2, desde 25 de maio de 2018. O artigo 94.o, n.o 1, deste regulamento dispõe que a Diretiva 95/46 é revogada com efeitos a partir desta mesma data.

13

Os considerandos 1, 4, 9 a 11, 13, 22 a 25 e 65 do referido regulamento enunciam:

«(1)

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia ([a seguir] “Carta”) e o artigo 16.o, n.o 1, [TFUE] estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

[…]

(4)

O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdade e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, […] a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, […]

[…]

(9)

[…] a Diretiva 95/46[…] não evit[ou] a fragmentação da aplicação da proteção dos dados ao nível da União […] As diferenças no nível de proteção […] nos Estados‑Membros, podem impedir a livre circulação de dados pessoais na União. Essas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da União […].

(10)

A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. […]

(11)

A proteção eficaz dos dados pessoais na União exige o reforço e a especificação dos direitos dos titulares dos dados e as obrigações dos responsáveis pelo tratamento e pela definição do tratamento dos dados pessoais, bem como poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e sanções equivalentes para as infrações nos Estados‑Membros.

[…]

(13)

A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, […] que assegure às pessoas singulares de todos os Estados‑Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados‑Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados‑Membros. O bom funcionamento do mercado interno impõe que a livre circulação de dados pessoais na União não pode ser restringida ou proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. […]

[…]

(22)

Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado na União deverá ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na União. […]

(23)

A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes assiste por força do presente regulamento, o tratamento dos dados pessoais de titulares que se encontrem na União por um responsável pelo tratamento ou subcontratante não estabelecido na União deverá ser abrangido pelo presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares, independentemente de estarem associadas a um pagamento. A fim de determinar se o responsável pelo tratamento ou subcontratante oferece ou não bens ou serviços aos titulares dos dados que se encontrem na União, há que determinar em que medida é evidente a sua intenção de oferecer serviços a titulares de dados num ou mais Estados‑Membros da União. […]

(24)

O tratamento de dados pessoais de titulares de dados que se encontrem na União por um responsável ou subcontratante que não esteja estabelecido na União deverá ser também abrangido pelo presente regulamento quando esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu comportamento tenha lugar na União. A fim de determinar se uma atividade de tratamento pode ser considerada “controlo do comportamento” de titulares de dados, deverá determinar‑se se essas pessoas são seguidas na Internet e a potencial utilização subsequente de técnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular, especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e as suas atitudes.

(25)

Sempre que o direito de um Estado‑Membro seja aplicável por força do direito internacional público, o presente regulamento deverá ser igualmente aplicável aos responsáveis pelo tratamento não estabelecidos na União, por exemplo numa missão diplomática ou num posto consular de um Estado‑Membro.

[…]

(65)

Os titulares dos dados deverão ter […] o “direito a serem esquecidos” quando a conservação desses dados violar o presente regulamento ou o direito da União ou dos Estados‑Membros aplicável ao responsável pelo tratamento. […] No entanto, o prolongamento da conservação dos dados pessoais deverá ser efetuado de forma lícita quando tal se revele necessário para o exercício do direito de liberdade de expressão e informação […]»

14

O artigo 3.o do Regulamento 2016/679, intitulado «Âmbito de aplicação territorial», tem a seguinte redação:

«1.   O presente regulamento aplica‑se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.

2.   O presente regulamento aplica‑se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a)

A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b)

O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.

3.   O presente regulamento aplica‑se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado‑Membro por força do direito internacional público.»

15

O artigo 4.o, ponto 23, deste regulamento define o conceito de «Tratamento transfronteiriço» do seguinte modo:

«a)

O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado‑Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado‑Membro; ou

b)

O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estado‑Membro».

16

O artigo 17.o do referido regulamento, intitulado «Direito ao apagamento dos dados («direito a ser esquecido»), tem a seguinte redação:

«1.   O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

a)

Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

b)

O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.o, n.o 1, alínea a), ou do artigo 9.o, n.o 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;

c)

O titular opõe‑se ao tratamento nos termos do artigo 21.o, n.o 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe‑se ao tratamento nos termos do artigo 21.o, n.o 2;

d)

Os dados pessoais foram tratados ilicitamente;

e)

Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado‑Membro a que o responsável pelo tratamento esteja sujeito;

f)

Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referida no artigo 8.o, n.o 1.

[…]

3.   Os n.os 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

a)

Ao exercício da liberdade de expressão e de informação;

[…]»

17

O artigo 21.o do mesmo regulamento, intitulado «Direito de oposição», prevê, no seu n.o 1:

«O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f), ou no artigo 6.o, n.o 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.»

