–

em representação de CK, por C. Wirthensohn, Rechtsanwalt,

–

em representação da Dun & Bradstreet Austria GmbH, por D. Cooper, solicitor, A.‑S. Oberschelp de Meneses, avocate, K. Van Quathem e B. Van Vooren, advocaten,

–

em representação do Governo Espanhol, por A. Ballesteros Panizo, na qualidade de agente,

–

em representação do Governo Neerlandês, por M. K. Bulterman e C. S. Schillemans, na qualidade de agentes,

–

em representação do Governo Polaco, por B. Majczyna, na qualidade de agente,

–

em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher e H. Kranenborg, na qualidade de agentes,

1

O pedido de decisão prejudicial tem por objeto a interpretação, por um lado, do artigo 15.o, n.o 1, alínea h), e do artigo 22.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), e, por outro, do artigo 2.o, ponto 1, da Diretiva (UE) 2016/943 do Parlamento Europeu e do Conselho, de 8 de junho de 2016, relativa à proteção de know‑how e de informações comerciais confidenciais (segredos comerciais) contra a sua aquisição, utilização e divulgação ilegais (JO 2016, L 157, p. 1).

2

Este pedido foi apresentado no âmbito de um litígio que opõe CK ao Magistrat der Stadt Wien (Administração Municipal da cidade de Viena, Áustria) a respeito da execução coerciva de uma decisão judicial que obrigava a Bisnode Austria GmbH, atual Dun & Bradstreet Austria GmbH (a seguir «D & B»), uma empresa especializada na realização de avaliações de crédito, a prestar a CK informações úteis relativas à lógica subjacente a uma definição de perfil com base nos seus dados pessoais.

3

Os considerandos 4, 11, 58, 63 e 71 do RGPD enunciam:

[…]

[…]

[…]

[…]

4

O artigo 4.o, ponto 4, deste regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

5

O artigo 12.o do referido regulamento, sob a epígrafe «Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados», dispõe, no n.o 1:

«O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. […]»

6

O artigo 13.o do mesmo regulamento, que diz respeito às informações a facultar quando os dados pessoais são recolhidos junto do titular, e o artigo 14.o deste, que diz respeito às informações a facultar quando os dados pessoais não são recolhidos junto do titular, preveem, respetivamente, nos seus n.o 2, alínea f), e n.o 2, alínea g), que o responsável pelo tratamento é obrigado a fornecer ao titular dos dados, para garantir um tratamento equitativo e transparente em relação a este, nomeadamente informações sobre a «existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados».

7

O artigo 15.o do RGPD, sob a epígrafe «Direito de acesso do titular dos dados», tem a seguinte redação:

«1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:

[…]

[…]

3.   O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.

4.   O direito de obter uma cópia a que se refere o n.o 3 não prejudica os direitos e as liberdades de terceiros.»

8

O artigo 22.o deste regulamento, sob a epígrafe «Decisões individuais automatizadas, incluindo definição de perfis», estabelece:

«1.   O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

2.   O n.o 1 não se aplica se a decisão:

3.   Nos casos a que se referem o n.o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

4.   As decisões a que se refere o n.o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.o, n.o 1, a não ser que o n.o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.»

9

Nos termos do artigo 23.o do referido regulamento, sob a epígrafe «Limitações»:

«1.   O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

[…]

2.   Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:

10

O artigo 54.o do mesmo regulamento, sob a epígrafe «Regras aplicáveis à constituição da autoridade de controlo», dispõe, no seu n.o 2:

«Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados‑Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica‑se, em especial, à comunicação por pessoas singulares de violações do presente regulamento.»

11

O artigo 58.o do RGPD, sob a epígrafe «Poderes», prevê, no n.o 1, alínea e):

«Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

12

O considerando 35 da Diretiva 2016/943 enuncia:

«[…] a presente diretiva não deverá afetar os direitos nem as obrigações estabelecidas na [Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31)], em especial os direitos do titular a aceder aos respetivos dados pessoais sujeitos a tratamento e a obter a retificação, o apagamento ou o bloqueio dos dados caso estes sejam incompletos ou incorretos […]».

