Language of document : ECLI:EU:C:2016:779

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Segunda Secção)

19 de outubro de 2016 (*)

«Reenvio prejudicial — Tratamento de dados pessoais — Diretiva 95/46/CE — Artigo 2.º, alínea a) — Artigo 7.º, alínea f) — Conceito de ‘dados pessoais’ — Endereços de protocolo Internet — Conservação por um prestador de serviços de meios de comunicação em linha — Regulamentação nacional que não permite ter em conta o interesse legítimo prosseguido pelo responsável pelo tratamento»

No processo C‑582/14,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.° TFUE, pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha), por decisão de 28 de outubro de 2014, que deu entrada no Tribunal de Justiça em 17 de dezembro de 2014, no processo

Patrick Breyer

contra

Bundesrepublik Deutschland,

O TRIBUNAL DE JUSTIÇA (Segunda Secção),

composto por: M. Ilešič, presidente de secção, A. Prechal, A. Rosas (relator), C. Toader e E. Jarašiūnas, juízes,

advogado‑geral: M. Campos Sánchez‑Bordona,

secretário: V. Giacobbo‑Peyronnel, administradora,

vistos os autos e após a audiência de 25 de fevereiro de 2016,

vistas as observações apresentadas:

–        em representação de P. Breyer, por M. Starostik, Rechtsanwalt,

–        em representação do Governo alemão, por A. Lippstreu e T. Henze, na qualidade de agentes,

–        em representação do Governo austríaco, por G. Eberhard, na qualidade de agente,

–        em representação do Governo português, por L. Inez Fernandes e C. Vieira Guerra, na qualidade de agentes,

–        em representação da Comissão Europeia, por P. J. O. Van Nuffel, H. Krämer, P. Costa de Oliveira e J. Vondung, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 12 de maio de 2016,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 2.°, alínea a), e do artigo 7.º, alínea f), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

2        Este pedido foi apresentado no âmbito de um litígio que opõe Patrick Breyer à Bundesrepublik Deutschland (República Federal da Alemanha), a propósito do registo e da conservação por parte desta última do endereço de protocolo Internet (a seguir «endereço IP») de P. Breyer aquando da consulta por este de vários sítios Internet dos serviços federais alemães.

 Quadro jurídico

 Direito da União

3        O considerando 26 da Diretiva 95/46 tem a seguinte redação:

«Considerando que os princípios da proteção devem aplicar‑se a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa; que os princípios da proteção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser identificável; que os códigos de conduta na aceção do artigo 27.º podem ser um instrumento útil para fornecer indicações sobre os meios através dos quais os dados podem ser tornados anónimos e conservados sob uma forma que já não permita a identificação da pessoa em causa».

4        Nos termos do artigo 1.° da referida diretiva:

«1.      Os Estados‑Membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2.      Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à proteção assegurada por força do n.° 1.»

5        O artigo 2.° da mesma diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

a)      ‘Dados pessoais’, qualquer informação relativa a uma pessoa singular, identificada ou identificável (pessoa em causa); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b)      ‘Tratamento de dados pessoais’ (‘tratamento’), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]

d)      ‘Responsável pelo tratamento’, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinados por disposições legislativas ou regulamentares nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário;

[…]

f)      ‘Terceiro’, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

[…]»

6        O artigo 3.° da Diretiva 95/46, intitulado «Âmbito de aplicação», prevê:

«1.      A presente diretiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios não automatizados.

2.      A presente diretiva não se aplica ao tratamento de dados de caráter pessoal:

—      efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as atividades do Estado no domínio do direito penal,

[…]»

7        O artigo 5.° da referida diretiva dispõe:

«Os Estados‑Membros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais.»