18

O artigo 55.o do Regulamento 2016/679, intitulado «Competência», que faz parte do capítulo VI deste regulamento, ele próprio intitulado «Autoridades de controlo independentes», dispõe, no seu n.o 1:

«As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.»

19

O artigo 56.o do referido regulamento, intitulado «Competência da autoridade de controlo principal», enuncia:

«1.   Sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o

2.   Em derrogação do n.o 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro.

3.   Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado‑Membro sobre o qual a autoridade de controlo a tenha informado.

4.   Quando a autoridade de controlo principal decide tratar o caso, aplica‑se o procedimento previsto no artigo 60.o A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60.o, n.o 3.

5.   Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.o e 62.o

6.   A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.»

20

O artigo 58.o do mesmo regulamento, intitulado «Poderes», prevê, no seu n.o 2:

«Cada autoridade de controlo dispõe dos seguintes poderes de correção:

[…]

g)

Ordenar […] o apagamento de dados pessoais […] nos termos dos artigos […] 17.o […];

[…]

i)

Impor uma coima […] para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso».

21

No capítulo VII do Regulamento 2016/679, intitulado «Cooperação e coerência», os artigos 60.o a 62.o deste regulamento estão inseridos na secção I, intitulada «Cooperação». Este artigo 60.o, intitulado «Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», dispõe:

«1.   A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

2.   A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.o e pode realizar operações conjuntas nos termos do artigo 62.o, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados‑Membros.

3.   A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4.   Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o

5.   Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6.   Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera‑se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7.   A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

8.   Em derrogação do n.o 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.

9.   Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. […]

10.   Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.

11.   Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica‑se o procedimento de urgência referido no artigo 66.o

[…]»

22

O artigo 61.o do referido regulamento, intitulado «Assistência mútua», prevê, no seu n.o 1:

«As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.»

23

O artigo 62.o do mesmo regulamento, intitulado «Operações conjuntas das autoridades de controlo», prevê:

«1.   As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados‑Membros.

2.   Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados‑Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado‑Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados‑Membros tem direito a participar nas operações conjuntas. […]»

24

Os artigos 63.o a 67.o estão inseridos na secção 2, intitulada «Coerência», do capítulo VII do Regulamento 2016/679. Este artigo 63.o, intitulado «Procedimento de controlo da coerência», tem a seguinte redação:

«A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.»

25

O artigo 65.o do referido regulamento, intitulado «Resolução de litígios pelo Comité», prevê, no seu n.o 1:

«A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:

a)

Quando, num dos casos referidos no artigo 60.o, n.o 4, a autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade principal ou esta tiver rejeitado essa objeção por carecer de pertinência ou de fundamento. A decisão vinculativa diz respeito a todos os assuntos sobre que incida a referida objeção pertinente e fundamentada, sobretudo à questão de saber se há violação do presente regulamento;

b)

Quando haja posições divergentes sobre a questão de saber qual das autoridades de controlo interessadas é competente para o estabelecimento principal;

[…]»

26

O artigo 66.o do mesmo regulamento, intitulado «Procedimento de urgência», dispõe, no seu n.o 1:

«Em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência referido nos artigos 63.o, 64.o e 65.o ou do procedimento a que se refere o artigo 60.o, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses. A autoridade de controlo dá sem demora conhecimento dessas medidas e dos motivos que a levaram a adotá‑la às outras autoridades de controlo interessadas, ao Comité e à Comissão.»

27

O artigo 85.o do Regulamento 2016/679, intitulado «Tratamento e liberdade de expressão e de informação», enuncia:

«1.   Os Estados‑Membros conciliam por lei o direito à proteção de dados pessoais nos termos do presente regulamento com o direito à liberdade de expressão e de informação, incluindo o tratamento para fins jornalísticos e para fins de expressão académica, artística ou literária.

2.   Para o tratamento efetuado para fins jornalísticos ou para fins de expressão académica, artística ou literária, os Estados‑Membros estabelecem isenções ou derrogações do capítulo II (princípios), do capítulo III (direitos do titular dos dados), do capítulo IV (responsável pelo tratamento e subcontratante), do capítulo V (transferência de dados pessoais para países terceiros e organizações internacionais), do capítulo VI (autoridades de controlo independentes), do capítulo VII (cooperação e coerência) e do capítulo IX (situações específicas de tratamento de dados) se tais isenções ou derrogações forem necessárias para conciliar o direito à proteção de dados pessoais com a liberdade de expressão e de informação.

[…]»

Direito francês

28

A loi n.o 78‑17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (Lei n.o 78‑17, de 6 de janeiro de 1978, relativa à informática, aos ficheiros e às liberdades), na sua versão aplicável aos factos no processo principal, assegura a transposição para o direito francês da Diretiva 95/46 (a seguir «Lei de 6 de janeiro de 1978»).