13

O artigo 2.o, ponto 1, desta diretiva prevê:

«Para efeitos da presente diretiva, entende‑se por:

14

O artigo 9.o da referida diretiva, sob a epígrafe «Preservação da confidencialidade dos segredos comerciais no decurso de processos judiciais», dispõe:

«1.   Os Estados‑Membros asseguram que as partes, os seus advogados ou outros representantes, os funcionários judiciais, as testemunhas, os peritos e qualquer outra pessoa que participe num processo judicial relacionado com a aquisição, utilização ou divulgação ilegais de um segredo comercial, ou que tenha acesso aos documentos que fazem parte desse processo judicial, não sejam autorizados a utilizar ou a divulgar qualquer segredo comercial ou alegado segredo comercial que as autoridades judiciais competentes tenham identificado, em resposta a um pedido devidamente fundamentado de uma parte interessada, como confidencial e do qual tenham tomado conhecimento em resultado dessa participação ou desse acesso. Os Estados‑Membros podem também permitir que as autoridades judiciais competentes ajam por sua própria iniciativa.

A obrigação a que se refere o primeiro parágrafo não se extingue com o termo do processo judicial. Todavia, extingue‑se:

2.   Os Estados‑Membros asseguram ainda que as autoridades judiciais competentes possam tomar, mediante pedido devidamente fundamentado de uma parte, medidas específicas necessárias para preservar a confidencialidade de um segredo comercial ou de um alegado segredo comercial utilizado ou mencionado no decurso do processo judicial relacionado com a aquisição, utilização ou divulgação ilegais de um segredo comercial. Os Estados‑Membros podem também permitir que as autoridades judiciais competentes tomem tais medidas por sua própria iniciativa.

As medidas referidas no primeiro parágrafo compreendem, pelo menos, a possibilidade de:

O número de pessoas a que se referem as alíneas a) e b) do segundo parágrafo não excede o necessário para assegurar o respeito do direito das partes no processo à ação e a um tribunal imparcial, e inclui, pelo menos, uma pessoa singular de cada parte e os respetivos advogados ou outros representantes das partes no processo judicial.

3.   Ao decidir das medidas mencionadas no n.o 2 e ao avaliar a sua proporcionalidade, as autoridades judiciais competentes têm em conta a necessidade de salvaguardar o direito à ação e a um tribunal imparcial, os interesses legítimos das partes e, se for caso disso, de terceiros, assim como os eventuais prejuízos para qualquer das partes e, se for caso disso, para terceiros, resultantes do deferimento ou indeferimento dessas medidas.

4.   O tratamento de dados pessoais por força dos n.os 1, 2 ou 3 é efetuado nos termos da [Diretiva 95/46].»

15

O § 4, n.o 6, da Datenschutzgesetz (Lei da Proteção de Dados), de 17 de agosto de 1999 (BGBl. I, 165/1999), na versão aplicável ao litígio no processo principal (a seguir «DSG»), exclui, em princípio, o acesso, previsto no artigo 15.o do RGPD, do titular dos dados aos seus dados pessoais quando esse acesso prejudique um segredo comercial ou industrial do responsável pelo tratamento ou de um terceiro.

16

Uma operadora de telecomunicações móveis recusou a CK a celebração ou a prorrogação de um contrato de telecomunicações móveis que implicava o pagamento mensal do montante de dez euros, com o fundamento de que, segundo uma avaliação automatizada de crédito, a que a D & B procedeu, aquele não dispunha de solvência financeira suficiente.

17

CK recorreu à autoridade austríaca para a proteção de dados, que ordenou à D & B que prestasse a CK informações úteis relativas à lógica subjacente à decisão automatizada com base nos dados pessoais de CK.

18

A D & B interpôs recurso da decisão dessa autoridade para o Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria), alegando, em substância, que, por razões de segredo comercial protegido, não tinha de prestar a CK informações adicionais às que já lhe tinham sido prestadas.

19

Por Decisão de 23 de outubro de 2019 (a seguir «Decisão de 23 de outubro de 2019»), aquele órgão jurisdicional declarou que a D & B tinha violado o artigo 15.o, n.o 1, alínea h), do RGPD ao não prestar a CK informações úteis relativas à lógica subjacente à decisão automatizada sobre os dados pessoais de CK ou, pelo menos, ao não fundamentar suficientemente a alegada impossibilidade em que se encontrava de prestar essas informações.

20

Em especial, nessa decisão, o Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria) salientou que a D & B não tinha dado explicações suficientes a CK que lhe permitissem compreender de que modo tinha sido feito, a seu respeito, o prognóstico sobre a probabilidade do seu comportamento futuro («score»), o que esta empresa lhe comunicou com o pormenor de que, para obter esse «score», tinham sido «agregados de forma equivalente» certos dados sociodemográficos de CK.

