CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2017:796

CONCLUSÕES DO ADVOGADO‑GERAL

YVES BOT

apresentadas em 24 de outubro de 2017 (1)

Processo C‑210/16

Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein

contra

Wirtschaftsakademie Schleswig‑Holstein GmbH,

sendo intervenientes

Facebook Ireland Limited,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

[pedido de decisão prejudicial apresentado pelo Bundesverwaltungsgericht (Tribunal Administrativo Federal, Alemanha)]

«Reenvio prejudicial — Diretiva 95/46/CE — Artigos 2.o, 4.o e 28.o — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados — Injunção para desativar uma página de fãs na rede social Facebook — Conceito de “responsável pelo tratamento” — Responsabilidade do administrador de uma página de fãs — Responsabilidade conjunta — Direito nacional aplicável — Alcance dos poderes de intervenção das autoridades de controlo»

1. O presente pedido de decisão prejudicial tem por objeto a interpretação do artigo 2.^o, alínea d), do artigo 4.^o, n.^o 1, do artigo 17.^o, n.^o 2, e do artigo 28.^o, n.^os 3 e 6, da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (2), conforme alterada pelo Regulamento (CE) n.^o 1882/2003 do Parlamento Europeu e do Conselho, de 29 de setembro de 2003 (3).

2. Este pedido foi apresentado no âmbito de um litígio que opõe a Wirtschaftsakademie Schleswig‑Holstein GmbH, uma sociedade de direito privado especializada no domínio da formação (a seguir «Wirtschaftsakademie»), à Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, Autoridade Regional de Proteção de Dados de Schleswig‑Holstein (a seguir «ULD»), a respeito da legalidade de uma injunção decretada por esta última contra a Wirtschaftsakademie pedindo‑lhe a desativação de uma «página de fãs» (Fanpage) alojada no sítio da Facebook Ireland Ltd.

3. Esta injunção tem por fundamento a pretensa violação de disposições do direito alemão que transpõem a Diretiva 95/46, nomeadamente pelo facto de os visitantes de uma página de fãs não serem advertidos de que os seus dados pessoais são objeto de recolha pela rede social Facebook (a seguir «Facebook») graças a cookies [testemunho] que são armazenados nos seus discos rígidos, sendo essa recolha efetuada para realizar estatísticas de audiência destinadas ao administrador dessa página e para permitir a difusão através do Facebook de publicidade direcionada.

4. O presente processo tem por pano de fundo o fenómeno conhecido como «webtracking», que consiste em observar e em analisar os comportamentos dos utilizadores da Internet para fins comerciais e de marketing. Este webtracking permite nomeadamente identificar os centros de interesse dos utilizadores da Internet a partir da observação dos seus comportamentos de navegação. Fala‑se então de «webtracking comportamental». Este último é feito geralmente através da utilização de cookies.

5. Estes cookies são ficheiros de texto que são imediatamente registados no computador do internauta quando este consulta um sítio Web.

6. O webtracking é utilizado nomeadamente com o objetivo de otimizar e de configurar da forma mais eficaz um sítio Web. Também permite que os publicitários se dirijam de forma direcionada aos diferentes segmentos do público.

7. De acordo com a definição dada pelo Grupo de Trabalho do Artigo 29.^o para a Proteção de Dados (4) no seu Parecer 2/2010, de 22 de junho de 2010, sobre a publicidade comportamental em linha (5), «[a] publicidade comportamental tem por base a observação do comportamento das pessoas ao longo do tempo, procurando estudar as características deste comportamento através das suas ações (várias visitas ao mesmo sítio Web, interações, palavras‑chave, produção de conteúdo em linha, etc.), com vista a criar um perfil específico e, deste modo, apresentar‑lhes anúncios que correspondem aos interesses implícitos no seu comportamento» (6). Para chegar a este resultado, devem ser recolhidas e trabalhadas informações armazenadas no programa de navegação e no equipamento terminal do utilizador. A tecnologia principal para monitorizar os utilizadores na Internet baseia‑se em «testemunhos [cookies] persistentes» (7). Assim, «[a] publicidade comportamental utiliza informações sobre os hábitos de navegação na Internet de um indivíduo, tais como as páginas visitadas ou as pesquisas efetuadas, para selecionar os anúncios a exibir a esse indivíduo» (8).

8. A monitorização dos comportamentos de navegação também permite dar aos exploradores de sítios Web estatísticas de audiência relativas às pessoas que consultam esses sítios.

9. A recolha e a utilização de dados pessoais para elaborar estatísticas de audiência e difundir publicidade direcionada devem respeitar determinadas condições para serem em conformes com as regras de proteção de dados pessoais previstas na Diretiva 95/46. Em especial, esses tratamentos não podem ocorrer sem uma informação e um acordo prévios das pessoas em causa.

10. Todavia, a análise dessa conformidade pressupõe a resolução prévia de diversas questões relativas à definição daquilo que constitui um responsável pelo tratamento, à determinação do direito nacional aplicável e à determinação da autoridade competente para exercer os seus poderes de intervenção.

11. A questão relativa à identificação do responsável pelo tratamento é especialmente difícil numa situação em que o operador económico decide não instalar no seu sítio Webos instrumentos necessários à elaboração de estatísticas de audiência e à difusão de publicidade direcionada, antes recorrendo a uma rede social como o Facebook e criando uma página de fãs para beneficiar de instrumentos semelhantes.

12. As questões relativas à determinação do direito nacional aplicável e à determinação da autoridade competente para exercer os seus poderes de intervenção são igualmente complexas quando o tratamento dos dados pessoais em causa implique uma intervenção de diversas entidades localizadas tanto fora da União Europeia como dentro desta.

13. Num momento em que as autoridades de controlo de diversos Estados‑Membros decidiram, ao longo dos últimos meses, aplicar sanções pecuniárias à Facebook por violação de regras relativas à proteção de dados dos seus utilizadores (9), o processo em análise vai permitir que o Tribunal de Justiça esclareça o alcance dos poderes de intervenção de que dispõe uma autoridade de controlo como a ULD relativamente a um tratamento de dados pessoais que implica a participação de diversos intervenientes.

14. Para compreender concretamente os desafios jurídicos do presente processo, importa começar por descrever o quadro factual do litígio no processo principal.

I. Factos do litígio no processo principal e questões prejudiciais

15. A Wirtschaftsakademie oferece serviços de formação através de uma página de fãs alojada no sítio da rede social Facebook.

16. As páginas de fãs são contas de utilizadores que podem ser configuradas no Facebook nomeadamente por particulares ou por empresas. Para o efeito, o administrador da página de fãs deve registar‑se no Facebook, podendo em seguida utilizar a plataforma mantida pela Facebook para se apresentar aos utilizadores desta rede social e introduzir comunicações de qualquer tipo, com vista nomeadamente a desenvolver uma atividade comercial.

17. Os administradores de páginas de fãs podem obter estatísticas de audiência com a ajuda da aplicação «Facebook Insights» disponibilizada gratuitamente pela Facebook no âmbito das condições de utilização não alteráveis. Essas estatísticas são elaboradas pela Facebook e personalizadas pelo administrador de uma página de fãs com a ajuda de diversos critérios que pode selecionar, como a idade e o sexo. Assim, as referidas estatísticas fornecem informações anónimas sobre as características e os hábitos das pessoas que consultaram as páginas de fãs, permitindo aos administradores dessas páginas direcionar de uma melhor forma a sua comunicação.

18. Para a elaboração de tais estatísticas de audiência é armazenado pela Facebook, no disco rígido da pessoa que consultou a página de fãs, pelo menos um cookie com um número ID único, que fica ativo durante dois anos. O número ID, que pode ser relacionado com os dados de conexão dos utilizadores registados no Facebook, é recolhido e tratado no momento em que as das páginas Facebook são consultadas.

19. Por Decisão de 3 de novembro de 2011, a ULD ordenou à Wirtschaftsakademie, nos termos do § 38, n.^o 5, primeiro período, da Bundesdatenschutzgesetz (Lei federal relativa à proteção de dados, a seguir «BDSG») (10), que desativasse a página de fãs que tinha criado no Facebook no seguinte endereço Internet: https://www.facebook.com/wirtschaftsakademie, sob pena de lhe ser aplicada uma sanção pecuniária compulsória em caso de não execução no prazo prescrito, pelo facto de nem a Wirtschaftsakademie nem o Facebook terem informado os visitantes da página de fãs de que este último recolhia os seus dados pessoais através de cookies e que em seguida procedia ao tratamento desses dados. A Wirtschaftsakademie apresentou uma reclamação contra esta decisão na qual alegou, no essencial, que não era responsável, à luz do direito à proteção de dados aplicável pelo tratamento dos dados efetuado pela Facebook nem pelos cookies instalados por esta última.

20. Por Decisão de 16 de dezembro de 2011, a ULD indeferiu essa reclamação, tendo considerado que a responsabilidade da Wirtschaftsakademie, enquanto prestador de serviços, era determinada de acordo com o disposto no § 3, n.^o 3, ponto 4, e no § 12, n.^o 1, do Telemediengesetz (Lei relativa aos meios de telecomunicação) (11). Através da criação da página de fãs, a Wirtschaftsakademie também contribui de forma ativa e voluntária para a recolha de dados pessoais pela Facebook, de que beneficiava graças a estatísticas relativas aos utilizadores disponibilizadas por esta rede social.

21. A Wirtschaftsakademie interpôs então recurso desta decisão no Verwaltungsgericht (Tribunal Administrativo, Alemanha) em cujo âmbito alegou que as operações de tratamento de dados pela Facebook não lhe podiam ser imputadas e que também não tinha encarregado a Facebook, na aceção do § 11 da BDSG (12), de efetuar um tratamento de dados que controlasse ou que pudesse influenciar. Assim, a Wirtschaftsakademie considera que a ULD agiu erradamente contra si em vez de ter atuado diretamente contra a Facebook.

22. Por Decisão de 9 de outubro de 2013, o Verwaltungsgericht (Tribunal Administrativo) anulou a decisão recorrida alegando, no essencial, que o administrador de uma página de fãs no Facebook não é um «organismo responsável» na aceção do § 3, n.^o 7, da BDSG (13) e que, por conseguinte, a Wirtschaftsakademie não podia ser destinatária de uma medida adotada ao abrigo do § 38, n.^o 5, da BDSG.

23. Em seguida, o Oberverwaltungsgericht (Tribunal Administrativo Superior, Alemanha) negou provimento ao recurso interposto pela ULD contra aquela decisão por falta de fundamento tendo considerado, em substância, que a proibição do tratamento de dados enunciada na decisão recorrida era ilegal, na medida em que o § 38, n.^o 5, segundo período, da BDSG prevê um procedimento gradual, cuja primeira etapa permite apenas adotar medidas destinadas a sanar as infrações constatadas durante o tratamento de dados. Só é aplicável uma proibição imediata do tratamento de dados se o processo de tratamento de dados for ilícito na sua globalidade e se a ilicitude só puder ser sanada através da suspensão desse processo. Ora, segundo o Oberverwaltungsgericht (Tribunal Administrativo Superior), tal não sucede no caso em apreço, uma vez que a Facebook tinha efetivamente uma possibilidade de fazer cessar as infrações alegadas pela ULD.

24. A injunção também era ilegal pelo facto de a recorrente não ser um organismo responsável na aceção do § 3, n.^o 7, da BDSG, no que respeita aos dados recolhidos pela Facebook durante a administração da página de fãs, e pelo facto de a injunção, de acordo com o § 38, n.^o 5, da BDSG só poder ser decretada contra um organismo dessa natureza. No caso em apreço, só a Facebook tomava decisões quanto à finalidade e aos meios relativos à recolha e ao tratamento de dados pessoais utilizados pela função «Facebook Insights». Por seu turno, a recorrente só recebia informações estatísticas que tinham sido tomadas anónimas.

25. O § 38, n.^o 5, da BDSG não permite que sejam decretadas injunções contra terceiros. A responsabilidade dita «indireta» («Störerhaftung») na Internet, desenvolvida pela jurisprudência dos tribunais cíveis, não é transponível para as prerrogativas de poder público. Embora o § 38, n.^o 5, da BDSG não designe expressamente o destinatário da injunção de proibição, resulta da economia, do objeto e do espírito desta regulamentação, bem como da sua génese, que o destinatário só pode ser o organismo responsável.