8        O artigo 7.° da mesma diretiva tem a seguinte redação:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a)      A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

ou

b)      O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa;

ou

c)      O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito;

ou

d)      O tratamento for necessário para a proteção de interesses vitais da pessoa em causa;

ou

e)      O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

ou

f)      O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.° 1 do artigo 1.°»

9        O artigo 13.°, n.° 1, da Diretiva 95/46 dispõe:

«Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.° 1 do artigo 6.°, no artigo 10.°, no n.° 1 do artigo 11.° e nos artigos 12.° e 21.°, sempre que tal restrição constitua uma medida necessária à proteção:

[…]

d)      Da prevenção, investigação, deteção e repressão de infrações penais e de violações da deontologia das profissões regulamentadas;

[…]»

 Direito alemão

10      O § 12 da Telemediengesetz (Lei das telecomunicações em linha), de 26 de fevereiro de 2007 (BGBl. 2007 I, p. 179, a seguir «TMG»), dispõe:

«1)      O prestador de serviços só pode recolher e utilizar dados pessoais para efeitos de disponibilização de meios de comunicação em linha caso a presente lei ou outro instrumento jurídico que diga expressamente respeito a meios de comunicação em linha o permita ou no caso de o utilizador ter prestado o seu consentimento.

2)      O prestador de serviços só pode utilizar os dados pessoais recolhidos para efeitos de disponibilização de meios de comunicação em linha para outros fins caso a presente lei ou outro instrumento jurídico que diga expressamente respeito a meios de comunicação em linha o permita ou no caso de o utilizador ter prestado o seu consentimento.

3)      Salvo disposição em contrário, são aplicáveis as disposições sobre proteção de dados pessoais, mesmo que os dados não sejam tratados de forma automática.»

11      O § 15 da TMG prevê:

«1)      O prestador de serviços só pode recolher e utilizar dados pessoais de um utilizador na medida em que tal seja necessário para permitir e faturar a utilização dos meios de comunicação em linha (dados de utilização). Constituem dados de utilização, nomeadamente:

1.      As características que permitem a identificação do utilizador,

2.      As informações sobre o início e o termo, bem como o volume, da respetiva utilização,

3.      As informações sobre os meios de comunicação em linha a que o utilizador acedeu.

2)      O prestador de serviços pode reunir os dados de utilização de um utilizador relacionados com a utilização de vários meios de comunicação em linha na medida em que tal seja necessário para efeitos de faturação com o utilizador.

[…]

4)      O prestador de serviços pode utilizar os dados de utilização após o termo da sessão na medida em que tal seja necessário para efeitos de faturação ao utilizador (dados de faturação). O prestador de serviços pode bloquear os dados para cumprimento de prazos de conservação legais, estatutários ou contratuais. […]»

12      Nos termos do § 3, n.º 1, da Bundesdatenschutzgesetz (Lei federal relativa à proteção de bases de dados), de 20 de dezembro de 1990 (BGBl. 1990 I, p. 2954), «[d]ados pessoais são informações individualizadas sobre as circunstâncias pessoais ou materiais de uma pessoa singular identificada ou identificável (pessoa em causa). […]».

 Litígio no processo principal e questões prejudiciais

13      P. Breyer consultou vários sítios Internet dos serviços federais alemães. Nesses sítios, acessíveis ao público, os referidos serviços prestam informações atualizadas.

14      Com o objetivo de se proteger de ataques e de permitir ações penais contra os responsáveis por esses ataques, a maioria desses sítios gravam todas as consultas em ficheiros de registo. Aí são conservados, no termo da sessão de consulta, o nome do sítio ou do ficheiro consultado, os termos inseridos nos campos de pesquisa, a data e a hora da consulta, a quantidade de dados transferidos, a indicação de que a consulta foi bem sucedida e o endereço IP do computador a partir do qual a mesma foi efetuada.

15      Os endereços IP são sequências numéricas atribuídas a computadores ligados à Internet de forma a possibilitar a comunicação entre eles através dessa rede. Quando se acede a um sítio Internet, o endereço IP do computador que acede é transmitido ao servidor no qual está alojado o sítio consultado. Este processo é necessário para que os dados consultados possam ser transferidos para o destinatário correto.

16      Por outro lado, decorre da decisão de reenvio e dos elementos de que o Tribunal de Justiça dispõe que os fornecedores de acesso à Internet atribuem aos computadores dos utilizadores dessa rede quer um endereço IP «estático» quer um endereço IP «dinâmico», a saber, um endereço IP que muda sempre que ocorre uma nova conexão à Internet. Contrariamente aos endereços IP estáticos, os endereços IP dinâmicos não permitem fazer a ligação, através de ficheiros acessíveis ao público, entre um determinado computador e a ligação física à rede utilizada pelo fornecedor de acesso à Internet.