21

A Decisão de 23 de outubro de 2019 transitou em julgado e tem força executiva nos termos do direito austríaco. No entanto, o pedido de execução coerciva desta decisão, apresentado por CK à Administração Municipal da cidade de Viena, que é a autoridade de execução, foi indeferido com o fundamento de que a D & B tinha cumprido suficientemente o seu dever de informação, apesar de esta sociedade não ter fornecido nenhuma informação adicional após a adoção dessa mesma decisão.

22

CK interpôs recurso da decisão da Administração Municipal da cidade de Viena para o Verwaltungsgericht Wien (Tribunal Administrativo de Viena, Áustria), que é o órgão jurisdicional de reenvio, com vista à execução coerciva da Decisão de 23 de outubro de 2019.

23

O órgão jurisdicional de reenvio considera que, por força do direito austríaco, está obrigado a executar esta última decisão, o que implica determinar os atos concretos que a D & B é obrigada a praticar por força dessa decisão.

24

Por considerar que esta determinação só pode ser efetuada por um perito com as competências necessárias, o órgão jurisdicional de reenvio nomeou um perito, o qual considerou que a D & B, para cumprir o seu dever para com CK, tem de prestar as seguintes informações mínimas:

25

Para garantir que, após a sua comunicação, a exatidão dessas informações mínimas possa ser verificada por CK, a D & B deve igualmente fornecer uma lista indicativa dos «scores» de pessoas («scoring») para o período que abrange os seis meses anteriores e os seis meses subsequentes à definição do «score» de CK e que foram obtidos com base na mesma regra de cálculo.

26

Segundo o órgão jurisdicional de reenvio, só a comunicação das informações mínimas identificadas pelo referido perito permite verificar a coerência e a exatidão das informações prestadas por um responsável pelo tratamento nos termos do artigo 15.o, n.o 1, alínea h), do RGPD.

27

No caso em apreço, vários indícios mostram claramente que as informações prestadas por D & B são contrárias aos factos. Com efeito, embora as informações comunicadas a CK, entre as quais, nomeadamente, o «score» obtido, comprovassem uma elevada solvência por parte desta, a definição de perfis reais levou a considerar que a mesma não era solvente, incluindo quanto ao pagamento do montante de dez euros por mês no âmbito de um contrato de telecomunicações móveis.

28

O órgão jurisdicional de reenvio considera, portanto, que se coloca a questão de saber se o artigo 15.o, n.o 1, alínea h), do RGPD garante ao titular dos dados a possibilidade de verificar a exatidão das informações comunicadas pelo responsável pelo tratamento.

29

Na hipótese de o artigo 15.o, n.o 1, alínea h), do RGPD não garantir essa possibilidade, o direito aí previsto de acesso aos dados pessoais do titular dos dados e a outras informações ficaria esvaziado de qualquer alcance e tornar‑se‑ia inútil, tanto mais que, nesse caso, cada responsável poderia estar em condições de prestar informações erradas.

30

Coloca‑se igualmente a questão de saber se e, sendo caso disso, em que medida a exceção relativa à existência de um segredo comercial é suscetível de restringir esse direito de acesso garantido pelas disposições conjugadas do artigo 15.o, n.o 1, alínea h), e do artigo 22.o do RGPD.

31

À luz das normas previstas no artigo 9.o da Diretiva 2016/943, importa apreciar se é possível comunicar apenas à autoridade ou ao órgão jurisdicional chamado a pronunciar‑se as informações qualificadas de «segredo comercial», na aceção do artigo 2.o, ponto 1, desta diretiva, para que essa autoridade ou esse órgão jurisdicional verifiquem, de forma autónoma, se se deve considerar que existe efetivamente um segredo comercial e se essas informações prestadas pelo responsável pelo tratamento, na aceção do artigo 15.o, n.o 1, do RGPD, correspondem à realidade da situação em causa.

32

Por último, importa examinar se uma disposição como o § 4, n.o 6, do DSG, que exclui, em princípio, o direito de acesso do titular dos dados, previsto no artigo 15.o do RGPD, quando esse acesso prejudique um segredo comercial ou de empresa do responsável pelo tratamento ou de um terceiro, pode ser considerada conforme com as disposições conjugadas do artigo 15.o, n.o 1, e do artigo 22.o, n.o 3, do RGPD.

33

Nestas circunstâncias, o Verwaltungsgericht Wien (Tribunal Administrativo de Viena) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

34

Por Decisão de 8 de dezembro de 2022, o presidente do Tribunal de Justiça suspendeu a instância enquanto se aguardava pela decisão que pusesse termo à instância no processo C‑634/21, SCHUFA Holding e o. (Scoring).