29

O artigo 45.o desta lei especifica que, quando o responsável por um tratamento não respeitar as obrigações decorrentes da referida lei, o presidente da CNIL pode notificá‑lo para que, num prazo por este fixado, esse responsável por um tratamento cesse o incumprimento constatado. Se o responsável pelo tratamento não der cumprimento à notificação que lhe foi dirigida, uma secção da CNIL, após a instrução de um processo contraditório, pode aplicar nomeadamente uma sanção pecuniária.

Litígio no processo principal e questões prejudiciais

30

Depois de uma pessoa singular ter apresentado um pedido de supressão da lista de resultados que é exibida após uma pesquisa efetuada a partir do seu nome de hiperligações que conduzem a páginas web e de a Google ter dado cumprimento a este pedido, a presidente da CNIL, por Decisão de 21 de maio de 2015, notificou a Google no sentido de aplicar essa supressão a todas as extensões de nome de domínio do seu motor de busca.

31

A Google recusou dar seguimento a esta notificação, tendo‑se limitado a suprimir unicamente as hiperligações em causa dos resultados que são exibidos em resposta a pedidos efetuados a partir dos nomes de domínio que correspondem às declinações do seu motor nos Estados‑Membros.

32

Por outro lado, a CNIL julgou insuficiente a proposta complementar dita de «bloqueio geográfico», apresentada pela Google depois de expirado o prazo constante da notificação, que consistia na supressão da possibilidade de aceder, a partir de um endereço IP (Internet Protocol) supostamente localizado no Estado de residência da pessoa em causa, aos resultados controvertidos na sequência de uma pesquisa efetuada a partir do seu nome, independentemente da declinação do motor de busca escolhido pelo internauta.

33

Depois de ter verificado que a Google não deu cumprimento à notificação dentro do prazo que lhe foi concedido, a CNIL, por Deliberação de 10 de março de 2016, aplicou‑lhe uma sanção, tornada pública, de 100000 euros.

34

Por requerimento apresentado no Conseil d’État (Conselho de Estado, em formação jurisdicional, França), a Google pede a anulação desta deliberação.

35

O Conseil d’État (Conselho de Estado, em formação jurisdicional) constata que o tratamento de dados pessoais efetuado pelo motor de busca explorado pela Google é abrangido, atendendo às atividades de promoção e de venda dos espaços publicitários realizadas, em França, através da sua filial Google France, pelo âmbito de aplicação da Lei de 6 de janeiro de 1978.

36

O Conseil d’État (Conselho de Estado, em formação jurisdicional) salienta, por outro lado, que o motor de busca explorado pela Google se declina em diferentes nomes de domínio por extensões geográficas, para adaptar os resultados exibidos às especificidades, nomeadamente linguísticas, dos diferentes Estados nos quais esta sociedade exerce a sua atividade. Quando a pesquisa é efetuada a partir de «google.com», a Google, em princípio, redireciona automaticamente essa pesquisa para o nome de domínio que corresponde ao Estado a partir do qual, devido à identificação do endereço IP do internauta, se presume que essa pesquisa é efetuada. Contudo, independentemente da sua localização, o internauta continua a poder efetuar as suas pesquisas nos outros nomes de domínio do motor de busca. Por outro lado, embora os resultados possam diferir consoante o nome de domínio a partir do qual a referida pesquisa é efetuada no motor, é facto assente que as hiperligações exibidas na sequência de uma pesquisa provêm de bases de dados e de um trabalho de indexação comuns.

37

O Conseil d’État (Conselho de Estado, em formação jurisdicional) entende que, atendendo, por um lado, ao facto de que todos os nomes de domínio do motor de busca da Google estão acessíveis a partir do território francês e, por outro, à existência de passadeiras entre estes diferentes nomes de domínio, ilustrados nomeadamente pela redireção automática e pela presença de ficheiros que comprovam a conexão, a saber, os «cookies», noutras extensões do motor diferentes daqueles que foram inicialmente inseridos, deve considerar‑se que este motor, que, aliás, foi objeto de uma única declaração junto da CNIL, realiza um tratamento de dados pessoais para efeitos da aplicação da Lei de 6 de janeiro de 1978. Daqui resulta que o tratamento de dados pessoais realizado pelo motor de busca explorado pela Google é efetuado no âmbito de uma das suas instalações, a Google France, que tem sede em território francês, e que está, a este título, sujeita à Lei de 6 de janeiro de 1978.