26. Com o seu recurso de «Revision», interposto no Bundesverwaltungsgericht (Tribunal Administrativo Federal, Alemanha), a ULD alega, entre outras, uma violação do § 38, n.^o 5, da BDSG e invoca diversos erros processuais cometidos pelo tribunal de segunda instância. Considera que a infração cometida pela Wirtschaftsakademie resulta do facto de ter dado instruções a um prestador desadequado, porque não é respeitador do direito aplicável à proteção de dados — no caso em apreço, a Facebook Ireland —, para realizar, alojar e manter um sítio Internet. Assim, a injunção de desativação visava sanar esta infração cometida pela Wirtschaftsakademie na medida em que a proibia de continuar a utilizar a infraestrutura do Facebook como base técnica do seu sítio Internet.

27. O órgão jurisdicional de reenvio considera que, no que diz respeito à recolha e ao tratamento dos dados das pessoas que consultam a página de fãs por parte da interveniente no processo principal, a saber, a Facebook Ireland, a Wirtschaftsakademie não é «o organismo que recolhe, trata ou utiliza dados pessoais por sua conta ou por intermédio de outrem em regime de subcontratação», na aceção do § 3, n.^o 7, da BDSG, nem o «organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais», na aceção do artigo 2.^o, alínea d), da Diretiva 95/46. É certo que, com a sua decisão de criar uma página de fãs numa plataforma explorada pela interveniente no processo principal ou pela sua sociedade‑mãe (neste caso a Facebook Inc., USA), a Wirtschaftsakademie oferecia objetivamente à interveniente no processo principal a possibilidade de instalar cookies aquando da abertura dessa página de fãs e de, dessa forma, recolher dados. Todavia, essa decisão não permitia à Wirtschaftsakademie influenciar, orientar, modelar ou ainda controlar a natureza e o alcance do tratamento dos dados dos utilizadores da sua página de fãs por parte da interveniente no processo principal. As condições de utilização da página de fãs também não conferiam à Wirtschaftsakademie direitos de intervenção ou de controlo. As condições de utilização fixadas unilateralmente pela interveniente no processo principal não eram o resultado de um processo de negociação e também não reconheciam à Wirtschaftsakademie o direito de proibir a interveniente no processo principal de recolher e de tratar os dados dos utilizadores da página de fãs.

28. O órgão jurisdicional de reenvio admite que a definição jurídica de «responsável pelo tratamento» enunciada no artigo 2.^o, alínea d) da Diretiva 95/46 deve, em princípio, ser interpretada de forma extensiva, no interesse de uma proteção eficaz do direito à vida privada. Todavia, a Wirtschaftsakademie não se enquadra nesta definição porquanto não tem nenhuma influência de direito ou de facto sobre as modalidades do tratamento dos dados pessoais que é efetuado pela interveniente no processo principal efetua sob a sua própria responsabilidade e com toda a independência. A este respeito, não basta a circunstância de a Wirtschaftsakademie poder objetivamente beneficiar da função «Facebook Insights» explorada pela interveniente no processo principal pelo facto de os dados que foram anonimizados lhe serem transmitidos com vista à utilização da sua página de fãs.

29. Segundo o órgão jurisdicional de reenvio, a Wirtschaftsakademie também não pode ser considerada responsável por um tratamento de dados em regime de subcontratação, na aceção do § 11 da BDSG e do artigo 2.^o, alínea e), do artigo 17.^o, n.^os 2 e 3 da Diretiva 95/46.

30. O mesmo órgão jurisdicional considera que se impõe uma clarificação sobre a questão de saber se, e em que condições, os poderes de controlo e de intervenção das autoridades de supervisão em matéria de proteção de dados podem ser exercidos apenas contra o «responsável pelo tratamento», na aceção do artigo 2.^o, alínea d), da Diretiva 95/46, ou se pode ser imputada responsabilidade a um organismo que não é responsável pelo tratamento dos dados, de acordo com a definição que resulta desta mesma disposição, devido à escolha efetuada por esse organismo de recorrer ao Facebook para a sua oferta de informações.

31. Nesta última hipótese, o órgão jurisdicional de reenvio interroga‑se sobre se tal responsabilidade se pode basear numa aplicação por analogia das obrigações de escolha e de controlo que resultam do artigo 17.^o, n.^o 2, da Diretiva 95/46 no âmbito do tratamento de dados em regime de subcontratação.

32. Para ter condições para se pronunciar sobre a legalidade da injunção decretada no presente caso, o órgão jurisdicional de reenvio considera que também é necessário clarificar determinados pontos relativos à competência das autoridades de controlo e ao alcance dos seus poderes de intervenção.

33. Em especial, o órgão jurisdicional de reenvio interroga‑se sobre a repartição das competências entre as autoridades de controlo quando uma sociedade‑mãe, como a Facebook Inc., disponha de diversos estabelecimentos no território da União e as missões atribuídas a esses estabelecimentos dentro do grupo sejam diferentes.

34. A este respeito, o órgão jurisdicional de reenvio recorda que o Tribunal de Justiça declarou, no seu Acórdão de 13 de maio de 2014, Google Spain e Google (14), que «o artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 deve ser interpretado no sentido de que é efetuado um tratamento de dados pessoais no contexto das atividades de um estabelecimento do responsável por esse tratamento no território de um Estado‑Membro, na aceção desta disposição, quando o operador de um motor de busca cria num Estado‑Membro uma sucursal ou uma filial destinada a assegurar a promoção e a venda dos espaços publicitários propostos por esse motor de busca, cuja atividade é dirigida aos habitantes desse Estado‑Membro» (15). O órgão jurisdicional de reenvio pergunta‑se se esse vínculo a um estabelecimento como a Facebook Germany GmbH, que é, segundo as informações constantes da decisão de reenvio, responsável pela promoção e pela venda de espaços publicitários e por outras atividades de marketing destinadas aos habitantes da Alemanha, é transponível, para efeitos da aplicabilidade da Diretiva 95/46 e da determinação da autoridade de controlo competente, para uma situação na qual uma filial estabelecida noutro Estado‑Membro (no caso a Irlanda) intervém na qualidade de «responsável pelo tratamento» em todo o território da União.

35. No que respeita aos destinatários de uma medida adotada ao abrigo do artigo 28.^o, n.^o 3, da Diretiva 95/46, o órgão jurisdicional de reenvio salienta que a medida de injunção adotada contra a Wirtschaftsakademie pode resultar de um erro de apreciação e, por conseguinte, ser ilegal se as violações ao direito à proteção de dados aplicável alegadas pela ULD pudessem ser sanadas por uma medida dirigida diretamente contra a filial Facebook Germany que está estabelecida na Alemanha.

36. O órgão jurisdicional de reenvio observa também que a ULD considera que não está vinculada pelas constatações e pelas apreciações do Data Protection Commissioner (Autoridade de controlo em matéria de Proteção de Dados, Irlanda), o qual, segundo as indicações fornecidas pela Wirtschaftsakademie e pela interveniente no processo principal, não contestou o tratamento de dados pessoais em causa no processo principal. Por conseguinte, o órgão jurisdicional de reenvio pretende saber, por um lado, se tal apreciação autónoma feita pela ULD é aceite e, por outro, se o artigo 28.^o, n.^o 6, segundo parágrafo, da Diretiva 95/46 impõe à ULD a obrigação de pedir à Autoridade de controlo em matéria de Proteção de Dados, atendendo a divergência de apreciação entre estas duas autoridades de controlo quanto à conformidade do tratamento de dados em causa no processo principal com as regras emanadas da Diretiva 95/46, que exerça os seus poderes contra a Facebook Ireland.

37. Nestas condições, o Bundesverwaltungsgericht (Tribunal Administrativo Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 2.^o, alínea d), da Diretiva [95/46] ser interpretado no sentido de que regula de modo taxativo e exaustivo a responsabilidade pela violação da proteção de dados, ou, no âmbito das “medidas adequadas” a que se refere o artigo 24.^o [desta diretiva] e dos “poderes efetivos de intervenção” referidos no artigo 28.^o, n.^o 3, segundo travessão, da mesma diretiva, nas relações de prestação de informações em diversas etapas, pode ser imputada a responsabilidade a um organismo que não é responsável pelo tratamento dos dados, na aceção do artigo 2.^o, alínea d), da [referida diretiva], pela escolha do operador que assegurará a sua oferta de informação?

2) Resulta “a contrario sensu” da obrigação que incumbe aos Estados‑Membros por força do artigo 17.^o, n.^o 2, da Diretiva [95/46], de, em caso de tratamento por sua conta, estabelecerem que o responsável pelo tratamento “deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar”, que, no caso de outras relações contratuais de utilização, não relacionadas com o tratamento de dados subcontratado, na aceção do artigo 2.^o, alínea e) [, desta diretiva], não há nem pode ser fundada no direito nacional qualquer obrigação de escolha diligente?

3) Nos casos em que uma sociedade‑mãe de um grupo, sediada fora da União Europeia, detém estabelecimentos juridicamente independentes (filiais) em diversos Estados‑Membros, a autoridade de controlo de um Estado‑Membro (neste caso, a Alemanha), nos termos do artigo 4.^o e do artigo 28.^o, n.^o 6, da diretiva [95/46], também pode exercer os poderes que lhe são atribuídos pelo artigo 28.^o, n.^o 3, [desta diretiva] em relação ao estabelecimento situado no seu próprio território, quando este estabelecimento só é responsável pela promoção das vendas de publicidade e outras medidas de marketing orientadas para os residentes neste Estado‑Membro, ao passo que o estabelecimento independente (filial) situado noutro Estado‑Membro (neste caso, a Irlanda), de acordo com a distribuição interna das funções do grupo, é a única responsável pela recolha e tratamento de dados pessoais em todo o território da União […] e, portanto, também no outro Estado‑Membro (neste caso, a Alemanha), e quando a decisão sobre o tratamento dos dados é efetivamente tomada pela sociedade‑mãe do grupo?

4) Devem o artigo 4.^o, n.^o 1, alínea a), e o artigo 28.^o, n.^o 3, da Diretiva [95/46] ser interpretados no sentido de que, nos casos em que o responsável pelo tratamento tem um estabelecimento situado no território de um Estado‑Membro (neste caso, a Irlanda) e há outro estabelecimento juridicamente independente no território de outro Estado‑Membro (neste caso, a Alemanha), que é responsável, nomeadamente, pela venda de espaços publicitários e cuja atividade se orienta para os residentes deste Estado, a autoridade de controlo competente deste outro Estado‑Membro (neste caso, a Alemanha) também pode tomar medidas e dirigir injunções a fim de garantir o direito à proteção de dados ao outro estabelecimento (neste caso, na Alemanha) que, nos termos da distribuição interna de funções e responsabilidades do grupo, não é responsável pelo tratamento de dados, ou essas medidas e ordens só podem ser decretadas pela autoridade de controlo do Estado‑Membro (neste caso, a Irlanda) em cujo território se encontra sediado o organismo responsável dentro do grupo?

5) Devem o artigo 4.^o, n.^o 1, alínea a), e o artigo 28.^o, n.^os 3 e 6, da Diretiva [95/46] ser interpretados no sentido de que, nos casos em que a autoridade de controlo de um Estado‑Membro (neste caso, a Alemanha) intervém junto de uma pessoa ou de um serviço, nos termos do artigo 28.^o, n.^o 3, [desta diretiva], por não ter tido o cuidado necessário na seleção de um terceiro envolvido no processo de tratamento de dados (neste caso, o Facebook), porquanto este terceiro infringe a legislação relativa à proteção de dados, a autoridade de controlo que intervém (neste caso, a Alemanha) está vinculada à apreciação da autoridade de controlo da proteção de dados do outro Estado‑Membro, no qual o terceiro responsável pelo tratamento de dados tem a sua sede (neste caso, a Irlanda), não podendo fazer qualquer apreciação jurídica divergente daquela, ou pode a autoridade de controlo que intervém (neste caso, a Alemanha) examinar ela própria a legalidade do tratamento de dados pelo terceiro estabelecido no outro Estado‑Membro (neste caso, a Irlanda) como questão prévia à sua própria ação?

