Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0061

Acórdão do Tribunal de Justiça (Segunda Secção) de 11 de novembro de 2020.
Orange Romania SA contra Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
Pedido de decisão prejudicial apresentado pelo Tribunalul Bucureşti.
Reenvio prejudicial — Diretiva 95/46/CE — Artigo 2.o, alínea h), e artigo 7.o, alínea a) — Regulamento (UE) 2016/679 — Artigo 4.o, ponto 11, e artigo 6.o, n.o 1, alínea a) — Tratamento de dados pessoais e proteção da vida privada — Recolha e conservação das cópias de títulos de identidade por um prestador de serviços de telecomunicações móveis — Conceito de “consentimento” da pessoa em causa — Manifestação de vontade livre, específica e informada — Declaração de consentimento através de uma opção a validar — Assinatura do contrato pela pessoa em causa — Ónus da prova.
Processo C-61/19.

ECLI identifier: ECLI:EU:C:2020:901

 ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Segunda Secção)

11 de novembro de 2020 ( *1 )

«Reenvio prejudicial — Diretiva 95/46/CE — Artigo 2.o, alínea h), e artigo 7.o, alínea a) — Regulamento (UE) 2016/679 — Artigo 4.o, ponto 11, e artigo 6.o, n.o 1, alínea a) — Tratamento de dados pessoais e proteção da vida privada — Recolha e conservação das cópias de títulos de identidade por um prestador de serviços de telecomunicações móveis — Conceito de “consentimento” da pessoa em causa — Manifestação de vontade livre, específica e informada — Declaração de consentimento através de uma opção a validar — Assinatura do contrato pela pessoa em causa — Ónus da prova»

No processo C‑61/19,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pelo Tribunalul Bucureşti (Tribunal Regional de Bucareste, Roménia), por Decisão de 14 de novembro de 2018, que deu entrada no Tribunal de Justiça em 29 de janeiro de 2019, no processo

Orange România SA

contra

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP),

O TRIBUNAL DE JUSTIÇA (Segunda Secção),

composto por: A. Arabadjiev, presidente de Secção, T. von Danwitz (relator) e P. G. Xuereb, juízes,

advogado‑geral: M. Szpunar,

secretário: D. Dittert, chefe de unidade,

vistos os autos e na sequência da audiência de 11 de dezembro de 2019,

considerando as observações apresentadas:

em representação da Orange România SA, por D.‑D. Dascălu, A.‑M. Iordache e I. Buga, avocaţi,

em representação da Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), por A. G. Opre e I. Ilie, na qualidade de agentes,

em representação do Governo romeno, inicialmente, por E. Gane, O.‑C. Ichim, L. Liţu e C.‑R. Canţăr, em seguida, por E. Gane, O.‑C. Ichim e L. Liţu, na qualidade de agentes,

em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por M. Russo, avvocato dello Stato,

em representação do Governo austríaco, inicialmente, por J. Schmoll e G. Hesse, em seguida, por J. Schmoll, na qualidade de agentes,

em representação do Governo português, por L. Inez Fernandes, P. Barros da Costa, L. Medeiros e I. Oliveira, na qualidade de agentes,

em representação da Comissão Europeia, por H. Kranenborg, D. Nardi e L. Nicolae, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 4 de março de 2020,

profere o presente

Acórdão

1

O pedido de decisão prejudicial tem por objeto a interpretação do artigo 2.o, alínea h), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), bem como do artigo 4.o, ponto 11, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a Orange România SA à Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Autoridade Nacional de Supervisão do Tratamento dos Dados Pessoais, Roménia) a propósito de um recurso de anulação de uma decisão em que esta última aplicou à Orange România uma coima por ter recolhido e conservado cópias de títulos de identidade dos seus clientes, sem o consentimento válido destes, e lhe ordenou que destruísse essas cópias.

Quadro jurídico

Direito da União

Diretiva 95/46

3

O considerando 38 da Diretiva 95/46 enuncia que, «para que o tratamento de dados seja leal, a pessoa em causa deve poder ter conhecimento da existência dos tratamentos e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha».

4

O artigo 2.o, alínea h), desta diretiva prevê que, para efeitos desta, se entende por:

«“Consentimento da pessoa em causa”: qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento.»