38

No Conseil d’État (Conselho de Estado, em formação jurisdicional), a Google alega que a sanção controvertida assenta numa interpretação errada das disposições da Lei de 6 de janeiro de 1978, que transpõem o artigo 12.o, alínea b), e o artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46, ao abrigo dos quais o Tribunal de Justiça, no seu Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317), reconheceu um «direito à supressão de referências». A Google alega que este direito não implica necessariamente que as hiperligações controvertidas sejam suprimidas, sem limitação geográfica, em todos os nomes de domínio do seu motor. Além disso, ao adotar esta interpretação, a CNIL violou os princípios da cortesia e da não ingerência reconhecidos pelo direito internacional público e violou de forma desproporcionada as liberdades de expressão, de informação, de comunicação e de imprensa garantidas, nomeadamente, pelo artigo 11.o da Carta.

39

Tendo constatado que esta argumentação suscita várias dificuldades sérias de interpretação da Diretiva 95/46, o Conseil d’État (Conselho de Estado, em formação jurisdicional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

Deve o “direito à [supressão de referências]”, como consagrado pelo [Tribunal de Justiça] no seu Acórdão de 13 de maio de 2014, [Google Spain e Google (C‑131/12, EU:C:2014:317),] com fundamento nas disposições dos artigos 12.o, alínea b), e 14.o, [primeiro parágrafo,] alínea a), da [D]iretiva [95/46], ser interpretado no sentido de que o operador de um motor de busca é obrigado, quando acolhe um pedido de [supressão de referências] de uma hiperligação, a efetuar essa [supressão de referências] em todos os nomes de domínio do seu motor, de forma a que as [hiper]ligações controvertidas deixem de ser exibidas, seja qual for o local a partir do qual é efetuada a pesquisa com base no nome do requerente, incluindo fora do âmbito de aplicação territorial da [D]iretiva [95/46]?

2)

Em caso de resposta negativa a esta primeira questão, deve o “direito à [supressão de referências]”, como consagrado pelo [Tribunal de Justiça] no seu acórdão supra referido, ser interpretado no sentido de que o operador de um motor de busca apenas é obrigado, quando acolhe um pedido de supressão de uma hiperligação, a suprimir as [hiper]ligações controvertidas dos resultados exibidos na sequência de uma pesquisa efetuada a partir do nome do requerente no nome de domínio correspondente ao Estado onde se considere que o pedido foi efetuado ou, de forma mais genérica, nos nomes de domínio do motor de busca que correspondem às extensões nacionais desse motor para todos os Estados‑Membros […]?

3)

Além disso, em complemento da obrigação invocada na segunda questão, deve o “direito à [supressão de referências]”, como consagrado pelo [Tribunal de Justiça] no seu acórdão supra referido, ser interpretado no sentido de que o operador de um motor de busca, quando acolhe um pedido de [supressão de referências] de uma hiperligação, é obrigado, através da técnica designada “bloqueio geográfico”, a partir de um endereço IP supostamente localizado no Estado de residência do beneficiário do “direito à [supressão de referências]”, a suprimir os resultados controvertidos das pesquisas efetuadas a partir do seu nome, ou mesmo, de forma mais genérica, a partir de um endereço IP supostamente localizado num dos Estados‑Membros aos quais se aplica a [D]iretiva [95/46], independentemente do nome de domínio utilizado pelo internauta que efetue a busca?»

Quanto às questões prejudiciais

40

O processo principal tem origem num litígio entre a Google e a CNIL no qual se procura saber de que forma deve o operador de um motor de busca dar execução ao direito à supressão de referências quando constata que a pessoa em causa tem direito a que uma ou mais hiperligações que conduzem a páginas web nas quais figuram dados pessoais que lhe dizem respeito sejam eliminados da lista de resultados que é exibida na sequência de uma pesquisa efetuada a partir do nome dessa pessoa. Embora na data em que o pedido de decisão prejudicial deu entrada fosse aplicável a Diretiva 95/46, esta foi revogada com efeitos a partir de 25 de maio de 2018, data a partir da qual o Regulamento 2016/679 passou a ser aplicável.

41

O Tribunal examinará as questões colocadas sob a perspetiva tanto desta diretiva como deste regulamento, para garantir que as suas respostas serão, em qualquer hipótese, úteis para o órgão jurisdicional de reenvio.

42

No processo que corre no Tribunal de Justiça, a Google afirmou que, depois de o pedido de decisão prejudicial ter sido apresentado, implementou uma nova apresentação das versões nacionais do seu motor de busca, em cujo âmbito o nome de domínio introduzido pelo internauta deixou de determinar a versão nacional do motor de busca ao qual este acede. Assim, o internauta passa a ser automaticamente dirigido para a versão nacional do motor de busca da Google que corresponde ao local a partir do qual supostamente efetua a pesquisa e os resultados desta são exibidos em função desse local, o qual é determinado pela Google com recurso a um processo de localização geográfica.