6) Na medida em que a autoridade de controlo que intervém (neste caso, a Alemanha) possa proceder a uma verificação autónoma: deve o artigo 28.^o, n.^o 6, segundo período, da Diretiva [95/46] ser interpretado no sentido de que esta autoridade de controlo só pode exercer os poderes efetivos de intervenção que lhe são atribuídos pelo artigo 28.^o, n.^o 3, [desta diretiva] contra uma pessoa ou um serviço estabelecido no seu território que seja corresponsável pela violação da proteção de dados cometida por um terceiro estabelecido no outro Estado‑Membro, se tiver pedido previamente à autoridade de controlo deste outro Estado‑Membro (neste caso, a Irlanda) que exercesse os seus poderes?»

II. A nossa análise

38. Importa esclarecer que as questões prejudiciais colocadas pelo órgão jurisdicional de reenvio não dizem respeito à questão de saber se o tratamento de dados pessoais sobre o qual recaem as críticas formuladas pela ULD, a saber, a recolha e a exploração dos dados das pessoas que consultam paginas de fãs sem que essas pessoas disso sejam previamente informadas, é ou não contrário às regras da Diretiva 95/46.

39. De acordo com as explicações dadas pelo órgão jurisdicional de reenvio, a legalidade da injunção submetida à sua apreciação depende dos seguintes elementos. Do seu ponto de vista, importa, antes de mais, determinar se a ULD tinha legitimidade para exercer os seus poderes de intervenção contra uma pessoa que não tem a qualidade de responsável pelo tratamento na aceção do artigo 2.^o, alínea d), da Diretiva 95/46. Em seguida, o órgão jurisdicional de reenvio considera que a legalidade da injunção também depende das questões de saber se a ULD tinha competência para agir relativamente ao tratamento dos dados pessoais em causa no processo principal, se o facto de não ter dirigido a sua injunção à Facebook Germany em vez de à Wirtschaftsakademie não constituiu um erro de apreciação e, por último, se a ULD não cometeu outro erro de apreciação quando ordenou à Wirtschaftsakademie que encerrasse a sua página de fãs quando, pelo contrário, devia ter pedido previamente à Autoridade de controlo em matéria de Proteção de Dados de exercesse os seus poderes contra a Facebook Ireland.

A. Quanto à primeira e à segunda questões prejudiciais

40. Com a sua primeira e segunda questões prejudiciais, que, na nossa opinião, importa analisar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, ao Tribunal de Justiça para se pronunciar sobre se o artigo 17.^o, n.^o 2, o artigo 24.^o e o artigo 28.^o, n.^o 3, segundo travessão, da Diretiva 95/46 devem ser interpretados no sentido de que permitem que as autoridades de controlo exerçam os seus poderes de intervenção contra um organismo que não pode ser considerado «responsável pelo tratamento», na aceção do artigo 2.^o, alínea d), desta mesma diretiva, mas que, apesar de tudo, pode ser considerado responsável em caso de violação das regras relativas à proteção de dados pessoais devido à escolha efetuada por esse organismo de recorrer a uma rede social como o Facebook para difundir a sua oferta de informação.

41. Estas questões assentam na premissa de que a Wirtschaftsakademie não é «responsável pelo tratamento» na aceção do artigo 2.^o, alínea d), da Diretiva 95/46. É por este motivo que aquele órgão jurisdicional pretende saber se uma medida de injunção como a que está em causa no processo principal pode ser dirigida contra uma pessoa que não cumpre os requisitos estabelecidos nesta disposição.

42. No entanto, consideramos que essa premissa está errada. Com efeito, na nossa opinião, deve considerar‑se que a Wirtschaftsakademie é conjuntamente responsável pela fase do tratamento que consiste na recolha de dados pessoais pelo Facebook.

43. Entende‑se por «responsável pelo tratamento» na aceção do artigo 2.^o, alínea d), da Diretiva 95/46 «a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais» (16).

44. O responsável pelo tratamento desempenha um papel fundamental no âmbito do sistema implementado pela Diretiva 95/46 e a sua identificação é, por conseguinte, essencial. Com efeito, esta diretiva prevê que o responsável pelo tratamento está sujeito a determinadas obrigações destinadas a assegurar a proteção dos dados pessoais (17). Este papel fundamental foi evidenciado pelo Tribunal de Justiça no seu Acórdão de 13 de maio de 2014, Google Spain e Google (18). Com efeito, este declarou que o responsável pelo tratamento deve assegurar, no âmbito das suas responsabilidades, das suas competências e das suas possibilidades, que o tratamento de dados em causa satisfaça as exigências da Diretiva 95/46, para que as garantias nesta previstas possam produzir pleno efeito e possa efetivamente realizar‑se uma proteção eficaz e completa das pessoas em causa, designadamente do seu direito ao respeito pela sua vida privada (19).

45. Também resulta da jurisprudência do Tribunal de Justiça que este conceito deve ser definido de forma ampla para assegurar uma proteção eficaz e completa das pessoas em causa (20).

46. O responsável pelo tratamento de dados pessoais é a pessoa que decide porquê e como serão tratados esses dados. Como refere o Grupo de Trabalho do «Artigo 29.^o», «[o] conceito de responsável pelo tratamento é um conceito funcional, que visa atribuir responsabilidade àqueles que exercem uma influência de facto e, como tal, baseia‑se numa análise factual e não formal» (21).

47. Enquanto criativos desse tratamento, do nosso ponto de vista, é a Facebook Inc. e, relativamente à União, a Facebook Ireland, que determinaram a título principal os respetivos objetivos e modalidades.

48. Mais especificamente, a Facebook Inc. desenvolveu o modelo económico geral que permite a recolha de dados pessoais durante a consulta de páginas de fãs e que, em seguida, a exploração desses dados possam permitir, por um lado, a difusão de publicidades direcionadas e, por outro, a elaboração de estatísticas de audiências destinadas a administradores dessas páginas.

49. Além disso, resulta dos documentos dos autos que a Facebook Ireland é designada pela Facebook Inc. como sendo responsável pelo tratamento de dados pessoais na União. De acordo com as explicações dadas pela Facebook Ireland, as modalidades de funcionamento da rede social podem ser formalmente adaptadas na União (22).

50. Por outro lado, embora seja facto assente que todas as pessoas que residem no território da União e pretendam utilizar o Facebook são obrigadas, no momento da sua inscrição, a celebrar um contrato com a Facebook Ireland, importa salientar que, ao mesmo tempo, os dados pessoais dos utilizadores do Facebook residentes no território da União são, total ou parcialmente, transferidos para servidores pertencentes à Facebook Inc., situados no território dos Estados Unidos, onde são objeto de tratamento (23).

51. Atendendo ao envolvimento da Facebook Inc. e, mais especificamente no que respeita à União, da Facebook Ireland na determinação das finalidades e dos meios do tratamento dos dados pessoais em causa no processo principal, estas duas entidades devem, à luz dos elementos de que dispomos, ser consideradas conjuntamente responsáveis por esse tratamento. A este propósito, importa salientar que o artigo 2.^o, alínea d), da Diretiva 95/46 prevê expressamente a possibilidade de semelhante responsabilidade conjunta. Como indicado pelo próprio órgão jurisdicional de reenvio, incumbirá, em última instância, a este último órgão jurisdicional clarificar as estruturas de decisão e de tratamento dos dados internas ao grupo Facebook para determinar quais são o ou os estabelecimentos responsáveis pelo tratamento na aceção do artigo 2.^o, alínea d), da Diretiva 95/46 (24).

52. À responsabilidade conjunta da Facebook Inc. e da Facebook Ireland, deve‑se acrescentar, na nossa opinião, no que se refere à fase do tratamento que constitui a recolha de dados pessoais pelo Facebook (25), a responsabilidade de um administrador de uma página de fãs como a Wirtschaftsakademie.

53. É certo que um administrador de uma página de fãs é, antes de mais, um utilizador do Facebook, ao qual recorre para beneficiar das respetivas ferramentas e assim tirar proveito de uma maior visibilidade. Todavia, esta constatação não é suscetível de excluir que também se possa considerar que é responsável pela fase de tratamento de dados pessoais, que constitui o objeto do litígio no processo principal, a saber, a recolha desses dados pelo Facebook.

54. Relativamente à questão de saber se o administrador de uma página de fãs «determina» as finalidades e os meios de tratamento, importa verificar se esse administrador exerce uma influência de direito ou de facto sobre essas finalidades e esses meios. Este elemento da definição permite considerar que o responsável pelo tratamento não é aquele que efetua o tratamento dos dados pessoais, mas aquele que determina os respetivos meios e finalidades.

55. Ao recorrer ao Facebook para difundir a sua oferta de informações, o administrador da página de fãs adere ao princípio da realização de um tratamento dos dados pessoais dos visitantes da sua página para efeitos da elaboração de estatísticas de audiência (26). Embora seja certo que não é o criativo que criou a ferramenta «Facebook Insights», esse administrador, ao recorrer à mesma, participa na determinação das finalidades e das modalidades do tratamento dos dados pessoais dos visitantes da sua página.

56. Com efeito, por um lado, esse tratamento não pode ocorrer sem a decisão prévia do administrador de uma página de fãs de a criar e de a explorar na rede social Facebook. Ao tornar possível o tratamento dos dados pessoais dos utilizadores da página de fãs, o administrador dessa página adere ao sistema implementado pelo Facebook. Passa assim a ter uma maior visibilidade no perfil dos utilizadores da sua página de fãs e permite, em simultâneo, que o Facebook direcione de uma melhor forma a publicidade difundida no âmbito dessa rede social. Deve considerar‑se que, ao aceitar os meios e as finalidades do tratamento dos dados pessoais, tal como são predefinidos pelo Facebook, o administrador da página de fãs participa na sua determinação. Além disso, da mesma forma que o administrador de uma página de fãs exerce assim uma influência determinante sobre o começo do tratamento de dados pessoais das pessoas que consultam essa página, também dispõe do poder de fazer cessar esse tratamento encerrando a sua página de fãs.

57. Por outro lado, embora as finalidades e as modalidades da ferramenta «Facebook Insights» enquanto tal sejam definidas de forma genérica pela Facebook Inc. conjuntamente com a Facebook Ireland, o administrador de uma página de fãs tem possibilidade de influenciar a utilização concreta dessa ferramenta através da definição de critérios a partir dos quais as estatísticas de audiência são elaboradas. Quando a Facebook convida o administrador de uma página de fãs a criar ou a alterar a audiência da sua página, refere‑lhe que fará o seu melhor para mostrar essa página às pessoas que mais contam para si. O administrador de uma página de fãs pode, com a ajuda de filtros, definir uma audiência personalizada, o que não apenas lhe permite melhorar a seleção do grupo de pessoas para as quais as informações relativas à sua proposta comercial serão difundidas, mas sobretudo designar as categorias de pessoas que vão ser objeto de recolha dos seus dados pessoais pela Facebook. Assim, ao determinar a audiência a que pretende chegar, o administrador de uma página de fãs identifica na mesma ocasião qual o público‑alvo que pode ser objeto de uma recolha e, em seguida, de uma exploração dos seus dados pessoais pela Facebook. Além de ser o elemento que desencadeia um tratamento desses dados quando cria uma página de fãs, o administrador dessa página desempenha, deste modo, um papel preponderante na implementação desse tratamento pela Facebook. Dessa forma, participa na determinação dos meios e das finalidades do referido tratamento, exercendo sobre este uma influência de facto.

58. Deduzimos do que precede que, em circunstâncias como as do litígio no processo principal, um administrador de uma página de fãs de uma rede social como o Facebook deve ser considerado responsável pela fase do tratamento de dados pessoais que consiste na recolha por essa rede social dos dados relativos às pessoas que consultam essa página.

59. Esta conclusão é reforçada pela constatação segundo a qual um administrador de uma página de fãs como a Wirtschaftsakademie, por um lado, e os prestadores de serviços como a Facebook Inc. e a Facebook Ireland, por outro, prosseguem cada um finalidades estreitamente relacionadas. A Wirtschaftsakademie quer obter estatísticas de audiência para efeitos de gestão da promoção da sua atividade e, para as obter, é necessário proceder a um tratamento de dados pessoais. Esse mesmo tratamento também permitirá que a Facebook direcione de uma melhor forma a publicidade que difunde através da sua rede.