35

Em conformidade com a Decisão do presidente do Tribunal de Justiça de 13 de dezembro de 2023, a Secretaria do Tribunal de Justiça notificou ao órgão jurisdicional de reenvio o Acórdão de 7 de dezembro de 2023, SCHUFA Holding e o. (Scoring) (C‑634/21, EU:C:2023:957), convidando‑o a informar se, tendo em conta o teor desse acórdão, pretendia manter o seu pedido de decisão prejudicial.

36

Por carta entrada na Secretaria do Tribunal de Justiça em 29 de janeiro de 2024, esse órgão jurisdicional informou que mantinha o pedido de decisão prejudicial, uma vez que o Acórdão de 7 de dezembro de 2023, SCHUFA Holding e o. (Scoring) (C‑634/21, EU:C:2023:957), não permitia responder às questões que submeteu no presente processo.

37

Por Decisão de 14 de fevereiro de 2024, o presidente do Tribunal de Justiça ordenou, portanto, o prosseguimento da instância no presente processo.

38

Com a primeira e segunda questões, bem como a terceira questão, alínea a), que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 15.o, n.o 1, alínea h), do RGPD deve ser interpretado no sentido de que, no caso de decisões automatizadas, incluindo a definição de perfis, na aceção do artigo 22.o, n.o 1, deste regulamento, o titular dos dados pode exigir do responsável pelo tratamento, a título de «informações úteis relativas à lógica subjacente», uma explicação exaustiva sobre o procedimento e os princípios concretamente aplicados para explorar, por via automatizada, os dados pessoais relativos a essa pessoa com vista a obter um determinado resultado, como um perfil de solvência.

39

Segundo jurisprudência constante do Tribunal de Justiça, para interpretar uma disposição do direito da União, há que ter em conta não só os seus termos mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que faz parte (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 19 e jurisprudência referida).

40

No que respeita, desde logo, à redação do artigo 15.o, n.o 1, alínea h), do RGPD, importa salientar, por um lado, que as aceções do conceito de «informações úteis», no sentido desta disposição, divergem nas diferentes versões linguísticas, uma vez que algumas privilegiam, à semelhança da versão em língua francesa, a funcionalidade («nuttige» em língua neerlandesa, «úteis» em língua portuguesa) ou a pertinência («pertinente» em língua romena) das informações a fornecer, ao passo que outras insistem mais na sua importância («significativa» em língua espanhola e «istotne» em língua polaca). Por último, tanto na versão em língua alemã como na versão em língua inglesa da referida disposição, o termo escolhido (respetivamente, «aussagekräftig» e «meaningful») pode ser entendido tanto no sentido de que faz referência à boa inteligibilidade das referidas informações como no sentido de que se reporta a uma determinada qualidade destas.

41

Ora, a diversidade de aceções adotadas pelas diferentes versões linguísticas deve ser entendida no sentido de uma complementaridade dos significados expostos no número anterior, que importa ter em conta para a interpretação do conceito de «informações úteis relativas à lógica subjacente», na aceção do artigo 15.o, n.o 1, alínea h), do RGPD, como salientou o advogado‑geral, em substância, no n.o 65 das conclusões.

42

Por outro lado, face à sua formulação geral, a referência, nesta disposição, à «lógica subjacente» às decisões automatizadas, que constitui o objeto das referidas «informações úteis», é suscetível de abranger uma vasta panóplia de «lógicas» de exploração de dados pessoais e de outros dados para obter, por via automatizada, um determinado resultado. Esta interpretação é corroborada por certas versões linguísticas da referida disposição que utilizam termos que visam, de forma complementar, diferentes aspetos da aceção comum do conceito de «lógica». Assim, por exemplo, nas versões em língua checa e polaca, é feita referência, respetivamente, aos termos «postupu» e a «zasady», que podem ser traduzidos por «processo» e «princípios».

43

Por conseguinte, há que considerar que a redação do artigo 15.o, n.o 1, alínea h), do RGPD visa qualquer informação pertinente relativa ao procedimento e aos princípios da exploração, por via automatizada, de dados pessoais com o intuito de obter deles um determinado resultado.

44

No que respeita, em seguida, ao contexto em que se insere o conceito de «informações úteis relativas à lógica subjacente», que figura no artigo 15.o, n.o 1, alínea h), do RGPD, importa sublinhar, em primeiro lugar, que essas informações são apenas uma parte das informações visadas pelo direito de acesso previsto neste artigo, uma vez que este também se refere às informações relativas à importância e às consequências previstas do tratamento em causa para o titular dos dados.