5

O artigo 6.o da diretiva dispõe:

«1.   Os Estados‑Membros devem estabelecer que os dados pessoais serão:

a)

Objeto de um tratamento leal e lícito;

[…]

2.   Incumbe ao responsável pelo tratamento assegurar a observância do disposto no n.o 1.»

6

Nos termos do artigo 7.o, alínea a), da mesma diretiva:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a)

A pessoa em causa tiver dado de forma inequívoca o seu consentimento […]»

7

O artigo 10.o desta diretiva tem a seguinte redação:

«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a)

Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b)

Finalidades do tratamento a que os dados se destinam;

c)

Outras informações, tais como:

os destinatários ou categorias de destinatários dos dados,

[o facto de saber se a resposta às perguntas é obrigatória ou facultativa, bem como as consequências eventuais de não ser dada resposta,]

a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.»

Regulamento 2016/679

8

Os considerandos 32 e 42 do Regulamento 2016/679 enunciam:

«(32)

O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré‑validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.

[…]

(42)

Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento à operação de tratamento dos dados. Em especial, no contexto de uma declaração escrita relativa a outra matéria, deverão existir as devidas garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE do Conselho[, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO 1993, L 95, p. 29)], uma declaração de consentimento, previamente formulada pelo responsável pelo tratamento, deverá ser fornecida de uma forma inteligível e de fácil acesso, numa linguagem clara e simples e sem cláusulas abusivas. Para que o consentimento seja dado com conhecimento de causa, o titular dos dados deverá conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades a que o tratamento se destina. Não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.»

9

O artigo 4.o, ponto 11, do referido regulamento prevê:

«“Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.»

10

O artigo 5.o do mesmo regulamento dispõe:

«1.   Os dados pessoais são:

a)

Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (licitude, lealdade e transparência);

[…]

2.   O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (responsabilidade).»

11

Nos termos do artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679:

«1.   O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)

O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

[…]»

12

O artigo 7.o, n.os 1, 2 e 4, do Regulamento 2016/679 tem a seguinte redação:

«1.   Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

2.   Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

[…]

4.   Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.»

13

O artigo 13.o deste regulamento enuncia, nos seus n.os 1 e 2:

«1.   Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:

a)

A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;

[…]

c)

As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;

[…]

2.   Para além das informações referidas no n.o 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:

a)

Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;

b)

A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;

c)

Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alínea a), ou no artigo 9.o, n.o 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.»

14

O artigo 94.o, n.o 1, do Regulamento 2016/679 prevê:

«A Diretiva 95/46/CE é revogada com efeitos a partir de 25 de maio de 2018.»

15

Por força do artigo 99.o, n.o 2, do Regulamento 2016/679, este último é aplicável a partir de 25 de maio de 2018.

Direito romeno

16

A legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Lei n.o 677/2001, Relativa à Proteção das Pessoas no que Diz Respeito ao Tratamento dos Dados Pessoais e à Livre Circulação desses Dados) (Monitorul Oficial al României, parte I, n.o 790, de 12 de dezembro de 2001) destina‑se a transpor as disposições da Diretiva 95/46 para o direito nacional.

17

O artigo 5.o, n.o 1, desta lei dispõe:

«1)   O tratamento de dados pessoais, salvo se visar dados que pertençam às categorias mencionadas no artigo 7.o, n.o 1, e nos artigos 8.o e 10.o, pode ser efetuado unicamente se a pessoa em causa tiver expressa e indubitavelmente dado o seu consentimento a esse tratamento.

[…]»

18

Nos termos do artigo 8.o da referida lei:

«1)   O tratamento do número de identificação pessoal ou de outros dados pessoais que tenham uma função de identificação de caráter geral só pode ser efetuado se:

a)

A pessoa em causa tiver dado expressamente o seu consentimento; ou

b)

A tratamento estiver expressamente previsto por uma disposição legal.

2)   A autoridade de controlo pode igualmente determinar outros casos em que é possível efetuar o tratamento dos dados referidos no n.o 1, na condição de prever as garantias adequadas para assegurar o respeito dos direitos das pessoas em causa.»

19

Nos termos do artigo 32.o da Lei n.o 677/2001:

«O tratamento de dados pessoais efetuados por um responsável de tratamento ou por uma pessoa habilitada por este último em violação dos artigos 4.o a 10.o ou em violação dos direitos previstos nos artigos 12.o a 15.o ou no artigo 17.o constitui uma infração administrativa, se não tiver sido cometida em condições constitutivas de uma infração penal, e é punida com uma coima de [1000] RON a [25000] RON.»