60. Por conseguinte, importa rejeitar uma interpretação que resulte exclusivamente das cláusulas e das condições do contrato celebrado entre a Wirtschaftsakademie e a Facebook Ireland. Com efeito, a partilha de tarefas referida contratualmente só pode fornecer um indício relativamente ao papel efetivo das partes do contrato na execução de um tratamento de dados pessoais. Se assim não fosse, essas partes poderiam atribuir artificialmente a responsabilidade do tratamento a uma delas. Este entendimento é tanto mais válido numa situação na qual as condições gerais são definidas antecipadamente pela rede social e não são negociáveis. Por conseguinte, não se pode considerar que quem só pode aderir o contrato ou recusá‑lo não pode ser responsável pelo tratamento. A partir do momento em que este mesmo cocontratante celebrou o contrato livremente, pode sempre ser responsável pelo tratamento devido à sua influência concreta sobre os meios e as finalidades desse tratamento.

61. Assim, o facto de o contrato e de as suas condições gerais serem redigidos por um prestador de serviços e de o operador que recorreu às prestações oferecidas por esse prestador não ter acesso aos dados não exclui que possa ser considerado responsável pelo tratamento, uma vez que aceitou livremente as cláusulas contratuais, assumindo assim toda a responsabilidade no que se refere a estas últimas (27). À semelhança do Grupo de Trabalho do «Artigo 29.^o», importa também reconhecer que um eventual desequilíbrio da relação de forças entre o prestador e o tomador do serviço não obsta a que este último possa ser qualificado de «responsável pelo tratamento» (28).

62. Por outro lado, para que uma pessoa possa ser considerada responsável pelo tratamento, na aceção do artigo 2.^o, alínea d), da Diretiva 95/46, não é necessário que essa pessoa disponha de um poder de controlo total sobre todos os aspetos do tratamento. Como o Governo belga indicou corretamente na audiência, esse controlo existe cada vez menos na prática. Os tratamentos têm cada vez mais uma natureza complexa, no sentido de que estão em causa vários tratamentos distintos que envolvem diversas partes que exercem, elas próprias, diferentes graus de controlo. Consequentemente, a interpretação que privilegia a existência de um poder de controlo total sobre todos os aspetos do tratamento é suscetível de provocar lacunas sérias em matéria de proteção dos dados pessoais.

63. Os factos que estiveram na origem do Acórdão de 13 de maio de 2014, Google Spain e Google (29), constituem disto uma ilustração. Com efeito, estava em causa nesse processo uma situação que envolvia prestadores de informações em cascata, na qual as diferentes partes exerciam individualmente uma influência distinta sobre o tratamento. Nesse processo, o Tribunal de Justiça recusou interpretar de forma restritiva o conceito de «responsável pelo tratamento». Considerou que o operador do motor de busca devia, «como pessoa que determina as finalidades e os meios [da sua] atividade[,] assegurar, no âmbito das suas responsabilidades, das suas competências e das suas possibilidades, que essa atividade satisfizesse as exigências da Diretiva 95/46» (30). Por outro lado, o Tribunal de Justiça evocou a possibilidade de uma responsabilidade conjunta do operador do motor de busca e dos editores de sítios Web (31).

64. À semelhança do Governo belga, consideramos que a interpretação ampla do conceito de «responsável pelo tratamento», na aceção do artigo 2.^o, alínea d), da Diretiva 95/46, que deve, na nossa opinião, deve prevalecer no âmbito do presente processo, é suscetível de evitar os abusos. Com efeito, se assim não fosse bastaria que uma empresa recorresse aos serviços de um terceiro para se subtrair às suas obrigações em matéria de proteção de dados pessoais. Por outras palavras, entendemos que não há que proceder a uma distinção entre a empresa que dota o seu sítio Internet de ferramentas análogas às que são propostas pela Facebook e a empresa que adere à rede social Facebook para beneficiar das aplicações que esta última disponibiliza. Assim, importa garantir que os operadores económicos que recorreram a um serviço de alojamento da sua página Internet não se possam subtrair à sua responsabilidade submetendo‑se às condições gerais de um prestador de serviços. Além disso, como o mesmo Governo referiu na audiência, não é injustificado esperar que as empresas sejam diligentes no momento em que escolhem o seu prestador de serviços.

65. Por conseguinte, é nossa opinião que o facto de um administrador de uma página de fãs utilizar a plataforma oferecida pela Facebook e beneficiar dos respetivos serviços não o exonera das suas obrigações em matéria de proteção dos dados pessoais. A este propósito, observamos que se a Wirtschaftsakademie tivesse criado um sítio Internet fora do Facebook e tivesse implementado uma ferramenta análoga ao «Facebook Insights» para elaborar estatísticas de audiência, seria considerada responsável pelo tratamento que é necessário para elaborar essas estatísticas. Na nossa opinião, tal operador económico não deve ser dispensado de respeitar as regras de proteção dos dados pessoais emanadas da Diretiva 95/46 apenas porque utiliza a plataforma da rede social Facebook para promover as suas atividades. Como refere com razão o próprio órgão jurisdicional de reenvio, um prestador de informações não deve poder exonerar‑se, através da escolha de um determinado fornecedor de infraestruturas, das obrigações que lhe impõe o direito aplicável à proteção dos dados relativamente aos utilizadores da sua oferta de informações, obrigações essas que teria de respeitar se se tratasse de um mero fornecedor de conteúdos (32). Uma interpretação contrária criaria um risco de se permitir que fossem contornadas as regras relativas à proteção dos dados pessoais.

66. Na nossa opinião, importa também não criar uma distinção artificial entre a situação em causa no âmbito do presente processo e a situação que está em causa no âmbito do processo C‑40/17, Fashion ID (33).

67. Este último processo diz respeito à situação em que o administrador de um sítio Web insere no seu sítio aquilo a que se chama um «módulo social» (concretamente, o botão «gosto» do Facebook) de um prestador externo (isto é, a Facebook), que gera uma transmissão de dados pessoais do computador do utilizador do sítio Web para o prestador externo.

68. No âmbito do litígio que deu origem a esse processo, uma associação de proteção dos consumidores criticava a sociedade Fashion ID por, ao inserir no seu sítio Web o módulo «gosto» fornecido pela rede social Facebook, permitir que a Facebook acedesse aos dados pessoais dos utilizadores desse sítio, sem o seu consentimento e em violação das obrigações de informação previstas nas disposições relativas à proteção de dados pessoais. Coloca‑se então o problema de saber se, por a Fashion ID permitir que a Facebook aceda aos dados pessoais dos utilizadores do seu sítio Internet, esta sociedade pode ou não ser qualificada de «responsável pelo tratamento» na aceção do artigo 2.^o, alínea d), da Diretiva 95/46.

69. A este propósito, não identificamos uma diferença fundamental entre a situação de um administrador de página de fãs e a situação do operador de um sítio Web que integra o código de um prestador de serviços de webtracking no seu sítio Web e favorece assim, à revelia do internauta, a transmissão de dados, a instalação de cookies e a recolha de dados em proveito do prestador de serviços de webtracking.

70. Os plugins sociais permitem que os operadores de sítios Web utilizem determinados serviços de redes sociais nos seus próprios sítios Web para aumentarem a sua visibilidade, por exemplo, integrando no seu sítio o botão «gosto» do Facebook. Tal como sucede com os administradores de páginas de fãs, os operadores de sítios Web integram plugins sociais que podem beneficiar do serviço «Facebook Insights» para obterem informações estatísticas precisas sobre os utilizadores do seu sítio.

71. À semelhança do que ocorre em caso de consulta de uma página de fãs, a consulta de um sítio Web que contém um plugin social vai desencadear uma transmissão de dados pessoais para o prestador em questão.

72. Na nossa opinião, em tal contexto e na qualidade de administrador de uma página de fãs, um administrador de um sítio Web que contém um plugin social, na medida em que exerce uma influência de facto sobre a fase do tratamento relativa à transmissão de dados pessoais para a Facebook, devia ser qualificado de «responsável pelo tratamento» na aceção do artigo 2.^o, alínea d), da Diretiva 95/46 (34).

73. Acrescentamos que, como o Governo belga refere com razão, a constatação de que a Wirtschaftsakademie age como responsável conjunto pelo tratamento quando decide recorrer aos serviços da Facebook para a sua oferta de informação não retira nada às obrigações que recaem sobre a Facebook Inc. e sobre a Facebook Ireland na sua qualidade de responsáveis pelo tratamento. Com efeito, é claro que estas duas entidades exercem uma influência determinante sobre as finalidades e os meios de tratamento de dados pessoais que ocorrem no âmbito da consulta de uma página de fãs e que também utilizam para as suas próprias finalidades e interesses.

74. No entanto, o reconhecimento de uma responsabilidade conjunta dos administradores de páginas de fãs pela fase de tratamento que consiste na recolha de dados pessoais pela Facebook contribui para assegurar uma proteção mais completa dos direitos de que dispõem as pessoas que consultam este tipo de páginas. Por outro lado, o facto de associar de forma ativa os administradores de páginas de fãs ao cumprimento das regras de proteção de dados pessoais designando‑as responsáveis pelo tratamento é suscetível, através de um efeito induzido, de incentivar a própria plataforma da rede social a conformar‑se com tais regras.

75. Importa também esclarecer que a existência de uma responsabilidade conjunta não significa uma responsabilidade numa relação de igualdade. Pelo contrário, os diversos intervenientes poderão ser envolvidos num tratamento de dados pessoais em diferentes fases e em diferentes graus (35).

76. Segundo o Grupo de Trabalho do Artigo 29.^o, «[a] possibilidade de controlo coletivo toma em consideração o crescente número de situações em que diferentes entidades agem como responsáveis pelo tratamento. A análise deste controlo conjunto deve ser semelhante à análise do controlo “individual”, adotando uma abordagem substantiva e funcional centrada na identificação das entidades que determinam as finalidades e os elementos essenciais dos meios de tratamento. A participação das partes na determinação das finalidades e dos meios de tratamento no contexto do controlo conjunto pode assumir várias formas e não tem de ser partilhada em partes iguais» (36). Com efeito, «nos casos em que existem vários intervenientes, a relação entre estes pode ser muito próxima (partilhando, por exemplo, todas as finalidades e meios de tratamento) ou mais superficial (por exemplo, partilhando apenas as finalidades ou os meios, ou parte deles). Por conseguinte, importa considerar uma grande variedade de tipologias do controlo conjunto e avaliar as suas consequências jurídicas, adotando uma certa flexibilidade para ter em conta a crescente complexidade da realidade do tratamento de dados» (37).

77. Decorre do que precede que, na nossa opinião, o administrador de uma página de fãs na rede social Facebook deve ser considerado, juntamente com a Facebook Inc. e a Facebook Ireland, responsável pelo tratamento dos dados pessoais que é efetuado para a elaboração de estatísticas de audiência relativas a essa página.

B. Quanto à terceira e quarta questões prejudiciais

78. Com a sua terceira e quarta questões prejudiciais, que, na nossa opinião, devem ser analisadas em conjunto, o órgão jurisdicional de reenvio pretende obter esclarecimentos do Tribunal de Justiça quanto à interpretação do artigo 4.^o, n.^o 1, alínea a), e do artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 numa situação na qual uma sociedade‑mãe sediada fora da União, como a Facebook Inc., presta serviços relativos a uma rede social no território da União por intermédio de diversos estabelecimentos. De entre estes estabelecimentos, um é designado pela sociedade‑mãe como sendo responsável pelo tratamento de dados pessoais no território da União (a Facebook Ireland) e o outro assegura a promoção e a venda de espaços publicitários bem como de atividades de marketing orientadas para os habitantes da Alemanha (a Facebook Germany). Nesta configuração, o órgão jurisdicional de reenvio pretende saber, por um lado, se a autoridade de controlo alemã é competente para exercer os seus poderes de intervenção com vista a interromper o tratamento dos dados pessoais controvertidos e, por outro, qual o estabelecimento contra o qual esses poderes podem ser exercidos.