17      P. Breyer intentou, nos órgãos jurisdicionais administrativos alemães, uma ação contra a República Federal da Alemanha com vista a que esta seja condenada a abster‑se de conservar, ou de mandar conservar por terceiros, após o termo das sessões de consulta dos sítios acessíveis ao público de meios de comunicação em linha dos serviços federais alemães, o endereço IP do sistema de host a partir do qual P. Breyer acedeu, na medida em que esta conservação não é necessária para restabelecer a disponibilidade desses meios de comunicação em caso de avaria.

18      Tendo essa ação sido julgada improcedente em primeira instância, P. Breyer interpôs recurso desta decisão.

19      O órgão jurisdicional de reenvio alterou parcialmente essa decisão. Condenou a República Federal da Alemanha a abster‑se de conservar ou de mandar conservar por terceiros, no fim de cada consulta, o endereço IP do sistema host a partir do qual P. Breyer acedeu, transmitido quando do seu acesso a sítios acessíveis ao público de meios de comunicação em linha dos serviços federais alemães, quando esse endereço é conservado em combinação com a data da respetiva sessão de consulta e quando durante essa sessão P. Breyer revelou a sua identidade, incluindo sob a forma de um endereço eletrónico que indica a sua identidade, na medida em que essa conservação não é necessária para restabelecer a disponibilidade do meio de comunicação em linha em caso de avaria.

20      Segundo esse órgão jurisdicional de recurso, um endereço IP dinâmico, combinado com a data da respetiva sessão de consulta, constitui, quando o utilizador do sítio Internet em causa revelou a sua identidade durante essa sessão, um dado pessoal, porque o operador desse sítio pode identificar o referido utilizador mediante o cruzamento do seu nome com o endereço IP do seu computador.

21      Contudo, o referido órgão jurisdicional de recurso considerou que não havia que dar provimento ao recurso de P. Breyer nas outras hipóteses. Com efeito, no caso de P. Breyer não indicar a sua identidade durante uma sessão de consulta, só o fornecedor de acesso à Internet poderia ligar o endereço IP a um assinante identificado. Em contrapartida, na posse da República Federal da Alemanha, na sua qualidade de prestador de serviços de meios de comunicação em linha, o endereço IP não é um dado pessoal, mesmo combinado com a data da respetiva sessão de consulta, uma vez que o utilizador dos sítios Internet em causa não é identificável por esse Estado‑Membro.

22      P. Breyer e a República Federal da Alemanha interpuseram ambos recurso de «Revision» no Bundesgerichtshof (Supremo Tribunal Federal, Alemanha) da decisão do órgão jurisdicional de recurso. P. Breyer pede que o seu pedido de inibição seja julgado procedente na íntegra. A República Federal da Alemanha pede que esse pedido seja julgado improcedente.

23      O órgão jurisdicional de reenvio precisa que os endereços IP dinâmicos do computador de P. Breyer, conservados pela República Federal da Alemanha agindo na qualidade de prestador de serviços de meios de comunicação em linha, constituem, pelo menos no contexto dos outros dados conservados nos ficheiros de registo, dados especiais sobre situações materiais de P. Breyer, uma vez que fornecem indicações relativas à sua consulta de certos sítios ou de certos ficheiros na Internet em determinadas datas.

24      Todavia, os dados conservados dessa forma não permitem determinar diretamente a identidade de P. Breyer. Com efeito, os operadores dos sítios Internet em causa no processo principal só poderiam identificar P. Breyer se o seu fornecedor de acesso à Internet lhes transmitisse informações sobre a identidade desse utilizador. A qualificação jurídica desses dados de «pessoais» depende, por conseguinte, de saber se P. Breyer era identificável.