45

Embora estas últimas informações, que, segundo as Orientações sobre as decisões individuais automatizadas e a definição de perfis para efeitos do Regulamento (UE) 2016/679, adotadas em 3 de outubro de 2017 pelo grupo de trabalho instituído ao abrigo do artigo 29.o da Diretiva 95/46, com a última redação revista e adotada em 6 de fevereiro de 2018, para serem úteis e compreensíveis, devem ser acompanhadas de «exemplos reais e tangíveis», não sejam objeto das questões submetidas pelo órgão jurisdicional de reenvio, importa, no entanto, tê‑las em conta enquanto elemento contextual do conceito de «informações úteis relativas à lógica subjacente».

46

Em segundo lugar, tendo em conta o facto de que o conceito de «informações úteis relativas à lógica subjacente» figura igualmente no artigo 13.o, n.o 2, alínea f), e no artigo 14.o, n.o 2, alínea g), do RGPD, o Tribunal de Justiça já declarou que, no caso de decisões automatizadas, na aceção do artigo 22.o, n.o 1, deste regulamento, o direito de acesso a essas informações, consagrado no seu artigo 15.o, n.o 1, alínea h), se inclui no mesmo conjunto dos deveres de informação adicionais que se impõem ao responsável pelo tratamento por força deste artigo 13.o, n.o 2, alínea f), e deste artigo 14.o, n.o 2, alínea g), do RGPD [v., neste sentido, Acórdão de 7 de dezembro de 2023, SCHUFA Holding e o. (Scoring), C‑634/21, EU:C:2023:957, n.o 56].

47

Em terceiro lugar, como expôs, em substância, o advogado‑geral nos n.os 58 a 60 das conclusões, importa ter em conta, no âmbito da interpretação contextual dos direitos de acesso previstos em caso de decisões automatizadas, a jurisprudência do Tribunal de Justiça relativa aos requisitos que o responsável pelo tratamento deve respeitar por força do artigo 15.o, n.o 3, do RGPD.

48

Assim, há que ter em conta, nomeadamente, o facto de o requisito de transparência das informações comunicadas, previsto no artigo 12.o, n.o 1, do RGPD, se aplicar a todos os dados e informações referidos no artigo 15.o, incluindo os relacionados com as decisões automatizadas.

49

Para assegurar que o titular dos dados tem a plena compreensão das informações que lhe são fornecidas pelo responsável pelo tratamento, o referido artigo 12.o, n.o 1, obriga este último a tomar as medidas adequadas, nomeadamente, para fornecer ao seu titular esses dados e informações de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 38).

50

O exame do contexto em que o artigo 15.o, n.o 1, alínea h), do RGPD se insere corrobora, assim, a interpretação que é possível extrair da análise dos termos desta disposição, segundo a qual as «informações úteis respeitantes à lógica subjacente» às decisões automatizadas, na aceção desta disposição, referem‑se a qualquer informação pertinente relativa ao procedimento e aos princípios de exploração de dados pessoais para obter, por via automatizada, um determinado resultado, exigindo a obrigação de transparência, por outro lado, que essas informações sejam fornecidas de forma concisa, transparente, inteligível e de fácil acesso.

51

Por último, no que respeita às finalidades do RGPD, há que recordar que o objetivo deste regulamento consiste, nomeadamente, em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular do seu direito à proteção dos dados pessoais, consagrado no artigo 16.o TFUE e garantido, enquanto direito fundamental, pelo artigo 8.o da Carta, que completa o direito à vida privada garantido pelo artigo 7.o da mesma [v., neste sentido, Acórdão de 4 de outubro de 2024, Schrems (Comunicação de dados ao grande público), C‑446/21, EU:C:2024:834, n.o 45 e jurisprudência referida].

52

Assim, como esclarece, por outro lado, o seu considerando 11, o RGPD tem por finalidade o reforço e a especificação dos direitos dos titulares dos dados (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 33 e jurisprudência referida).

53

No que respeita, mais concretamente, ao direito de acesso previsto no artigo 15.o do RGPD, resulta da jurisprudência do Tribunal de Justiça que este direito deve permitir ao titular dos dados verificar que os dados pessoais que lhe dizem respeito são exatos e que são tratados de forma lícita [Acórdãos de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 34, e de 26 de outubro de 2023, FT (Cópias do registo clínico), C‑307/22, EU:C:2023:811, n.o 73].