79. Em resposta às dúvidas suscitadas pela ULD e pelo Governo italiano quanto à admissibilidade da terceira e da quarta questões prejudiciais, salientamos que o Bundesverwaltungsgericht (Tribunal Administrativo Federal) explica na sua decisão de reenvio que tem necessidade de obter esclarecimentos sobre estes pontos para se poder pronunciar sobre a legalidade da injunção em causa no processo principal. Em particular, o órgão jurisdicional alega que a medida de injunção imposta à Wirtschaftsakademie podia resultar de um erro de apreciação e, por conseguinte, ser ilegal se as violações, alegadas pela ULD, ao direito aplicável à proteção de dados pudessem ser sanadas por uma medida dirigida diretamente contra a filial Facebook Germany que está estabelecida na Alemanha (38). Esta reflexão do órgão jurisdicional de reenvio permite, na nossa opinião, apreciar as razões pelas quais este último submete ao Tribunal de Justiça a terceira e a quarta questões prejudiciais. Tendo em conta a presunção de pertinência de que gozam os pedidos de reenvio prejudicial (39), propomos, por conseguinte, que o Tribunal de Justiça responda a estas questões.

80. Nos termos do artigo 4.^o da Diretiva 95/46, intitulado «Direito nacional aplicável»:

«1. Cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força da presente diretiva ao tratamento de dados pessoais quando:

a) O tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável;

[…]»

81. No seu Parecer 8/2010, de 16 de dezembro de 2010, sobre a lei aplicável (40), o Grupo de Trabalho do «Artigo 29.^o» evoca a aplicação do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 na seguinte situação: «Uma plataforma de rede social tem sede num país terceiro e um estabelecimento num Estado‑Membro. O estabelecimento define e aplica as práticas relativas ao tratamento de dados pessoais de residentes na [União]. A rede social dirige‑se ativamente a residentes de todos os Estados‑Membros da [União], que constituem uma porção significativa dos seus clientes e receitas. Esta rede instala também cookies nos computadores dos utilizadores da [União]. Neste caso, a lei aplicável será, nos termos do artigo 4.^o, n.^o 1, alínea a), [da Diretiva 95/46], a legislação de proteção de dados do Estado‑Membro em que a empresa estiver estabelecida na [União]. O facto de a rede social recorrer a meios situados no território de outros Estados‑Membros é irrelevante, dado que o tratamento ocorre no contexto das atividades do único estabelecimento e a [d]iretiva exclui a aplicação cumulativa das alíneas a) e c) do n.^o 1 do artigo 4.^o [desta diretiva]» (41). O Grupo de Trabalho do «Artigo 29.^o» esclarece também que, «a autoridade de controlo do Estado‑Membro em que a rede social estiver estabelecida na [União] tem — nos termos do artigo 28.^o, n.^o 6[, da referida diretiva] — o dever de cooperar com outras autoridades de controlo, nomeadamente a fim de dar seguimento a pedidos ou queixas de residentes de outros países da [União]» (42).

82. O caso concreto exposto no número precedente levanta poucas dificuldades no que se refere à determinação do direito nacional aplicável. Com efeito, nesta hipótese, uma vez que a sociedade‑mãe só dispõe de um estabelecimento na União, aplica‑se ao tratamento dos dados pessoais em causa o direito do Estado‑Membro em que esse estabelecimento se situa.

83. A situação torna‑se mais complexa quando, à semelhança do que se verifica no âmbito do presente processo, uma sociedade estabelecida num Estado terceiro, como a Facebook Inc., desenvolve as suas atividades na União, por um lado, por intermédio de um estabelecimento que é designado por essa sociedade como tendo a responsabilidade exclusiva pela recolha e pelo tratamento de dados pessoais dentro do grupo Facebook em todo o território da União (a Facebook Ireland) e, por outro, por intermédio de outros estabelecimentos, um dos quais está situado na Alemanha (a Facebook Germany) e é responsável, de acordo com as indicações que constam da decisão de reenvio, pela promoção e pela venda de espaços publicitários e por outras atividades de marketing orientadas para os habitantes desse Estado‑Membro (43).

84. Nesta situação, a autoridade de controlo alemã é competente para exercer poderes de intervenção destinados a pôr termo ao tratamento de dados pessoais pelo qual a Facebook Inc. e a Facebook Ireland são conjuntamente responsáveis?

85. Para responder a esta questão, importa determinar se a autoridade de controlo alemã pode legitimamente aplicar o seu direito nacional a este tratamento.

86. A este propósito, decorre do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 que um tratamento de dados efetuado no contexto das atividades de um estabelecimento é regulado pelo direito do Estado‑Membro em cujo território esse estabelecimento está situado.

87. O Tribunal de Justiça já declarou que, atendendo ao objetivo prosseguido por esta diretiva, que consiste em assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, a expressão «no contexto das atividades de um estabelecimento» que figura no artigo 4.^o, n.^o 1, alínea a), da referida diretiva não pode ser objeto de interpretação restritiva (44).

88. A aplicabilidade de uma lei de transposição de um Estado‑Membro a um tratamento de dados pessoais pressupõe a reunião de duas condições. Primeiro, o responsável por esse tratamento deve dispor de um «estabelecimento» nesse Estado‑Membro. Segundo, o referido tratamento teve ocorrer «no contexto das atividades» desse estabelecimento.

89. Em primeiro lugar, no que se refere ao conceito de «estabelecimento» na aceção do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, o Tribunal de Justiça já precisou, interpretando em termos amplos e de maneira flexível este conceito, que este abrange qualquer atividade real e efetiva, ainda que mínima, exercida através de uma instalação estável (45), excluindo assim qualquer abordagem formalista (46).

90. Nesta perspetiva, importa avaliar tanto o grau de estabilidade da instalação como a realidade do exercício das atividades no Estado‑Membro em questão (47), tendo em conta a natureza específica das atividades económicas e das prestações de serviços em causa (48). A este respeito, não é contestado que a Facebook Germany, cuja sede se situa em Hamburgo (Alemanha), se dedica ao exercício efetivo e real de uma atividade através de uma instalação estável na Alemanha. Por conseguinte, constitui um «estabelecimento» na aceção do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46.

91. Em segundo lugar, no que respeita à questão de saber se o tratamento de dados pessoais em causa é efetuado «no contexto das atividades» desse estabelecimento, na aceção do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, o Tribunal de Justiça já recordou que esta disposição exige que o tratamento de dados pessoais em questão não seja efetuado «pelo» próprio estabelecimento em causa, mas apenas «no contexto das atividades» deste (49).

92. Conforme resulta do Parecer 8/2010, «o conceito de “contexto das atividades”— e não a localização dos dados — é um fator determinante para definir o âmbito de aplicação da lei aplicável. O conceito de “contexto das atividades” implica que a lei aplicável não é a lei do Estado‑Membro em que o responsável pelo tratamento se encontre estabelecido, mas sim a do Estado‑Membro em que um estabelecimento do responsável desenvolva atividades [relacionadas com o tratamento de dados pessoais ou que impliquem esse tratamento]. Neste contexto, é fundamental determinar o grau de participação do(s) estabelecimento(s) nas atividades em cujo contexto se procede ao tratamento de dados. Além disso, deve ser considerada a natureza das atividades dos estabelecimentos e a necessidade de garantir uma proteção efetiva dos direitos individuais. A análise destes critérios deve ser feita numa perspetiva funcional: mais do que uma indicação teórica acerca da lei a aplicar pelas partes, é o seu comportamento prático e as suas interações que são decisivas» (50).

93. No Acórdão de 13 de maio de 2014, Google Spain e Google (51), o Tribunal de Justiça teve de verificar o cumprimento deste requisito. A este respeito, fez uma interpretação ampla considerando que o tratamento de dados pessoais, que tem por base as necessidades do serviço de um motor de busca como o Google Search, que é explorado por uma empresa sediada num Estado terceiro mas que dispõe de um estabelecimento num Estado‑Membro, é efetuado «no contexto das atividades» desse estabelecimento se este se destinar a assegurar, nesse Estado‑Membro, a promoção e a venda dos espaços publicitários propostos por esse motor de busca, que servem para rentabilizar o serviço prestado por esse motor (52). Com efeito, o Tribunal de Justiça salientou que «nestas circunstâncias, as atividades do operador do motor de busca e as do seu estabelecimento situado no Estado‑Membro em causa estão indissociavelmente ligadas, uma vez que as atividades relativas aos espaços publicitários constituem o meio para tornar o motor de busca em causa economicamente rentável e que esse motor é, ao mesmo tempo, o meio que permite realizar essas atividades» (53). O Tribunal de Justiça acrescentou, em apoio da sua solução, que sendo a exibição dos dados pessoais numa página de resultados de uma pesquisa «acompanhada, na mesma página, da exibição de publicidade relacionada com os termos da pesquisa, há que declarar que o tratamento de dados pessoais em questão é efetuado no contexto da atividade publicitária e comercial do estabelecimento do responsável pelo tratamento no território de um Estado‑Membro, neste caso, o território espanhol» (54).

94. Ora, segundo as indicações contidas na decisão de reenvio, a Facebook Germany é responsável pela promoção e pela venda de espaços publicitários e de outras atividades de marketing orientadas para os habitantes da Alemanha. Na medida em que o tratamento de dados pessoais em causa no processo principal, que consiste na recolha desses dados por intermédio de cookies instalados no computador dos visitantes de páginas de fãs, tem nomeadamente por objetivo permitir que a Facebook direcione melhor a publicidade que difunde, deve considerar‑se que é efetuado no contexto das atividades a que a Facebook Germany se dedica na Alemanha. A este respeito, tendo em conta que uma rede social como o Facebook gera a maior parte das suas receitas graças à publicidade difundida nas páginas Web que os utilizadores criam e às quais acedem (55), há que considerar que as atividades dos responsáveis conjuntos pelo tratamento, que são a Facebook Inc. e a Facebook Ireland, estão indissociavelmente ligadas às de um estabelecimento como a Facebook Germany. Por outro lado, no seguimento do tratamento de dados pessoais autorizado através da instalação de um cookie no computador de uma pessoa que visita uma página pertencente ao nome de domínio Facebook.com, a consulta de uma página Facebook é acompanhada pela exibição, na mesma página Web, de publicidade relacionada com os centros de interesse do visitante. Há que deduzir daqui que o tratamento de dados pessoais em questão é efetuado no contexto da atividade publicitária e comercial do estabelecimento do responsável pelo tratamento no território de um Estado‑Membro, neste caso, o território alemão.

95. A circunstância de o grupo Facebook, ao contrário da situação em causa no âmbito do processo que deu origem ao Acórdão de 13 de maio de 2014, Google Spain e Google (56), dispor de uma sede europeia, no caso na Irlanda, não obsta a que a interpretação do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 adotada pelo Tribunal de Justiça nesse acórdão seja transposta para o âmbito do presente processo. No referido acórdão, o Tribunal de Justiça expressou a vontade de evitar que um tratamento de dados pessoais fosse subtraído às obrigações e às garantias previstas nesta diretiva. Foi referido, no âmbito do presente processo, que o problema relacionado com tal desvio não se coloca no presente caso, uma vez que o responsável pelo tratamento está estabelecido num Estado‑Membro, concretamente na Irlanda. Por conseguinte, segundo esta lógica, haveria que interpretar o artigo 4.^o, n.^o 1, alínea a), da referida diretiva no sentido de que impõe a esse responsável pelo tratamento que só tenha em conta uma única legislação nacional e que dependa apenas de uma autoridade de controlo, a saber, a legislação e a autoridade irlandesas.

96. No entanto, tal interpretação é contrária à redação do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, bem como à génese desta disposição. Com efeito, como o Governo belga salientou com razão na audiência, esta diretiva não institui nem um mecanismo de balcão único nem o princípio do país de origem (57). A este propósito, não se deve confundir o que se enquadrava no objetivo político que era procurado pela Comissão Europeia na sua proposta de diretiva e a solução que veio a ser aprovada pelo Conselho da União Europeia. Na referida diretiva, aquele legislador opou por não atribuir prioridade à aplicação do direito nacional do Estado‑Membro no qual está situado o estabelecimento principal do responsável pelo tratamento. Este resultado da Diretiva 95/46 traduz a vontade de os Estados‑Membros preservarem a sua competência de execução nacional. Ao não consagrar o princípio do país de origem, o legislador da União permitiu que cada Estado‑Membro aplique a sua própria legislação nacional e tornou assim possível o cúmulo de legislações nacionais aplicáveis (58).

