AMJ

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)
4 de julho de 2023
Processo C -252/21
Proteção de dados
Meta Platforms Inc., anteriormente Facebook Inc.,
Meta Platforms Ireland Ltd, anteriormente Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contra
Bundeskartellamt

«Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Redes sociais em linha – Abuso de posição dominante pelo operador de uma rede desse tipo – Abuso que consiste no tratamento de dados pessoais dos utilizadores dessa rede previsto pelas suas condições gerais de utilização – Competências de uma autoridade da concorrência de um Estado‑Membro para declarar a não conformidade desse tratamento com este regulamento – Articulação com as competências das autoridades nacionais responsáveis pelo controlo da proteção dos dados pessoais – Artigo 4.°, n.° 3, TUE – Princípio da cooperação leal – Artigo 6.°, n.° 1, primeiro parágrafo, alíneas a) a f), do Regulamento 2016/679 – Licitude do tratamento – Artigo 9.°, n.os 1 e 2 – Tratamento de categorias especiais de dados pessoais – Artigo 4.°, ponto 11 – Conceito de “consentimento”»

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1) Os artigos 51.° e seguintes do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), e o artigo 4.°, n.° 3, TUE

devem ser interpretados no sentido de que:

sob reserva do cumprimento da sua obrigação de cooperação leal com as autoridades de controlo, uma autoridade da concorrência de um Estado‑Membro pode constatar, no âmbito do exame de um abuso de posição dominante por parte de uma empresa, na aceção do artigo 102.° TFUE, que as condições gerais de utilização dessa empresa relativas ao tratamento de dados pessoais e à sua aplicação não estão em conformidade com este regulamento, quando essa constatação seja necessária para demonstrar a existência de tal abuso.

À luz desta obrigação de cooperação leal, a autoridade nacional da concorrência não se pode afastar de uma decisão da autoridade nacional de controlo competente ou da autoridade de controlo principal competente relativa a essas condições gerais ou a condições gerais semelhantes. Quando tenha dúvidas a respeito do alcance dessa decisão, quando as referidas condições ou condições semelhantes sejam, ao mesmo tempo, objeto de um exame por parte dessas autoridades, ou ainda quando, não tendo as referidas autoridades realizado uma investigação ou tomado uma decisão, a autoridade da concorrência considerar que as condições em causa não estão em conformidade com o Regulamento 2016/679, a autoridade nacional da concorrência deve consultar essas mesmas autoridades de controlo e solicitar a sua cooperação, para dissipar as suas dúvidas ou para determinar se deve aguardar por uma decisão destas últimas antes de iniciar a sua própria apreciação. Não havendo objeções ou não sendo apresentada resposta num prazo razoável, a autoridade nacional da concorrência pode prosseguir a sua própria investigação.

2) O artigo 9.°, n.° 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

no caso de um utilizador de uma rede social em linha consultar sítios Internet ou aplicações relacionadas com uma ou várias das categorias referidas nesta disposição e, se for caso disso, neles inserir dados, registando‑se ou efetuando encomendas em linha, o tratamento de dados pessoais pelo operador dessa rede social em linha, que consista na recolha, através de interfaces integradas, de cookies ou de tecnologias de registo semelhantes, dos dados resultantes da consulta desses sítios e dessas aplicações, bem como dos dados inseridos pelo utilizador, no cruzamento do conjunto desses dados com a conta da rede social desse utilizador e na utilização dos referidos dados por esse operador, deve ser considerado um «tratamento de categorias especiais de dados pessoais», na aceção da referida disposição, que é em princípio proibido, sob reserva das exceções previstas neste artigo 9.°, n.° 2, quando esse tratamento de dados permita revelar informações abrangidas por uma dessas categorias, independentemente de essas informações dizerem respeito a um utilizador dessa rede ou a qualquer outra pessoa singular.

3) O artigo 9.°, n.° 2, alínea e), do Regulamento 2016/679

deve ser interpretado no sentido de que:

quando um utilizador de uma rede social em linha consulta sítios Internet ou aplicações relacionadas com uma ou várias das categorias referidas no artigo 9.°, n.° 1, deste regulamento, não torna manifestamente públicos, na aceção da primeira destas disposições, os dados relativos a essa consulta, recolhidos pelo operador dessa rede social em linha através de cookies ou de tecnologias de registo semelhantes.