25      O Bundesgerichtshof (Supremo Tribunal Federal) expõe a controvérsia doutrinal relativa à questão de saber se, para determinar se uma pessoa é identificável, há que tomar como base um critério «objetivo» ou um critério «relativo». A aplicação de um critério «objetivo» teria como consequência que dados como os endereços IP em causa no processo principal poderiam ser considerados dados pessoais, após o termo das sessões de consulta dos sítios Internet em questão, ainda que só um terceiro estivesse em condições de determinar a identidade da pessoa em causa, sendo este terceiro, no caso em apreço, o fornecedor de acesso à Internet de P. Breyer que conservou dados suplementares que permitem identificá‑lo através desses endereços IP. Segundo um critério «relativo», esses dados poderiam ser considerados dados pessoais em relação a um organismo, como o fornecedor de acesso à Internet de P. Breyer, uma vez que permitem a identificação precisa do utilizador (v., a este respeito, acórdão de 24 de novembro de 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, n.º 51), mas não em relação a outro organismo, como o dos sítios Internet consultados por P. Breyer, dado que esse operador não disporia, no caso de P. Breyer não ter revelado a sua identidade durante as sessões de consulta desses sítios, das informações necessárias para a sua identificação sem um grande esforço.

26      No caso de os endereços IP dinâmicos do computador de P. Breyer, combinados com a data da respetiva sessão de consulta, serem considerados dados pessoais, o órgão jurisdicional de reenvio pretende saber se a conservação desses endereços IP após o termo dessa sessão é autorizada com base no artigo 7.º, alínea f), da mesma diretiva.

27      A este respeito, o Bundesgerichtshof (Supremo Tribunal Federal) precisa, por um lado, que, nos termos do § 15, n.º 1, da TMG, os prestadores de serviços de comunicações em linha só podem recolher e utilizar dados pessoais de um utilizador na medida em que seja necessário para permitir e faturar a utilização desses meios de comunicação. Por outro lado, o órgão jurisdicional de reenvio refere que, segundo a República Federal da Alemanha, a conservação dos ditos dados é necessária para garantir a segurança e a continuidade do bom funcionamento dos sítios dos serviços de meios de comunicação em linha que disponibiliza ao público, dado que permitem, em especial, reconhecer os ataques informáticos denominados «ataques de negação de serviço», que visam paralisar o funcionamento desses sítios através da inundação dirigida e coordenada de certos servidores Internet por um grande número de pedidos, e combater esses ataques.

28      Segundo o órgão jurisdicional de reenvio, se e na medida em que seja necessário que o prestador de serviços de meios de comunicação em linha adote medidas para combater esse tipo de ataques, essas medidas podem ser consideradas necessárias para «permitir [...] a utilização dos meios de comunicação eletrónicos», nos termos do § 15 da TMG. No entanto, a doutrina defende maioritariamente a tese segunda a qual, por um lado, a recolha e a utilização de dados pessoais de um utilizador de um sítio Internet só é autorizada para permitir uma utilização concreta desse sítio e, por outro, esses dados devem ser apagados após o termo da respetiva sessão de consulta se não forem necessários para efeitos de faturação. Ora, esta interpretação restritiva do § 15, n.º 1, da TMG opõe‑se a que a conservação dos endereços IP seja autorizada para garantir, de uma forma geral, a segurança e a continuidade do bom funcionamento dos meios de comunicação em linha.

29      O órgão jurisdicional de reenvio interroga‑se sobre se esta última interpretação, que é a interpretação preconizada pelo órgão jurisdicional de recurso, respeita o artigo 7.º, alínea f), da Diretiva 95/46, à luz, nomeadamente, dos critérios estabelecidos pelo Tribunal de Justiça nos n.os 29 e seguintes do acórdão de 24 de novembro de 2011, ASNEF e FECEMD (C‑468/10 e C‑469/10, EU:C:2011:777).

30      Nestas condições, o Bundesgerichtshof (Supremo Tribunal Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      Deve o artigo 2.°, alínea a), da Diretiva 95/46[...] ser interpretado no sentido de que um endereço [de] protocolo IP (endereço IP), [registado] por um prestador de serviços [de meios de comunicação em linha] no contexto de um acesso ao seu sítio Internet, constitui para [ele] um dado pessoal [embora seja] um terceiro (neste caso, o fornecedor de acesso à Internet) [quem] dispõe das informações suplementares necessárias para a identificação da pessoa em causa?