97. Com o artigo 4.^o, n.^o 1, alínea a), da referida diretiva, o legislador da União escolheu deliberadamente permitir, em caso de existência de diversos estabelecimentos de um responsável pelo tratamento na União, que se possam aplicar aos tratamentos de dados pessoais dos residentes dos Estados‑Membros em causa diversas legislações nacionais relativas à proteção de dados pessoais para lhes garantir uma proteção efetiva nesses Estados‑Membros.

98. Isto é confirmado pelo considerando 19 da Diretiva 95/46 que esclarece que, «quando no território de vários Estados‑Membros estiver estabelecido um único responsável pelo tratamento, em especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respetivas atividades».

99. Por conseguinte, deduzimos do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, cuja segunda frase precisa, na linha do que refere o considerando 19 desta diretiva, que, se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável, que a estrutura de um grupo caracterizada pela presença de estabelecimentos do responsável pelo tratamento em vários Estados‑Membros não deve ter por efeito permitir que este último contorne a lei do Estado‑Membro em cujo território esses estabelecimentos estão sediados.

100. Acrescentamos que, na nossa opinião, desde o Acórdão de 28 de julho de 2016, Verein für Konsumenteninformation (59), já não se pode defender a interpretação favorável à aplicação exclusiva do direito do Estado‑Membro onde se situa a sede europeia de um grupo internacional. Nesse acórdão, o Tribunal de Justiça declarou que o tratamento de dados pessoais efetuado por uma empresa de comércio eletrónico é regido pelo direito do Estado‑Membro a que se destinam as atividades dessa empresa, se se constatar que essa empresa procede ao tratamento dos dados em questão no contexto das atividades de um estabelecimento situado nesse Estado‑Membro. O Tribunal decidiu nesse sentido pese embora a Amazon, tal como o Facebook, ser uma empresa que dispõe não apenas de uma sede europeia num Estado‑Membro, mas também de uma presença física em diversos Estados‑Membros. Também neste caso importa analisar se o tratamento dos dados se inscreve no contexto das atividades de um estabelecimento num Estado‑Membro diferente daquele em que se situa a sede europeia do responsável pelo tratamento.

101. Por conseguinte, como o Governo belga salienta, é perfeitamente possível que um estabelecimento que não seja o da sede europeia de uma empresa seja pertinente para a aplicação do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46.

102. Deste modo, no âmbito do sistema implementado por esta diretiva, o local onde se efetua o tratamento, bem como o local onde o responsável pelo tratamento estabeleceu a sua sede na União, não são determinantes para identificar a lei nacional aplicável a um tratamento de dados e para conferir a uma autoridade de controlo a competência para exercer os seus poderes de intervenção quando na União existam diversos estabelecimentos desse responsável.

103. A este respeito, na nossa opinião, o Tribunal de Justiça não deve antecipar o regime que foi instaurado pelo Regulamento Geral sobre a Proteção de Dados (60), que será aplicável a partir de 25 de maio de 2018. No âmbito deste regime, é instituído um mecanismo de balcão único. Isto significa que um responsável pelo tratamento que efetue tratamentos transfronteiriços, tal como o Facebook, disporá apenas de uma autoridade de controlo enquanto interlocutor, a saber, a autoridade de controlo principal, que será a do local onde se situa o estabelecimento principal do responsável pelo tratamento. Todavia, esse regime, bem como o mecanismo sofisticado de cooperação por si criado, ainda não é aplicável.

104. É certo que na medida em que o Facebook optou por instalar na Irlanda a sua sede principal na União, a autoridade de controlo deste Estado‑Membro é levada a desempenhar um papel importante para verificar se o Facebook cumpre as regras decorrentes da Diretiva 95/46. Não obstante, como aquela própria autoridade reconhece, isso não significa que disponha, no âmbito do atual sistema fundado nesta diretiva, de uma competência exclusiva relativamente às atividades do Facebook na União (61).

105. Todos estes elementos nos levam a considerar, à semelhança do Governo belga, do Governo neerlandês e da ULD, que a interpretação do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 feita pelo Tribunal de Justiça no seu Acórdão de 13 de maio de 2014, Google Spain e Google (62), também é aplicável numa situação, como a que está em causa no processo principal, na qual o responsável pelo tratamento está estabelecido num Estado‑Membro da União e dispõe de vários estabelecimentos na União.

106. Assim sendo, com base nas indicações dadas pelo órgão jurisdicional de reenvio quanto à natureza das atividades efetuadas pela Facebook Germany, há que considerar que o tratamento dos dados pessoais controvertido é realizado no âmbito das atividades desse estabelecimento e que o artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 permite, numa situação como a que está em causa no processo principal, a aplicação do direito alemão relativo à proteção dos dados pessoais (63).

107. Por conseguinte, autoridade de controlo alemã é competente para aplicar o seu direito nacional ao tratamento de dados pessoais em causa no processo principal.

108. Resulta do artigo 28.^o, n.^o 1, desta diretiva que cada autoridade de controlo criada por um Estado‑Membro assegura, no território do respetivo Estado‑Membro, o cumprimento das disposições adotadas pelo Estados‑Membros em aplicação da referida diretiva.

109. Nos termos do artigo 28.^o, n.^o 3, da Diretiva 95/46, essas autoridades de controlo dispõem, designadamente, de poderes de inquérito, tais como o poder de recolher todas as informações necessárias ao desempenho das suas funções de controlo e poderes efetivos de intervenção, tais como o de ordenar o bloqueio, o apagamento ou a destruição dos dados, ou o de proibir temporária ou definitivamente o tratamento, ou o de dirigir uma advertência ou uma censura ao responsável pelo tratamento. Estes poderes de intervenção podem incluir o poder de punir o responsável pelo tratamento de dados aplicando‑lhe uma coima (64).

110. O artigo 28.^o, n.^o 6, da Diretiva 95/46 está, por seu turno, redigido nos seguintes termos:

«Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado‑Membro dos poderes que lhe foram atribuídos em conformidade com o n.^o 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.»

111. Considerando que o direito do Estado‑Membro a que pertence é aplicável ao tratamento de dados pessoais em causa no processo principal, a autoridade de controlo alemã pode exercer todos os seus poderes de intervenção para garantir que o direito alemão seja aplicado e respeitado pelo Facebook em território alemão. Tal conclusão decorre do Acórdão de 1 de outubro de 2015, Weltimmo (65), que permitiu esclarecer o alcance do artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46.

112. O principal desafio deste processo consistiu em determinar a competência da autoridade de controlo húngara para aplicar uma coima a um prestador de serviços estabelecido noutro Estado‑Membro, a saber, a Eslováquia. A determinação desta competência devia passar pela análise prévia da questão de saber se, através da aplicação do critério previsto no artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, o direito húngaro era ou não aplicável.

113. Na primeira parte da sua resposta, o Tribunal de Justiça forneceu ao órgão jurisdicional de reenvio um certo número de indicações que permitiam a este último determinar a existência na Hungria de um estabelecimento do responsável pelo tratamento. Por outro lado, considerou que esse tratamento era realizado no contexto das atividades desse estabelecimento e que o artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 permitia, numa situação como a que estava em causa neste processo, aplicar o direito húngaro relativo à proteção dos dados pessoais.

114. Por conseguinte, esta primeira parte da resposta do Tribunal de Justiça era suscetível de confirmar a competência da autoridade de controlo húngara para aplicar, ao abrigo do direito húngaro, uma coima a um prestador de serviços estabelecido noutro Estado‑Membro, nesse caso, a Weltimmo.

115. Dito por outras palavras, a partir do momento em que, em aplicação do critério que figura no artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, o direito húngaro podia ser reconhecido como sendo o direito nacional aplicável, a autoridade de controlo húngara dispunha da competência para assegurar o cumprimento desse direito no caso de este ser violado por um responsável pelo tratamento, ainda que este último estivesse registado na Eslováquia. Através desta disposição da Diretiva 95/46, podia considerar‑se que a Weltimmo, embora registada na Eslováquia, também estava estabelecida na Hungria. A existência na Hungria de um estabelecimento do responsável pelo tratamento que exerce atividades no contexto das quais esse tratamento era efetuado constituía assim o ponto de referência necessário ao reconhecimento da aplicabilidade do direito húngaro e, por corolário, da competência da autoridade de controlo húngara para assegurar o cumprimento desse direito no território húngaro.

116. A segunda parte da resposta do Tribunal de Justiça, na qual este foi levado a destacar o princípio da aplicação territorial dos poderes de cada autoridade de controlo, foi enunciada apenas a título subsidiário, a saber, «na hipótese de a autoridade húngara para a proteção de dados considerar que a Weltimmo dispõe, não na Hungria, mas noutro Estado‑Membro, de um estabelecimento na aceção do artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, que exerce atividades no contexto das quais é efetuado o tratamento de dados pessoais […]» (66). Por conseguinte, tratava‑se da resposta à questão de saber se, «no caso de a autoridade húngara para a proteção de dados concluir que o direito aplicável ao tratamento de dados pessoais é o direito de outro Estado‑Membro e não o direito húngaro, o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que essa autoridade apenas pode exercer os poderes previstos no artigo 28.^o, n.^o 3, desta diretiva, em conformidade com o direito desse outro Estado‑Membro, e não pode aplicar sanções» (67).

117. Consequentemente, nesta segunda parte da sua resposta, o Tribunal de Justiça precisou o alcance tanto material como territorial dos poderes que uma autoridade de controlo pode exercer numa situação específica, a saber, aquela em que o direito do Estado‑Membro a que essa autoridade de controlo pertence não é aplicável.

118. Nessa hipótese, o Tribunal de Justiça considerou que «os poderes [da referida] autoridade não incluem necessariamente todos os poderes que lhe são atribuídos em conformidade com o direito do Estado‑Membro a que pertence» (68). Assim, «essa autoridade pode exercer os seus poderes de inquérito independentemente do direito aplicável e inclusivamente antes de saber qual é o direito nacional aplicável ao tratamento em causa. No entanto, se concluir que é aplicável o direito de outro Estado‑Membro, não poderá aplicar sanções fora do território do Estado‑Membro a que pertence. Nessa situação, cabe‑lhe, em aplicação do dever de cooperação previsto no artigo 28.^o, n.^o 6, da [Diretiva 95/46], solicitar à autoridade de controlo desse outro Estado‑Membro que verifique a existência de uma eventual infração a esse direito e que aplique sanções se este último o permitir, baseando‑se, se for caso disso, nas informações que lhe terá transmitido» (69).

119. Retiramos do Acórdão de 1 de outubro de 2015, Weltimmo (70), os seguintes ensinamentos para o presente processo.

120. Ao contrário da hipótese sobre a qual o Tribunal de Justiça construiu o seu raciocínio relativo aos poderes das autoridades de controlo nesta segunda parte do Acórdão de 1 de outubro de 2015, Weltimmo (71), o processo que neste momento nos ocupa corresponde a uma situação, análoga à da primeira parte desse acórdão, na qual, como referimos anteriormente, o direito nacional aplicável é efetivamente o do Estado‑Membro a que pertence a autoridade que exerce os seus poderes de intervenção, e isto devido à existência no território desse Estado‑Membro de um estabelecimento do responsável pelo tratamento cuja atividade está indissociavelmente ligada a esse tratamento. A existência desse estabelecimento na Alemanha constitui o ponto de referência necessário para a aplicação do direito alemão ao tratamento dos dados pessoais controvertido.

121. Depois de preenchida esta condição prévia, a autoridade de controlo alemã deve ser considerada competente para assegurar o cumprimento no território alemão das regras em matéria de proteção de dados pessoais aplicando a totalidade dos poderes de que dispõe nos termos das disposições alemãs que transpõem o artigo 28.^o, n.^o 3, da Diretiva 95/46. Esses poderes podem incluir uma injunção que consiste em proibir temporária ou definitivamente um tratamento.

122. Relativamente à questão de saber qual a entidade que deve ser destinatária de semelhante medida, há duas soluções possíveis.

123. A primeira solução consiste em considerar, no final de uma leitura restritiva do âmbito de aplicação territorial dos poderes de intervenção de que as autoridades de controlo dispõem, que estas só podem exercer esses poderes contra o estabelecimento do responsável pelo tratamento que está situado no território do Estado‑Membro a que pertencem. Se, como sucede no âmbito do presente processo, esse estabelecimento, em concreto, a Facebook Germany, não for o responsável pelo tratamento e não puder, por conseguinte, dar ele próprio seguimento a um pedido da autoridade de controlo para que seja posto termo a um tratamento de dados, esse estabelecimento deve transmitir esse pedido ao responsável pelo tratamento para que este último o possa executar.