Litígio no processo principal e questões prejudiciais

20

A Orange România presta serviços de telecomunicações móveis no mercado romeno.

21

Por Decisão de 28 de março de 2018, a ANSPDCP aplicou à Orange România uma coima por ter conservado cópias de títulos de identidade dos seus clientes, sem ter demonstrado que esses clientes tinham dado o seu consentimento válido, impondo‑lhe igualmente que destruísse essas cópias.

22

Nessa decisão, a ANSPDCP salientou que, no período compreendido entre 1 e 26 de março de 2018, a Orange România tinha celebrado por escrito contratos de prestação de serviços de telecomunicação móvel com pessoas singulares e que as cópias dos títulos de identidade dessas pessoas estavam anexadas a esses contratos. Segundo a ANSPDCP, a Orange não fez prova de que os seus clientes, a cujos contratos estavam anexadas cópias dos respetivos títulos de identidade, tinham dado o seu consentimento válido para a recolha e a conservação dos seus títulos de identidade.

23

As cláusulas pertinentes dos contratos em questão estavam redigidas da seguinte forma:

«— O cliente declara o seguinte:

(i)

foi informado, antes da celebração do contrato, do plano tarifário escolhido, das tarifas aplicáveis, da duração mínima do contrato, das condições em que este chega ao termo, das condições de acesso aos serviços e da utilização destes, incluindo no que respeita às zonas de cobertura dos serviços, […];

(ii)

a Orange România pôs à disposição do cliente todas as informações necessárias para este poder manifestar um consentimento não viciado, expresso, livre e específico quanto à celebração do contrato e ao compromisso expresso a este relativo, incluindo toda a documentação contratual — as condições gerais da utilização dos serviços da Orange e a brochura sobre as tarifas e serviços;

(iii)

foi informado e deu o seu consentimento quanto:

ao tratamento dos dados pessoais para os fins previstos no artigo 1.15 das condições gerais para a utilização dos serviços da Orange;

à conservação de cópias dos atos que contenham dados pessoais para fins de identificação;

ao acordo para o tratamento de dados pessoais (número de contacto, correio eletrónico) para fins de marketing direto;

ao acordo para o tratamento de dados pessoais (número de contacto, correio eletrónico) para fins da realização de estudos de mercado;

após leitura, dou o meu acordo expresso para a conservação de cópias dos atos que contenham dados pessoais sobre o estado de saúde;

não incluir os dados mencionados no artigo 1.15, n.o 10, das condições gerais para a utilização dos serviços da Orange nos serviços de informação sobre os assinantes e os anuários.»

24

A Orange România interpôs recurso da Decisão de 28 de março de 2018 no Tribunalul Bucureşti (Tribunal Regional de Bucareste, Roménia).

25

Segundo foi apurado pelo órgão jurisdicional de reenvio, existem, por um lado, contratos nos quais foi inserida uma cruz na opção relativa à cláusula respeitante à conservação de cópias dos atos que contenham dados pessoais para fins de identificação e, por outro, contratos nos quais essa cruz não existe. Esse órgão jurisdicional precisa que, não obstante as indicações que figuram nas suas condições gerais de venda, a Orange România não se recusou a celebrar contratos de adesão com clientes que recusaram dar o seu consentimento para a conservação da cópia de um dos seus títulos de identidade. O referido órgão jurisdicional salienta ainda que os «procedimentos internos» de venda da Orange România previam que essa recusa devia ser documentada num formulário específico, a assinar por esses clientes antes da celebração do contrato.

26

O órgão jurisdicional de reenvio interroga‑se sobre a questão de saber se, nestas circunstâncias, se pode considerar que os clientes em causa deram validamente o seu consentimento para que os dados relativos ao seu título de identidade fossem recolhidos e para que cópias deste fossem anexadas aos contratos. Além disso, pergunta‑se se a assinatura de um contrato, no qual figura a cláusula relativa à conservação de cópias dos atos que contenham dados pessoais para fins de identificação, permite provar a existência desse consentimento.

27

Nestas condições, o Tribunalul Bucureşti (Tribunal Regional de Bucareste) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)

Na aceção do artigo 2.o, alínea h), da Diretiva 95/46 […], quais são as condições que devem ser preenchidas para [se] poder considerar que uma manifestação de vontade é específica e informada?