Quando insere dados em tais sítios Internet ou em tais aplicações ou quando ativa botões de seleção integrados nesses sítios e nessas aplicações, como os botões «gosto» ou «partilhar» ou os botões que permitem ao utilizador identificar‑se nesses sítios ou nessas aplicações utilizando as credenciais de conexão associadas à sua conta de utilizador da rede social, o seu número de telefone ou o seu endereço de correio eletrónico, esse utilizador só torna manifestamente públicos, na aceção deste artigo 9.°, n.° 2, alínea e), os dados assim inseridos ou resultantes da ativação desses botões no caso de ter manifestado expressamente a sua escolha prévia, eventualmente com base numa parametrização individual efetuada com pleno conhecimento de causa, de tornar os dados que lhe dizem respeito publicamente acessíveis a um número ilimitado de pessoas.

4) O artigo 6.°, n.° 1, primeiro parágrafo, alínea b), do Regulamento 2016/679

deve ser interpretado no sentido de que:

o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consista na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, só pode ser considerado necessário para a execução de um contrato do qual os titulares de dados são partes, na aceção desta disposição, se esse tratamento for objetivamente indispensável para realizar uma finalidade que faça parte integrante da prestação contratual destinada a esses mesmos utilizadores, de modo que o objeto principal do contrato não poderia ser alcançado sem esse tratamento.

5) O artigo 6.°, n.° 1, primeiro parágrafo, alínea f), do Regulamento 2016/679

deve ser interpretado no sentido de que:

o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consista na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, só pode ser considerado necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por um terceiro, na aceção desta disposição, desde que o referido operador tenha indicado aos utilizadores cujos dados foram recolhidos um interesse legítimo prosseguido pelo seu tratamento, que esse tratamento seja efetuado na estrita medida do necessário para a realização desse interesse legítimo e que resulte de uma ponderação dos interesses opostos, à luz de todas as circunstâncias pertinentes, que os interesses ou os direitos ou as liberdades fundamentais desses utilizadores não prevalecem sobre o referido interesse legítimo do responsável pelo tratamento ou de um terceiro.

6) O artigo 6.°, n.° 1, primeiro parágrafo, alínea c), do Regulamento 2016/679

deve ser interpretado no sentido de que:

o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consiste na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, é justificado, ao abrigo desta disposição, quando for efetivamente necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento está sujeito, por força de uma disposição do direito da União ou do direito do Estado‑Membro em causa, quando esse fundamento jurídico responda a um objetivo de interesse público e seja proporcionado ao objetivo legítimo prosseguido e quando esse tratamento seja efetuado na estrita medida do necessário.

7) O artigo 6.°, n.° 1, primeiro parágrafo, alíneas d) e e), do Regulamento 2016/679

deve ser interpretado no sentido de que:

o tratamento de dados pessoais efetuado por um operador de uma rede social em linha, que consiste na recolha de dados dos utilizadores dessa rede provenientes de outros serviços do grupo a que pertence esse operador ou provenientes da consulta por esses utilizadores de sítios Internet ou de aplicações de terceiros, no cruzamento desses dados com a conta da rede social dos referidos utilizadores e na utilização dos referidos dados, não pode, em princípio e sob reserva de verificação a efetuar pelo órgão jurisdicional de reenvio, ser considerado necessário à defesa de interesses vitais do titular dos dados ou de outra pessoa singular, na aceção da alínea d), ou ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, na aceção da alínea e).

8) O artigo 6.°, n.° 1, primeiro parágrafo, alínea a), e o artigo 9.°, n.° 2, alínea a), do Regulamento 2016/679

devem ser interpretados no sentido de que:

a circunstância de o operador de uma rede social em linha ocupar uma posição dominante no mercado das redes sociais em linha não obsta, enquanto tal, a que os utilizadores dessa rede possam validamente consentir, na aceção do artigo 4.°, ponto 11, deste regulamento, no tratamento dos seus dados pessoais, a ser efetuado por esse operador. Não obstante, esta circunstância constitui um elemento importante para determinar se o consentimento foi efetivamente dado de forma válida e, nomeadamente, livre, o que incumbe ao referido operador provar.

CURIA - Documents «Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Regulamento (UE) 2016/679 – Redes sociais em linha – Abuso de posição dominante pelo operador de uma rede desse tipo – Abuso que consiste no tratamento de dados pessoais dos ut...