2)      [Opõe‑se] o artigo 7.º, alínea f), [desta diretiva] a uma disposição nacional nos termos da qual o prestador de serviços [de meios de comunicação em linha] apenas pode recolher e utilizar dados pessoais de um utilizador sem o consentimento do mesmo na medida em que tal seja necessário para [permitir] e faturar a utilização concreta do meio de comunicação [em linha] por parte desse utilizador e nos termos da qual a finalidade de garantir o funcionamento geral do meio de comunicação [em linha] não pode justificar a sua utilização após o termo [da sessão de consulta]?»

 Quanto às questões prejudiciais

 Quanto à primeira questão

31      Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 2.º, alínea a), da Diretiva 95/46 deve ser interpretado no sentido de que um endereço IP dinâmico registado por um prestador de serviços de meios de comunicação em linha aquando da consulta por uma pessoa de um sítio Internet que esse prestador disponibiliza ao público constitui, relativamente a esse prestador, um dado pessoal na aceção desta disposição, quando apenas um terceiro, neste caso o fornecedor de acesso à Internet dessa pessoa, dispõe das informações suplementares necessárias para a identificar.

32      Nos termos da referida disposição, entende‑se por «dados pessoais» «qualquer informação relativa a uma pessoa singular identificada ou identificável (pessoa em causa)». Nos termos desta disposição, é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social.

33      A título preliminar, há que salientar que, no n.º 51 do acórdão de 24 de novembro de 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), que tinha por objeto, nomeadamente, a interpretação da mesma diretiva, o Tribunal de Justiça considerou, em substância, que os endereços IP dos utilizadores de Internet eram dados pessoais protegidos, uma vez que permitem a identificação precisa desses utilizadores.

34      Contudo, esta afirmação do Tribunal de Justiça referia‑se à hipótese em que a recolha e a identificação dos endereços IP dos utilizadores de Internet são efetuadas pelos fornecedores de acesso à Internet.

35      Ora, no caso em apreço, a primeira questão versa sobre a hipótese em que é o prestador de serviços de meios de comunicação em linha, a saber, a República Federal da Alemanha, que regista os endereços IP dos utilizadores de um sítio Internet que esse prestador disponibiliza ao público, sem dispor das informações suplementares necessárias para os identificar.

36      Além disso, é pacífico que os endereços IP a que se refere o órgão jurisdicional de reenvio são endereços IP «dinâmicos», a saber, endereços provisórios que são atribuídos aquando de cada conexão à Internet e substituídos nas conexões posteriores, e não endereços IP «estáticos», que são imutáveis e permitem a identificação permanente do dispositivo ligado à rede.

37      Assim, a primeira questão submetida pelo órgão jurisdicional de reenvio baseia‑se na premissa segundo a qual, por um lado, os dados que consistem num endereço IP dinâmico e na data e hora da sessão de consulta de um sítio Internet a partir desse endereço IP, registados por um prestador de serviços de meios de comunicação em linha, não oferecem, por si só, a esse prestador a possibilidade de identificar o utilizador que consultou esse sítio Internet durante essa sessão e, por outro, o fornecedor de acesso à Internet dispõe, por sua vez, de informações suplementares que, combinadas com esse endereço IP, permitem identificar o referido utilizador.

38      A este respeito, deve‑se, antes de mais, salientar que é dado assente que um endereço IP dinâmico não constitui uma informação relativa a uma «pessoa singular identificada», na medida em que esse endereço não revela diretamente a identidade da pessoa singular proprietária do computador a partir do qual se efetua a consulta de um sítio Internet, nem a de outra pessoa que possa utilizar esse computador.

39      Seguidamente, para determinar se um endereço IP dinâmico constitui, na hipótese exposta no n.º 37 do presente acórdão, um dado pessoal na aceção do artigo 2.º, alínea a), da Diretiva 96/45 em relação a um prestador de serviços de meios de comunicação em linha, há que verificar se um endereço IP dessa natureza, registado por esse prestador, pode ser qualificado de informação relativa a uma «pessoa singular identificável», quando as informações suplementares necessárias para identificar o utilizador de um sítio Internet que esse prestador de serviços disponibiliza ao público são detidas pelo fornecedor de acesso à Internet desse utilizador.

40      A este respeito, resulta da redação do artigo 2.º, alínea a), da Diretiva 95/46 que é considerada identificável uma pessoa que pode ser identificada não só direta como também indiretamente.