2)

Na aceção do artigo 2.o, alínea h), da Diretiva 95/46 […], quais são as condições que devem ser preenchidas para [se] poder considerar que uma manifestação de vontade é expressa livremente?»

Quanto às questões prejudiciais

28

A título preliminar, importa determinar a aplicabilidade da Diretiva 95/46 e do Regulamento 2016/679 aos factos em causa no processo principal.

29

Com efeitos a 25 de maio de 2018, a Diretiva 95/46 foi revogada e substituída pelo Regulamento 2016/679, por força do artigo 94.o, n.o 1, e do artigo 99.o, n.o 2, deste regulamento.

30

Por conseguinte, tendo a decisão da ANSPDCP, em causa no processo principal, sido adotada em 28 de março de 2018 e, portanto, anteriormente a 25 de maio de 2018, o órgão jurisdicional de reenvio entende, acertadamente, que a Diretiva 95/46 se aplica ratione temporis ao litígio no processo principal.

31

Não obstante, resulta igualmente dos autos submetidos ao Tribunal de Justiça que, através da sua decisão, a ANSPDCP não só aplicou uma coima à Orange România como também lhe ordenou que destruísse as cópias dos títulos de identidade em causa, e que o litígio no processo principal tem igualmente por objeto esta última injunção. Ora, visto que nenhum elemento desses autos indica que tenha sido dado seguimento à referida injunção antes de 25 de maio de 2018, não está excluído que, no caso vertente, o Regulamento 2016/679 seja aplicável ratione temporis no que à mesma diz respeito (v., neste sentido, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 41).

32

Nestas condições, a fim de permitir ao Tribunal de Justiça fornecer respostas úteis às questões submetidas pelo órgão jurisdicional de reenvio, há que responder a estas questões com base tanto na Diretiva 95/46 como no Regulamento 2016/679 (v., por analogia, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 43).

33

Através das suas duas questões prejudiciais, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46, bem como o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, devem ser interpretados no sentido de que um contrato relativo à prestação de serviços de telecomunicações que contenha uma cláusula nos termos da qual a pessoa em causa foi informada e deu o seu consentimento para a recolha e a conservação de uma cópia do seu título de identificação pode ser suscetível de demonstrar que essa pessoa deu validamente o seu consentimento, na aceção destas disposições, para essa recolha e essa conservação.

34

A este respeito, importa recordar que o artigo 7.o da Diretiva 95/46 e o artigo 6.o do Regulamento 2016/679 preveem uma lista exaustiva dos casos em que um tratamento de dados pessoais pode ser considerado lícito (v., no que respeita ao artigo 7.o da Diretiva 95/46, Acórdãos de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.o 57 e jurisprudência referida, e de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 53). Em especial, o artigo 7.o, alínea a), desta diretiva e o artigo 6.o, n.o 1, alínea a), do referido regulamento preveem que o consentimento da pessoa em causa pode tornar lícito esse tratamento.

35

Quanto às exigências a que esse consentimento está subordinado, o artigo 7.o, alínea a), da referida diretiva dispõe que a pessoa em causa deve ter «dado de forma inequívoca o seu consentimento», ao passo que o artigo 2.o, alínea h), da Diretiva 95/46, define o termo «consentimento» como visando «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento». Na medida em que estas disposições preveem que haja uma «manifestação de vontade» da pessoa em causa a fim de dar «de forma inequívoca» o seu consentimento, só um comportamento ativo por parte dessa pessoa, com vista a manifestar o seu consentimento, pode entrar em linha de conta (v., neste sentido, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.os 52 e 54).

36

Esta mesma exigência aplica‑se igualmente no âmbito do Regulamento 2016/679. Com efeito, a redação do artigo 4.o, ponto 11, deste regulamento, que define o «[c]onsentimento do titular dos dados» para efeitos, designadamente, do seu artigo 6.o, n.o 1, alínea a), revela‑se ainda mais estrita do que a do artigo 2.o, alínea h), da Diretiva 95/46, porquanto exige uma manifestação de vontade «livre, específica, informada e explícita» do titular dos dados, sob a forma de uma declaração ou de um «ato positivo inequívoco», que constitui a sua aceitação do tratamento dos dados pessoais que lhe dizem respeito. Assim, um consentimento ativo está agora expressamente previsto no Regulamento 2016/679 (v., neste sentido, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.os 61 a 63).