54

Esse direito de acesso é necessário para que o titular dos dados exerça, se for caso disso, o seu direito à retificação, o seu direito ao apagamento dos dados («direito a ser esquecido») e o seu direito à limitação do tratamento, que lhe são reconhecidos, respetivamente, pelos artigos 16.o, 17.o e 18.o do RGDP, o seu direito de oposição ao tratamento dos seus dados pessoais, previsto no artigo 21.o do RGPD, assim como o seu direito de recurso e o direito à reparação, previstos, respetivamente, nos artigos 79.o e 82.o do RGPD (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 35).

55

Em especial, no contexto específico da adoção de uma decisão que se baseia exclusivamente num tratamento automatizado, a finalidade principal do direito de o titular dos dados obter as informações previstas no artigo 15.o, n.o 1, alínea h), do RGPD consiste em lhe permitir exercer de forma eficaz os direitos que lhe são reconhecidos pelo artigo 22.o, n.o 3, deste regulamento, a saber, os de manifestar o seu ponto de vista sobre essa decisão e de a contestar.

56

Com efeito, se as pessoas afetadas por uma decisão automatizada, incluindo a definição de perfis, não estivessem em condições de compreender as razões que conduziram a essa decisão antes de exprimirem o seu ponto de vista ou de a contestarem, esses direitos não poderiam, por esse facto, cumprir plenamente a sua finalidade de proteger essas pessoas contra os riscos específicos para os seus direitos e liberdades decorrentes do tratamento automatizado dos seus dados pessoais [v., neste sentido, Acórdão de 7 de dezembro de 2023, SCHUFA Holding e o. (Scoring), C‑634/21, EU:C:2023:957, n.o 57].

57

A este respeito, resulta do considerando 71 do RGPD que, quando o titular dos dados for objeto de uma decisão baseada exclusivamente no tratamento automatizado e que o afete de forma significativa, este deve ter o direito de obter uma explicação sobre essa decisão. Como salientou o advogado‑geral no n.o 67 das conclusões, há, portanto, que considerar que o artigo 15.o, n.o 1, alínea h), do RGPD oferece ao titular dos dados um verdadeiro direito à explicação sobre o funcionamento do mecanismo subjacente à decisão automatizada de que essa pessoa foi objeto e sobre o resultado a que essa decisão conduziu.

58

Resulta da análise das finalidades do RGPD e, em especial, das do seu artigo 15.o, n.o 1, alínea h), que o direito de obter «informações úteis relativas à lógica subjacente» a decisões automatizadas, na aceção desta disposição, deve ser entendido como um direito à explicação sobre o procedimento e os princípios concretamente aplicados para explorar, por via automatizada, os dados pessoais do titular dos dados com vista a obter um determinado resultado, como um perfil de solvência. Para permitir ao titular dos dados exercer eficazmente os direitos que lhe são reconhecidos pelo RGPD e, em especial, o seu artigo 22.o, n.o 3, essa explicação deve ser fornecida através de informações pertinentes e de forma concisa, transparente, inteligível e de fácil acesso.

59

Não cumpre estes requisitos a simples comunicação de uma fórmula matemática complexa, como um algoritmo, nem a descrição detalhada de todas as etapas das decisões automatizadas, uma vez que nenhuma dessas modalidades constitui uma explicação suficientemente concisa e inteligível.

60

Com efeito, como resulta da página 28 das Orientações sobre as decisões individuais automatizadas e a definição de perfis para efeitos do Regulamento (UE) 2016/679, mencionadas no n.o 45 do presente acórdão, por um lado, o responsável pelo tratamento deverá encontrar formas simples de comunicar ao titular dos dados os motivos da decisão automatizada ou os critérios aplicados para a tomada da decisão. Por outro lado, o RGPD obriga a que o referido responsável forneça informações úteis relativas à lógica subjacente a essa decisão, «e não necessariamente uma explicação complexa sobre os algoritmos utilizados ou a divulgação do algoritmo na íntegra».

61

Assim, as «informações úteis relativas à lógica subjacente» às decisões automatizadas, na aceção do artigo 15.o, n.o 1, alínea h), do RGPD, devem descrever o procedimento e os princípios concretamente aplicados de tal modo, que o titular dos dados possa compreender quais dos seus dados pessoais foram utilizados e de que forma no momento da decisão automatizada em causa, sem que a complexidade das operações a realizar no âmbito de uma decisão automatizada possa exonerar o responsável pelo tratamento do seu dever de explicação.

62

No que respeita especificamente a uma definição de perfis como a que está em causa no processo principal, o órgão jurisdicional de reenvio pode, nomeadamente, considerar suficientemente transparente e inteligível o facto de informar o titular dos dados de como uma variação ao nível dos dados pessoais tidos em conta teria conduzido a um resultado diferente.