43

Nestas condições, há que entender as questões colocadas, que cumpre tratar em conjunto, no sentido de que visam, em substância, saber se o artigo 12.o, alínea b), e o artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46, bem como o artigo 17.o, n.o 1, do Regulamento 2016/679, devem ser interpretados no sentido de que, quando aceita um pedido de supressão de referências ao abrigo destas disposições, o operador de um motor de busca tem de efetuar essa supressão de referências em todas as versões do seu motor ou se, pelo contrário, só tem de efetuar essa supressão de referências nas versões que correspondem a todos os Estados‑Membros, ou mesmo, apenas, na versão que corresponde ao Estado‑Membro no qual o pedido de supressão de referências foi apresentado, se for caso disso, em conjugação com o recurso à técnica dita de «bloqueio geográfico» para garantir que um internauta não possa, independentemente da versão nacional do motor de busca utilizado, aceder, no âmbito de uma pesquisa efetuada a partir de um endereço IP supostamente localizado no Estado‑Membro de residência do titular do direito à supressão de referências ou, de forma mais ampla, num Estado‑Membro, às hiperligações abrangidas pela supressão de referências.

44

A título preliminar, importa recordar que o Tribunal declarou que os artigos 12.o, alínea b), e 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46 devem ser interpretados no sentido de que, para respeitar os direitos previstos nestas disposições e desde que as condições por elas previstas estejam efetivamente satisfeitas, o operador de um motor de busca é obrigado a suprimir da lista de resultados, exibida na sequência de uma pesquisa efetuada a partir do nome de uma pessoa, as hiperligações a outras páginas web publicadas por terceiros e que contenham informações sobre essa pessoa, também na hipótese de esse nome ou de essas informações não serem prévia ou simultaneamente apagadas dessas páginas web, isto, se for caso disso, mesmo quando a sua publicação nas referidas páginas seja, em si mesma, lícita (Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 88).

45

Por outro lado, o Tribunal precisou que, no âmbito da apreciação das condições de aplicação destas mesmas disposições, importa designadamente examinar se a pessoa em causa tem o direito de que a informação em questão sobre a sua pessoa deixe de ser associada ao seu nome através de uma lista de resultados exibida na sequência de uma pesquisa efetuada a partir do seu nome, sem que, todavia, a constatação desse direito pressuponha que a inclusão dessa informação nessa lista causa prejuízo a essa pessoa. Na medida em que esta última pode, tendo em conta os seus direitos fundamentais nos termos dos artigos 7.o e 8.o da Carta, requerer que a informação em questão deixe de estar à disposição do grande público devido à sua inclusão nessa lista de resultados, esses direitos prevalecem, em princípio, não só sobre o interesse económico do operador do motor de busca mas também sobre o interesse desse público em aceder à referida informação numa pesquisa sobre o nome dessa pessoa. No entanto, não será esse o caso se se afigurar que, por razões especiais como, por exemplo, o papel desempenhado por essa pessoa na vida pública, a ingerência nos seus direitos fundamentais é justificada pelo interesse preponderante do referido público em ter acesso à informação em questão, em virtude dessa inclusão (Acórdão de 13 de maio de 2014, Google Spain e Google, C 131/12, EU:C:2014:317, n.o 99).

46

No âmbito do Regulamento 2016/679, este direito à supressão de referências da pessoa em causa encontra agora o seu fundamento no seu artigo 17.o, que rege especificamente o «direito ao apagamento dos dados», também denominado, no título deste artigo, «direito a ser esquecido».

47

Em aplicação do artigo 17.o, n.o 1, do Regulamento 2016/679, o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos motivos enumerados por esta disposição. O artigo 17.o, n.o 3, deste regulamento especifica que o referido artigo 17.o, n.o 1, não se aplica na medida em que o tratamento em causa seja necessário por um dos motivos enumerados nesta primeira disposição. Estes motivos abrangem, designadamente, nos termos do artigo 17.o, n.o 3, alínea a), do referido regulamento, o exercício do direito relativo, designadamente, à liberdade de informação dos internautas.

48

Resulta do artigo 4.o, n.o 1, alínea a), da Diretiva 95/46 e do artigo 3.o, n.o 1, do Regulamento 2016/679 que tanto esta diretiva como este regulamento permitem que as pessoas em causa façam valer o seu direito à supressão de referências contra o operador de um motor de busca que disponha de um ou de vários estabelecimentos no território da União, efetuando no âmbito destas atividades um tratamento de dados pessoas que dizem respeito a essas pessoas, independentemente da questão de saber se esse tratamento tem ou não lugar na União.