37

A este respeito, embora o considerando 32 deste regulamento precise que o consentimento pode ser dado, designadamente, validando uma opção ao visitar um sítio web na Internet, em contrapartida, exclui expressamente que «[o] silêncio, as opções pré‑validadas ou a omissão» constituam um consentimento. Como o Tribunal de Justiça já declarou, em tal hipótese, verifica‑se que, na prática, é impossível determinar objetivamente se o utilizador de um sítio Internet deu efetivamente o seu consentimento para o tratamento dos seus dados pessoais ao não ter desmarcado uma opção pré‑validada por defeito, bem como, em todo o caso, se esse consentimento foi dado de modo informado. Com efeito, não se pode excluir que o referido utilizador não tenha lido a informação que acompanha a opção pré‑validada, ou mesmo que não se tenha apercebido dessa opção, antes de prosseguir a sua atividade no sítio Internet que visita (v., neste sentido, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.os 55 e 57).

38

Acresce que o artigo 2.o, alínea h), da Diretiva 95/46 e o artigo 4.o, ponto 11, do Regulamento 2016/679 exigem uma manifestação de vontade «específica», no sentido de que deve incidir precisamente sobre o tratamento de dados em causa e não pode ser deduzida de uma manifestação de vontade que tenha um objeto distinto (v., no que diz respeito ao artigo 2.o, alínea h), da Diretiva 95/46, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 58).

39

A este respeito, o artigo 7.o, n.o 2, primeiro período, deste regulamento precisa que, quando o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos. Em especial, resulta desta última disposição, lida em conjugação com o considerando 42 do referido regulamento, que essa declaração deve ser apresentada de modo inteligível e de fácil acesso e numa linguagem clara e simples, designadamente quando se tratar de uma declaração de consentimento a formular previamente pelo responsável pelo tratamento dos dados pessoais.

40

Quanto à exigência resultante do artigo 2.o, alínea h), da Diretiva 95/46 e do artigo 4.o, ponto 11, do Regulamento 2016/679 segundo a qual o consentimento deve ser «informado», essa exigência implica, em conformidade com o artigo 10.o desta diretiva, lido à luz do considerando 38 desta, e com o artigo 13.o deste regulamento, lido à luz do seu considerando 42, que o responsável pelo tratamento forneça à pessoa em causa uma informação a respeito de todas as circunstâncias relacionadas com o tratamento dos dados, de modo inteligível e de fácil acesso e numa linguagem clara e simples, devendo essa pessoa, designadamente, conhecer o tipo de dados a tratar, a identidade do responsável pelo tratamento, a duração e as modalidades desse tratamento bem como as finalidades que este prossegue. Tal informação deve permitir à referida pessoa determinar facilmente as consequências do consentimento que possa vir a dar e garantir que esse consentimento seja dado com pleno conhecimento de causa (v., por analogia, Acórdão de 1 de outubro de 2019, Planet49, C‑673/17, EU:C:2019:801, n.o 74).

41

Além disso, como a Comissão salientou nas suas observações apresentadas ao Tribunal de Justiça, resulta do artigo 10.o, alínea c), segundo travessão, da Diretiva 95/46, bem como do artigo 13.o, n.o 2, alínea b) e alínea c), do Regulamento 2016/679, lido à luz do considerando 42 deste, que, para garantir à pessoa em causa uma verdadeira liberdade de escolha, as estipulações contratuais não devem induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato, mesmo que ela recuse consentir no tratamento dos seus dados. Na falta de informações desta natureza, não se pode considerar que o consentimento dessa pessoa para o tratamento dos seus dados tenha sido dado livremente nem, de resto, que tenha sido dado de modo informado.

42

Acrescente‑se que, por força do artigo 6.o, n.o 1, alínea a), e n.o 2, da Diretiva 95/46, bem como do artigo 5.o, n.o 1, alínea a), do Regulamento 2016/679, o responsável pelo tratamento dos dados pessoais deve garantir, designadamente, a licitude do tratamento desses dados e, como precisa o n.o 2 desse artigo 5.o, deve poder demonstrar essa licitude. No que respeita, mais especialmente, a um eventual consentimento da pessoa em causa, o artigo 7.o, alínea a), desta diretiva prevê que a pessoa em causa deve ter dado de «forma inequívoca» o seu consentimento, o que implica, como o advogado‑geral expôs, no n.o 56 das suas conclusões, que o ónus da prova da existência de um consentimento válido incumbe ao responsável pelo tratamento. O artigo 7.o, n.o 1, do referido regulamento prevê atualmente que, quando o tratamento for realizado com base no consentimento, esse responsável deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