124. Em contrapartida, a segunda solução consiste em considerar que, uma vez que o responsável pelo tratamento é o único que exerce uma influência determinante sobre o tratamento de dados em causa, é a ele que deve ser dirigida diretamente uma medida de injunção para pôr termo a tal tratamento.

125. Na nossa opinião, esta segunda solução deve prevalecer na medida em que é coerente com o papel fundamental que o responsável pelo tratamento ocupa no âmbito do sistema instituído pela Diretiva 95/46 (72). Tal solução, ao evitar passar obrigatoriamente pelo intermediário que constitui o estabelecimento que exerce atividades no contexto das quais é efetuado um tratamento, é suscetível de garantir uma aplicação imediata e efetiva das regras nacionais relativas à proteção dos dados pessoais. Por outro lado, a autoridade de controlo que dirige diretamente a um responsável pelo tratamento que não está estabelecido no território do Estado‑Membro a que pertence, como a Facebook Inc. ou a Facebook Ireland, uma medida de injunção para pôr termo a um tratamento de dados respeita os limites da sua competência, que consiste em assegurar que esse tratamento esteja em conformidade com o direito desse Estado no seu território. A este propósito, não é relevante que o ou os responsáveis pelo tratamento estejam estabelecidos noutro Estado‑Membro ou inclusivamente num Estado terceiro.

126. Esclarecemos também, em linha com a nossa proposta de resposta à primeira e segunda questões prejudiciais, que, tendo em conta o objetivo que visa assegurar uma proteção o mais completa possível dos direitos de que dispõem as pessoas que consultam as páginas de fãs, a possibilidade de a ULD exercer os seus poderes de intervenção contra a Facebook Inc. e a Facebook Ireland não exclui de modo nenhum, do nosso ponto de vista, que sejam tomadas medidas relativamente à Wirtschaftsakademie e, por conseguinte, não pode, enquanto tal, afetar a legalidade destas últimas (73).

127. Decorre dos desenvolvimentos que precedem que o artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46 deve ser interpretado no sentido de que é efetuado um tratamento de dados pessoais, como o que está em causa no litígio no processo principal, no contexto das atividades de um estabelecimento do responsável por esse tratamento no território de um Estado‑Membro, na aceção desta disposição, quando uma empresa que explora uma rede social cria nesse Estado‑Membro uma filial destinada a assegurar a promoção e a venda dos espaços publicitários propostos por essa empresa e cuja atividade é orientada para os habitantes desse Estado‑Membro.

128. Por outro lado, numa situação como a que está em causa no processo principal, em que o direito nacional aplicável ao tratamento dos dados pessoais em questão é o do Estado‑Membro a que a autoridade de controlo pertence, o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que esta autoridade de controlo pode exercer todos os poderes efetivos de intervenção que lhe foram conferidos em conformidade com o disposto no artigo 28.^o, n.^o 3, desta diretiva contra o responsável pelo tratamento, incluindo quando esse responsável está estabelecido noutro Estado‑Membro ou inclusivamente num Estado terceiro.

C. Quanto à quinta e sexta questões prejudiciais

129. Com a sua quinta e sexta questões prejudiciais, que, na nossa opinião, devem ser analisadas em conjunto, o órgão jurisdicional de reenvio pede, em substância, ao Tribunal de Justiça que declare se o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que, em circunstâncias como as que estão em causa no processo principal, a autoridade de controlo do Estado‑Membro em que está situado o estabelecimento do responsável pelo tratamento (a Facebook Germany) pode exercer os seus poderes de intervenção de forma autónoma e sem ter de pedir previamente à autoridade de controlo do Estado‑Membro onde está situado o responsável pelo tratamento (Facebook Ireland) para exercer os seus poderes.

130. Na sua decisão de reenvio, o Bundesverwaltungsgericht (Tribunal Administrativo Federal) explica a relação entre estas duas questões prejudiciais e a fiscalização da legalidade da injunção que deve efetuar no âmbito do litígio no processo principal. Assim, o órgão jurisdicional refere, em substância, que se poderia considerar que decretar uma injunção contra a Wirtschaftsakademie resulta de um erro de apreciação por parte da ULD no caso de o artigo 28.^o, n.^o 6, da Diretiva 95/46 dever ser interpretado no sentido de que prevê, em circunstâncias como as que estão em causa no litígio no processo principal, uma obrigação de uma autoridade de controlo como a ULD pedir à autoridade de controlo de outro Estado‑Membro, neste caso a Autoridade de controlo em matéria de Proteção de Dados, para exercer os seus poderes em caso de divergência de apreciação entre essas duas autoridades quanto à conformidade do tratamento de dados efetuado pela Facebook Ireland com as regras provenientes da Diretiva 95/46.

131. Conforme o Tribunal de Justiça declarou no seu aAcórdão de 1 de outubro de 2015, Weltimmo (74), na hipótese de o direito aplicável ao tratamento dos dados pessoais em causa ser não o do Estado‑Membro a que pertence a autoridade de controlo que pretende exercer os seus poderes de intervenção, mas o de um outro Estado‑Membro, o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que essa autoridade não pode aplicar sanções com base no direito do Estado‑Membro a que pertence o responsável pelo tratamento que não esteja estabelecido no território desse Estado‑Membro, devendo, em aplicação do artigo 28.^o, n.^o 6, desta diretiva, solicitar a intervenção da autoridade de controlo pertencente ao Estado‑Membro cujo direito é aplicável (75).

132. Nesta situação, a autoridade de controlo do primeiro Estado‑Membro perde a sua competência para exercer o seu poder de apreciar sanções relativamente a um responsável pelo tratamento que está estabelecido noutro Estado‑Membro. Deve, então, em aplicação do dever de cooperação previsto no artigo 28.^o, n.^o 6, da referida diretiva, solicitar à autoridade de controlo desse outro Estado‑Membro que verifique a existência de uma eventual infração ao direito do referido Estado e aplicar sanções se este último o permitir, baseando‑se, se for caso disso, nas informações que lhe terá transmitido (76).

133. Como referimos anteriormente, a situação em causa no presente processo é bem diferente uma vez que o direito aplicável é efetivamente o do Estado‑Membro a que pertence a autoridade de controlo que pretende exercer os seus poderes de intervenção. Nesta situação, o artigo 28.^o, n.^o 6, da Diretiva 95/46 deve ser interpretado no sentido de que não impõe que essa autoridade de controlo solicite à autoridade de controlo do Estado‑Membro onde está estabelecido o responsável pelo tratamento para exercer os seus poderes de intervenção contra este último.

134. Acrescentamos que, em conformidade com o previsto no artigo 28.^o, n.^o 1, segundo parágrafo, da Diretiva 95/46, a autoridade de controlo que é competente para exercer os seus poderes de intervenção contra um responsável pelo tratamento estabelecido num Estado‑Membro diferente daquele a que essa autoridade pertence exercerá com total independência as funções que lhe forem atribuídas.

135. Conforme resulta dos nossos desenvolvimentos precedentes, a Diretiva 95/46 não prevê nem o princípio do país de origem nem um mecanismo de balcão único como o que consta do Regulamento 2016/679. Por conseguinte, um responsável pelo tratamento que dispõe de estabelecimentos em vários Estados‑Membros está plenamente sujeito à fiscalização de diversas autoridades de controlo quando as leis dos Estados‑Membros a que essas autoridades pertencem sejam aplicáveis. Embora a concertação e a cooperação entre essas autoridades de controlo sejam, bem entendido, desejáveis, nada obriga, no entanto, uma autoridade de controlo cuja competência é reconhecida a alinhar a sua posição com a estabelecida por outra autoridade de controlo.

136. Deduzimos do que precede que o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46 deve ser interpretado no sentido de que, em circunstâncias como as que estão em causa no processo principal, a autoridade de controlo do Estado‑Membro onde está situado o estabelecimento do responsável pelo tratamento está habilitada a exercer os seus poderes de intervenção contra esse responsável de forma autónoma e sem ter de pedir previamente à autoridade de controlo do Estado‑Membro onde o referido responsável está situado para exercer os seus poderes.

III. Conclusão

137. Atendendo às considerações que precedem, propomos responder às questões prejudiciais submetidas pelo Bundesverwaltungsgericht (Tribunal Administrativo Federal, Alemanha) nos termos seguintes:

1) O artigo 2.^o, alínea d), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, conforme alterada pelo Regulamento (CE) n.^o 1882/2003 do Parlamento Europeu e do Conselho, de 29 de setembro de 2003, deve ser interpretado no sentido de que constitui um responsável pelo tratamento, na aceção desta disposição, o administrador de uma página de fãs de uma rede social como o Facebook no que se refere à fase do tratamento de dados pessoais que consiste na recolha por essa rede social dos dados relativos às pessoas que consultam essa página, com vista à elaboração de estatísticas de audiência relativas à referida página.

2) O artigo 4.^o, n.^o 1, alínea a), da Diretiva 95/46, conforme alterada pelo Regulamento n.^o 1882/2003, deve ser interpretado no sentido de que é efetuado um tratamento de dados pessoais, como o que está em causa no litígio no processo principal, no contexto das atividades de um estabelecimento do responsável por esse tratamento no território de um Estado‑Membro, na aceção desta disposição, quando uma empresa que explora uma rede social cria nesse Estado‑Membro uma filial para assegurar a promoção e a venda dos espaços publicitários propostos por essa empresa e cuja atividade é orientada para os habitantes desse Estado‑Membro.

3) Numa situação como a que está em causa no processo principal, em que o direito nacional aplicável ao tratamento dos dados pessoais em questão é o do Estado‑Membro a que a autoridade de controlo pertence, o artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46, conforme alterada pelo Regulamento n.^o 1882/2003, deve ser interpretado no sentido de que essa autoridade de controlo pode exercer todos os poderes efetivos de intervenção que lhe foram conferidos em conformidade com o disposto no artigo 28.^o, n.^o 3, desta diretiva contra o responsável pelo tratamento, incluindo quando esse responsável esteja estabelecido noutro Estado‑Membro ou inclusivamente num Estado terceiro.

4) O artigo 28.^o, n.^os 1, 3 e 6, da Diretiva 95/46, conforme alterada pelo Regulamento n.^o 1882/2003, deve ser interpretado no sentido de que, em circunstâncias como as que estão em causa no processo principal, a autoridade de controlo do Estado‑Membro onde está situado o estabelecimento do responsável pelo tratamento está habilitada a exercer os seus poderes de intervenção contra esse responsável de forma autónoma e sem ter de pedir previamente à autoridade de controlo do Estado‑Membro onde está situado o referido responsável para exercer os seus poderes.

1 Língua original: francês.

2 JO 1995, L 281, p. 31.

3 JO 2003, L 284, p. 1, a seguir «Diretiva 95/46».

4 A seguir «Grupo de Trabalho «Artigo 29.^o».

5 A seguir «Parecer 2/2010».

6 Parecer 2/2010, p. 5.

7 Parecer 2/2010, p. 7. De acordo com as explicações dadas pelo Grupo de Trabalho «Artigo 29.^o» neste parecer, «[g]eralmente, [esta tecnologia] funciona da seguinte forma: em regra, o fornecedor da rede de publicidade instala um testemunho persistente no equipamento terminal da pessoa em causa […] quando esta visita pela primeira vez um sítio Web que exibe um anúncio da sua rede. O testemunho é um pequeno texto alfanumérico, que é armazenado no equipamento terminal da pessoa em causa por um fornecedor de redes de publicidade (e ao qual este tem posteriormente acesso) […]. No contexto da publicidade comportamental, o testemunho permitirá ao fornecedor da rede de publicidade reconhecer um utilizador que visite novamente aquele sítio Web ou qualquer outro sítio Web que seja parceiro da rede de publicidade. Com base nestas sucessivas visitas, o fornecedor da rede de publicidade poderá criar um perfil do visitante, que será utilizado para apresentar publicidade personalizada».