49

A este respeito, o Tribunal de Justiça declarou que é efetuado um tratamento de dados pessoais no contexto das atividades de um estabelecimento do responsável por esse tratamento no território de um Estado‑Membro quando o operador de um motor de busca cria num Estado‑Membro uma sucursal ou uma filial destinada a assegurar a promoção e a venda dos espaços publicitários propostos por esse motor de busca, cuja atividade é dirigida aos habitantes desse Estado‑Membro (Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 60).

50

Com efeito, nestas circunstâncias, as atividades do operador do motor de busca e as do seu estabelecimento situado na União estão indissociavelmente ligadas, uma vez que as atividades relativas aos espaços publicitários constituem o meio para tornar o motor de busca em causa economicamente rentável e que esse motor é, ao mesmo tempo, o meio que permite realizar essas atividades, sendo a exibição da lista de resultados acompanhada, na mesma página, da exibição de publicidade relacionada com os termos da pesquisa (v., neste sentido, Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.os 56 e 57).

51

Nestas condições, a circunstância de esse motor de busca ser explorado por uma empresa de um Estado terceiro não pode ter como consequência que o tratamento de dados pessoais efetuado com vista às necessidades do funcionamento do referido motor de busca no âmbito da atividade publicitária e comercial de um estabelecimento do responsável por esse tratamento no território de um Estado‑Membro fique isento das obrigações e das garantias previstas na Diretiva 95/46 e no Regulamento 2016/679 (v., neste sentido, Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 58).

52

No presente caso, resulta das indicações fornecidas na decisão de reenvio, por um lado, que o estabelecimento de que a Google dispõe no território francês exerce atividades, nomeadamente comerciais e publicitárias, que estão indissociavelmente ligadas ao tratamento de dados pessoais efetuado com vista às necessidades de funcionamento do motor de busca em causa e, por outro, que se deve considerar que esse motor de busca, tendo em conta, nomeadamente, a existência de passadeiras entre as suas diferentes versões nacionais, efetua um tratamento de dados pessoais único. Nestas condições, o órgão jurisdicional de reenvio considera que o referido tratamento é efetuado no âmbito do estabelecimento da Google situado no território francês. Resulta assim que semelhante situação é abrangida pelo âmbito de aplicação territorial da Diretiva 95/46 e do Regulamento 2016/679.

53

Com as suas questões, o órgão jurisdicional de reenvio pretende determinar o âmbito territorial que há que conferir a uma supressão de referências quando se verifique uma situação idêntica.

54

A este respeito, resulta do considerando 10 da Diretiva 95/46 e dos considerandos 10, 11 e 13 do Regulamento 2016/679, cuja adoção se baseou no artigo 16.o TFUE, que esta diretiva e este regulamento têm por objetivo garantir um elevado nível de proteção dos dados pessoais em toda a União.

55

É certo que é suscetível de atingir plenamente este objetivo uma supressão de referências que seja efetuada em todas as versões de um motor de busca.

56

Com efeito, a Internet é uma rede mundial sem fronteiras e os motores de busca conferem uma natureza ubiquitária às informações e às hiperligações contidas numa lista de resultados exibida na sequência de uma pesquisa efetuada a partir do nome de uma pessoa singular (v., neste sentido, Acórdãos de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.o 80, e de 17 de outubro de 2017, Bolagsupplysningen e Ilsjan, C‑194/16, EU:C:2017:766, n.o 48).

57

Num mundo globalizado, o acesso dos internautas, designadamente dos que se encontram fora da União, às referências a dados pessoais de uma hiperligação que remetem para informações sobre uma pessoa cujo centro de interesses se situa na União é, assim, suscetível de produzir sobre esta efeitos imediatos e substanciais dentro da própria União.

58

Semelhantes considerações são suscetíveis de justificar a existência de uma competência do legislador da União para prever a obrigação de o explorador de um motor de busca proceder, quando aceita dar cumprimento a um pedido de supressão de referências apresentado por essa pessoa, a uma supressão de referências de todas as versões do seu motor.

59

Contudo, há que sublinhar que em numerosos Estados terceiros o direito à supressão de referências não existe ou é objeto de uma abordagem diferente.

60

Por outro lado, o direito à proteção dos dados pessoais não é um direito absoluto, devendo ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade [v., neste sentido, Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert, C‑92/09 e C‑93/09, EU:C:2010:662, n.o 48, e Parecer 1/15 (Acordo PNR UE‑Canadá), de 26 de julho de 2017, EU:C:2017:592, n.o 136]. Acresce que o facto de o equilíbrio entre o direito ao respeito pela vida privada e à proteção dos dados pessoais, por um lado, e a liberdade de informação dos internautas, por outro, pode variar de forma considerável no mundo.