43

No caso em apreço, a Orange România alegou, nas suas observações apresentadas ao Tribunal de Justiça, que, no processo de celebração dos contratos em causa no processo principal, os seus agentes de venda informam os clientes em causa, previamente à celebração dos contratos, designadamente, sobre as finalidades da recolha e da conservação das cópias dos títulos de identidade, bem como sobre a escolha de que os clientes dispõem quanto a essa recolha e a essa conservação, antes de obterem oralmente o consentimento desses clientes para se proceder a essa recolha e a essa conservação. Segundo a Orange România, a opção relativa à conservação das cópias de títulos de identidade era, assim, validada unicamente com base no acordo livremente expresso nesse sentido pelos interessados quando da celebração do contrato.

44

Nestas condições, o pedido de decisão prejudicial tem essencialmente em vista clarificar se o consentimento, assim invocado, para esse tratamento de dados pessoais pode ser demonstrado com fundamento nas cláusulas contratuais contidas nesses contratos.

45

A este respeito, resulta das indicações que figuram nesse pedido que, apesar de os contratos conterem uma cláusula segundo a qual os clientes em causa foram informados e deram o seu consentimento para a conservação de uma cópia do seu título de identidade para efeitos de identificação, a opção relativa a essa cláusula já tinha sido validada pelos agentes de venda da Orange România antes de esses clientes procederem à assinatura de aceitação de todas as cláusulas contratuais, a saber, tanto a referida cláusula como outras cláusulas não relacionadas com a proteção de dados. É ainda indicado no referido pedido que, sem que os contratos em causa no processo principal o precisem, a Orange România aceitava celebrar esses contratos com clientes que recusassem dar o seu consentimento para a conservação de uma cópia do seu título de identidade, exigindo, porém, que, nesse caso, esses clientes assinassem um formulário específico onde ficasse registada a sua recusa.

46

Ora, uma vez que, segundo estas indicações, não se afigura que os clientes em causa tivessem eles próprios validado a opção relativa à referida cláusula, o simples facto de essa opção ter sido validada não é suscetível de demonstrar uma manifestação positiva do consentimento desses clientes para que fosse recolhida e conservada uma cópia do seu bilhete de identidade. Com efeito, como salientou o advogado‑geral no n.o 45 das suas conclusões, a circunstância de que os referidos clientes assinaram os contratos que contêm a opção validada não permite, por si só, demonstrar esse consentimento, na falta de indicações que confirmem que essa cláusula foi efetivamente lida e entendida. Cabe ao órgão jurisdicional de reenvio efetuar as necessárias verificações para esse fim.

47

Além disso, na medida em que não se afigura que a cláusula validada relativa ao tratamento desses dados tenha sido apresentada sob uma forma que a distinga claramente das outras cláusulas contratuais, cabe‑lhe apreciar se, tendo em conta as considerações que figuram no n.o 34 do presente acórdão, se pode concluir que a assinatura desses contratos relativa a uma pluralidade de cláusulas contratuais manifesta um consentimento específico para a recolha e a conservação dos dados pessoais, na aceção do artigo 2.o, alínea h), da Diretiva 95/46 e do artigo 4.o, ponto 11, do Regulamento 2016/679.

48

Acresce que, uma vez que a cláusula contratual em causa no processo principal se limita a indicar, sem nenhuma outra menção, a finalidade da identificação da conservação das cópias dos bilhetes de identidade, incumbe ao órgão jurisdicional de reenvio verificar se a informação das pessoas em causa cumpre as exigências do artigo 10.o da Diretiva 95/46 e do artigo 13.o do Regulamento 2016/679, que enunciam as informações que o responsável pelo tratamento deve fornecer à pessoa junto da qual recolhe dados que lhe digam respeito, para lhe garantir um tratamento leal dos mesmos.

49

Cabe igualmente a esse órgão jurisdicional avaliar, designadamente, se as estipulações contratuais em causa no processo principal eram suscetíveis de induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato não obstante a recusa de consentir no tratamento dos seus dados, na falta de indicações sobre este ponto, pondo assim em causa o caráter informado do consentimento expresso pela referida assinatura.

