Decisão

Edição provisória

CONCLUSÕES DO ADVOGADO‑GERAL

MICHAL BOBEK

apresentadas em 13 de janeiro de 2021 1

Processo C645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

contra

Gegevensbeschermingsautoriteit

[pedido de decisão prejudicial apresentado pelo Hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica)]

«Reenvio prejudicial — Proteção das pessoas no que diz respeito ao tratamento de dados pessoais — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.°, 8.° e 47.° — Regulamento (UE) 2016/679 — Artigos 55.°, 56.°, 58.°, 60.°, 61.° e 66.° — Autoridades de controlo — Tratamento de dados transfronteiriço — Balcão único — Autoridade de controlo principal — Autoridade de controlo interessada — Competência — Poderes — Poder para instaurar processos judiciais»






I.Introdução

1. Permite o Regulamento Geral sobre a Proteção de Dados 2 (a seguir «RGPD») que uma autoridade de controlo de um Estado‑Membro instaure um processo num órgão jurisdicional deste Estado por uma alegada violação deste regulamento no que diz respeito ao tratamento de dados transfronteiriço, quando a referida autoridade não seja a autoridade de controlo principal relativamente a esse processo?

2. Ou será que o novo mecanismo de «balcão único», anunciado como uma das maiores inovações introduzidas pelo RGPD, impede precisamente que tal situação aconteça? Se um responsável pelo tratamento tiver de se defender no âmbito de um processo judicial que tenha por objeto um tratamento de dados transfronteiriço instaurado por uma autoridade de controlo num órgão jurisdicional fora do local em que se encontra o estabelecimento principal do responsável pelo tratamento, deve considerar‑se que tal constitui um «desvio» ao sistema do balcão único e que, por conseguinte, é incompatível com o novo mecanismo do RGPD?

II.Quadro jurídico

A.Direito da União

3. O preâmbulo do RGPD estabelece, nomeadamente, que «[o]s objetivos e os princípios da Diretiva 95/46/CE continuam a ser válidos, mas não evitaram a fragmentação da aplicação da proteção dos dados ao nível da União, nem a insegurança jurídica» (considerando 9) , que é conveniente assegurar em toda a União a aplicação coerente e homogénea no que diz respeito ao tratamento de dados pessoais (considerando 10) , que as autoridades de controlo deverão controlar a aplicação das regras e contribuir para a sua aplicação coerente, a fim de proteger as pessoas singulares e facilitar a livre circulação de dados pessoais no mercado interno (considerando 123) , que em situações que envolvam tratamento transfronteiriço «a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante deverá agir na qualidade de autoridade de controlo principal» e deverá «cooperar com as outras autoridades interessadas» (considerando 124) .

4. Nos termos do artigo 51.°, n.° 1, do RGPD, «[o]s Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”)».

5. Nos termos do artigo 55.°, n.° 1, do RGPD, «[a]s autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro».

6. O artigo 56.° do RGPD é relativo à competência da autoridade de controlo principal. O seu n.° 1 estabelece o seguinte:

«Sem prejuízo do disposto no artigo 55.°, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.°».

7. O artigo 56.°, n.os 2 a 5, dispõe que, em derrogação do n.° 1, «cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro». Estes casos podem ser tratados pelas autoridades de controlo principais, atuando de acordo com o procedimento estabelecido no artigo 60.° do RGPD, ou «[c]aso a autoridade de controlo principal decida não tratar o caso» pela autoridade de controlo local, atuando nos termos dos artigos 61.° e 62.° do RGPD.

8. O artigo 56.°, n.° 6, prevê que «[a] autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante».

9. O artigo 58.°, n.° 5, do RGPD, relativo aos poderes das autoridades de controlo, dispõe:

«Os Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento».

10. O capítulo VII do RGPD, sob a epígrafe «Cooperação e coerência» inclui os artigos 60.° a 76.° O artigo 60.°, sob a epígrafe «Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», descreve de forma pormenorizada o procedimento que as autoridades de controlo principais devem seguir quando lidam com o tratamento de dados transfronteiriço.

11. Por sua vez, o artigo 61.°, n.° 2, do RGPD, relativo à assistência mútua, exige que as autoridades de controlo tomem «todas as medidas adequadas que forem necessárias para responder a um pedido de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido». O artigo 61.°, n.° 8, do RGPD estabelece que quando uma autoridade de controlo não prestar as informações exigidas, a autoridade de controlo requerente pode adotar uma medida provisória no território do respetivo Estado‑Membro, presumindo‑se que é urgente intervir, nos termos do artigo 66.°, n.° 1.

12. O artigo 65.°, n.° 1, alínea a), do RGPD, que é um artigo que tem por epígrafe «Resolução de litígios pelo Comité», estabelece que, a fim de assegurar a aplicação correta e coerente do regulamento em cada caso, o Comité Europeu para a Proteção de Dados (a seguir «Comité») deve adotar uma decisão vinculativa, nomeadamente, nos casos em que uma autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade principal ou em que esta tiver rejeitado essa objeção por carecer de pertinência ou de fundamento.

13. O artigo 66.°, n.° 1, relativo ao procedimento de urgência, estabelece que, em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência, «adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses».

14. O capítulo VIII do RGPD, sob a epígrafe «Vias de recurso, responsabilidade e sanções», inclui os artigos 77.° a 84.° O artigo 77.°, n.° 1, dispõe que todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo por eventuais infrações do regulamento relativamente ao tratamento de dados pessoais que lhe digam respeito, «em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração». Por sua vez, o artigo 78.°, n.os 1 e 2 do RGPD dispõe que todas as pessoas singulares ou coletivas têm o direito à ação judicial contra, nomeadamente, decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito, e contra as autoridades de controlo que não tratam a reclamação.

B.Direito nacional

15. A Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Lei de 8 de dezembro de 1992, relativa à proteção da privacidade no que diz respeito ao tratamento de dados pessoais, a seguir «WVP»), conforme alterada, transpôs a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados 3. Esta lei criou, nomeadamente, a Comissão de Proteção da Vida Privada belga. Nos termos do artigo 32.°, n.° 3, desta lei, «sem prejuízo da competência dos tribunais comuns para a aplicação dos princípios gerais relativos à proteção da vida privada, o presidente da [Comissão de Proteção da Vida Privada] pode submeter ao tribunal de primeira instância qualquer litígio relativo à aplicação da presente lei e das suas medidas de execução».

16. Nos termos do artigo 3.° da Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (Lei de 3 de dezembro de 2017, relativa à criação da Autoridade de Proteção de Dados, a seguir «Lei APD»), que entrou em vigor em 25 de maio de 2018, a Autoridade de Proteção de Dados (a seguir «APD») foi criada para suceder à Comissão de Proteção da Vida Privada. Em conformidade com o artigo 6.° desta lei, a APD «é competente para denunciar qualquer violação aos princípios fundamentais da proteção de dados pessoais, no âmbito da presente lei e das leis que contêm disposições relativas à proteção do tratamento de dados pessoais, às autoridades judiciais e, se for caso disso, para intentar uma ação judicial com vista à aplicação destes princípios fundamentais».

17. A Lei APD não incluiu disposições específicas relativas aos processos judiciais instaurados ao abrigo do artigo 32.°, n.° 3, da WVP que ainda estivessem pendentes em 25 de maio de 2018.

18. A WVP foi revogada pela Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (Lei de 30 de julho de 2018, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais). Esta lei transpõe as disposições do RGPD que impõem ou permitem que os Estados‑Membros adotem regras mais pormenorizadas para além das regras comuns.

III.Matéria de facto, tramitação processual nacional e questões prejudiciais

19. Em 11 de setembro de 2015, o presidente da Comissão de Proteção da Vida Privada belga, que mais tarde se transformou na APD, instaurou processos contra a Facebook Inc., a Facebook Ireland Ltd e a Facebook Belgium BVBA (em conjunto, «Facebook») no Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primeira Instância de Bruxelas de língua neerlandesa, Bélgica). Estes processos diziam respeito a pretensas violações, por parte da Facebook, da legislação relativa à proteção de dados, que consistiam, designadamente, na recolha e na utilização, de forma ilícita, de informações sobre o comportamento de navegação privado de utilizadores de Internet na Bélgica através de tecnologias como «cookies», «social plug‑ins» e «pixels».

20. Em substância, a APD alega que a Facebook utiliza várias tecnologias para controlar e seguir as pessoas quando estas navegam de um sítio Internet para outro e utiliza, em seguida, a informação recolhida para criar padrões dos seus comportamentos de navegação, apresentando‑lhes publicidade orientada baseada nesses padrões, sem informar devidamente as pessoas em causa ou sem obter o seu consentimento válido. A APD alega que a Facebook desenvolve estas práticas independentemente de a pessoa em causa se ter ou não inscrito na rede social Facebook.

21. A APD pediu que seja ordenado à Facebook que deixe de colocar, relativamente a todos os utilizadores de Internet estabelecidos no território belga, sem o consentimento destes, cookies que permanecem ativos durante dois anos nos dispositivos que estas pessoas utilizam quando navegam numa página Internet no domínio Facebook.com ou quando navegam no sítio Internet de um terceiro, bem como que deixe de recolher dados, de forma excessiva, através de social plugins e de pixels em sítios Internet de terceiros. Além disso, a APD pediu que sejam destruídos todos os dados pessoais obtidos através de cookies e de social plugins, relativamente a cada um dos utilizadores de Internet estabelecidos no território belga.

22. Por Despacho interlocutório de 9 de novembro de 2015, o presidente do Nederlandstalige rechtbank van eerste aanleg Brussel (Tribunal de Primeira Instância de Bruxelas de língua neerlandesa) considerou que era competente para conhecer do litígio e que a ação era admissível relativamente às três demandadas. A título provisório, este órgão jurisdicional também ordenou que as recorridas cessassem determinadas atividades relativamente aos utilizadores de Internet situados no território belga.

23. Em 2 de março de 2016, a Facebook interpôs recurso daquele despacho no Hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica). Por Acórdão de 29 de junho de 2016, este órgão jurisdicional alterou o despacho proferido em primeira instância. Em particular, declarou que não era competente para apreciar as ações contra a Facebook Inc. e a Facebook Ireland Ltd, embora fosse competente para apreciar a ação contra a Facebook Belgium BVBA. Assim, o processo principal passou a restringir‑se às ações intentadas contra a Facebook Belgium BVBA. Além disso, este órgão jurisdicional declarou que não existia urgência.

24. Entendo que o processo que se encontra atualmente pendente no Hof van beroep te Brussel (Tribunal de Recurso de Bruxelas) diz respeito ao recurso de uma decisão sobre o mérito que foi posteriormente proferida pelo tribunal de primeira instância. No âmbito do processo de recurso, a Facebook Belgium alega, nomeadamente, que desde que o novo mecanismo de «balcão único» do RGPD entrou em vigor, a APD deixou de ser competente para prosseguir o processo principal porque não é a autoridade de controlo principal. No que diz respeito ao tratamento transfronteiriço em causa, a autoridade de controlo principal é a Comissão de Proteção de Dados irlandesa. O estabelecimento principal do responsável pelo tratamento na União Europeia situa‑se na Irlanda (Facebook Ireland Ltd).

25. Neste contexto, o Hof van beroep te Brussel (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Devem os artigos [55.°, n.° 1], 56.° a 58.° e 60.° a 66.° do [RGPD], lidos em conjugação com os artigos 7.°, 8.° e 47.° da Carta dos Direitos Fundamentais da União Europeia, ser interpretados no sentido de que uma autoridade de controlo que é competente, nos termos da legislação nacional que transpõe o artigo 58.°, n.° 5, do referido regulamento, para intentar uma ação tendo por objeto infrações a este regulamento num tribunal do seu Estado‑Membro, não pode exercer essa competência em relação a um tratamento transfronteiriço, se não for a autoridade de controlo principal relativamente a esse tratamento transfronteiriço?

2) É relevante para o efeito o facto de o responsável pelo tratamento transfronteiriço não ter nesse Estado‑Membro o seu estabelecimento principal, mas de ter aí, de facto, outro estabelecimento?

3) É relevante para o efeito saber se a autoridade de controlo nacional intenta o processo judicial contra o estabelecimento principal do responsável pelo tratamento ou contra o estabelecimento situado no seu próprio Estado‑Membro?

4) É relevante para o efeito o facto de a autoridade de controlo nacional já ter instaurado o processo judicial antes da data em que o regulamento se tornou aplicável (25 de maio de 2018) ?

5) Em caso de resposta afirmativa à primeira questão, o artigo [58.°, n.° 5], do RGPD tem efeito direto, no sentido de que uma autoridade de controlo nacional pode basear‑se no referido artigo para instaurar ou prosseguir um processo judicial contra particulares, mesmo que este artigo não tenha sido expressamente transposto para a legislação dos Estados‑Membros, não obstante tal ser exigido?

6) Em caso de resposta afirmativa às questões anteriores, opor‑se‑ia o resultado de tais processos a uma conclusão em sentido contrário da autoridade de controlo principal, no caso de a autoridade de controlo principal investigar as mesmas operações de tratamento transfronteiriço ou operações de tratamento transfronteiriço semelhantes, de acordo com o mecanismo previsto nos artigos 56.° e 60.° do RGPD?»

26. A Facebook, a APD, os Governos belga, checo, italiano, polaco, português e finlandês, bem como a Comissão Europeia apresentaram observações escritas. A Facebook, a APD e a Comissão também apresentaram alegações na audiência de 5 de outubro de 2020.

IV.Análise

27. Em resumo, a questão fundamental que foi suscitada no processo principal consiste em saber se após a entrada em vigor do RGPD a APD pode prosseguir o processo judicial contra a Facebook Belgium que tem por objeto o tratamento de dados transfronteiriço pessoais realizado depois de o RGPD ter entrado em vigor, uma vez que a entidade que efetua o tratamento de dados é a Facebook Ireland Ltd.