63

No entanto, importa ainda especificar que, no que respeita à questão de saber se as informações fornecidas devem permitir ao titular dos dados verificar a exatidão dos dados pessoais que lhe dizem respeito, com base nos quais assenta a decisão automatizada, o direito de acesso aos referidos dados não resulta da alínea h) do n.o 1 do artigo 15.o do RGPD, mas da frase introdutória do mesmo número, que garante ao titular dos dados a possibilidade de se certificar da exatidão desses dados, como resulta da jurisprudência referida no n.o 53 do presente acórdão.

64

Por último, quanto à afirmação feita pelo órgão jurisdicional de reenvio de que as informações prestadas pela D & B a CK, ao abrigo do artigo 15.o, n.o 1, alínea h), do RGPD, são contrárias aos factos, uma vez que a definição de perfis «reais» teria levado a considerar que a mesma não era solvente, apesar de as referidas informações sugerirem o contrário, há que salientar que, se, segundo esse órgão jurisdicional, a não conformidade assim constatada resultar da falta de comunicação, pela D & B a CK, da definição de perfis realizada a seu respeito por conta da empresa de telecomunicações móveis que, com esse fundamento, se recusou a celebrar ou a renovar um contrato com ela, este facto deve ser sanado através do direito de acesso ao perfil de solvência assim estabelecido. A este respeito, resulta da jurisprudência do Tribunal de Justiça que os dados pessoais gerados pelo próprio responsável pelo tratamento estão abrangidos pelo artigo 14.o do RGPD (v., neste sentido, Acórdão de 28 de novembro de 2024, Másdi, C‑169/23, EU:C:2024:988, n.o 48).

65

Em contrapartida, uma explicação das diferenças existentes entre o resultado dessa definição de perfis «real», admitindo que está demonstrada, e o resultado comunicado pela D & B a CK e obtido, segundo esta sociedade, através de uma «agregação equivalente» dos dados relativos a CK enquadra‑se efetivamente nas «informações úteis relativas à lógica subjacente» à definição de perfis assim realizada. Em conformidade com o que foi salientado no n.o 58 do presente acórdão, a D & B está, portanto, obrigada a explicar de forma concisa, transparente, inteligível e de fácil acesso o procedimento e os princípios em aplicação dos quais o resultado da definição de perfis «real» foi obtido.

66

Resulta de tudo o que precede que importa responder à primeira e à segunda questão, bem como à terceira questão, alínea a), que o artigo 15.o, n.o 1, alínea h), do RGPD deve ser interpretado no sentido de que, no caso de decisões automatizadas, incluindo a definição de perfis, na aceção do artigo 22.o, n.o 1, deste regulamento, o titular dos dados pode exigir do responsável pelo tratamento, a título de «informações úteis relativas à lógica subjacente», que este lhe explique, através de informações pertinentes e de forma concisa, transparente, inteligível e de fácil acesso, o procedimento e os princípios concretamente aplicados para explorar, por via automatizada, os dados pessoais relativos a essa pessoa com vista a obter um determinado resultado, como um perfil de solvência.

67

Com a terceira questão, alíneas b) e c), a quarta questão, alíneas a) e b), e a quinta e sexta questões, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 15.o, n.o 1, alínea h), do RGPD deve ser interpretado no sentido de que, na hipótese de o responsável pelo tratamento considerar que as informações a prestar ao titular dos dados em conformidade com esta disposição contêm dados de terceiros protegidos por este regulamento ou relativos a segredo comercial, na aceção do artigo 2.o, ponto 1, da Diretiva 2016/943, esse responsável é obrigado a comunicar as informações alegadamente protegidas à autoridade de controlo ou ao órgão jurisdicional competentes, aos quais incumbe ponderar os direitos e os interesses em causa para determinar o alcance do direito de acesso do titular dos dados, previsto no artigo 15.o do RGPD.

68

A este respeito, importa recordar que, nos termos do considerando 4 do RGPD, o direito à proteção dos dados pessoais não é absoluto e deve ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. Assim, o RGPD respeita todos os direitos fundamentais e observa as liberdades e os princípios reconhecidos pela Carta dos Direitos Fundamentais, consagrados pelos Tratados [Acórdão de 26 de outubro de 2023, FT (Cópias do registo clínico), C‑307/22, EU:C:2023:811, n.o 59 e jurisprudência referida].

69

Além disso, o considerando 63 deste regulamento enuncia que o direito de qualquer titular de dados aceder aos dados pessoais recolhidos que lhe digam respeito não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software.