50

Por outro lado, como o advogado‑geral salientou no n.o 60 das suas conclusões, a liberdade desse consentimento é posta em causa pela circunstância de que, na hipótese de este ser recusado, a Orange România exigia, afastando‑se do procedimento normal que conduz à celebração do contrato, que o cliente em causa declarasse por escrito que não autorizava a recolha nem a conservação da cópia do seu título de identidade. Com efeito, como a Comissão observou na audiência, tal exigência suplementar é suscetível de afetar indevidamente a livre escolha de se opor a essa recolha e a essa conservação, o que incumbe igualmente ao órgão jurisdicional de reenvio verificar.

51

De qualquer modo, como resulta das considerações que figuram nos n.os 35, 36 e 42 do presente acórdão, cabe à Orange România, enquanto responsável pelo tratamento dos dados, demonstrar que os seus clientes manifestaram, através de um comportamento ativo, o seu consentimento para o tratamento dos seus dados pessoais, pelo que esta sociedade não pode exigir que manifestem ativamente a sua recusa.

52

Tendo em conta as considerações que precedem, há que responder às questões submetidas que o artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46, bem como o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, devem ser interpretados no sentido de que cabe ao responsável pelo tratamento dos dados demonstrar que a pessoa em causa manifestou, através de um comportamento ativo, o seu consentimento para o tratamento dos seus dados pessoais e obteve previamente uma informação a respeito de todas as circunstâncias relacionadas com esse tratamento, de modo inteligível e de fácil acesso e numa linguagem clara e simples, que lhe permitiu determinar facilmente as consequências desse consentimento, de modo a garantir que este foi dado com conhecimento de causa. Um contrato relativo à prestação de serviços de telecomunicações que contenha uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento para a recolha e a conservação de uma cópia do seu título de identidade para fins de identificação não é suscetível de demonstrar que essa pessoa deu validamente o seu consentimento, na aceção destas disposições, para essa recolha e essa conservação, quando

a opção relativa a essa cláusula tenha sido validada pelo responsável pelo tratamento dos dados, antes da assinatura desse contrato, ou quando

as estipulações contratuais do referido contrato sejam suscetíveis de induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato em questão mesmo que ela se recuse a autorizar o tratamento dos seus dados, ou quando

a livre escolha de se opor a essa recolha e a essa conservação seja afetada indevidamente por esse responsável, ao exigir que a pessoa em causa, a fim de se recusar a dar o seu consentimento, preencha um formulário suplementar onde fique registada essa recusa.

Quanto às despesas

53

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

 

Pelos fundamentos expostos, o Tribunal de Justiça (Segunda Secção) declara:

 

O artigo 2.o, alínea h), e o artigo 7.o, alínea a), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados, bem como o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), devem ser interpretados no sentido de que cabe ao responsável pelo tratamento dos dados demonstrar que a pessoa em causa manifestou, através de um comportamento ativo, o seu consentimento para o tratamento dos seus dados pessoais e obteve previamente uma informação a respeito de todas as circunstâncias relacionadas com esse tratamento, de modo inteligível e de fácil acesso e numa linguagem clara e simples, que lhe permitiu determinar facilmente as consequências desse consentimento, de modo a garantir que este foi dado com conhecimento de causa. Um contrato relativo à prestação de serviços de telecomunicações que contenha uma cláusula segundo a qual a pessoa em causa foi informada e deu o seu consentimento para a recolha e a conservação de uma cópia do seu título de identidade para fins de identificação não é suscetível de demonstrar que essa pessoa deu validamente o seu consentimento, na aceção destas disposições, para essa recolha e essa conservação, quando

 

a opção relativa a essa cláusula tenha sido validada pelo responsável pelo tratamento dos dados, antes da assinatura desse contrato, ou quando

as estipulações contratuais do referido contrato sejam suscetíveis de induzir a pessoa em causa em erro quanto à possibilidade de celebrar o contrato em questão mesmo que ela se recuse a autorizar o tratamento dos seus dados, ou quando

a livre escolha de se opor a essa recolha e a essa conservação seja afetada indevidamente por esse responsável, ao exigir que a pessoa em causa, a fim de se recusar a dar o seu consentimento, preencha um formulário suplementar onde fique registada essa recusa.

 

Assinaturas


( *1 ) Língua do processo: romeno.

Top