41      A utilização pelo legislador da União do termo «indiretamente» pretende indicar que, para qualificar uma informação como dado pessoal, não é necessário que essa informação permita, por si só, identificar a pessoa em causa.

42      Além disso, o considerando 26 da Diretiva 95/46 enuncia que, para determinar se uma pessoa é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, quer pelo responsável pelo tratamento quer por qualquer outra pessoa, para identificar a referida pessoa.

43      Na medida em que esse considerando faz referência aos meios suscetíveis de serem razoavelmente utilizados quer pelo responsável pelo tratamento quer por «qualquer outra pessoa», a sua redação sugere que, para que um dado possa ser qualificado de «dado pessoal» na aceção do artigo 2.º, alínea a), da referida diretiva, não é necessário que todas as informações que permitem identificar a pessoa em causa tenham de estar na posse de uma única pessoa.

44      O facto de as informações suplementares necessárias para identificar o utilizador de um sítio Internet não serem detidas pelo prestador de serviços de meios de comunicação em linha, mas pelo fornecedor de acesso à Internet desse utilizador, não parece, assim, suscetível de excluir que os endereços IP dinâmicos registados pelo prestador de serviços de meios de comunicação em linha constituam, para ele, dados pessoais na aceção do artigo 2.º, alínea a), da Diretiva 95/46.

45      Importa, contudo, determinar se a possibilidade de combinar um endereço IP dinâmico com as referidas informações suplementares detidas por esse fornecedor de acesso à Internet constitui um meio suscetível de ser razoavelmente utilizado para identificar a pessoa em causa.

46      Como salientou o advogado‑geral, em substância, no n.º 68 das suas conclusões, assim não será se a identificação da pessoa em causa for proibida por lei ou inexequível, por exemplo devido ao facto de implicar um esforço desmedido em termos de tempo, de custo e de mão de obra, de modo que o risco de uma identificação parece na realidade insignificante.

47      Ora, embora o órgão jurisdicional de reenvio precise na sua decisão de reenvio que o direito alemão não permite ao fornecedor de acesso à Internet transmitir diretamente ao prestador de serviços de meios de comunicação em linha as informações suplementares necessárias para a identificação da pessoa em causa, existem, todavia, sem prejuízo das verificações a efetuar a este propósito pelo referido órgão jurisdicional, vias legais que permitem ao prestador de serviços de meios de comunicação em linha dirigir‑se, nomeadamente em caso de ataques informáticos, à autoridade competente a fim de que esta proceda às diligências necessárias para obter essas informações junto do fornecedor de acesso à Internet e para iniciar as ações penais.

48      Assim, o prestador de serviços de meios de comunicação em linha dispõe de meios suscetíveis de ser razoavelmente utilizados para identificar, com o auxílio de outras pessoas, a saber, a autoridade competente e o fornecedor de acesso à Internet, a pessoa em causa com base nos endereços IP conservados.

49      Em face de todas as considerações anteriores, há que responder à primeira questão que o artigo 2.º, alínea a), da Diretiva 95/46 deve ser interpretado no sentido de que um endereço IP dinâmico registado por um prestador de serviços de meios de comunicação em linha aquando da consulta por uma pessoa de um sítio Internet que esse prestador disponibiliza ao público constitui, relativamente a esse prestador, um dado pessoal na aceção dessa disposição, quando este disponha de meios legais que lhe permitam identificar a pessoa em causa graças às informações suplementares que o fornecedor de acesso à Internet dessa pessoa dispõe.

 Quanto à segunda questão

50      Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 7.º, alínea f), da Diretiva 95/46 deve ser interpretado no sentido de que se opõe a uma regulamentação de um Estado‑Membro nos termos da qual um prestador de serviços de meios de comunicação em linha apenas pode recolher e utilizar os dados pessoais relativos a um utilizador desses serviços sem o consentimento do mesmo na medida em que essa recolha e essa utilização sejam necessárias para permitir e faturar a utilização concreta dos referidos serviços por esse utilizador, sem que o objetivo de garantir o funcionamento geral desses mesmos serviços possa justificar a utilização dos referidos dados após o termo da respetiva sessão de consulta.