8 Parecer 1/2010 do Grupo de Trabalho «Artigo 29.^o», de 16 de fevereiro de 2010, sobre os conceitos de «responsável pelo tratamento» e «subcontratante», a seguir «Parecer 1/2010», p. 25.

9 Assim, a Agencia española de protección de datos (Agência Espanhola para a Proteção de Dados) anunciou, em 11 de setembro de 2017, ter aplicado uma coima de 1,2 milhões de euros à Facebook Inc. Anteriormente, a Commission nationale de l’informatique et des libertés (Comissão Nacional de Informática e das Liberdades, CNIL, França) decidiu, por deliberação de 27 de abril de 2017, aplicar às sociedades Facebook Inc. e Facebook Ireland, a título de responsabilidade solidária, uma sanção pecuniária no montante de 150 000 euros.

10 O § 38, n.^o 5, da BDSG dispõe:

«Para garantir o cumprimento da presente lei e de outras disposições relativas à proteção de dados, a autoridade de supervisão pode ordenar medidas destinadas a sanar as infrações constatadas na recolha, no tratamento ou na utilização de dados pessoais ou falhas técnicas ou de organização. No caso de infrações ou de falhas graves, nomeadamente quando estas representem um risco específico de violação do direito à vida privada, a autoridade de supervisão pode proibir a recolha, o tratamento ou a utilização, ou inclusivamente o recurso a determinados procedimentos, quando as infrações ou as falhas não forem sanadas em tempo útil, em violação da injunção referida no primeiro período e não obstante a aplicação de uma sanção pecuniária compulsória. A autoridade de supervisão pode pedir o afastamento do agente da proteção dos dados, no caso de este não possuir a competência e a fiabilidade necessárias para desempenhar as suas funções.»

11 O § 12 da Lei relativa aos meios de telecomunicação está redigido nos seguintes termos:

«(1) O prestador de serviços só pode recolher e utilizar dados pessoais para os pôr à disposição dos meios de comunicação eletrónicos se a presente lei ou outro instrumento jurídico que se refira expressamente aos meios de comunicação eletrónicos o autorizar ou se o utilizador der o seu consentimento para tal.

[…]

(3) Salvo disposições em contrário, a legislação em vigor que regula a proteção de dados pessoais deve ser aplicada mesmo que os dados não sejam objeto de um tratamento automatizado.»

12 Esta disposição diz respeito ao tratamento de dados pessoais em regime de subcontratação.

13 Nos termos desta disposição, «entende‑se por organismo responsável qualquer pessoa ou qualquer organismo que recolha, trate ou utilize dados pessoais por sua conta ou por intermédio de outrem em regime de subcontratação».

14 C‑131/12, EU:C:2014:317.

15 N.^o 60 desse acórdão.

16 Segundo as definições referidas no Parecer 1/2010, o termo «finalidade» designa «um resultado que se pretende alcançar ou que orienta as ações planeadas» e a palavra «meios» «o modo como um resultado é obtido ou um fim é alcançado» (p. 13).

17 Assim, por exemplo, em conformidade com o artigo 6.^o, n.^o 2, desta diretiva, incumbe ao responsável pelo tratamento assegurar o respeito dos princípios relativos à qualidade dos dados que são enumerados no artigo 6.^o, n.^o 1, da referida diretiva. Nos termos dos artigos 10.^o e 11.^o da Diretiva 95/46, o responsável pelo tratamento está obrigado a um dever de informação relativamente às pessoas objeto do tratamento de dados pessoais. Por força do artigo 12.^o desta diretiva, o direito de acesso das pessoas em causa aos dados é exercido junto do responsável pelo tratamento. O mesmo se passa com o direito de oposição previsto no artigo 14.^o da referida diretiva. Nos termos do artigo 23.^o, n.^o 1, da Diretiva 95/46, os Estados‑Membros devem estabelecer que «qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro ato incompatível com as disposições nacionais de execução [desta] diretiva tem o direito de obter do responsável pelo tratamento a reparação pelo prejuízo sofrido». Por último, os poderes efetivos de intervenção das autoridades de controlo, conforme previstos no artigo 28.^o, n.^o 3, desta diretiva, são exercidos em relação aos responsáveis pelo tratamento.

18 C‑131/12, EU:C:2014:317.

19 V., neste sentido, Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^os 38 e 83).

20 V., nomeadamente, Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^o 34).

21 Parecer 1/2010, p. 10.

22 Assim, a Facebook Ireland explica que introduz regularmente funções que são disponibilizadas exclusivamente às pessoas em causa na União e que são adaptadas para essas pessoas. Noutros casos, a Facebook Ireland opta por não oferecer na União produtos disponibilizados nos Estados Unidos pela Facebook Inc.

23 V. Acórdão de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650, n.^o 27).

24 V. decisão de reenvio, n.^o 39.

25 O que importa no âmbito do presente processo não é a determinação das finalidades e dos meios do tratamento que se segue à transmissão ao Facebook dos dados das pessoas que consultam uma página de fãs. É necessário focalizar‑se na fase do tratamento que está aqui em causa, a saber, a da recolha dos dados das pessoas que consultam uma página de fãs sem que estas tenham sido informadas e sem que o seu consentimento tenha sido devidamente recolhido.

26 Resulta das condições de utilização do Facebook que as estatísticas de audiência permitem ao administrador de uma página de fãs consultar informações relativas à sua audiência alvo, para poder criar conteúdos mais adequados para esta. As estatísticas de audiência fornecem ao administrador de uma página de fãs dados demográficos respeitantes à sua audiência alvo, nomeadamente tendências em matéria de idade, sexo, situação amorosa e profissão, informações sobre o estilo de vida e os centros de interesse da sua audiência alvo e informações respeitantes a compras da sua audiência alvo, nomeadamente o seu comportamento de compras online, as categorias de produtos ou serviços que mais lhe interessam, bem como dados geográficos que permitem ao administrador da página de fãs saber onde efetuar promoções especiais e organizar eventos.

27 V., neste sentido, Parecer 1/2010, p. 28.

28 Ibidem, p. 28: «o desequilíbrio na relação contratual entre um pequeno responsável pelo tratamento de dados e uma grande empresa de prestação de serviços não pode ser invocado como justificação para a aceitação de cláusulas e condições incompatíveis com a legislação sobre proteção de dados por parte do responsável pelo tratamento».

29 C‑131/12, EU:C:2014:317.

30 Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^o 38, e, neste sentido, n.^o 83).

31 Acórdão de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^o 40).

32 V. decisão de reenvio, n.^o 35.

33 Processo ainda pendente no Tribunal de Justiça.

34 Como salienta a Autoridade suíça da proteção de dados: «[e]mbora o registo e a análise propriamente ditos dos dados sejam, na maior parte dos casos, efetuados com total discrição pelo prestador de serviços de webtracking, o operador do sítio Web é igualmente responsável. Com efeito, ele integra o código do prestador de serviços de webtracking no seu sítio Web e permite assim, sem o conhecimento do internauta, a transmissão de dados, a instalação de cookies e a recolha de dados em proveito do prestador de serviços de webtracking.» V. «Explications concernant le webtracking» do Préposé federal à la protection des donnés et à la transparence (Comissário federal para a Proteção de Dados e a Transparência (PFPDT)), consultáveis no seguinte endereço Internet: https://www.edoeb.admin.ch/datenschutz/00683/01103/01104/index.htmla?lang=fr

35 V., neste sentido, Parecer 1/2010, p. 24.

36 Parecer 1/2010, p. 35.

37 Parecer 1/2010, p. 20 e p. 21.

38 V. decisão de reenvio, n.^o 40.

39 V., nomeadamente, Acórdão de 31 de janeiro de 2017, Lounani (C‑573/14, EU:C:2017:71, n.^o 56 e jurisprudência referida).

40 A seguir «Parecer 8/2010».

41 Página 31 deste parecer.

42 Página 32 do referido parecer.

43 A estrutura adotada por grupos como o Google e o Facebook para desenvolverem as suas atividades através do mundo torna complexa a determinação do direito nacional aplicável e a identificação do estabelecimento contra o qual os particulares lesados e as autoridades de controlo podem agir. V., sobre estas questões, Svantesson D., «Enforcing Privacy Across Different Jurisdictions», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlim, 2016, pp. 195 a 222, especialmente pp. 216 a 218.

44 V., nomeadamente, Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 25 e jurisprudência referida).

45 V., nomeadamente, Acórdão de 28 de julho de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, n.^o 75 e jurisprudência referida).

46 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 29).

47 V., nomeadamente, Acórdão de 28 de julho de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, n.^o 77 e jurisprudência referida).

48 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 29).

49 V., nomeadamente, Acórdão de 28 de julho de 2016, Verein für Konsumenteninformation (C‑191/15, EU:C:2016:612, n.^o 78 e jurisprudência referida).

50 Página 33 do Parecer 8/2010. V., também, neste sentido, p. 15 desse parecer.

51 C‑131/12, EU:C:2014:317.

52 N.^o 55 deste acórdão.

53 N.^o 56 do referido acórdão.

54 N.^o 57 do mesmo acórdão.

55 V., neste sentido, Parecer 5/2009, de 12 de junho de 2009, sobre as redes sociais online do Grupo de Trabalho do «Artigo 29.^o», p. 5.

56 C‑131/12, EU:C:2014:317.

57 V., nomeadamente, «Update of Opinion 8/2010 on applicable law in light of the CJEU judgment in Google Spain», do Grupo de trabalho do artigo 29.^o, de 16 de dezembro de 2015, pp. 6 e 7.

58 V., no sentido da aplicação potencial de uma pluralidade de direitos nacionais, Parecer 8/2010: «a referência a “um” estabelecimento significa que a aplicabilidade da lei de um Estado‑Membro será determinada em função da localização de um estabelecimento do responsável pelo tratamento nesse Estado‑Membro, mas a aplicabilidade da lei de outros Estados‑Membros poderá ser determinada em função da localização de outros estabelecimentos do mesmo responsável nesses países» (p. 33).

59 C‑191/15, EU:C:2016:612.

60 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (JO 2016, L 119, p. 1).

61 V., a este respeito, Hawkes B., «The Irish DPA and Its Approach to Data Protection», Enforcing Privacy: Regulatory, Legal and Technological Approaches, Springer, Berlim, 2016, pp. 441 a 454, especialmente p. 450, nota 11. O autor refere assim que «[t]he degree to which, under existing EU law, other European DPAs can assert jurisdiction over entities such as Facebook‑Ireland is not entirely clear, linked as it is to interpretations of Article 4 of Directive 95/46/EC, notably the phrase “the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State”. The DPC, in its audit report, stated that: “it ha(d) jurisdiction over the personal data processing activities of [Facebook‑Ireland] based on it being established in Ireland” but that this “should not however be interpreted as asserted sole jurisdiction over the activities of Facebook in the EU”».

62 C‑131/12, EU:C:2014:317.

63 V., segundo uma lógica comparável, Common Statement by the Contact Group of the Data Protection Authorities of The Netherlands, France, Spain, Hamburg and Belgium, 16 de maio de 2017, no qual essas autoridades declaram: «[…] the DPAs united in the Contact Group conclude that their respective national data protection law applies to the processing of personal data of users and non‑users by the Facebook Group in their respective countries and that each DPA has competence. Following case law from the European Court of Justice […], the DPAs note that the Facebook Group has offices in multiple countries in the EU. These offices aim to promote and increase the sales of targeted advertising aimed at national users and non‑users of the service. For its revenues, the Facebook Group almost completely depends on the sale of advertising space, and personal data must necessarily be processed for the type of targeted advertising services offered by the Facebook Group. Therefore, the activities of these offices are “inextricably linked” to the data processing by the Facebook Group, and all the investigated national offices are relevant establishments under Article 4(1)a of the European Data Protection Directive 95/46/EC».

64 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 49).

65 C‑230/14, EU:C:2015:639.

66 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 42).

67 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 43).

68 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 55).

69 V. Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 57).

70 C‑230/14, EU:C:2015:639.

71 C‑230/14, EU:C:2015:639.

72 V., a este respeito, n.^o 44 das presentes conclusões.

73 V., igualmente, n.^os 73 a 77 das presentes conclusões.

74 C‑230/14, EU:C:2015:639.

75 Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 60).

76 Acórdão de 1 de outubro de 2015, Weltimmo (C‑230/14, EU:C:2015:639, n.^o 57).