28. Para responder a esta questão, é necessário apreciar o âmbito e o funcionamento daquilo a que o próprio RGPD, no considerando 127, designa como mecanismo de «balcão único». Este mecanismo consiste num conjunto de regras que, em caso de tratamento de dados transfronteiriço, dá origem a um ponto central de aplicação através de uma autoridade de controlo principal (a seguir «ACP»), que se insere no sistema de procedimentos de cooperação e coerência em conjunto com as autoridades de controlo interessadas (a seguir «ACI»), concebido para assegurar a participação de todas as autoridades de controlo interessadas.

29. Nos termos do artigo 56.°, n.° 1, do RGPD, a autoridade de controlo é competente para agir como ACP para o tratamento transfronteiriço efetuado por responsáveis pelo tratamento e subcontratantes que tenham o seu estabelecimento principal ou o estabelecimento único no seu território. Nos termos do artigo 4.°, n.° 22, do RGPD, a autoridade de controlo atua na qualidade de ACI se estiver preenchido um dos seguintes requisitos alternativos: «a) [o] responsável pelo tratamento ou o subcontratante est[ive] r estabelecido no território do Estado‑Membro dessa autoridade de controlo; b) [o]s titulares de dados que residem no Estado‑Membro dessa autoridade de controlo [fo]rem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados; ou c) [tiv]er sido apresentada uma reclamação junto dessa autoridade de controlo».

30. Antes de apreciar o mérito das questões prejudiciais, é necessário efetuar algumas observações prévias (A). Examinarei em seguida as questões jurídicas suscitadas pelo órgão jurisdicional de reenvio. Em particular, debruçar‑me‑ei sobre a primeira questão prejudicial, uma vez que está no cerne do litígio que se encontra pendente no órgão jurisdicional de reenvio (B). Em seguida, abordarei as outras questões prejudiciais apenas de forma breve, porquanto, se se responder de forma afirmativa à primeira questão conforme proponho nas presentes conclusões, deixa de ser necessário responder a essas questões ou passa a ser bastante fácil fazê‑lo (C).

A.Observações prévias

31. Antes de mais, quero salientar que tenho dificuldade em compreender plenamente alguns dos elementos do processo principal.

32. Em primeiro lugar, devo reconhecer que a relevância das questões colocadas no processo principal não é, para mim, totalmente evidente, atendendo a que, das partes contra as quais a APD instaurou um processo, se afigura que apenas a Facebook Belgium BVBA é ainda recorrida no processo principal 4. Resulta dos autos de que o Tribunal de Justiça dispõe que esta sociedade não é o «estabelecimento principal» do responsável pelo tratamento para efeitos do artigo 4.°, n.° 16, do RGPD, nem, uma vez que parece ser um estabelecimento da mesma empresa, um eventual «responsável conjunto pelo tratamento» na aceção do artigo 26.° do RGPD 5.

33. No entanto, as questões que são submetidas no âmbito de um pedido de decisão prejudicial gozam de uma presunção de relevância. Nesta medida, o Tribunal de Justiça apenas recusa pronunciar‑se em circunstâncias limitadas, designadamente, quando os requisitos do artigo 94.° do Regulamento de Processo do Tribunal de Justiça não estão preenchidos, quando seja óbvio que a interpretação do direito da União em causa não apresenta nenhuma relação com os factos ou quando as questões sejam (totalmente) hipotéticas 6. Em meu entender, isso não sucede no presente processo. As questões de saber «quem é quem» e «quem pode ser acusado de ter feito exatamente o quê» não só correspondem a uma apreciação factual que, em última instância, incumbe ao órgão jurisdicional nacional, como são também, de certa forma, um dos aspetos das questões submetidas ao Tribunal de Justiça.

34. Em segundo lugar, o aspeto temporal do processo principal também não é muito fácil de compreender. A ação foi intentada no âmbito da vigência da Diretiva 95/46. Manteve‑se quando o RGPD entrou em vigor. No entanto, afigura‑se que atualmente o processo só diz respeito a comportamentos ocorridos depois de o novo quadro jurídico se ter tornado aplicável. Com efeito, importa saber se a prossecução do processo pela APD é conforme com as disposições do RGPD, sendo este um ponto suscitado pela quarta questão. No entanto, estas questões só seriam relevantes no processo principal se uma autoridade nacional pretendesse concluir os processos em curso relativos a alegadas infrações ocorridas antes do momento da entrada em vigor do novo quadro jurídico. Contudo, se o processo em curso se referir, neste momento, apenas a alegadas ilegalidades ocorridas após a entrada em vigor do RGPD, possivelmente em conjugação com a procura da (necessariamente prospetiva) proibição judicial de tais práticas, não é fácil compreender por que razão a APD, na medida em que se considera competente para intervir, não encerrou o presente processo e não procedeu em conformidade com as disposições relevantes do RGPD.

35. Em terceiro lugar, na audiência, a APD referiu‑se a um intercâmbio que realizou com a autoridade de controlo irlandesa e com o Comité, a respeito de uma das tecnologias utilizadas pela Facebook para recolher dados (cookies). Foi dito que as duas autoridades de controlo discordavam quanto à tecnologia que efetivamente era abrangida pelo âmbito ratione materiae do RGPD.

36. A este respeito, e no que se refere ao caso em apreço, importa salientar que algumas atividades de tratamento de dados podem, de facto, ser materialmente abrangidas por mais do que um instrumento legislativo da União, sendo que, neste caso, todos esses instrumentos são simultaneamente aplicáveis, salvo disposição em sentido contrário 7. No entanto, noutros casos, por exemplo, quando as atividades de tratamento não envolvem dados pessoais na aceção do artigo 4.°, n.° 1, do RGPD, é óbvio que o RGPD não é aplicável.

37. Por conseguinte, quando a alegada ilegalidade de determinados tipos de tratamentos de dados decorre de outras disposições legais (da União ou nacionais), os procedimentos e os mecanismos previstos no RGPD não são aplicáveis. O RGPD não pode ser utilizado como um meio que permita integrar no mecanismo de «balcão único» comportamentos que, embora envolvam alguns fluxos de dados ou inclusivamente tratamento, não violam nenhuma das obrigações naquele previstas.

38. Para decidir se um caso está ou não abrangido pelo âmbito de aplicação ratione materiae do RGPD, um órgão jurisdicional nacional, incluindo qualquer órgão jurisdicional de reenvio, deve analisar qual é a fonte exata da obrigação legal que incumbe a um operador económico que terá alegadamente sido violada por este último. Se a fonte desta obrigação não for o RGPD, então os procedimentos previstos neste instrumento, relacionados com o âmbito material deste instrumento, também não são logicamente aplicáveis.

B.Primeira questão

39. Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta essencialmente se as disposições do RGPD, lidas à luz dos artigos 7.°, 8.° e 47.° da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), permitem que a autoridade de controlo de um Estado‑Membro instaure uma ação num órgão jurisdicional deste Estado por motivo de uma pretensa violação do RGPD respeitante ao tratamento de dados transfronteiriço, ainda que esta autoridade não seja a «autoridade de controlo principal».

40. A APD e os Governos belga, italiano, polaco e português sugerem que o Tribunal de Justiça deve responder afirmativamente, ao passo que a Facebook, os Governos checo e finlandês, bem como a Comissão propõem que Tribunal de Justiça responda em sentido contrário.

41. Irei explicar na parte que se segue os motivos pelos quais considero que não é convincente a interpretação do RGPD proposta pela APD e pelos Governos belga, italiano, polaco e português: tanto uma interpretação literal e sistemática (1) como uma interpretação teleológica e histórica (2) do RGPD apontam claramente num sentido contrário. Além disso, nem uma interpretação do regulamento que seja norteada pela Carta (3) , nem os alegados riscos decorrentes de uma possível aplicação insuficiente do RGPD (4) são suscetíveis de pôr em causa aquela que, em meu entender, é a interpretação correta do RGPD, e muito menos no momento atual.

42. Dito isto, as consequências decorrentes de semelhante leitura do regulamento não são, em meu entender, tão graves como as que são sugeridas pela Facebook, pelos Governos checo e finlandês, bem como pela Comissão. Assim, irei explicar o motivo pelo qual a resposta que deverá ser dada ao órgão jurisdicional de reenvio deve assentar numa solução intermédia entre as duas posições defendidas neste processo: a autoridade de controlo de um Estado‑Membro está habilitada a instaurar processos num órgão jurisdicional deste Estado que tenham por objeto uma pretensa infração do RGPD no que diz respeito ao tratamento de dados transfronteiriço, não obstante ser uma ACP, desde que o faça nas situações e de acordo com os procedimentos previstos no RGPD (5) .

1.Interpretação literal e sistemática do RGPD

43. Em primeiro lugar, afigura‑se‑me que a redação das disposições relevantes, especialmente quando lidas no seu contexto, apoia a interpretação do RGPD segundo a qual a ACP tem competência geral em relação ao tratamento transfronteiriço e, consequentemente, as ACI gozam de um poder de ação limitado a este respeito.

44. O artigo 56.°, n.° 1, do RGPD estabelece que «a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.°» 8. Nos termos do artigo 56.°, n.° 6, do RGPD, «[a] autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante» 9. O considerando 124 reflete estas disposições, referindo essencialmente que, no caso de tratamento transfronteiriço, «a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante deverá agir na qualidade de autoridade de controlo principal» 10.

45. A competência geral da ACP em relação ao tratamento de dados transfronteiriço é ainda confirmada pelo facto de as situações em que a competência em matéria de tratamento transfronteiriço é atribuída a outras autoridades de controlo serem descritas como exceções à regra geral. Nomeadamente, o artigo 55.°, n.° 2, do RGPD exclui a competência da ACP em relação ao tratamento de dados «efetuado por autoridades públicas». Além disso, o artigo 56.°, n.° 2, do RGPD dispõe que, em derrogação do princípio segundo o qual a ACP é competente, «cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro».

46. Acresce que o artigo 66.° do RGPD, relativo ao «procedimento de urgência», confere, «em circunstâncias excecionais», às ACI, quando exista uma necessidade urgente de agir a fim de defender os direitos e obrigações dos titulares dos dados, poder para adotarem imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses, «em derrogação» dos procedimentos de cooperação e coerência previstos nos artigos 60.°, 63.°, 64.° e 65.° do RGPD.

47. Por conseguinte, parece‑me que da redação do RGPD é relativamente claro que, no que diz respeito ao tratamento transfronteiriço, a competência da ACP é a regra e a competência de outras autoridades de controlo é a exceção 11.

48. No entanto, a APD e determinados Governos contestam esta leitura do RGPD. Em seu entender, o texto das disposições relevantes sugere um direito (quase ilimitado) de qualquer autoridade de controlo de instaurar processos judiciais contra eventuais infrações nos seus territórios, independentemente de o tratamento por natureza ser transfronteiriço. Invocam, no essencial, dois argumentos.

49. Em primeiro lugar, alegam que a expressão «sem prejuízo do disposto no artigo 55.°», com a qual o artigo 56.°, n.° 1, se inicia, significa que a competência conferida à ACP por esta última disposição não pode afetar nem limitar os poderes atribuídos pela anterior disposição a cada autoridade de controlo, incluindo o poder de instaurar processos judiciais.

50. Este argumento não me convence.

51. O artigo 55.°, n.° 1, estabelece o princípio segundo o qual as autoridades de controlo «são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro». Estas atribuições encontram‑se em seguida elencadas no artigo 57.° do RGPD. Os poderes estão elencados no artigo 58.° do mesmo regulamento. Entre as atribuições figuram, nomeadamente, as de controlo e de execução da aplicação do RGPD [artigo 57.°, n.° 1, alínea a)].Nos termos do artigo 58.°, são concedidos às autoridades de controlo vários poderes de investigação (n.° 1) , de correção (n.° 2) , consultivos e de autorização (n.° 3) , bem como o poder de intentar processos judiciais (n.° 5) .

52. No essencial, estas disposições, a que o artigo 55.° implicitamente se refere, abrangem todas as atribuições e todos os poderes conferidos às autoridades de controlo por força do RGPD. Se se seguisse a interpretação apresentada pela APD e por determinados governos, a competência geral da ACP ficaria praticamente esvaziada, e privaria assim o artigo 56.° de sentido. A ACP não seria nem o «único» interlocutor, nem iria «liderar» de modo nenhum as outras autoridades de controlo. O seu papel seria, possivelmente, reduzido ao de um «ponto de informações», não tendo uma missão claramente definida.

53. A importância do papel conferido à ACP, e, por conseguinte, do mecanismo de balcão único torna‑se ainda mais evidente quando estas disposições são lidas em conjunto e no seu contexto.

54. A preponderância atribuída ao artigo 56.° no âmbito da estrutura do RGPD é disto uma primeira indicação. O artigo 56.° é a segunda disposição que figura na secção pertinente do RGPD (capítulo VI, «Autoridades de controlo independentes», secção 2, «Competência, atribuições e poderes»), e surge imediatamente após a disposição geral relativa à «competência» e antes de outras disposições gerais relativas às «atribuições» e aos «poderes». Por conseguinte, o legislador da União decidiu enfatizar o papel central da competência das ACP inclusivamente antes de detalhar as atribuições e os poderes específicos de todas as autoridades de controlo.

55. Mais fundamentalmente, a importância do papel das ACP é também confirmada pelas disposições que constam do capítulo VII do RGPD (sob a epígrafe «Cooperação e coerência»), que estabelece os vários procedimentos e mecanismos que as autoridades de controlo devem seguir para assegurarem a aplicação coerente do RGPD. Em particular, o artigo 60.°, com que se inicia o capítulo e ao qual o artigo 56.°, n.° 1, se refere, institui o procedimento de «[c]ooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas».