51      Antes de responder a esta questão, há que determinar se o tratamento dos dados pessoais em causa no processo principal, a saber, os endereços IP dinâmicos dos utilizadores de certos sítios Internet dos serviços federais alemães, não está excluído do âmbito de aplicação da Diretiva 95/46 nos termos do seu artigo 3.º, n.º 2, primeiro travessão, por força do qual a referida diretiva não se aplica ao tratamento de dados pessoais que tenha como objeto, nomeadamente, as atividades do Estado no domínio do direito penal.

52      A este respeito, importa recordar que as atividades mencionadas a título exemplificativo na referida disposição são, em todos os casos, atividades próprias dos Estados ou das autoridades estatais, e alheias aos domínios de atividade dos particulares (v. acórdãos de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.º 43, e de 16 de dezembro de 2008, Satakunnan Markkinapörssi e Satamedia, C‑73/07, EU:C:2008:727, n.º 41).

53      Ora, no processo principal, sem prejuízo das verificações a efetuar a este respeito pelo órgão jurisdicional de reenvio, parece que os serviços federais alemães que prestam serviços de meios de comunicação em linha e são responsáveis pelo tratamento dos endereços IP dinâmicos atuam, apesar do seu estatuto de autoridades públicas, na qualidade de particulares e fora do quadro das atividades do Estado relativas a domínios do direito penal.

54      Por conseguinte, há que determinar se uma regulamentação de um Estado‑Membro como a que está em causa no processo principal é compatível com o artigo 7.º, alínea f), da Diretiva 95/46.

55      Para o efeito, deve recordar‑se que a regulamentação nacional em causa no processo principal, tal como interpretada no sentido estrito evocado pelo órgão jurisdicional de reenvio, apenas autoriza a recolha e a utilização dos dados pessoais relativos a um utilizador dos referidos serviços sem o consentimento deste na medida em que tal seja necessário para permitir e faturar a utilização concreta do meio de comunicação em linha pelo utilizador em questão, sem que o objetivo de garantir o funcionamento geral do meio de comunicação possa justificar a utilização desses dados após o termo de uma sessão de consulta desse meio de comunicação.

56      Em conformidade com o artigo 7.°, alínea f), da Diretiva 95/46, o tratamento de dados pessoais é válido «se for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.° 1 do artigo 1.°» desta diretiva.

57      Importa recordar que o Tribunal de Justiça declarou que o artigo 7.º da referida diretiva prevê uma lista exaustiva e taxativa dos casos em que um tratamento de dados pessoais pode ser considerado lícito, e que os Estados‑Membros não podem acrescentar novos princípios relativos à legitimação dos tratamentos de dados pessoais ao referido artigo nem prever exigências suplementares que venham alterar o alcance de um dos seis princípios previstos nesse artigo (v., neste sentido, acórdão de 24 de novembro de 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, n.os 30 e 32).

58      Embora seja verdade que o artigo 5.º da Diretiva 95/46 autoriza os Estados‑Membros a precisarem, dentro dos limites do capítulo II desta diretiva e, logo, do artigo 7.º da mesma, as condições em que os tratamentos de dados pessoais são lícitos, a margem de apreciação de que os Estados‑Membros dispõem, nos termos do referido artigo 5.°, só pode assim ser utilizada em conformidade com o objetivo prosseguido pela referida diretiva, que consiste em manter um equilíbrio entre a livre circulação dos dados pessoais e a proteção da vida privada. Os Estados‑Membros não podem introduzir, ao abrigo do artigo 5.º da mesma diretiva, outros princípios relativos à legitimação dos tratamentos de dados pessoais além dos enunciados no artigo 7.° dessa diretiva nem alterar, através de exigências suplementares, o alcance dos seis princípios previstos no referido artigo 7.º (v., neste sentido, acórdão de 24 de novembro de 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, n.os 33, 34 e 36).

59      No caso em apreço, se o § 15 da TMG fosse interpretado da forma estrita referida no n.º 55 do presente acórdão, teria um alcance mais restritivo do que o do princípio previsto no artigo 7.º, alínea f), da Diretiva 95/46.