61

Ora, embora o legislador da União tenha, no artigo 17.o, n.o 3, alínea a), do Regulamento 2016/679, procedido a uma ponderação entre este direito e esta liberdade no que respeita à União [v., neste sentido, Acórdão, hoje proferido, GC e o. (Supressão de referências a dados sensíveis), C‑136/17, n.o 59], há que constatar que, em contrapartida, não procedeu, na fase atual das coisas, a semelhante ponderação no que respeita ao âmbito de uma supressão de referências fora da União.

62

Em especial, não resulta de modo nenhum da redação do artigo 12.o, alínea b), e do artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46 ou do artigo 17.o do Regulamento 2016/679 que, para garantir a realização do objetivo mencionado no n.o 54 do presente acórdão, o legislador da União optou por conferir aos direitos consagrados nestas disposições um âmbito que excede o território dos Estados‑Membros e que pretendeu impor a um operador que, como a Google, é abrangido pelo âmbito de aplicação desta diretiva ou deste regulamento uma obrigação de supressão de referências que também abrange as versões nacionais do seu motor de busca que não correspondem aos Estados‑Membros.

63

Aliás, embora o Regulamento 2016/679 forneça, nos seus artigos 56.o e 60.o a 66.o, às autoridades de controlo dos Estados‑Membros os instrumentos e os mecanismos que lhes permitirão, se for caso disso, cooperar para chegarem a uma decisão comum assente numa ponderação entre o direito do titular dos dados ao respeito pela sua vida privada e à proteção dos seus dados pessoais e o interesse do público de diferentes Estados‑Membros em aceder a uma informação, há que constatar que atualmente esses instrumentos e mecanismos de cooperação não estão previstos no direito da União para efeitos do âmbito de uma supressão de referências fora da União.

64

Daqui resulta que, atualmente, não existe, para o operador de um motor de busca que aceita um pedido de supressão de referências formulado pela pessoa em causa, se for caso disso, depois de uma autoridade de controlo ou uma autoridade judiciária de um Estado‑Membro lhe ter notificado uma injunção, uma obrigação que decorre do direito da União de proceder a essa supressão de referências em todas as versões do seu motor.

65

Atendendo a todas estas considerações, o operador de um motor de busca não pode ser obrigado, ao abrigo do artigo 12.o, alínea b), e do artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46, bem como do artigo 17.o, n.o 1, do Regulamento 2016/679, a efetuar uma supressão de referências em todas as versões do seu motor.

66

No que respeita à questão de saber se essa supressão de referências deve ser efetuada nas versões do motor de busca que correspondem aos Estados‑Membros ou apenas na versão desse motor que corresponde ao Estado‑Membro de residência do beneficiário da supressão de referências, resulta nomeadamente do facto de o legislador da União ter optado por fixar as regras em matéria de proteção de dados por via de um regulamento, que é diretamente aplicável em todos os Estados‑Membros, fazendo‑o, como sublinha o considerando 10 do Regulamento 2016/679, a fim de assegurar um nível de proteção coerente e elevado em toda a União e eliminar os obstáculos à circulação de dados na União, que, em princípio, a supressão de referências em causa deve ser efetuada para todos os Estados‑Membros.

67

Importa contudo constatar que o interesse do público em aceder a uma informação pode, mesmo dentro da União, variar de um Estado‑Membro para outro, pelo que o resultado da ponderação a efetuar entre este, por um lado, e os direitos ao respeito pela vida privada e à proteção dos dados pessoais da pessoa em causa, por outro, não é forçosamente idêntico em todos os Estados‑Membros, tanto mais que, ao abrigo do artigo 9.o da Diretiva 95/46 e do artigo 85.o do Regulamento 2016/679, cabe aos Estados‑Membros estabelecer, nomeadamente para fins exclusivamente jornalísticos ou de expressão artística ou literária, isenções ou derrogações necessárias para conciliar estes direitos com, nomeadamente, a liberdade de informação.

68

Resulta designadamente dos artigos 56.o e 60.o do Regulamento 2016/679 que, para os tratamentos transfronteiriços, na aceção do artigo 4.o, ponto 23, deste regulamento, e sob reserva deste artigo 56.o, n.o 2, as diferentes autoridades de controlo nacionais em causa devem cooperar, de acordo com o procedimento previsto nestas disposições, para alcançarem um consenso e uma decisão única que vincule todas estas autoridades, devendo o responsável pelo tratamento assegurar o seu respeito relativamente às atividades de tratamento efetuadas no âmbito de todos os seus estabelecimentos na União. Por outro lado, o artigo 61.o, n.o 1, do Regulamento 2016/679 obriga nomeadamente as autoridades de controlo a prestarem entre si informações úteis e a assistência mútua para aplicar este regulamento de forma coerente em toda a União e o artigo 63.o do referido regulamento precisa que é este objetivo que preside à previsão do mecanismo de controlo da coerência, constante dos artigos 64.o e 65.o do mesmo regulamento. Por último, o procedimento de urgência previsto no artigo 66.o do Regulamento 2016/679 permite, em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses.