56. É evidente que é este o procedimento que deve ser seguido sempre que seja necessária uma medida coerciva contra o tratamento transfronteiriço. Este procedimento, à semelhança dos outros procedimentos previstos no capítulo VII do RGPD, não é opcional. Os termos imperativos deste constantes, nomeadamente no artigo 51.°, n.° 2, e no artigo 63.° do RGPD, indicam inequivocamente que as autoridades de controlo têm de cooperar e têm de fazê‑lo através da utilização (obrigatória) dos procedimentos e dos mecanismos previstos para o efeito.

57. Por conseguinte, a expressão «sem prejuízo do disposto no artigo 55.°», que consta do artigo 56.°, n.° 1, tem um significado diferente daquele que foi sugerido pela APD. Em meu entender, esta formulação, no contexto em que é colocada, significa simplesmente que mesmo num caso individual, é a ACP que é competente para apreciar os casos que envolvam um tratamento transfronteiriço nos termos do artigo 56.° do RGPD, mantendo naturalmente todas as autoridades de controlo os poderes gerais que lhes são atribuídos pelo artigo 55.° (e pelo artigo 58.°) do RGPD.

58. Nos termos do artigo 55.°, n.° 1, do RGPD, os Estados‑Membros devem permitir que a autoridade de controlo cumpra as atribuições e exerça os poderes previstos no regulamento. Assim, esta disposição confere às autoridades de controlo um poder geral (ou competência) para agirem no seu território, sendo que isto é válido independentemente («sem prejuízo») de o tratamento ser ou não transfronteiriço e, sendo transfronteiriço, de a autoridade em causa agir como ACP ou ACI 12. Não obstante, o artigo 55.° do RGPD não regula as situações e a forma como esse poder de ação será exercido num determinado processo. Com efeito, estes aspetos são regulados por outras disposições do RGPD, em especial as que figuram no capítulo VII do mesmo regulamento. Segundo estas disposições, para estabelecer se a autoridade de controlo pode exercer o poder geral de ação, bem como a forma como o faz, é necessário saber, nomeadamente, no que diz respeito a um determinado responsável pelo tratamento ou subcontratante, se esta autoridade é a ACP ou a ACI 13.

59. Atendendo ao exposto e no que se refere à solução, partilho do entendimento do Comité que, num parecer recente, se referiu ao artigo 56.°, n.° 1, do RGPD como uma «disposição que se sobrepõe» e como «lex specialis»: esta disposição «tem prioridade [sobre a regra geral do artigo 55.° do RGPD] sempre que surja qualquer situação de tratamento que preencha os requisitos previstos no mesmo» 14.

60. Por conseguinte, considero que a APD e determinados governos procedem a uma interpretação errada do artigo 55.° e o artigo 56.°, n.° 1, do RGPD. Estes intervenientes retiram do respetivo contexto a primeira parte da frase enunciada no artigo 56.°, n.° 1, invertendo assim a relação entre a regra e a exceção. Ao fazê‑lo, enfraquecem o conteúdo normativo de várias disposições do RGPD e desvirtuam o objetivo, enfatizado, nomeadamente, no considerando 10 do mesmo regulamento, de garantir uma aplicação mais coerente e homogénea das regras relativas à proteção de dados. No essencial, isto corresponderia a um regresso ao precedente regime da Diretiva 95/46.

61. Em segundo lugar, a APD e alguns governos alegam que decorre da própria redação do artigo 58.°, n.° 5, do RGPD que todas as autoridades de controlo devem poder instaurar processos judiciais contra qualquer eventual violação das regras relativas à proteção de dados ocorrida no seu território, independentemente da natureza (local ou transfronteiriça) do tratamento. Daqui decorre, em seu entender, que ainda que o mecanismo de balcão único seja entendido no sentido de que limita os poderes de outras autoridades de controlo no que diz respeito ao tratamento transfronteiriço, é possível que estes limites afetem unicamente a ação administrativa e não a ação judicial.

62. Em minha opinião, este segundo argumento também não procede. Incorre no mesmo «pecado» do argumento anterior: é feita uma leitura de uma disposição específica do RGPD que está «clinicamente isolada» do restante regulamento, ao mesmo tempo que é efetuada uma extrapolação da mesma.

63. O artigo 58.°, n.° 5, do RGPD estabelece que «[o]s Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento».

64. Esta disposição exige que os Estados‑Membros, por um lado, permitam que as autoridades de controlo mantenham relações estreitas com autoridades judiciais (incluindo, eventualmente, autoridades criminais) e, por outro, concedam às autoridades de controlo legitimidade (não só passiva mas também ativa) para intentarem ações perante os seus órgãos jurisdicionais nacionais. Por outras palavras, as autoridades de controlo devem, em princípio, poder manter contactos com as autoridades judiciais e, se necessário, instaurar processos judiciais. Compreendo que o legislador da União tenha considerado que era necessária uma disposição expressa deste tipo, uma vez que, não obstante a redação do artigo 28.°, n.° 3, da Diretiva 95/46 15, existiam diferenças significativas entre as leis dos Estados‑Membros sobre esta matéria, o que, por sua vez, criava problemas de aplicação insuficiente 16. O presente processo, iniciado quando a referida diretiva ainda estava em vigor, constitui disto um exemplo ilustrativo: um processo que suscitou, no direito nacional, questões de legitimidade da Comissão de Proteção da Vida Privada e da adequação da base jurídica da ação intentada pelo seu presidente.

65. No entanto, à semelhança do que já foi acima referido 17, o artigo 58.°, n.° 5, do RGPD estabelece poderes que nesta fase devem ser conferidos sem exceção a todas as autoridades de controlo, independentemente (ou antes) da determinação, num caso concreto, da questão de saber se essa autoridade seria a LSA competente, a SAC ou eventualmente não seria de todo interessada. O artigo 58.°, n.° 5, do RGPD não regula as situações e a forma como esse poder para instaurar processos deve ser exercido. Presume‑se que é por esta razão que a referida disposição inclui a expressão «se necessário». Este é o objeto de outras disposições do RGPD.

66. Além disso, nem a redação nem a estrutura do artigo 58.° do RGPD sugerem que se pode proceder a uma distinção, como afirma a APD, entre poderes administrativos das autoridades (que estariam sujeitos às restrições decorrentes do mecanismo de balcão único) e o poder para instaurar processos judiciais (que não estaria sujeito a estas restrições). Esta disposição elenca, número após número, os vários poderes que devem ser conferidos às autoridades de controlo, agrupando‑os em função da sua finalidade (investigação, correção, consultivos e assim sucessivamente). A redação destes números é bastante semelhante e prevê, no essencial que cada autoridade de controlo deve ter os poderes que ali estão enumerados.

67. Por conseguinte, não vislumbro nenhuma razão para que o n.° 5 do artigo 58.° seja interpretado de forma diferente dos n.os 1 a 3 da mesma disposição. Das duas uma: ou cada uma das autoridades de controlo goza de todos estes poderes sem restrições através do mecanismo de balcão único, ou todos estes poderes têm de ser exercidos de acordo com os procedimentos e dentro dos limites estabelecidos no regulamento.

68. Pelos motivos acima expostos nos n.os 51 e 52, a primeira hipótese não pode ser aceite. De facto, quando o artigo 58.° do RGPD é lido no seu contexto, torna‑se evidente que, no mínimo, o contrário daquilo que a APD e determinados governos afirmam é efetivamente verdade.

69. De facto, cada autoridade de controlo deve contribuir para a aplicação correta e coerente do regulamento. Neste sentido, cada autoridade de controlo, independentemente do seu papel enquanto ACP ou ACI num caso concreto, deve, por exemplo, tratar as reclamações que lhe forem apresentadas com a diligência exigida 18. Com efeito, mesmo quando as alegadas infrações dizem respeito ao tratamento transfronteiriço e uma autoridade não seja ACP, outras autoridades de controlo devem poder analisar a questão de modo a contribuírem significativamente quando isso lhes for pedido no âmbito dos mecanismos de cooperação e coerência 19, ou adotar medidas urgentes. No entanto, em geral, incumbe à ACP adotar decisões vinculativas de execução do RGPD relativamente ao subcontratante ou ao responsável pelo tratamento 20. Em particular, conforme resulta do recente Acórdão Facebook Ireland e Schrems, cabe à «autoridade nacional de controlo competente […], sendo caso disso, intentar uma ação nos órgãos jurisdicionais nacionais» 21. Por conseguinte, a sugestão de que as autoridades de controlo podem ignorar os mecanismos de coerência e cooperação quando pretendem instaurar processos não é conforme com o RGPD nem com a jurisprudência do Tribunal de Justiça.

70. Além disso, de uma perspetiva mais prática, não seria lógico impedir uma autoridade de dar início a um procedimento administrativo, para discutir a alegada violação das regras de proteção de dados com os operadores interessados, e permitir que esta mesma autoridade instaurasse imediatamente um processo judicial com o mesmo objeto. O contencioso é frequentemente um instrumento de último recurso, ao qual uma autoridade poderá lançar mão quando uma questão não puder ser resolvida eficazmente através de discussões (formais ou informais) e de decisões adotadas a nível administrativo.

71. A distinção sugerida pela APD, que não permitiria que uma autoridade de controlo investigasse, preparasse, processasse e decidisse (administrativamente), mas que, ao invés, lhe permitiria imediatamente instaurar um processo perante um órgão jurisdicional, acarreta o perigoso risco de fazer com que as autoridades administrativas se transformem em personagens de westerns bastante questionáveis, que primeiro disparam e (se calhar) depois falam, se é que falam («Quando tiveres de disparar, dispara; não fales» 22). Não estou certo de que esta seja uma forma razoável ou adequada de as autoridades administrativas lidarem com pretensas violações das regras de proteção de dados.

72. Além disso, e mais importante, permitir que as autoridades de controlo possam recorrer livremente aos seus órgãos jurisdicionais nacionais, quando não podem utilizar os seus poderes administrativos sem respeitarem os mecanismos de cooperação e coerência previstos no regulamento, permitiria que estes mecanismos fossem facilmente contornados. Em particular, em caso de discordância sobre um projeto de decisão, tanto a ACP como (todas) as ACI poderiam «resolver a situação pelas suas próprias mãos» e instaurar processos nos órgãos jurisdicionais nacionais, esquivando‑se, assim, ao procedimento previsto no artigo 60.°, n.° 4, e no artigo 65.° do RGPD.

73. Por sua vez, isto também tornaria inútil uma das principais funções do Comité, organismo criado pelo RGPD e composto pelo diretor de uma autoridade de controlo de cada Estado‑Membro e da Autoridade Europeia para a Proteção de Dados 23. Uma das atribuições do Comité consiste precisamente em controlar e assegurar a aplicação correta do RGPD quando se verifique uma discordância entre diferentes autoridades de controlo 24. Nestes casos, o Comité atua como instância de resolução de litígios e como órgão de decisão. Se a interpretação defendida pela APD e por determinados Governos viesse a ser adotada, o mecanismo estabelecido no artigo 65.° RGPD poderia ser totalmente afastado: cada autoridade poderia seguir o se próprio caminho, esquivando‑se ao Comité.

74. A situação que daí resultaria seria o oposto daquilo que o legislador da União pretendeu alcançar com o novo sistema, conforme será explicado na próxima secção.

2.Interpretação teleológica e histórica do RGPD

75. Conforme decorre do considerando 9 do RGPD, o legislador da União considerou que, embora «[o]s objetivos e os princípios da Diretiva 95/46/CE [continuassem] a ser válidos», este instrumento «não evit[ou] a fragmentação da aplicação da proteção dos dados ao nível da União, nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistem riscos significativos para a proteção das pessoas singulares».

76. A necessidade de assegurar a coerência tornou‑se, assim, o «ponto fundamental» do instrumento jurídico destinado a substituir a Diretiva 95/46. Este objetivo foi considerado importante numa dupla perspetiva: por um lado, para assegurar uma proteção homogénea e elevada das pessoas singulares e, por outro, para eliminar os obstáculos à circulação de dados pessoais na União, garantindo segurança jurídica e transparência aos operadores económicos 25.

77. Importa sublinhar este último aspeto. Ao abrigo da Diretiva 95/46, os operadores económicos ativos na União Europeia estavam obrigados a observar os vários conjuntos de regras nacionais que transpunham a diretiva e, em simultâneo, a manter contacto com todas as autoridades nacionais de proteção de dados. Esta situação não só era dispendiosa, onerosa e demorada para os operadores económicos, como também constituía uma fonte inevitável de incerteza e de conflitos para esses operadores e para os seus clientes 26.

78. Os limites do sistema instituído ao abrigo da Diretiva 95/46 também se tornaram evidentes em vários acórdãos do Tribunal de Justiça. No Acórdão Weltimmo, o Tribunal de Justiça declarou que os poderes das autoridades de proteção de dados estavam estritamente limitados pelo princípio da territorialidade: estas autoridades só podiam agir contra violações ocorridas no seu próprio território, tendo de pedir, em todos os outros casos, às autoridades dos outros Estados‑Membros para intervir 27. No Acórdão Wirtschaftsakademie Schleswig‑Holstein, o Tribunal de Justiça declarou que, em caso de tratamento transfronteiriço, cada autoridade de proteção de dados podia exercer os seus poderes no que diz respeito a uma entidade estabelecida no seu território, independentemente das posições e das ações da autoridade de proteção de dados do Estado‑Membro em que a entidade responsável por tal tratamento tem a sua sede 28.

79. No entanto, no mundo virtual do tratamento de dados, repartir a competência das várias autoridades em função de linhas territoriais é frequentemente problemático 29. Além disso, a inexistência de mecanismos claros de coordenação entre as autoridades nacionais constituiu fonte de incoerências e de incerteza.