60      Com efeito, enquanto o artigo 7.º, alínea f), da referida diretiva se refere de uma forma genérica à «[prossecução dos] interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados», o § 15 da TMG autoriza o prestador de serviços a recolher e a utilizar dados pessoais de um utilizador unicamente na medida em que tal seja necessário para permitir e faturar a utilização concreta dos meios de comunicação eletrónicos. O § 15 da TMG opõe‑se, assim, de uma forma geral, à conservação, no termo de uma sessão de consulta de meios de comunicação em linha, de dados pessoais para garantir a utilização desses meios. Ora, os serviços federais alemães que prestam serviços de meios de comunicação em linha poderiam também ter um interesse legítimo em garantir, após cada utilização concreta dos seus sítios Internet acessíveis ao público, a continuidade do funcionamento desses sítios.

61      Como salientou o advogado‑geral nos n.os 100 e 101 das suas conclusões, essa regulamentação nacional não se limita a precisar, em conformidade com o artigo 5.º da Diretiva 95/46, o conceito de «interesse legítimo» que figura no artigo 7.º, alínea f), desta diretiva.

62      A este respeito, importa também recordar que o artigo 7.º, alínea f), da referida diretiva se opõe a que um Estado‑Membro exclua de forma categórica e generalizada a possibilidade de algumas categorias de dados pessoais serem tratadas sem permitir uma ponderação dos direitos e interesses opostos em causa num caso específico. Um Estado‑Membro não pode assim prescrever, para essas categorias, de forma definitiva, o resultado da ponderação dos direitos e dos interesses opostos sem permitir um resultado diferente devido a circunstâncias particulares de um caso concreto (v., neste sentido, acórdão de 24 de novembro de 2011, ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, n.os 47 e 48).

63      Ora, uma regulamentação como a que está em causa no processo principal reduz, no que respeita ao tratamento de dados pessoais dos utilizadores de sítios de meios de comunicação em linha, o alcance do princípio estabelecido no artigo 7.º, alínea f), da Diretiva 95/46, ao excluir que a finalidade de garantir o funcionamento geral do referido meio de comunicação em linha possa ser objeto de ponderação com o interesse ou os direitos e liberdades fundamentais desses utilizadores, que requerem, em conformidade com esta disposição, uma proteção ao abrigo do artigo 1.º, n.º 1, da mesma diretiva.

64      Resulta de todas as considerações anteriores que há que responder à segunda questão que o artigo 7.º, alínea f), da Diretiva 95/46 deve ser interpretado no sentido de que se opõe a uma regulamentação de um Estado‑Membro nos termos da qual um prestador de serviços de meios de comunicação em linha apenas pode recolher e utilizar dados pessoais de um utilizador desses serviços sem o consentimento deste na medida em que essa recolha e essa utilização sejam necessárias para permitir e faturar a utilização concreta dos referidos serviços por esse utilizador, sem que o objetivo de garantir o funcionamento geral desses mesmos serviços possa justificar a utilização dos referidos dados após o termo de uma sessão de consulta desses meios de comunicação.

 Quanto às despesas

65      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Segunda Secção) declara:

1)      O artigo 2.º, alínea a), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, deve ser interpretado no sentido de que um endereço de protocolo Internet dinâmico registado por um prestador de serviços de meios de comunicação em linha aquando da consulta por uma pessoa de um sítio Internet que esse prestador disponibiliza ao público constitui, relativamente a esse prestador, um dado pessoal na aceção dessa disposição, quando este disponha de meios legais que lhe permitam identificar a pessoa em causa graças às informações suplementares que o fornecedor de acesso à Internet dessa pessoa dispõe.

2)      O artigo 7.º, alínea f), da Diretiva 95/46 deve ser interpretado no sentido de que se opõe a uma regulamentação de um Estado‑Membro nos termos da qual um prestador de serviços de meios de comunicação em linha apenas pode recolher e utilizar dados pessoais de um utilizador desses serviços sem o consentimento deste na medida em que essa recolha e essa utilização sejam necessárias para permitir e faturar a utilização concreta dos referidos serviços por esse utilizador, sem que o objetivo de garantir o funcionamento geral desses mesmos serviços possa justificar a utilização dos referidos dados após o termo de uma sessão de consulta desses meios de comunicação.

Assinaturas

* Língua do processo: alemão.