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Primeira Secção)
22 de junho de 2023
Processo C -579/21
Proteção de dados

«Reenvio prejudicial – Tratamento de dados pessoais – Regulamento (UE) 2016/679 – Artigos 4.° e 15.° – Alcance do direito de acesso às informações referidas no artigo 15.° – Informações contidas nos ficheiros de registos gerados por um sistema de tratamento (log data) – Artigo 4.° – Conceito de “dados pessoais” – Conceito de “destinatário” – Aplicação no tempo»

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara:
1) O artigo 15.°, n.° 1, alínea c), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), lido à luz do artigo 99.°, n.° 2, deste regulamento,
deve ser interpretado no sentido de que:
se aplica a um pedido de acesso às informações referidas nesta disposição quando as operações de tratamento abrangidas por esse pedido tenham sido efetuadas antes da data em que o referido regulamento começou a ser aplicável, mas o pedido tenha sido apresentado após essa data.
2) O artigo 15.°, n.° 1, do Regulamento (UE) 2016/679
deve ser interpretado no sentido de que:
as informações relativas a operações de consulta dos dados pessoais de um titular, sobre as datas e as finalidades dessas operações, constituem informações que esse titular tem o direito de obter do responsável pelo tratamento ao abrigo desta disposição. Em contrapartida, a referida disposição não consagra esse direito no que respeita às informações relativas à identidade dos empregados do referido responsável que procederam a essas operações sob a sua autoridade e em conformidade com as suas instruções, a menos que essas informações sejam indispensáveis para permitir ao titular dos dados exercer efetivamente os direitos que lhe são conferidos por este regulamento e desde que sejam tidos em conta os direitos e as liberdades desses empregados.
3) O artigo 15.°, n.° 1, do Regulamento 2016/679
deve ser interpretado no sentido de que:
a circunstância de o responsável pelo tratamento exercer uma atividade bancária no âmbito de uma missão regulamentada e de o titular cujos dados pessoais foram tratados na sua qualidade de cliente do responsável pelo tratamento ter sido igualmente empregado desse responsável não tem, em princípio, impacto no alcance do direito de que esse titular beneficia ao abrigo desta disposição.

CURIA - Documents «Reenvio prejudicial – Tratamento de dados pessoais – Regulamento (UE) 2016/679 – Artigos 4.° e 15.° – Alcance do direito de acesso às informações referidas no artigo 15.° – Informações contidas nos ficheiros de registos gerados por um sistema de tratamento (log data) – Artigo 4...

Tribunal de Justiça da União Europeia
CONCLUSÕES DO ADVOGADO GERAL
PRIIT PIKAMÄE
apresentadas em 15 de junho de 2023
Processo C 118/22
Proteção de dados
[pedido de decisão prejudicial apresentado pelo Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária)]
«Reenvio prejudicial – Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais – Diretiva (UE) 2016/680 – Artigos 4.°, 5.°, 8.°, 10.° e 16.° – Conservação dos dados de uma pessoa singular condenada pela prática de uma infração dolosa até à sua morte – Pessoa singular condenada por uma sentença transitada em julgado e posteriormente reabilitada – Indeferimento do pedido de apagamento – Necessidade e proporcionalidade da ingerência nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta dos Direitos Fundamentais da União Europeia»
“V. Conclusão
77. À luz das considerações anteriores, proponho ao Tribunal de Justiça que responda da seguinte forma ao Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária):
Os artigos 4.°, 5.°, 8.°, 10.° e o artigo 16.°, n.° 2, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho, lidos em conjugação e à luz do artigo 52.°, n.° 1, da Carta dos Direitos Fundamentais da União Europeia,
devem ser interpretados no sentido de que:
se opõem a uma legislação nacional que prevê a conservação de dados pessoais num registo policial, que inclui os dados biométricos e genéticos, de qualquer pessoa condenada penalmente por uma infração dolosa, sem distinguir quanto à natureza ou à gravidade da infração, e isso até à sua morte, sem possibilidade de fiscalização da conservação dos dados ali inscritos, tendo em conta o tempo decorrido desde o seu registo, e, eventualmente, da posterior obtenção do seu apagamento.

A verificação da proporcionalidade da duração de conservação dos dados em relação à finalidade do tratamento, tendo em conta a situação da pessoa condenada, pode incluir a reabilitação de que essa pessoa tenha sido objeto.”

CURIA - Documents [pedido de decisão prejudicial apresentado pelo Varhoven administrativen sad (Supremo Tribunal Administrativo, Bulgária)]