80. A introdução do mecanismo de balcão único, com o importante papel atribuído à ACP e aos mecanismos de cooperação instituídos para envolver outras autoridades de controlo, pretendeu assim resolver estes mesmos problemas 30. No Acórdão Google (Âmbito territorial da supressão de referências), o Tribunal de Justiça sublinhou a importância dos mecanismos de cooperação e coerência, para uma aplicação correta e coerente do RGPD, bem como o seu caráter obrigatório 31. Mais recentemente, no processo Facebook Ireland e Schrems, o advogado‑geral H. Saugmandsgaard Øe também salientou que os mecanismos de cooperação e coerência previstos no capítulo VII do RGPD são concebidos para evitar o risco de que várias autoridades de controlo adotem diferentes abordagens no que respeita ao tratamento transfronteiriço 32.

81. Como salienta a APD, é certo que no decurso do processo legislativo, tanto o Conselho como o Parlamento pretenderam limitar a competência da ACP, nos termos em que esta foi inicialmente prevista pela Comissão. Não obstante, as alterações que vieram a ser introduzidas no texto final do RGPD não só não suscitam dúvidas sobre a interpretação do regulamento acima apresentadas, como, pelo contrário a confirmam.

82. De acordo com a proposta original da Comissão, o mecanismo de balcão único implicava que, no que diz respeito ao tratamento transfronteiriço, uma única autoridade de controlo (a ACP) era responsável pelo controlo das atividades do responsável pelo tratamento ou do subcontratante na União Europeia e por tomar as respetivas decisões 33. No entanto, esta proposta deu origem a discussões no Conselho e no Parlamento.

83. O Conselho acabou por aceitar um texto baseado numa proposta apresentada pela Presidência 34. Esta proposta não põe de modo nenhum em causa o mecanismo de balcão único enquanto tal, ao qual o Conselho se referiu como constituindo «um dos pilares centrais» do novo quadro jurídico 35. A proposta da Presidência acabou por conduzir a dois conjuntos de alterações bastante específicos.

84. Em primeiro lugar, o Conselho pretendeu introduzir determinadas exceções à competência geral da ACP: em relação ao tratamento realizado por autoridades públicas e em relação a situações locais. Assim, o Conselho propôs introduzir duas disposições que não constavam da Proposta da Comissão 36 e que correspondem agora ao artigo 55.°, n.° 2, e ao artigo 56.°, n.° 2, do RGPD 37.

85. Em segundo lugar, o Conselho pretendeu mitigar o papel e a competência da ACP, fazendo com que o tratamento passasse a ser mais inclusivo. O texto da Proposta da Comissão foi considerado um pouco ambíguo nesta matéria e suscetível de dar origem a uma competência exclusiva da ACP relativamente ao tratamento de dados transfronteiriço. Foram introduzidas algumas correções no texto para facilitar a «proximidade» entre titulares dos dados e autoridades de controlo 38. Nomeadamente, o envolvimento de outras autoridades de controlo no processo de tomada de decisão aumentou significativamente.

86. Por sua vez, o Parlamento Europeu também apoiou a criação do mecanismo de balcão único, com um maior papel para a ACP, mas propôs reforçar o sistema de cooperação entre as autoridades de controlo. Tanto a Exposição de Motivos do Projeto de Relatório do Parlamento 39 como a Resolução Legislativa do Parlamento Europeu de 12 de março de 2014 40 são bastante claras a este respeito.

87. No essencial, com a intervenção do Conselho e do Parlamento, o mecanismo de balcão único, que antes se orientava fortemente para a ACP, foi transformado num mecanismo mais equilibrado assente em dois pilares: por um lado, mantém‑se o papel principal da ACP no que diz respeito ao tratamento transfronteiriço, mas este é agora acompanhado por um papel reforçado das outras autoridades de controlo que participam ativamente no processo através dos mecanismos de cooperação e coerência, sendo atribuído ao Comité o papel de árbitro e de guia em caso de desacordo.

88. Por conseguinte, uma interpretação teleológica e histórica do RGPD confirma a importância do mecanismo de balcão único e, consequentemente, a competência geral da ACP no que diz respeito ao tratamento de dados transfronteiriço. A interpretação das disposições do RGPD proposta pela APD e por determinados governos não pode ser compatibilizada com a intenção do legislador da União, conforme se deduz do preâmbulo e das disposições do regulamento, bem como dos trabalhos preparatórios.

89. Assim, concluo que uma abordagem textual, contextual, teleológica e histórica da interpretação das disposições relevantes do RGPD confirma que as autoridades de controlo são obrigadas a respeitar as regras em matéria de competência, bem como os mecanismos e os procedimentos de cooperação e coerência previstos no regulamento. Confrontadas com uma situação de tratamento transfronteiriço, estas autoridades devem atuar em conformidade com o quadro estabelecido pelo RGPD.

90. No entanto, a APD e certos governos invocam dois conjuntos de argumentos adicionais que, em seu entender, justificam o reforço dos poderes de todas as autoridades de controlo para atuarem unilateralmente, inclusivamente no que diz respeito ao tratamento transfronteiriço. Irei explicar por que motivo estes argumentos não devem pôr em causa a interpretação do RGPD acima proposta, e muito menos no presente momento.

3.Interpretação do RGPD orientada pela Carta

91. A APD considera que para garantir o cumprimento dos artigos 7.°, 8.° e 47.° da Carta é necessário que as autoridades de controlo tenham plenos poderes para instaurarem processos contra subcontratantes e responsáveis pelo tratamento, incluindo quando o tratamento seja por natureza transfronteiriço. Parece haver duas preocupações principais subjacentes aos argumentos da APD relativos a esta matéria, embora nenhuma das preocupações tenha sido inteiramente expressa nas suas observações 41.

92. A primeira preocupação da APD parece estar relacionada com a redução do número de autoridades que podem agir em relação a um comportamento específico. Parece haver uma presunção tácita nesta premissa, nomeadamente de que um elevado nível de proteção exige uma multiplicidade de autoridades habilitadas a fazer respeitar o cumprimento do RGPD, mesmo que atuem em paralelo. Em termos simples, quantas mais autoridades estiverem envolvidas, maior será o nível de proteção.

93. Não creio que tenha necessariamente de assim ser, pelo menos no que diz respeito ao nível de proteção em causa.

94. É certo que, conforme o Tribunal de Justiça declarou, a legislação da União em matéria de proteção de dados, lida à luz dos artigos 7.° e 8.° da Carta, visa assegurar um nível elevado de proteção, nomeadamente, do direito fundamental ao respeito pela vida privada no que se refere ao tratamento de dados pessoais 42.

95. Não obstante, o legislador da União considerou que, a fim de assegurar um «nível de proteção […] elevado das pessoas singulares», é necessário um «quadro de proteção de dados sólido e mais coerente» 43. Para este efeito, o quadro estabelecido pelo RGPD visa assegurar a coerência a todos os níveis: para as pessoas singulares, para os operadores económicos, para os responsáveis pelo tratamento e subcontratantes, e para as autoridades de controlo equiparáveis 44. No que diz respeito a estas últimas, o RGPD pretende, como confirma o considerando 116, promover uma «cooperação mais estreita» entre as mesmas 45.

96. Por conseguinte, ao contrário do que foi alegado pela APD, a prossecução de um nível elevado de proteção dos direitos e liberdades de titulares dos dados está, para o legislador da União, em plena consonância com o funcionamento do mecanismo de balcão único acima descrito. Ao permitirem uma abordagem mais coerente, efetiva e transparente no que diz respeito a esta matéria, os mecanismos de cooperação e coerência previstos no RGPD devem contribuir para enfatizar a promoção e a salvaguarda dos direitos consagrados, nomeadamente, nos artigos 7.° e 8.° da Carta.

97. Por outras palavras, um nível de proteção coerente e uniforme seguramente não impede certamente que esta proteção possa ser colocada num nível elevado. É apenas uma questão de saber onde se deve situar essa medida uniforme. Afinal de contas, é discutível que a coexistência de várias ações não relacionadas, e possivelmente contraditórias, por parte das autoridades de controlo possa promover verdadeiramente o objetivo de assegurar um nível elevado de proteção dos direitos das pessoas. Pode afirmar‑se que a coerência e a clareza, asseguradas pelas autoridades de controlo que atuam de forma concertada, servem melhor este objetivo.

98. A segunda preocupação manifestada pela APD suscita problemas de proximidade entre os particulares que apresentam uma reclamação e as autoridades que, em última instância, atuarão em resposta a essa reclamação. A questão, no essencial, consiste em saber se os particulares podem efetivamente intentar processos contra a ação ou a omissão das autoridades de controlo em relação às suas reclamações.

99. Com efeito, o artigo 78.° do RGPD confirma o direito das pessoas singulares ou coletivas a uma ação judicial contra uma autoridade de controlo. Além disso, para serem coerentes com o artigo 47.° da Carta, as vias de recurso previstas no RGPD não podem exigir que os titulares dos dados cumpram regras pormenorizadas que, atendendo à sua condição de pessoas singulares, podem afetar desproporcionadamente o seu direito à ação (por exemplo, aumentando os custos ou protelando a ação) 46.

100. Ainda assim, nenhum dos (bastante vagos) argumentos invocados por cada uma das partes sobre este ponto explica claramente o motivo pelo qual a interpretação do RGPD fornecida pela Facebook, pelos Governos checo e finlandês, bem como pela Comissão é contrária ao artigo 47.° da Carta.

101. Desde logo, o RGPD prevê expressamente o direito de os titulares dos dados instaurarem processos tanto contra os responsáveis pelo tratamento e subcontratantes, como contra as autoridades de controlo. Por conseguinte, em termos estruturais, não é evidente o motivo pelo qual o RGPD não respeita o artigo 47.° da Carta.

102. No que se refere ao direito de os titulares dos dados instaurarem processos contra os responsáveis pelo tratamento e subcontratantes, estes podem optar por instaurar processos nos órgãos jurisdicionais dos Estados‑Membros onde o responsável pelo tratamento ou subcontratante tem um estabelecimento ou onde residem os titulares dos dados 47. Afigura‑se que esta regra é mais favorável ou, pelo menos, não levanta problemas para os titulares dos dados 48.

103. No que se refere ao direito de os titulares dos dados instaurarem processos contra autoridades de controlo, a situação é mais complexa. Desde logo, os titulares dos dados têm o direito de contestar tanto a ação como a omissão das autoridades de controlo. Em particular, podem agir contra qualquer autoridade de controlo se esta «não responder a uma reclamação, a recusar ou rejeitar, total ou parcialmente, ou não tomar as iniciativas necessárias para proteger os seus direitos» 49.

104. No entanto, ao contrário do que sucede com as ações contra os responsáveis pelo tratamento e subcontratantes, as ações contra as autoridades de controlo devem ser intentadas nos órgãos jurisdicionais do Estado‑Membro onde a autoridade de controlo está estabelecida 50. Embora se possa afigurar que esta regra é menos favorável para os particulares, importa recordar que, nos termos do artigo 60.°, n.os 8 e 9, do RGPD, quando uma reclamação apresentada por um titular de dados é total ou parcialmente recusada ou rejeitada, a decisão pertinente é adotada e notificada ao titular dos dados pela autoridade de controlo junto da qual este apresentou a reclamação. Isto sucede independentemente de esta autoridade ser ou não a ACP, permitindo assim (quando esse seja o caso) que o titular de dados instaure processos no seu próprio Estado‑Membro.

105. Estes mecanismos de transferência da competência para adotar as decisões e, caso seja necessário, de eventualmente adotar decisões separadas (a ACP em relação ao responsável pelo tratamento ou subcontratante e a autoridade local em relação ao autor da reclamação) parecem destinar‑se especificamente a evitar que os titulares dos dados tenham de fazer um «périplo» pelas salas de audiências dos órgãos jurisdicionais da União Europeia para instaurarem processos contra autoridades de controlo inativas.

106. Reconheço, no entanto, que tal solução pode conduzir a uma série de questões práticas. Qual será o conteúdo exato de cada uma dessas decisões? Será esse conteúdo idêntico 51 ou diferente? Será permitido a um titular de dados contestar todas as questões que considera serem pertinentes para o seu caso, inclusivamente aquelas que fazem efetivamente parte da decisão da ACP? Ou será que a decisão da autoridade de controlo junto da qual o titular de dados apresentou uma reclamação é em grande medida uma «concha vazia», que só trata a reclamação individual de um modo formal, ao passo que o conteúdo real se encontra na decisão da ACP? Neste caso, será que o titular de dados, para ter efetivamente acesso a uma «ação judicial» na aceção do artigo 78.° RGPD e do artigo 47.° da Carta, teria, em qualquer caso, de instaurar processos nos órgãos jurisdicionais do Estado‑Membro onde a ACP está estabelecida? Como seriam aplicadas as regras de acesso à ação judicial no que diz respeito à revisão de quaisquer decisões subjacentes, quer a nível horizontal (entre as autoridades de controlo agindo conjuntamente) quer a nível vertical (no que diz respeito à revisão de um parecer ou de uma decisão do Comité no procedimento de controlo da coerência que precede e que determina efetivamente a decisão final de uma autoridade de controlo) 52?

107. Não faltam questões potencialmente complexas. A experiência prática pode vir, um dia, a revelar problemas reais relativos à qualidade ou mesmo ao nível de proteção jurídica inerente ao novo sistema. No entanto, neste momento, essas questões continuam a ser especulativas. Nesta fase, e certamente nestes processos, não foram apresentados ao Tribunal de Justiça quaisquer elementos que indiciem a existência de questões concretas a este respeito.

4.Eventual aplicação insuficiente do RGPD

108. A APD alega essencialmente que a aplicação do RGPD em situações transfronteiriças não pode ser deixada apenas à ACP e aos titulares de dados que possam ser afetados pelo tratamento. Cada autoridade de controlo tem precisamente por função agir de modo a proteger os direitos de particulares que possam ser afetados pelo tratamento de dados. Nomeadamente, a autoridade de controlo não pode cumprir adequadamente a sua missão se em cada instância a decisão de agir, ou não, contra uma suspeita de infração, e a forma de o fazer, for deixada à discricionariedade de outra autoridade.

109. Em meu entender, este argumento representa, no essencial, um desafio direto para o novo mecanismo de cooperação introduzido pelo RGPD. A minha resposta é formulada em dois níveis: por um lado, no que diz respeito ao nível do direito positivo, pode considerar‑se que o RGPD prevê mecanismos destinados a evitar semelhantes cenários. Por outro lado, no que diz respeito ao funcionamento real e aos efeitos dos novos sistemas, tais receios são, nesta fase, prematuros e hipotéticos.

110. Em primeiro lugar, deve esclarecer‑se que o facto de uma autoridade de controlo não ser a ACP no que diz respeito a um determinado responsável pelo tratamento ou subcontratante não implica de modo nenhum, como a APD alega, que as violações do RGPD que dão origem a uma infração penal não podem ser devidamente punidas. O poder de «levar as violações do presente regulamento ao conhecimento das autoridades judiciais», previsto no artigo 58.°, n.° 5, inclui, obviamente, o poder de manter contacto com as autoridades criminais, tais como o Ministério Público. Este poder é coerente com a atribuição conferida às autoridades de controlo de controlarem e darem execução à aplicação do RGPD no seu território e não prejudica o funcionamento eficaz dos mecanismos de cooperação e coerência previstos no capítulo VII do RGPD. Neste sentido, escusado será dizer que embora estes mecanismos sejam obrigatórios para as autoridades de controlo, não são aplicáveis às autoridades de outros Estados‑Membros, nomeadamente às que são responsáveis pelo exercício da ação penal.

111. Em segundo lugar e mais importante, quando o sistema instituído pelo RGPD é plenamente respeitado, torna‑se bastante claro que a ACP não é a única a aplicar o RGPD em situações transfronteiriças. A ACP será antes um primus inter pares. Em geral, uma ACP só poderá agir (administrativa ou judicialmente) com o consentimento das ACI. No âmbito do procedimento estabelecido no artigo 60.° do RGPD, a ACP é obrigada a procurar um consenso 53. Não pode ignorar as posições das ACI. Não só a ACP está obrigada a tomar «em devida consideração» tais posições, como qualquer objeção formal apresentada por uma ACI tem o efeito de bloquear temporariamente a adoção do projeto de decisão da ACP. Por último, qualquer divergência de posições persistente entre as autoridades é resolvida por um organismo específico (o Comité), que é composto por representantes de todas as autoridades de controlo da União. Por conseguinte, a posição da ACP a este respeito não prevalece sobre a de nenhuma outra autoridade 54.

112. Como referido pelo anterior supervisor da Autoridade Europeia para a Proteção de Dados, P. Hustinx, no âmbito do regime do RGPD, o papel de uma ACP «não deve ser visto como uma competência exclusiva, mas como uma forma estruturada de cooperação com outras autoridades de controlo localmente competentes» 55. O RGPD estabelece uma responsabilidade partilhada para controlar a aplicação do RGPD e assegurar a sua aplicação coerente. Para o efeito, são atribuídas funções às autoridades de controlo atribuições que são acompanhadas de alguns poderes. São‑lhes concedidos alguns direitos mas também impostos alguns deveres. Entre estes deveres figura, nomeadamente, a obrigação de respeitar determinados procedimentos e mecanismos concebidos para assegurar a coerência. A vontade de uma autoridade adotar uma abordagem «individual» 56 relativamente à execução (judicial) do RGPD, sem cooperar com outras autoridades, não é compatível com a letra nem com o espírito deste regulamento.

113. Conforme acima referido nos n.os 76 e 77, o RGPD assenta num delicado equilíbrio entre a necessidade de assegurar um nível elevado proteção das pessoas singulares e a necessidade de eliminar os obstáculos à circulação de dados pessoais na União. Estes dois objetivos estão, conforme resulta, designadamente, do considerando 10 e do artigo 1.°, n.° 1, do RGPD, estreitamente ligados. As autoridades de controlo nacionais devem assim garantir um justo equilíbrio entre si, conforme o Tribunal de Justiça sublinhou reiteradamente desde os seus primeiros acórdãos em matéria de proteção de dados 57. O artigo 51.°, n.° 1, do RGPD, ao definir a missão das autoridades de controlo, reflete esta abordagem 58.

114. Em terceiro lugar, o RGPD não prevê apenas mecanismos para resolver divergências relativamente à forma como a execução deve ser realizada, ou seja, arbitragem de posições de conflito e de opiniões expressas pelas autoridades de controlo. Inclui igualmente mecanismos para ultrapassar situações de inércia administrativa. Trata‑se, designadamente, das situações em que uma ACP, por falta de conhecimento e/ou de pessoal, ou por qualquer outra razão, não toma nenhuma ação significativa para investigar eventuais violações do RGPD e, se necessário, para aplicar as suas regras.

115. Como princípio, o RGPD exige, em casos relativos ao tratamento transfronteiriço, que a ACP atue rapidamente. Nomeadamente, nos termos do artigo 60.°, n.° 3, do RGPD, uma ACP deve «comunica[r] sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas [e] [e]nvia[r] sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração» 59.

116. Se uma ACP não cumprir esta obrigação, ou, mais genericamente, não atuar quando lhe é exigido, coloca‑se a questão de saber se existe alguma via de recurso judicial para as ACI que pretendam realizar uma investigação e, possivelmente, adotar medidas coercivas 60? Creio que existem pelo menos duas vias diferentes que essas autoridades podem seguir, sendo que essas vias não se excluem mutuamente.

117. Por um lado, nos termos do artigo 61.°, n.os 1 e 2, do RGPD, uma autoridade de controlo pode pedir a outra autoridade de controlo «informações úteis e assistência mútua a fim de executar e aplicar [o RGPD]» 61. Este pedido pode assumir a forma de um pedido de informações, incluindo «sobre a condução de uma investigação», ou de outras medidas de assistência (tais como a realização de inspeções e de investigações, ou a adoção de medidas para uma cooperação efetiva). A autoridade requerida deve responder a qualquer um destes pedidos «sem demora injustificada e, o mais tardar, um mês após a receção do pedido».

118. Nos termos do artigo 61.°, n.os 5 e 8, do RGPD, a ausência de resposta no prazo fixado, ou a recusa em satisfazer o pedido, concede à autoridade requerente o poder de «adotar uma medida provisória no território do respetivo Estado‑Membro nos termos do artigo 55.°, n.° 1». Nestes casos, «presume‑se que é urgente intervir, nos termos do artigo 66.°, n.° 1, e solicitar uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.°, n.° 2» 62.

119. Parece‑me que este mecanismo também pode ser utilizado (e provavelmente é suposto ser utilizado 63) por uma ACI em relação a uma ACP. Assim, a omissão da ACP num caso específico de tratamento transfronteiriço, apesar de a ACI ter apresentado um pedido nesse sentido, pode permitir que esta adote as medidas urgentes que sejam consideradas necessárias para proteger os interesses de titulares dos dados. Com efeito, presume‑se que existem circunstâncias excecionais que justificam a necessidade urgente de agir e que não têm de ser provadas.

120. Por outro lado, o artigo 64.°, n.° 2, do RGPD permite a qualquer autoridade de controlo (ou ao presidente do Comité ou à Comissão) «solicitar que o Comité analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um EstadoMembro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.° […]» 64.

121. Não é inteiramente claro se a decisão do Comité vincula juridicamente a ACP interessada 65. No entanto, de acordo com o artigo 65.°, n.° 1, alínea c), do RGPD, quando a autoridade de controlo competente não seguir o parecer do Comité emitido nos termos do artigo 64.°, qualquer ACI (ou a Comissão) pode remeter o assunto para o Comité e, assim, iniciar o procedimento de resolução de litígios previsto para o efeito. Este último procedimento poderá, se for caso disso, terminar com uma decisão vinculativa 66.

122. Dito isto, há que reconhecer que os dois mecanismos acima referidos (artigos 61.° e 66.° do RGPD, por um lado, e artigos 64.° e 65.° do RGPD, por outro), são algo complexos. O seu funcionamento concreto nem sempre é totalmente evidente. Por conseguinte, se na teoria as disposições acima referidas parecem ser capazes de evitar tais problemas, só a aplicação futura destas disposições dirá se, na prática, as mesmas podem vir a revelar‑se «tigres de papel».

123. Isto remete‑me para o segundo nível do argumento apresentado a respeito da aplicação insuficiente e do seu caráter bastante hipotético e infundado, pelo menos no presente momento. Devo reconhecer que, em minha opinião, se os perigos relativos à aplicação insuficiente do RGPD sugeridos pela APD e por alguns outros intervenientes se concretizassem, todo o sistema ficaria sujeito a ampla revisão.

124. De um ponto de vista estrutural, isto poderia efetivamente suceder se a nova estrutura conduzisse a «ninhos» regulamentares para determinados operadores que, depois de terem efetivamente escolhido o seu regulador nacional, ao escolherem colocar o seu estabelecimento principal na União, passariam, com efeito, em vez de serem controlados, a estar protegidos dos outros reguladores por uma determinada ACP. Poucos discordarão de que a concorrência regulamentar através de um nivelamento por baixo entre os Estados‑Membros seria tão nociva e perigosa quanto a incoerência regulamentar, o tipo de falta de coordenação e coerência que era característico da anterior conceção. Os regimes regulamentares em rede podem ser suscetíveis de prevenir a incoerência e a divergência, promovendo o consenso e a cooperação. No entanto, o preço do consenso tende a bloquear as autoridades ativas, especialmente num sistema em que é necessária uma maior concertação para se tomar qualquer decisão. No âmbito destes sistemas, a responsabilidade coletiva pode conduzir a uma irresponsabilidade coletiva e, em última instância, à inércia.

125. No entanto, no que diz respeito a tais perigos, o quadro jurídico instituído pelo RGPD ainda está a dar os seus primeiros passos. Não é fácil prever, especialmente para um órgão jurisdicional, no âmbito de um processo único, ou inclusivamente singular, como funcionarão na prática os mecanismos criados por este regulamento e quão eficazes serão. Neste âmbito, à semelhança do que sucede com as eventuais questões relacionadas com a proteção dos direitos fundamentais e com a interpretação conforme à Carta 67, recomenda‑se prudência.

126. Em meu entender, seria uma má ideia o Tribunal de Justiça alterar significativamente este quadro – que é o resultado (delicado e cuidadosamente concebido) de um longo e intenso processo legislativo – através da interpretação de frases individuais retiradas do seu contexto e, nesta fase, baseadas em pressupostos e especulações. Ainda mais assim será se a interpretação proposta por algumas partes se limitar, essencialmente, à leitura de algumas partes fundamentais do regulamento e, por conseguinte, a um regresso, de facto, ao antigo sistema existente ao abrigo da Diretiva 95/46 que, no que se refere à sua dimensão institucional, foi expressa e claramente afastado pelo legislador da União.

127. Esta conceção legislativa perfeitamente clara, decorrente, conforme resulta das secções anteriores das presentes conclusões, tanto do texto e da estrutura do RGPD, como da intenção legislativa documentada, fornece igualmente resposta a outras potenciais preocupações estruturais, como as que estão relacionadas com o equilíbrio adequado entre a aplicação pública e privada das regras de proteção de dados e do RGPD. Fará sentido limitar a aplicação pública a uma única autoridade e, por conseguinte, a um único Estado‑Membro, sendo que esta implementação acontecerá após um longo e complexo processo administrativo, ao passo que a aplicação privada das mesmas regras ocorrerá provavelmente de forma mais célere na prática e perante os tribunais (civis) de todos os Estados‑Membros? Devem as autoridades nacionais de controlo ter menos acesso aos tribunais do que qualquer consumidor individual privado? Será que a maioria dos casos de proteção de dados não acabará em processos nos tribunais nacionais (e possivelmente no Tribunal de Justiça através de um pedido de decisão prejudicial) instaurados diretamente por litigantes particulares, ultrapassando completamente os reguladores nacionais criados para o efeito, uma vez que estes reguladores nacionais continuam a seguir os procedimentos de cooperação e coordenação das suas posições? Não existe, neste regime, um perigo de que a aplicação privada se sobreponha totalmente à aplicação pública?

128. Seja como for, o legislador da União efetuou uma escolha institucional e estrutural clara e, em meu entender, não há dúvidas sobre o que pretendia alcançar. Nestas circunstâncias, metaforicamente falando, deve dar‑se à criança o benefício da dúvida, pelo menos por agora. Se, no entanto, se verificar que a criança é má, o que terá de ser comprovado por factos e argumentos sólidos, então não creio que o Tribunal de Justiça possa ignorar qualquer eventual lacuna que possa assim emergir na proteção dos direitos fundamentais garantidos pela Carta e na sua efetiva aplicação pelos reguladores competentes. A questão de saber se esta será então uma matéria para uma interpretação das disposições de direito derivado conforme com a Carta, ou uma matéria de validade das disposições relevantes, ou inclusivamente das secções de um instrumento de direito derivado, deverá ser colocada noutro processo.

5.Conclusão provisória

129. Todos os elementos de interpretação apresentados apontam assim para um único resultado: a ACP tem competência geral em matéria de tratamento transfronteiriço. Todas as autoridades de controlo (independentemente do seu papel de ACP ou de ACI) devem agir, especialmente em caso de tratamento transfronteiriço, em conformidade com os procedimentos e mecanismos estabelecidos no RGPD.

130. Dito isto, significará isto que daqui resulta que uma autoridade de controlo que não seja a ACP nunca tem, por princípio, legitimidade para intentar uma ação nos órgãos jurisdicionais nacionais contra um responsável pelo tratamento ou subcontratante quando o tratamento seja transfronteiriço?

131. Não, não resulta.

132. Em primeiro lugar, as autoridades de controlo podem naturalmente recorrer a um órgão jurisdicional nacional quando atuam fora do âmbito material do RGPD, desde que tal seja permitido pelo direito nacional e não seja proibido pelo direito da União, por exemplo, devido ao facto de o tratamento não envolver dados pessoais ou de o tratamento de dados pessoais ser realizado no âmbito das atividades referidas no artigo 2.°, n.° 2, do RGPD 68.

133. Em segundo lugar, não obstante a natureza transfronteiriça do tratamento, nas situações previstas no artigo 55.°, n.° 2, do RGPD (tratamento realizado por autoridades públicas, mas também qualquer tratamento realizado no exercício de funções de interesse público ou no exercício da autoridade pública), a competência regulamentar continua a pertencer à autoridade de controlo local, o que naturalmente também inclui, se surgir a necessidade, a capacidade de instaurar processos judiciais num órgão jurisdicional.

134. Em terceiro lugar, há casos em que, não obstante existir um tratamento de dados transfronteiriço pessoais que é abrangido pelo âmbito do RGPD, nenhuma autoridade de controlo atua como ACP. Uma vez que o mecanismo de cooperação e coerência previsto no RGPD só se aplica aos responsáveis pelo tratamento com um ou mais estabelecimentos na União Europeia, não existe nenhum ACP no que diz respeito ao tratamento transfronteiriço efetuado por responsáveis pelo tratamento que não tenha estabelecimento na União Europeia. Isto significa que os responsáveis pelo tratamento que não tenham estabelecimento na União devem lidar com as autoridades locais de controlo em todos os Estados‑Membros em que estejam ativos 69.

135. Em quarto lugar, qualquer autoridade de controlo pode adotar medidas urgentes quando os requisitos necessários estejam preenchidos. Além disso, existem situações em que se presume a urgência das medidas. Isso pode ocorrer, por exemplo, nos casos em que uma ACI se depare com uma eventual inércia persistente por parte da ACP responsável. Uma vez que o artigo 66.°, n.° 1, do RGPD prevê um afastamento global do mecanismo de coerência, pode concluir‑se que, numa situação tão excecional, o leque de poderes de que uma autoridade de controlo goza (o qual, em circunstâncias normais, não deve ser exercido porque está bloqueado pelas regras especiais em matéria de competência de uma ACP quanto ao tratamento transfronteiriço) é reativado e pode ser temporariamente exercido. Aqui se inclui, evidentemente, o poder de instaurar processos judiciais nos termos do artigo 58.°, n.° 5, do RGPD.

136. Por último, em quinto lugar, por uma questão de exaustividade, importa sublinhar que é igualmente possível que uma autoridade de controlo que notificou a ACP também possa obter (ou melhor, manter) o poder de recorrer aos tribunais quando a ACP «decid[a] não apreciar o processo» nos termos do artigo 56.°, n.° 5, do RGPD. À primeira vista, esta disposição pode perfeitamente abranger um verdadeiro acordo entre as duas autoridades de controlo destinado a determinar qual delas está mais bem colocada para apreciar o processo.

137. Em resumo, as disposições sobre o RGPD não comportam nenhuma proibição geral de que as outras autoridades de controlo, especialmente às ACI, instaurarem processos contra potenciais violações das regras de proteção de dados. Pelo contrário, várias das situações em que estão habilitadas a fazê‑lo encontram‑se expressamente previstas no RGPD, ou deste decorrem implicitamente 70.

138. No entanto, em geral, é fundamental que quando se apliquem os procedimentos e mecanismos previstos no RGPD (especialmente os que constam dos seus capítulos VI e VII), tanto as ACP como as ACI os cumpram devidamente. As regras do RGPD estabelecem de forma clara que nenhuma destas autoridades deve agir à margem deste quadro jurídico ou desrespeitá‑lo.

139. Dito isto, cabe ao órgão jurisdicional de reenvio, todavia, determinar se a APD respeitou, ou não, esses procedimentos e mecanismos no presente processo, sendo esta uma questão que suscitou alguma discussão na audiência mas sobre a qual persistem dúvidas tendo em conta os antecedentes processuais específicos do presente processo 71.

140. Por conseguinte, deve responder‑se à primeira questão que as disposições do RGPD permitem que a autoridade de controlo de um Estado‑Membro instaure processos num órgão jurisdicional deste Estado por uma alegada violação do RGPD no que diz respeito ao tratamento de dados transfronteiriço, embora não seja a LSA, desde que o faça nas situações e de acordo com os procedimentos previstos no RGPD.

C.Outras questões prejudiciais

1.Segunda questão

141. Com a sua segunda questão, o órgão jurisdicional de reenvio pretende saber se a resposta à primeira questão seria diferente se o responsável por aquele tratamento transfronteiriço não tiver nesse Estado‑Membro o seu estabelecimento principal, mas aí tiver outro estabelecimento.

142. À luz da resposta proposta para a primeira questão, a resposta a dar à segunda questão é bastante clara: em princípio, não, desde que o «estabelecimento principal» na aceção do artigo 4.°, n.° 16, do RGPD se localize efetivamente noutro Estado‑Membro.

143. O facto de um responsável pelo tratamento ter um estabelecimento secundário num Estado‑Membro não afeta, em princípio, a capacidade da autoridade de controlo local para instaurar processos judiciais, em conformidade com o artigo 58.°, n.° 5, do RGPD, em relação a uma determinada situação de tratamento transfronteiriço. Por outras palavras, no caso do tratamento de dados transfronteiriço, o âmbito dos poderes conferidos a uma autoridade de controlo e a forma como estes poderes devem ser exercidos não depende geralmente da questão de saber se o responsável pelo tratamento ou o subcontratante, que tem o seu estabelecimento principal noutro Estado‑Membro, também tem um estabelecimento no Estado‑Membro dessa autoridade.

144. No entanto, à semelhança do que já foi acima referido 72, enquanto elemento preliminar de tal conclusão, um órgão jurisdicional nacional tem de começar por verificar qual é efetivamente o estabelecimento principal para efeitos de uma determinada operação de tratamento. A este respeito, o artigo 4.°, n.° 16, alínea a), do RGPD adota uma compreensão dinâmica 73 sobre aquilo que deve ser considerado o estabelecimento principal, que não tem necessariamente de coincidir com a estrutura empresarial estática de uma sociedade.

145. Além disso, o facto de o responsável pelo tratamento ou subcontratante ter um estabelecimento (secundário) no território da autoridade de controlo significa que esta autoridade é uma ACI na aceção do artigo 4.°, n.° 22, do RGPD. Às ACI são conferidos poderes significativos no contexto dos procedimentos previstos no capítulo VII do RGPD 74.

146. Além disso, o artigo 56.°, n.° 2, do RGPD prevê uma exceção à competência geral da ACP quanto ao tratamento transfronteiriço, ao dispor que «cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do [RGPD] se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado‑Membro ou se afetar substancialmente titulares de dados apenas no seu Estado‑Membro». Esta competência deve, por sua vez, ser exercida em conformidade com o procedimento previsto nos n.os 3 a 5 da mesma disposição 75.

2.Terceira questão

147. Com a sua terceira questão, o órgão jurisdicional de reenvio pretende saber se a resposta à primeira questão seria diferente se a autoridade de controlo nacional instaurar o processo judicial contra o estabelecimento principal do responsável pelo tratamento ou contra o estabelecimento situado no seu próprio Estado‑Membro.

148. À luz da resposta proposta para a primeira questão, e na medida em que a terceira questão não se sobrepõe efetivamente à segunda questão, deve também responder‑se de forma negativa à terceira questão.

149. Repito, desde que dos factos resulte efetivamente de forma clara que o estabelecimento principal para uma determinada de operação de tratamento nos termos do artigo 4.°, n.° 16, do RGPD se localiza realmente noutro Estado‑Membro, a autoridade de controlo nacional do Estado‑Membro onde está localizado um estabelecimento do responsável pelo tratamento não é a ACP, mas pode vir a ser uma ACI. Contudo, no âmbito desta avaliação, a competência para agir da autoridade de controlo não depende da questão de saber se os processos judiciais são instaurados contra o estabelecimento principal do responsável pelo tratamento ou contra o estabelecimento situado no seu próprio Estado‑Membro 76.

150. Por uma questão de exaustividade, é possível acrescentar que o artigo 58.°, n.° 5, do RGPD está formulado de forma ampla e não especifica as entidades contra as quais as autoridades de controlo devem ou podem agir. Isto conduziu a uma curiosa discussão nas alegações de algumas das partes sobre uma questão sobre a qual, em meu entender, embora não deixe de ser importante, o Tribunal de Justiça não tem de se pronunciar no presente processo. A questão é a de saber se as autoridades de controlo, desde que sejam efetivamente competentes para o efeito ao abrigo das regras do RGPD, podem agir apenas contra o estabelecimento ou estabelecimentos do responsável pelo tratamento ou do subcontratante localizados no seu território, ou se podem também agir contra estabelecimentos localizados no estrangeiro?

151. Por um lado, os Governos belga, italiano e polaco salientam que o artigo 55.°, n.° 1, do RGPD limita a competência territorial de cada autoridade de controlo ao seu território. Daqui deduzem que as autoridades de controlo só podem agir contra estabelecimentos locais.

152. No entanto, em meu entender: o texto não é assim tão claro: refere‑se ao exercício de poderes conferidos pelo regulamento «no território do seu próprio Estado‑Membro». Não leio esta disposição no sentido de que proíbe necessariamente uma ação contra um estabelecimento localizado noutro Estado‑Membro. O elemento de territorialidade incluído no artigo 55.°, n.° 1, do RGPD, lido à luz do âmbito geral do RGPD enunciado nos seus artigos 1.°, n.° 1, e 3.°, de que decorre a competência atribuída a uma autoridade de controlo num determinado caso, reporta‑se aos efeitos do tratamento de dados no território de um Estado‑Membro. Este elemento não constitui um limite para ações contra responsáveis pelo tratamento ou subcontratantes estabelecidos fora das fronteiras nacionais.

153. Por outro lado, a APD sugere que cada uma das autoridades goza do poder de ação contra todas as infrações ao RGPD que ocorram no seu respetivo território, independentemente de saber se o responsável pelo tratamento ou subcontratante tem um estabelecimento no seu território. Isto significa que uma autoridade também deve poder instaurar processos contra estabelecimentos localizados no estrangeiro. Neste sentido, a APD refere o Acórdão Wirtschaftsakademie Schleswig‑Holstein do Tribunal de Justiça 77. Nesta decisão, o Tribunal de Justiça declarou que os artigos 4.° e 28.° da Diretiva 95/46 permitem que a autoridade de controlo de um Estado‑Membro exerça o poder de agir em juízo em relação a um estabelecimento dessa empresa que se situe no território deste Estado‑Membro. Assim era ainda que esse estabelecimento só fosse responsável pela venda de espaços publicitários e por outras atividades de marketing no território do referido Estado‑Membro, cabendo a responsabilidade exclusiva pela recolha e pelo tratamento dos dados pessoais, em todo o território da União, a um estabelecimento situado noutro Estado‑Membro.

154. A APD tem razão quando alega que, na medida em que o RGPD inclui, nesta matéria, disposições semelhantes às da Diretiva 95/46 78, os princípios consagrados pelo Tribunal de Justiça no Acórdão Wirtschaftsakademie Schleswig‑Holstein também devem ser válidos, mutatis mutandis, no que diz respeito ao RGPD. No entanto, este acórdão apenas explicava quando é que um estabelecimento local pode ser processado pela autoridade, apesar de o tratamento ser (na sua maioria) realizado por um estabelecimento localizado noutro lugar da União Europeia. Aquele acórdão não confirmou nem excluiu, pelo menos expressamente, que a autoridade de controlo também pode atuar contra este último estabelecimento.

155. No entanto, parece‑me que o novo mecanismo de balcão único, ao criar um ponto central de aplicação, implica necessariamente que uma autoridade de controlo também possa agir contra estabelecimentos localizados no estrangeiro. Não estou certo de que o novo sistema possa funcionar corretamente se excluir a possibilidade de as autoridades, designadamente a ACP, poderem agir contra estabelecimentos localizados noutro lugar 79.

3.Quarta questão

156. Com a sua quarta questão, o órgão jurisdicional de reenvio pretende saber se a resposta à primeira questão seria diferente se a autoridade de controlo nacional já tivesse instaurado o processo judicial antes da data de entrada em vigor do RGPD.

157. Antes de mais, importa salientar que o RGPD não prevê regras transitórias nem outras regras relativas aos processos judiciais que estivessem pendentes no momento em que o novo quadro entrou em vigor.

158. À luz do acima exposto, considero que a resposta à questão deve ser «depende».

159. Por um lado, no que diz respeito às infrações das regras relativas à proteção de dados cometidas pelos responsáveis pelo tratamento ou subcontratantes antes da data em que o RGPD se tornou aplicável, considero que esses processos podem prosseguir. Não vislumbro nenhuma boa razão para obrigar as autoridades a deixarem de aplicar medidas coercivas relativas a um comportamento anterior que era (alegadamente) ilegal quando foi praticado, e contra o qual eram (à época) competentes para agir. Uma solução diferente conduziria a uma espécie de amnistia relativamente a determinadas violações da legislação em matéria de proteção de dados.

160. Por outro lado, a situação é diferente no que se refere às ações intentadas contra violações que ainda não se materializaram, uma vez que ocorreram depois da data em que o RGPD se tornou aplicável 80. A este respeito, como em qualquer outra situação de aplicação de novas regras a situações surgidas no âmbito do novo regime jurídico, as novas regras materiais só serão aplicáveis a factos ocorridos depois de o novo instrumento se ter tornado aplicável 81.

161. Cabe ao órgão jurisdicional de reenvio verificar qual dos dois cenários reflete, de facto, o atual estado do processo principal 82. No caso de se tratar do primeiro cenário, proponho que os processos em curso possam ser concluídos, pelo menos do ponto de vista do direito da União, desde que se limitem a uma possível declaração de infrações passadas. No caso do segundo cenário, deve ser posto termo aos processos nacionais. Com efeito, o novo quadro estabelece um sistema diferente de competências e poderes, com a consequência de que uma ACI não pode agir contra infrações resultantes do tratamento transfronteiriço fora das situações específicas, e exceto se seguir os procedimentos e mecanismos, previstas para o efeito.

162. A solução contrária implicaria uma prorrogação de facto do sistema estabelecido pela Diretiva 95/46, embora tanto o direito da União como o direito nacional o tenham expressamente revogado e substituído por um novo. Com efeito, se a APD obtivesse efetivamente uma ordem judicial que impedisse a Facebook de adotar no futuro (e, já agora, por quanto tempo?) as práticas em causa no processo principal, tal não interferiria com a competência relativa ao (mesmo) comportamento que o RGPD conferiu, a partir de 25 de maio de 2018, às ACP e às ACI, eventualmente associada a decisões (ou ordens judiciais) contraditórias dos diferentes Estados‑Membros?

4.Quinta questão

163. Com a sua quinta questão, colocada para o caso de ser dada resposta afirmativa à primeira questão, o órgão jurisdicional de reenvio pretende esclarecer se o artigo 58.°, n.° 5, do RGPD produz efeitos diretos no sentido de que uma autoridade de controlo nacional pode invocá‑lo para instaurar ou prosseguir processos judiciais contra particulares, ainda que esta disposição não tenha sido especificamente transposta para o direito nacional.

164. Repetindo: o artigo 58.°, n.° 5, prevê que «[o]s Estados‑Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento».

165. A Facebook e os Governos checo e português salientam que esta disposição exige claramente que os Estados‑Membros façam uma coisa: prevejam disposições que permitam às autoridades intentar ações. Para ser totalmente operacional, o poder para instaurar processos pode também necessitar que algumas regras nacionais permitam determinar, nomeadamente, os órgãos jurisdicionais competentes, os requisitos para intentar uma ação e os procedimentos que devem ser respeitados.

166. Atendendo à resposta que proponho para a primeira questão, não é efetivamente necessário responder à quinta questão. No entanto, para ser exaustivo, não tenho problemas em concordar com a APD quanto ao facto de que o conteúdo prescritivo daquela disposição específica de direito da União é bastante inequívoco e autoexecutável. A este respeito, importa recordar que, em geral, uma disposição do direito da União produz efeitos diretos sempre que, no que se refere ao seu objeto, seja suficientemente clara, precisa e incondicional para ser invocada contra uma medida nacional conflituante, ou na medida em que as disposições estabeleçam direitos que os particulares podem invocar contra o Estado 83.

167. Para além do facto de que a disposição estar incluída num regulamento (um instrumento que, nos termos do artigo 288.° TFUE é «obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados‑Membros» 84), parece‑me que se pode efetivamente extrair do artigo 58.°, n.° 5, do RGPD uma regra específica e imediatamente aplicável. Esta regra é muito simples: as autoridades de controlo devem ter legitimidade processual perante os órgãos jurisdicionais nacionais visto que lhes é conferida capacidade para instaurarem processos judiciais no âmbito do direito nacional. A ação intentada num órgão jurisdicional nacional não pode ser julgada inadmissível por falta de personalidade jurídica.

168. Embora concorde com a Facebook bem como com os Governos checo e português em relação ao facto de os Estados‑Membros poderem prever regras, condições ou competências mais específicas relativamente às ações intentadas por autoridades de controlo, tais regras não são de modo nenhum necessárias para que a regra que produz efeitos diretos prevista no artigo 58.°, n.° 5, do RGPD seja aplicável. Se não houver regras ad hoc introduzidas pelo legislador nacional, por defeito as regras dos respetivos códigos processuais nacionais (sejam códigos de justiça administrativa ou mesmo, por defeito, códigos de processo civil) serão naturalmente aplicáveis a quaisquer ações instauradas pelas autoridades de controlo. Assim, por exemplo, se não existirem regras específicas em matéria de competência, é seguro assumir que se aplica por defeito a genérica regra que figura em qualquer código de processo (civil), segundo a qual, por defeito, o órgão jurisdicional é o órgão jurisdicional do local de estabelecimento do demandado se nada estiver previsto em sentido contrário.

5.Sexta questão

169. Com a sua sexta e última questão, o órgão jurisdicional de reenvio pretende saber se, estando a autoridade de controlo nacional habilitada a intentar ações, o resultado de tais processos pode impedir que a autoridade de controlo principal chegue a uma solução de sentido contrário no caso de a autoridade de controlo principal investigar as mesmas operações de tratamento transfronteiriço ou operações de tratamento transfronteiriço semelhantes, de acordo com o mecanismo previsto nos artigos 56.° e 60.° do RGPD.

170. À luz da resposta proposta para a primeira questão, não é necessário responder a esta questão.

171. No entanto, o problema suscitado por esta questão demonstra, uma vez mais, a razão pela qual se deve responder à primeira questão nos termos acima propostos. Se fosse eliminado o caráter obrigatório dos mecanismos de coerência e cooperação previstos no RGPD, fazendo com que o mecanismo de balcão único passasse a ser «opcional», ou na realidade praticamente inexistente, a coerência de todo o sistema ficaria gravemente afetada. As regras em matéria de competência atualmente constantes do RGPD seriam, no essencial, substituídas por uma «corrida à primeira decisão» simultânea entre todas as autoridades de controlo. Em última instância, aquela que for a «primeira a cortar a meta» e obtiver uma decisão final proferida na sua jurisdição passaria assim a ser a ACP competente em relação à restante União Europeia, conforme está implícito na sexta questão.

V.Conclusões

172. Proponho que o Tribunal de Justiça responda às questões prejudiciais submetidas pelo Hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica) do seguinte modo:

– As disposições do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) permitem à autoridade de controlo de um Estado‑Membro instaurar processos num órgão jurisdicional desse Estado por uma pretensa violação deste regulamento no que diz respeito ao tratamento de dados transfronteiriço, apesar de não ser a autoridade de controlo principal, desde que o faça nas situações e de acordo com os procedimentos previstos no mesmo regulamento;

– O Regulamento Geral sobre a Proteção de Dados proíbe que uma autoridade de controlo prossiga os processos judiciais iniciados antes da data em que passou a ser aplicável, mas que digam respeito a comportamentos praticados após esta data;

– O artigo 58.°, n.° 5, do Regulamento Geral sobre a Proteção de Dados produz efeitos diretos, na medida em que uma autoridade de controlo nacional o pode invocar para instaurar ou prosseguir processos judiciais nos órgãos jurisdicionais nacionais, ainda que esta disposição não tenha sido especificamente transposta para o direito nacional.


1

Língua original: inglês.

2

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1) .

3

JO 1995, L 281, p. 31.

4

Pelas razões acima referidas, v., n.° 23 das presentes conclusões.

5

A este respeito, o Tribunal de Justiça declarou reiteradamente que, nos termos da Diretiva 95/46, o conceito de «responsável pelo tratamento» devia ser interpretado em sentido amplo – v., por exemplo, Acórdãos recentes de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.os 65, 66 e 70) , e de 10 de julho de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, n.° 66) . Não vislumbro qualquer razão para que o mesmo entendimento não seja igualmente válido no que diz respeito ao RGPD.

6

V., por exemplo, Acórdão de 25 de julho de 2018, Confédération paysanne e o. (C‑528/16, EU:C:2018:583, n.os 72 e 73 e jurisprudência referida), ou de 1 de outubro de 2019, Blaise e o. (C‑616/17, EU:C:2019:800, n.° 35) .

7

Por exemplo, nas Conclusões que apresentei no processo Fashion ID, expliquei as razões pelas quais tanto as regras da Diretiva 95/46, à época em vigor, como as regras da designada Diretiva Privacidade [Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas)] (JO 2002, L 201, p. 37) ] poderiam eventualmente ser aplicadas num processo relativo à colocação de cookies (C‑40/17, EU:C:2018:1039, n.os 111 a 115) . Quanto a esta matéria, de forma mais geral, v., Comité Europeu para a Proteção de Dados, Parecer 5/2019, relativo à conjugação da Diretiva Privacidade e Comunicações Eletrónicas com o RGPD, designadamente no que diz respeito à competência, atribuições e poderes das autoridades de proteção de dados, de 12 de março de 2019. V., igualmente, Grupo de Trabalho do Artigo 29.° para a Proteção de Dados, Documento 02/2013 que proporciona orientação sobre como obter consentimento para cookies, 1676/13/EN WP 208, de 2 de outubro de 2013.

8

Sublinhado nosso.

9

Sublinhado nosso.

10

Sublinhado nosso.

11

V., na doutrina, Bensoussan, A. (ed.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2.ª ed., Bruylant, Bruxelas, 2017, p. 363.

12

De igual modo, Hijmans, H., «Comment to Article 56 of the GDPR», em Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 921.

13

Por analogia com o direito administrativo geral (ou códigos de processo judiciário), um organismo pode possuir o poder (geral) de agir de determinadas formas, mas pode não ter necessariamente a competência (rationae materiae, personae, temporis, loci, etc.) para exercer esse poder e decidir sobre um caso concreto. Assim, por exemplo, o facto de um tribunal penal possuir o poder de proferir uma sentença no âmbito de um processo penal não significa necessariamente que também será competente para fazê‑lo no caso de um determinado crime cometido por uma determinada pessoa (visto que este poderá ser da competência de um tribunal diferente).

14

Comité Europeu para a Proteção de Dados, Parecer 8/2019, relativo à competência de uma autoridade de controlo em caso de alteração das circunstâncias relacionadas com estabelecimento principal ou único, de 9 de julho de 2019, n.os 19 e 20.

15

Esta disposição, na parte relevante, estabelece que «[c]ada autoridade do controlo disporá, nomeadamente […] do poder de intervir em processos judiciais no caso de violação das disposições nacionais adotadas nos termos da presente diretiva ou de levar essas infrações ao conhecimento das autoridades judiciais».

16

V., Comissão Europeia, Primeiro relatório sobre a implementação da diretiva relativa à proteção de dados (95/46/EC) de 15 de maio de 2003, COM(2003) 265 final, pp. 12 e 13, e o seu anexo «Análise e estudo de impacto sobre a transposição da Diretiva 95/46/CE para os Estados‑Membros», p. 40. V., igualmente, Agência dos Direitos Fundamentais da União Europeia, «Acesso a vias de recurso em matéria de proteção de dados nos Estados‑Membros da União Europeia – Relatório, 2012, especialmente pp. 20 a 22.

17

V. supra, n.os 51, 57 e 58 das presentes conclusões.

18

Acórdãos de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.° 63) , e de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, n.° 109) .

19

Nalguns casos, uma SAC tem direito (e, por isso, deve ser capaz) de apresentar à LSA um projeto de decisão: v. artigo 56.°, n.os 2 a 4, RGPD.

20

V., neste sentido, considerando 125 do RGPD.

21

Acórdão de 16 de julho 2020 (C‑311/18, EU:C:2020:559, n.° 120) (sublinhado nosso). De igual modo, esclarecendo que cabe à autoridade de controlo competente reagir às violações ao RGPD e escolher os meios mais adequados para o efeito, v., Conclusões apresentadas pelo advogado‑geral H. Saugmandsgaard Øe no processo Facebook Ireland e Schrems (C‑311/18, EU:C:2019:1145, n.os 147 e 148) . Estas declarações devem ser comparadas com o Acórdão de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.° 65) no qual o Tribunal de Justiça concluiu que, ao abrigo da Diretiva 95/46 (qualquer) autoridade nacional de controlo deve poder intervir num processo judicial.

22

De acordo com a famosa deixa do filme «O Bom, o Mau e o Vilão» (filme de 1966, realizado por Sergio Leone, com Clint Eastwood, Lee Van Cleef e Eli Wallach, com produção de Produzioni Europee Associate e de United Artists).

23

Artigo 68.° do RGPD.

24

V., nomeadamente, artigo 70.°, n.° 1, alínea a), do RGPD.

25

V., Exposição de motivos da Proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados), COM(2012) 11 final. V., igualmente, considerandos 10, 13 e 123 do RGPD.

26

Quanto a esta questão, v., em geral, Giurgiu, A. e Larsen, T., «Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR: Stronger and More “European” DPAs as Guardians of Consistency?» European Data Protection Law Review, 2016, pp. 342‑352, na p. 349; e Voigt, P., von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, pp. 190‑192.

27

Acórdão de 1 de outubro de 2015 (C‑230/14, EU:C:2015:639, n.os 42 a 60) .

28

Acórdão de 5 de junho de 2018 (C‑210/16, EU:C:2018:388, n.os 65 a 74) .

29

V., por exemplo, Miglio, A., «The Competence of Supervisory Authorities and the One‑stop‑shop Mechanism», em EU Law Live – Weekend edition, n.° 28, 2020, pp. 10 a 14, na p. 11.

30

V. conclusões apresentadas pelo advogado‑geral Y. Bot no processo Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, n.° 103) .

31

Acórdão de 24 de setembro de 2019 (C‑507/17, EU:C:2019:772, n.° 68) .

32

C‑311/18, EU:C:2019:1145, n.° 155.

33

V. considerandos 97 e 98 da Proposta da Comissão (v. nota 25 supra).

34

V. Documentos do Conselho 15656/1/14 REV 1, de 28 de novembro de 2014, e 16526/14, de 4 e 5 de dezembro de 2014, pp. 2, 8 e 9.

35

Ibidem, p. 1.

36

V. Documento do Conselho 5419/1/16 REV 1, de 8 de abril de 2016, pp. 203 a 205.

37

V. supra n.° 45 das presentes conclusões.

38

Documento do Conselho 15656/1/14 REV 1, de 28 de novembro 2014, p. 2.

39

V. Documento A7‑0402/2013 de 22 de novembro de 2013, que refere que o mecanismo de balcão único representa um «grande passo para uma aplicação coerente da legislação relativa à proteção de dados em toda a União».

40

Documento EP‑PE_TC1‑COD(2012) 0011 de 12 de março de 2014 (v., em especial, alterações 148, 149, 158, 159 e 167) .

41

No mesmo sentido, presumo simplesmente que estas disposições da Carta e os direitos invocados pertencem aos titulares dos dados, que uma autoridade de controlo está obrigada a proteger, e não que uma autoridade de controlo seja, ela própria, a detentora desses direitos. A ideia de que as autoridades administrativas, isto é, as emanações do Estado, pudessem ser dotadas de direitos fundamentais (humanos) invocáveis contra o Estado (ou melhor, uns contra os outros ou, em casos de efeito direto horizontal, inclusivamente contra particulares) é, de facto, bastante original. Em meu entender, a resposta deve ser claramente negativa, mas reconheço que existem diferentes abordagens nos Estados‑Membros. Em todo o caso, no âmbito do presente processo, esta questão pode seguramente ficar por explorar.

42

V., neste sentido, Acórdão de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.° 39) .

43

V. considerandos 7, 9 e 10 do GDPR (sublinhado nosso).

44

V., neste sentido, considerandos 10, 11 e 13 do RGPD

45

Sublinhado nosso.

46

V., neste sentido, Acórdão de 27 de setembro de 2017, Puškár (C‑73/16, EU:C:2017:725, n.os 54 a 76 e jurisprudência referida).

47

V. artigo 79.° e também considerando 145 do GDPR.

48

Tendo igualmente em conta que, em termos práticos, esta solução coincide com o que normalmente seria o (efetivamente protetor) fórum (actoris) nos contratos de consumo ao abrigo do regime do Regulamento de Bruxelas – v., em geral, Acórdão de 25 de janeiro de 2018, Schrems (C‑498/16, EU:C:2018:37) .

49

V. considerandos 141 e 143 do RGPD, e Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, n.° 110) .

50

V. considerando 143 e artigo 78.° do RGPD.

51

Para semelhante abordagem no âmbito de outro quadro regulatório (descentralizado), v. Conclusões que apresentei no processo Astellas Pharma (C‑557/16, EU:C:2017:957) .

52

Quanto à última questão, o artigo 78.°, n.° 4, salienta que «[q]uando for interposto recurso de uma decisão de uma autoridade de controlo que tenha sido precedida de um parecer ou uma decisão do Comité no âmbito do procedimento de controlo da coerência, a autoridade de controlo transmite esse parecer ou decisão ao tribunal». Em termos práticos, esta é provavelmente a única via para uma fiscalização jurisdicional das decisões do Comité, uma vez que, como o considerando 143 do RGPD confirma ominosamente, «[t]odas as pessoas singulares ou coletivas» (incluindo, assim, os titulares de dados) podem, quando estiverem reunidas as condições previstas no artigo 263.° do TFUE, contestar uma decisão juridicamente vinculativa do Comité nos órgãos jurisdicionais da União. No entanto, atendendo à interpretação restritiva que o Tribunal de Justiça faz das condições relativas à legitimidade dos particulares estabelecidas no n.° 4 do artigo 263.° TFUE, não é fácil identificar situações em que seja possível considerar que os particulares possam ser diretamente afetados pelas decisões do Comité, uma vez que estas decisões terão, em todo o caso, de ser «aplicadas» à situação de um determinado titular de dados por uma decisão posterior da LSA ou de uma SAC. Nesta situação, tal como em muitas outras áreas do direito da União (numa perspetiva crítica sobre esta questão, v. Conclusões que apresentei no processo Région de Bruxelles‑Capitale/Comissão (C‑352/19 P, EU:C:2020:588, n.os 137 a 147) , a única forma de contestar uma decisão do Comité seria através da apresentação de um pedido de decisão prejudicial nos termos do artigo 267.° TFUE, limitado a situações em que um órgão jurisdicional nacional mais inquisitivo pretenda «levantar o véu» à sua própria fiscalização judicial, que a autoridade de controlo nacional colocou sobre si sob a forma de parecer «transmitido» do Comité nos termos do artigo 78.°, n.° 4, do RGPD.

53

V., em especial, artigo 60.°, n.° 1, do RGPD.

54

Hijmans, H., «Comment to Article 56 of the GDPR», em Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 918.

55

Hustinx, P., «EU Data Protection Law: The Review of Directive 95/46/EC and the General Data Protection Regulation», em Cremona, M. (ed.), New Technologies and EU Law, 2017, Oxford University Press, Oxford, p. 123.

56

Quanto a esta expressão, v. Conselho, «Debate de orientação sobre o mecanismo de balcão único», 10139/14 de 26 de maio de 2014, p. 4.

57

V., por exemplo, Acórdão de 9 de março de 2010, Comissão/Alemanha (C‑518/07, EU:C:2010:125, n.° 24) . Mais recentemente, v., Acórdão de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.° 42) .

58

V. supra n.° 4 das presentes conclusões.

59

Sublinhado nosso.

60

Neste contexto, apenas acrescentaria que as autoridades de controlo que recebem uma reclamação, independentemente da sua posição de LSA ou SAC, não só estão obrigadas a examinar esta reclamação com a diligência exigida (v. n.° 69 das presentes conclusões, supra), como também estão obrigadas a assegurar «com toda a diligência exigida […] o total cumprimento do RGPD» (v., neste sentido, Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems (C‑311/18, EU:C:2020:559, n.° 112) (sublinhado nosso).

61

Sublinhado nosso.

62

Sublinhado nosso.

63

V., Tosoni, L., «Comment to Article 60 of GDPR», em Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 969.

64

Sublinhado nosso.

65

Dependendo, conforme esclarecido pelo considerando 138 do RGPD, do tipo de medida em causa. Contudo, em termos realistas, seria bastante surpreendente se, mesmo não sendo formalmente vinculativa nos termos do RGPD, uma LSA optasse por ignorar uma decisão do Comité (em particular, uma vez que o que não é vinculativo na primeira fase pode muito bem vir a sê‑lo na fase seguinte).

66

No mesmo sentido, com maior detalhe, Van Eecke, P., Šimkus, A., «Comment to Article 64», em Kuner, C., Bygrave, L., Docksey, C. (eds), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 1011.

67

V. supra, n.os 106 e 107 das presentes conclusões.

68

V. supra, n.os 35 a 38 das presentes conclusões.

69

V. igualmente Grupo de Trabalho do Artigo 29.° para a Proteção de Dados, Orientações sobre a identificação da autoridade de controlo principal do responsável pelo tratamento ou do subcontratante, WP 244 rev.01, de 5 de abril de 2017, p. 10.

70

De resto, não afirmo que os exemplos acima mencionados são uma lista exaustiva. Não poderia existir uma outra situação na qual a decisão final adotada num determinado processo relativo ao tratamento transfronteiriço, tanto por acordo entre a LSA e as SAC, como na sequência da resolução do litígio pelo Comité, possa confiar a uma ou mais SAC a função de realizar determinados atos de aplicação da lei nos seus respetivos territórios, incluindo, por exemplo, a instauração de um processo judicial?

71

Conforme referido nos n.os 31 a 38 das presentes conclusões.

72

Supra n.os 32 e 33 das presentes conclusões.

73

Como deve suceder, em geral, no que diz respeito a qualquer tratamento e à definição do responsável pelo tratamento (conjunto) do mesmo. O controlo efetivo das finalidades e dos meios do tratamento deve ser avaliado em relação a uma determinada operação de tratamento, e não em termos abstratos e estáticos, em relação a um «tratamento» indefinido – v. Acórdão de 29 de julho de 2019, Fashion ID (C‑40/17, EU:C:2019:629, n.os 71 a 74) .

74

V. supra n.os 111 e 112 das presentes conclusões.

75

V. supra n.os 45 e 84 das presentes conclusões.

76

Voltando assim indiretamente à questão inicial de saber exatamente o significa tal estabelecimento ser de facto processado nesse Estado‑Membro depois de o RGPD se ter tornado aplicável, conforme discutido nos n.os 32 a 34 das presentes conclusões.

77

Acórdão de 5 de junho de 2018 (C‑210/16, EU:C:2018:388) .

78

Compare‑se, nomeadamente, o novo artigo 3.°, n.° 1, com o anterior artigo 4.°, n.° 1, alínea a), e o novo artigo 58.°, n.° 6, com o anterior artigo 28.°, n.° 3, terceiro travessão.

79

No entanto, conforme sugerido na nota 70, é igualmente admissível que a tomada de decisão coordenada possa resultar em medidas de execução coordenadas.

80

V., por analogia, Acórdão de 14 de fevereiro de 2012, Toshiba Corporation e o. (C‑17/10, EU:C:2012:72, especialmente n.° 60) .

81

Para uma discussão detalhada com exemplos, v., Conclusões que apresentei no processo Nemec (C‑256/15, EU:C:2016:619, n.os 27 a 44) .

82

V. igualmente n.° 34 das presentes conclusões, supra.

83

De forma mais detalhada, v., Conclusões que apresentei no processo Klohn (C‑167/17, EU:C:2018:387, n.os 36 a 46) .

84

Embora, evidentemente, a aplicabilidade direta não seja um efeito direto e as mesmas condições relativas ao efeito direto sejam aplicáveis no que diz respeito às disposições dos regulamentos que preveem ou exigem a sua transposição – v., por exemplo, Acórdãos de 11 de janeiro de 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, n.os 26 a 28) ; de 28 de outubro de 2010, SGS Belgium e o. (C‑367/09, EU:C:2010:648, n.os 33 e segs.); ou de 14 de abril de 2011, Vlaamse Dierenartsenvereniging e Janssens (C‑42/10, C‑45/10 e C‑57/10, EU:C:2011:253, n.os 48 a 50) .

Conexões do processo:

Mostrar gráfico

Classificação Decimal Universal (CDU):

Sugerir área temática
Tribunal de Justiça da União Europeia

C-311/18 • 16 Julho, 2020

adequação da proteção assegurada pelo escudo de proteção da ... artigo 45.° carta dos direitos fundamentais da união europeia
Tribunal de Justiça da União Europeia

C-352/19 P • 16 Julho, 2020

afetação direta ato regulamentar que não necessita de medidas de execução regulamento de execução (ue) n.° 2017/2324
Tribunal de Justiça da União Europeia

C-616/17 • 01 Outubro, 2019

princípio da precaução fiabilidade do processo de avaliação regulamento (ce) n.º 1107/2009
Tribunal de Justiça da União Europeia

C-507/17 • 24 Setembro, 2019

diretiva 95/46/ce motores de busca na internet regulamento (ue) 2016/679
Tribunal de Justiça da União Europeia

C-40/17 • 29 Julho, 2019

artigo 2.º, alínea d) informação da pessoa em causa proteção das pessoas singulares no que diz respeito ao ...
Tribunal de Justiça da União Europeia

C-40/17 • 19 Dezembro, 2018

legitimidade ativa de uma associação de defesa dos consumidores responsabilidade do administrador de uma página web diretiva 95/46/ce
Tribunal de Justiça da União Europeia

C-25/17 • 10 Julho, 2018

artigo 2.º, alínea d) artigo 2.º, alínea c) diretiva 95/46/ce
Tribunal de Justiça da União Europeia

C-167/17 • 05 Junho, 2018

avaliação dos efeitos acesso a um processo de recurso exigência de que o processo de recurso não seja ...
Tribunal de Justiça da União Europeia

C-210/16 • 05 Junho, 2018

artigo 2.º, alínea d) artigo 28.º diretiva 95/46/ce
Tribunal de Justiça da União Europeia

C-498/16 • 25 Janeiro, 2018

artigos 15.° e 16.° regulamento (ce) 44/2001 reenvio prejudicial
Tribunal de Justiça da União Europeia

C-557/16 • 07 Dezembro, 2017

pedido de decisão prejudicial fiscalização jurisdicional poderes da autoridade competente do estado‑membro envolvido
Tribunal de Justiça da União Europeia

C-210/16 • 24 Outubro, 2017

diretiva 95/46/ce artigos 2.º, 4.º e 28.º injunção para desativar uma página de fãs na rede ...
Tribunal de Justiça da União Europeia

C-73/16 • 27 Setembro, 2017

artigo 4.°, n.° 3, tue reenvio prejudicial carta dos direitos fundamentais da união europeia
Tribunal de Justiça da União Europeia

C-256/15 • 28 Julho, 2016

direito da união conceito de ‘empresa’ atrasos nos pagamentos nas transações comerciais
Tribunal de Justiça da União Europeia

C-362/14 • 06 Outubro, 2015

artigos 25.° e 28.° transferência de dados pessoais para países terceiros proteção das pessoas singulares no que diz respeito ao ...
Tribunal de Justiça da União Europeia

C-230/14 • 01 Outubro, 2015

artigos 4.°, n.° 1, e 28.°, n.os 1, 3 ... exercício dos poderes da autoridade de controlo violação do direito à proteção de dados pessoais relativos ...
Tribunal de Justiça da União Europeia

C-17/10 • 14 Fevereiro, 2012

concorrência cartel, no território de um estado‑membro, iniciado antes da ... cartel de alcance internacional que produz efeitos no território ...
Tribunal de Justiça da União Europeia

C-42/10 • 13 Abril, 2011

regulamento (ce) n.° 998/2003 decisão 2003/803/ce modelo de passaporte para a circulação intracomunitária de cães, ...
Tribunal de Justiça da União Europeia

C-367/09 • 27 Outubro, 2010

lesão dos interesses financeiros da união europeia efeito directo interrupção
Tribunal de Justiça da União Europeia

C-518/07 • 09 Março, 2010

directiva 95/46/ce independência protecção das pessoas singulares no que diz respeito ao ...
Tribunal de Justiça da União Europeia

C-403/98 • 11 Janeiro, 2001

«agricultura agricultura conceito

Esta decisão foi disponibilizada publicamente pelo Tribunal de Justiça da União Europeia.

Como parte de um esforço constante de proteção de dados pessoais, este processo foi atualizado a 13 Jan. 2021. Até agora, foi atualizado 1 vez.
Topo