69

Este quadro regulamentar fornece assim às autoridades de controlo nacionais os instrumentos e os mecanismos necessários para conciliar os direitos ao respeito pela vida privada e à proteção dos dados pessoais do titular dos dados com o interesse do público dos Estados‑Membros em aceder à informação em questão e, assim, para poder adotar, se for caso disso, uma decisão de supressão de referências que abranja todas as pesquisas efetuadas a partir do nome dessa pessoa dentro do território da União.

70

Incumbe, além disso, ao operador do motor de busca tomar, se necessário, medidas suficientemente eficazes para assegurar uma proteção efetiva dos direitos fundamentais da pessoa em causa. Estas medidas devem, elas próprias, satisfazer todas as exigências legais e ter por efeito impedir ou, pelo menos, desencorajar seriamente os internautas nos Estados‑Membros de acederem às hiperligações em causa a partir da realização de uma pesquisa efetuada que tenha por base o nome dessa pessoa (v., por analogia, Acórdãos de 27 de março de 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, n.o 62, e de 15 de setembro de 2016, Mc Fadden, C‑484/14, EU:C:2016:689, n.o 96).

71

Cabe ao órgão jurisdicional de reenvio verificar se, atendendo igualmente às recentes alterações do seu motor de busca, expostas no n.o 42 do presente acórdão, as medidas adotadas ou propostas pela Google satisfazem estas exigências.

72

Por último, importa sublinhar que, embora, conforme se salientou no n.o 64 do presente acórdão, o direito da União não imponha, atualmente, que a supressão de referências que seja aceite incida sobre todas as versões do motor de busca em causa, o direito da União também não a proíbe. Por conseguinte, uma autoridade de controlo ou uma autoridade judiciária de um Estado‑Membro continua a ser competente para efetuar, à luz dos padrões nacionais de proteção dos direitos fundamentais (v., neste sentido, Acórdãos de 26 de fevereiro de 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, n.o 29, e de 26 de fevereiro de 2013, Melloni, C‑399/11, EU:C:2013:107, n.o 60), uma ponderação entre, por um lado, o direito da pessoa em causa ao respeito pela sua vida privada e à proteção dos seus dados pessoais e, por outro, o direito à liberdade de informação, e, no final dessa ponderação, para, se for caso disso, emitir uma injunção de que será destinatário o operador desse motor de busca e nos termos da qual deverá proceder à supressão de referências em todas as versões do referido motor.

73

À luz de tudo o que precede, há que responder às questões submetidas que o artigo 12.o, alínea b), e o artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46, bem como o artigo 17.o, n.o 1, do Regulamento 2016/679, devem ser interpretados no sentido de que, quando aceita um pedido de supressão de referências ao abrigo destas disposições, o operador de um motor de busca não tem de efetuar essa supressão de referências em todas as versões do seu motor, devendo fazê‑lo nas versões deste que correspondem a todos os Estados‑Membros, e isto, se necessário, em conjugação com medidas que, embora satisfaçam as exigências legais, permitam efetivamente impedir ou, pelo menos, desencorajar seriamente os internautas que efetuam uma pesquisa a partir do nome da pessoa em causa dentro de um dos Estados‑Membros de, através da lista de resultados exibida após essa pesquisa, aceder às hiperligações que são objeto desse pedido.

Quanto às despesas

74

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

 

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

 

O artigo 12.o, alínea b), e o artigo 14.o, primeiro parágrafo, alínea a), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como o artigo 17.o, n.o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (Regulamento Geral sobre a Proteção de Dados), devem ser interpretados no sentido de que, quando aceita um pedido de supressão de referências ao abrigo destas disposições, o operador de um motor de busca não tem de efetuar essa supressão de referências em todas as versões do seu motor, devendo fazê‑lo nas versões deste que correspondem a todos os Estados‑Membros, e isto, se necessário, em conjugação com medidas que, embora satisfaçam as exigências legais, permitam efetivamente impedir ou, pelo menos, desencorajar seriamente os internautas que efetuam uma pesquisa a partir do nome da pessoa em causa dentro de um dos Estados‑Membros de, através da lista de resultados exibida após essa pesquisa, aceder às hiperligações que são objeto desse pedido.

 

Assinaturas


( *1 ) Língua do processo: francês.