70

Todavia, essas considerações não deverão resultar na recusa de prestação de todas as informações ao titular dos dados. Assim, o artigo 23.o, n.o 1, alínea i), deste regulamento prevê, em substância, que uma limitação do alcance das obrigações e dos direitos previstos, nomeadamente, no artigo 15.o daquele é possível desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar a proteção dos direitos e liberdades de outrem.

71

À luz do direito conexo de obter uma cópia, consagrado no artigo 15.o, n.o 4, do RGPD, o Tribunal de Justiça já salientou que a sua aplicação não deve prejudicar os direitos e as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual, particularmente o direito de autor que protege o software (v., neste sentido, Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 43).

72

Neste contexto, o Tribunal de Justiça pôs em destaque que, em caso de conflito entre, por um lado, o exercício de um direito de acesso pleno e completo aos dados pessoais e, por outro, os direitos ou liberdades de terceiros, é necessário encontrar um equilíbrio entre os direitos e liberdades em questão. Sempre que possível, é necessário optar por formas de comunicação de dados pessoais que não violem os direitos ou as liberdades de terceiros, tendo em conta que, tal como referido no considerando 63 do RGPD, tais considerações não devem «resultar na recusa de prestação de todas as informações ao titular dos dados» (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.o 44).

73

Quanto à questão de saber de que modo o direito de acesso consagrado no artigo 15.o, n.o 1, alínea h), do RGPD pode ser aplicado de forma a respeitar os direitos e as liberdades de terceiros, importa recordar que, segundo a jurisprudência, um órgão jurisdicional nacional pode considerar que os dados pessoais das partes ou de terceiros lhe devem ser apresentados a fim de poder ponderar, com pleno conhecimento de causa e no respeito pelo princípio da proporcionalidade, os interesses em presença. Esta apreciação pode, se for caso disso, levá‑lo a autorizar a divulgação completa ou parcial à parte contrária dos dados pessoais que lhe foram comunicados, se considerar que essa divulgação não vai além do necessário para garantir o gozo efetivo dos direitos que os particulares retiram do artigo 47.o da Carta (Acórdão de 2 de março de 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, n.o 58).

74

Como salientou o advogado‑geral no n.o 94 das conclusões, esta jurisprudência é totalmente transponível para o caso de as informações a fornecer ao titular dos dados ao abrigo do direito de acesso garantido pelo artigo 15.o, n.o 1, alínea h), do RGPD serem suscetíveis de lesar os direitos e as liberdades de terceiros, nomeadamente por conterem dados pessoais de terceiros protegidos pelo referido regulamento ou um segredo comercial, na aceção do artigo 2.o, ponto 1, da Diretiva 2016/943. Também neste caso, as referidas informações devem ser comunicadas à autoridade de controlo ou ao tribunal competente, aos quais incumbe ponderar os direitos e os interesses envolvidos para determinar o alcance do direito de acesso do titular dos dados aos dados pessoais que lhe digam respeito.

75

Face à necessidade de proceder casuisticamente a essa determinação, o artigo 15.o, n.o 1, alínea h), do RGPD opõe‑se, nomeadamente, à aplicação de uma disposição como o § 4, n.o 6, da DSG que exclui, em princípio, o direito de acesso do titular dos dados, previsto no artigo 15.o do RGPD, quando esse acesso prejudique um segredo comercial ou empresarial do responsável pelo tratamento ou de um terceiro. A este respeito, importa recordar que um Estado‑Membro não pode prescrever, de forma definitiva, o resultado de uma ponderação casuística dos direitos e dos interesses em causa, imposta pelo direito da União [v., neste sentido, Acórdão de 7 de dezembro de 2023, SCHUFA Holding e o. (Scoring), C‑634/21, EU:C:2023:957, n.o 70 e jurisprudência referida].

76

Tendo em conta todas as considerações precedentes, há que responder à terceira questão, alíneas b) e c), à quarta questão, alíneas a) e b), e à quinta e sexta questões que o artigo 15.o, n.o 1, alínea h), do RGPD deve ser interpretado no sentido de que, na hipótese de o responsável pelo tratamento considerar que as informações a prestar ao titular dos dados em conformidade com esta disposição contêm dados de terceiros protegidos por este regulamento ou relativos a segredo comercial, na aceção do artigo 2.o, ponto 1, da Diretiva 2016/943, esse responsável é obrigado a comunicar as informações alegadamente protegidas à autoridade de controlo ou ao órgão jurisdicional competentes, aos quais incumbe ponderar os direitos e os interesses em causa para determinar o alcance do direito de acesso do titular dos dados previsto no artigo 15.o do RGPD.

77

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara: