Language of document : ECLI:EU:C:2018:388

Edição provisória

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

5 de junho de 2018 (*)

«Reenvio prejudicial – Diretiva 95/46/CE – Dados pessoais – Proteção das pessoas singulares relativamente ao tratamento destes dados – Injunção para desativar uma página Facebook (página de fãs) que permite recolher e tratar certos dados que dizem respeito aos visitantes desta página – Artigo 2.°, alínea d) – Responsável pelo tratamento de dados pessoais – Artigo 4.° – Direito nacional aplicável – Artigo 28.° – Autoridades nacionais de controlo – Poderes de intervenção dessas autoridades»

No processo C‑210/16,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.° TFUE, pelo Bundesverwaltungsgericht (Tribunal Administrativo Federal, Alemanha), por decisão de 25 de fevereiro de 2016, que deu entrada no Tribunal de Justiça em 14 de abril de 2016, no processo

Unabhängiges Landeszentrum für Datenschutz SchleswigHolstein

contra

Wirtschaftsakademie SchleswigHolstein GmbH,

sendo intervenientes:

Facebook Ireland Ltd,

Vertreter des Bundesinteresses beim Bundesverwaltungsgericht,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, A. Tizzano (relator), vice‑presidente, M. Ilešič, L. Bay Larsen, T. von Danwitz, A. Rosas, J. Malenovský e E. Levits, presidentes de secção, E. Juhász, A. Borg Barthet, F. Biltgen, K. Jürimäe, C. Lycourgos, M. Vilaras e E. Regan, juízes,

advogado‑geral: Y. Bot,

secretária: C. Strömholm, administradora,

vistos os autos e após a audiência de 27 de junho de 2017,

vistas as observações apresentadas:

–        em representação do Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein, por U. Karpenstein e M. Kottmann, Rechtsanwälte,

–        em representação da Wirtschaftsakademie Schleswig‑Holstein GmbH, por C. Wolff, Rechtsanwalt,

–        em representação da Facebook Ireland Ltd, por C. Eggers, H.‑G. Kamann e M. Braun, Rechtsanwälte, e por I. Perego, avvocato,

–        em representação do Governo alemão, por J. Möller, na qualidade de agente,

–        em representação do Governo belga, por L. Van den Broeck, C. Pochet, P. Cottin e J.‑C. Halleux, na qualidade de agentes,

–        em representação do Governo checo, por M. Smolek, J. Vláčil e L. Březinová, na qualidade de agentes,

–        em representação da Irlanda, por M. Browne, L. Williams, E. Creedon, G. Gilmore e A. Joyce, na qualidade de agentes,

–        em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por P. Gentili, avvocato dello Stato,

–        em representação do Governo neerlandês, por C. S. Schillemans e K. Bulterman, na qualidade de agentes,

–        em representação do Governo finlandês, por J. Heliskoski, na qualidade de agente,

–        em representação da Comissão Europeia, por H. Krämer e D. Nardi, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 24 de outubro de 2017,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

2        Este pedido foi apresentado no âmbito de um litígio que opõe a Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein (Autoridade Regional Independente de Proteção de Dados de Schleswig‑Holstein, Alemanha) (a seguir «ULD») à Wirtschaftsakademie Schleswig‑Holstein GmbH, uma sociedade de direito privado especializada no domínio da formação (a seguir «Wirtschaftsakademie»), a respeito da legalidade de uma injunção decretada pela ULD contra esta última de desativação da sua página de fãs alojada no site da rede social Facebook (a seguir «Facebook»).

 Quadro jurídico

 Direito da União

3        Os considerandos 10, 18, 19 e 26 da Diretiva 95/46 enunciam:

«(10)      Considerando que o objetivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8.° da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais como nos princípios gerais do direito [da União]; que, por este motivo, a aproximação das referidas legislações não deve fazer diminuir a proteção que asseguram, devendo, pelo contrário, ter por objetivo garantir um elevado nível de proteção na [União];

[...]

(18)      Considerando que, a fim de evitar que uma pessoa seja privada da proteção a que tem direito por força da presente diretiva, é necessário que qualquer tratamento de dados pessoais efetuado na [União] respeite a legislação de um dos Estados‑Membros; que, nesse sentido, é conveniente que o tratamento efetuado por uma pessoa que age sob a autoridade do responsável pelo tratamento estabelecido num Estado‑Membro seja regido pela legislação deste Estado‑Membro;

(19)      Considerando que o estabelecimento no território de um Estado‑Membro pressupõe o exercício efetivo e real de uma atividade mediante uma instalação estável; que, para o efeito, a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante; que, quando no território de vários Estados‑Membros estiver estabelecido um único responsável pelo tratamento, em especial através de uma filial, deverá assegurar, nomeadamente para evitar que a legislação seja contornada, que cada um dos estabelecimentos cumpra as obrigações impostas pela legislação nacional aplicável às respetivas atividades;

[…]

(26)      Considerando que os princípios da proteção devem aplicar‑se a qualquer informação relativa a uma pessoa identificada ou identificável; que, para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por qualquer outra pessoa, para identificar a referida pessoa; que os princípios da proteção não se aplicam a dados tornados anónimos de modo tal que a pessoa já não possa ser identificável; […]»

4        O artigo 1.º da Diretiva 95/46, sob a epígrafe «Objeto da diretiva», prevê:

«1.      Os Estados‑Membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2.      Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à proteção assegurada por força do n.° 1.»

5        O artigo 2.° desta diretiva, sob a epígrafe «Definições», tem a seguinte redação:

«Para efeitos da presente diretiva, entende‑se por:

[…]

b)      “Tratamento de dados pessoais” (“tratamento”), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[...]

d)      “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou [da União], o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou [da União];

e)      “Subcontratante”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

f)      “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

[...]»

6        O artigo 4.° da referida diretiva, sob a epígrafe «Direito nacional aplicável», enuncia, no seu n.° 1:

«Cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força da presente diretiva ao tratamento de dados pessoais quando:

a)      O tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro; se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpra as obrigações estabelecidas no direito nacional que lhe for aplicável;

b)      O responsável pelo tratamento não estiver estabelecido no território do Estado‑Membro, mas num local onde a sua legislação nacional seja aplicável por força do direito internacional público;

c)      O responsável pelo tratamento não estiver estabelecido no território da [União] e recorrer, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território desse Estado‑Membro, salvo se esses meios só forem utilizados para trânsito no território da [União].»

7        O artigo 17.° da Diretiva 95/46, sob a epígrafe «Segurança do tratamento», dispõe, nos seus n.os 1 e 2:

«1.      Os Estados‑Membros estabelecerão que o responsável pelo tratamento deve pôr em prática medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.

Estas medidas devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.

2.      Os Estados‑Membros estabelecerão que o responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar e deverá zelar pelo cumprimento dessas medidas.»

8        O artigo 24.° desta diretiva, sob a epígrafe «Sanções», prevê:

«Os Estados‑Membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente diretiva [e] determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adotadas nos termos da presente diretiva.»

9        O artigo 28.° da referida diretiva, sob a epígrafe «Autoridade de controlo», tem a seguinte redação:

«1.      Cada Estado‑Membro estabelecerá que uma ou mais autoridades públicas serão responsáveis pela fiscalização da aplicação no seu território das disposições adotadas pelos Estados‑Membros nos termos da presente diretiva.

Essas autoridades exercerão com total independência as funções que lhes forem atribuídas.

2.      Cada Estado‑Membro estabelecerá que as autoridades de controlo serão consultadas aquando da elaboração de medidas regulamentares ou administrativas relativas à proteção dos direitos e liberdades das pessoas no que diz respeito ao tratamento de dados pessoais.

3.      Cada autoridade do controlo disporá, nomeadamente:

–        de poderes de inquérito, tais como o poder de aceder aos dados objeto de tratamento e de recolher todas as informações necessárias ao desempenho das suas funções de controlo,

–        de poderes efetivos de intervenção, tais como, por exemplo, o de emitir pareceres previamente à execução [dos tratamentos, em conformidade com o artigo 20.°, e de assegurar uma publicação] adequada desses pareceres, o de ordenar o bloqueio, o apagamento ou a destruição dos dados, o de proibir temporária ou definitivamente o tratamento, o de dirigir uma advertência ou uma censura ao responsável pelo tratamento ou o de remeter a questão para os parlamentos nacionais ou para outras instituições políticas,

–        do poder de intervir em processos judiciais no caso de violação das disposições nacionais adotadas nos termos da presente diretiva ou de levar essas infrações ao conhecimento das autoridades judiciais.

As decisões da autoridade de controlo que lesem interesses são passíveis de recurso jurisdicional.

[...]

6.      Cada autoridade de controlo é competente, independentemente do direito nacional aplicável ao tratamento em causa, para o exercício no território do seu Estado‑Membro dos poderes que lhe foram atribuídos em conformidade com o n.° 3. Cada autoridade de controlo pode ser solicitada a exercer os seus poderes por uma autoridade de outro Estado‑Membro.

As autoridades de controlo cooperarão entre si na medida do necessário ao desempenho das suas funções, em especial através do intercâmbio de quaisquer informações úteis.

[...]»

 Direito alemão

10      O § 3, n.° 7, da Bundesdatenschutzgesetz (Lei federal relativa à proteção de dados), na sua versão aplicável aos factos no processo principal (a seguir «BDSG»), tem a seguinte redação:

«Entende‑se por organismo responsável qualquer pessoa ou qualquer organismo que recolha, trate ou utilize dados pessoais por sua conta ou por intermédio de outrem em regime de subcontratação.»

11      O § 11 da BDSG, sob a epígrafe «Recolha, tratamento ou utilização de dados pessoais por intermédio de outrem em regime de subcontratação», tem a seguinte redação:

«(1)      Se os dados pessoais forem recolhidos, tratados ou utilizados por intermédio de outros organismos em regime de subcontratação, o responsável pelo tratamento em regime de subcontratação é responsável pelo cumprimento das disposições da presente lei e de outras disposições relativas à proteção dos dados. [...]

(2)      O subcontratante deve ser rigorosamente escolhido tendo particularmente em conta o caráter apropriado das medidas técnicas e de organização que tomou. A subcontratação exige a forma escrita, sendo necessário em particular determinar em detalhe: [...]

O responsável pelo tratamento em regime de subcontratação deve assegurar‑se antes do início do tratamento dos dados, e depois de maneira regular, de que são respeitadas as medidas técnicas e de organização tomadas pelo subcontratante. O resultado deve ser registado.

[...]»

12      O § 38, n.° 5, da BDSG dispõe:

«Para garantir o cumprimento da presente lei e de outras disposições relativas à proteção de dados, a autoridade de supervisão pode ordenar medidas destinadas a sanar as infrações constatadas na recolha, no tratamento ou na utilização de dados pessoais, ou falhas técnicas ou de organização. No caso de infrações ou de falhas graves, nomeadamente quando estas representem um risco específico de violação do direito à vida privada, a autoridade de supervisão pode proibir a recolha, o tratamento ou a utilização, ou inclusivamente o recurso a determinados procedimentos, quando as infrações ou as falhas não forem sanadas em tempo útil, em violação da injunção referida no primeiro período e não obstante a aplicação de uma sanção pecuniária compulsória. A autoridade de supervisão pode pedir o afastamento do agente da proteção dos dados, no caso de este não possuir a competência e a fiabilidade necessárias para desempenhar as suas funções.»

13      O § 12 da Telemediengesetz (Lei relativa aos meios de telecomunicação), de 26 de fevereiro de 2007 (BGBl. 2007 I, p. 179, a seguir «TMG»), tem a seguinte redação:

«(1)      O prestador de serviços só pode recolher e utilizar dados pessoais para os pôr à disposição dos meios de comunicação eletrónicos se a presente lei ou outro instrumento jurídico que se refira expressamente aos meios de comunicação eletrónicos o autorizar ou se o utilizador der o seu consentimento para tal.

[...]

(3)      Salvo disposições em contrário, a legislação em vigor que regula a proteção de dados pessoais deve ser aplicada mesmo que os dados não sejam objeto de um tratamento automatizado.»

 Litígio no processo principal e questões prejudiciais

14      A Wirtschaftsakademie oferece serviços de formação através de uma página de fãs alojada no Facebook.

15      As páginas de fãs são contas de utilizadores que podem ser configuradas no Facebook por particulares ou por empresas. Para este efeito, o autor da página de fãs, depois de se registar no Facebook, pode utilizar a plataforma mantida pela Facebook para se apresentar aos utilizadores desta rede social, bem como às pessoas que visitam a página de fãs, e difundir comunicações de qualquer tipo no mercado de meios de comunicação e de opinião. Os administradores de páginas de fãs podem obter estatísticas anónimas sobre os visitantes destas páginas com a ajuda da ferramenta Facebook Insight, disponibilizada gratuitamente pela Facebook nos termos de condições de utilização não alteráveis. Estes dados são recolhidos através de ficheiros testemunhos (a seguir «cookies»), cada um dos quais comporta um código utilizador único, que ficam ativos durante dois anos e que são armazenados pelo Facebook no disco rígido do computador ou em qualquer outro suporte dos visitantes da página de fãs. O código utilizador, que pode ser relacionado com os dados de conexão dos utilizadores registados no Facebook, é recolhido e tratado no momento em que as páginas de fãs abrem. A este respeito, resulta da decisão de reenvio que nem a Wirtschaftsakademie nem a Facebook Ireland Ltd se referiram à operação de armazenamento e ao funcionamento deste cookie ou ao tratamento posterior dos dados, pelo menos no decurso do período pertinente para o processo principal.

16      Por Decisão de 3 de novembro de 2011 (a seguir «decisão impugnada»), a ULD, na sua qualidade de autoridade de controlo, na aceção do artigo 28.° da Diretiva 95/46, encarregada de fiscalizar a aplicação no território do Land de Schleswig‑Holstein (Alemanha) das disposições adotadas pela República Federal da Alemanha em aplicação desta diretiva, ordenou à Wirtschaftsakademie, nos termos do § 38, n.° 5, primeiro período, da BDSG, que desativasse a página de fãs que este tinha criado no Facebook no endereço www.facebook.com/wirtschaftsakademie, sob pena de lhe ser aplicada uma sanção pecuniária compulsória em caso de não execução no prazo fixado, pelo facto de nem a Wirtschaftsakademie nem a Facebook terem informado os visitantes da página de fãs de que a Facebook recolhia, através de cookies, informações pessoais sobre os visitantes e que em seguida procedia ao tratamento dessas informações. A Wirtschaftsakademie apresentou uma reclamação contra esta decisão na qual alegou, no essencial, que não era responsável, à luz do direito aplicável à proteção de dados, pelo tratamento dos dados efetuado pela Facebook nem pelos cookies instalados por esta última.

17      Por Decisão de 16 de dezembro de 2011, a ULD indeferiu esta reclamação por ter considerado que a responsabilidade da Wirtschaftsakademie, enquanto prestador de serviços, era determinada de acordo com o disposto no § 3, n.° 3, ponto 4, e no § 12, n.° 1, da TMG, em conjugação com o § 3, n.° 7, da BDSG. A ULD expôs que, tendo criado a sua página de fãs, a Wirtschaftsakademie contribui de forma ativa e voluntária para a recolha, pela Facebook, de dados pessoais relativos aos visitantes desta página de fãs, dados de que a Wirtschaftsakademie beneficiava através de estatísticas disponibilizadas pela Facebook.

18      A Wirtschaftsakademie interpôs recurso desta decisão no Verwaltungsgericht (Tribunal Administrativo, Alemanha), alegando que o tratamento de dados pessoais efetuado pela Facebook não lhe podia ser imputado e que também não tinha encarregado a Facebook de proceder, na aceção do § 11 da BDSG, ao tratamento de dados que controlava ou que podia influenciar. A Wirtschaftsakademie daqui deduziu que a ULD devia ter atuado diretamente contra a Facebook, em vez de ter tomado a decisão impugnada contra si.

19      Por Acórdão de 9 de outubro de 2013, o Verwaltungsgericht (Tribunal Administrativo) anulou a decisão impugnada com o fundamento, em substância, de que o administrador de uma página de fãs no Facebook não é um organismo responsável na aceção do § 3, n.° 7, da BDSG e que, por conseguinte, a Wirtschaftsakademie não podia ser destinatária de uma medida tomada ao abrigo do § 38, n.° 5, da BDSG.

20      O Oberverwaltungsgericht (Tribunal Administrativo Superior, Alemanha) negou provimento ao recurso interposto pela ULD contra aquele acórdão por falta de fundamento. Este último órgão jurisdicional considerou, em substância, que a proibição do tratamento de dados, enunciada na decisão impugnada, era ilegal, na medida em que o § 38, n.° 5, segundo período, da BDSG prevê um procedimento gradual, cuja primeira etapa só permite adotar medidas destinadas a sanar as infrações constatadas durante o tratamento de dados. Só será possível proibir imediatamente o tratamento de dados se o processo de tratamento de dados for ilícito na sua globalidade e se a ilicitude só puder ser sanada através da suspensão deste processo. Ora, segundo o Oberverwaltungsgericht (Tribunal Administrativo Superior), tal não sucedeu no caso em apreço, uma vez que a Facebook teve possibilidade de fazer cessar as infrações alegadas pela ULD.

21      O Oberverwaltungsgericht (Tribunal Administrativo Superior) acrescentou que a decisão impugnada também é ilegal porque uma injunção ao abrigo do § 38, n.° 5, da BDSG só pode ser decretada contra um organismo responsável, na aceção do § 3, n.° 7, da BDSG, qualidade que a Wirtschaftsakademie não reveste no que respeita aos dados recolhidos pela Facebook. Com efeito, só a Facebook tomava decisões quanto à finalidade e aos meios relativos à recolha e ao tratamento de dados pessoais utilizados no âmbito da ferramenta Facebook Insight. A Wirtschaftsakademie, por seu lado, só recebia informações estatísticas que tinham sido anonimizadas.

22      A ULD interpôs recurso de «Revision» no Bundesverwaltungsgericht (Tribunal Administrativo Federal, Alemanha), alegando, entre outros argumentos, a violação do § 38, n.° 5, da BDSG, bem como diversos erros processuais cometidos pelo órgão jurisdicional de recurso. Considera que a infração cometida pela Wirtschaftsakademie resulta do facto de esta ter confiado a um prestador desadequado, porquanto não respeitador do direito aplicável à proteção de dados, no caso em apreço, a Facebook Ireland, a realização, o alojamento e a manutenção de um sítio Internet. A injunção dirigida à Wirtschaftsakademie, pela decisão impugnada, de proceder à desativação da sua página de fãs visava deste modo sanar esta infração, na medida em que a proibia de continuar a utilizar a infraestrutura do Facebook como base técnica do seu sítio Internet.

23      À semelhança do Oberverwaltungsgericht (Tribunal Administrativo Superior), o Bundesverwaltungsgericht (Tribunal Administrativo Federal) considera que a Wirtschaftsakademie não pode ser considerada, em si mesma, responsável pelo tratamento de dados, na aceção do § 3, n.° 7, da BDSG ou do artigo 2.°, alínea d), da Diretiva 95/46. Este último órgão jurisdicional considera, porém, que este conceito deve, em princípio, ser interpretado de maneira extensiva no interesse de uma proteção eficaz do direito à vida privada, como o Tribunal de Justiça admitiu na sua jurisprudência recente nesta matéria. Por outro lado, tem dúvidas quanto aos poderes de que a ULD dispõe neste caso face à Facebook Germany, atendendo ao facto de que, a nível da União, a Facebook Ireland é responsável pela recolha e pelo tratamento de dados pessoais no grupo Facebook. Por último, interroga‑se sobre o impacto, para fins do exercício dos poderes de intervenção da ULD, das apreciações feitas pela autoridade de controlo a que a Facebook Ireland está sujeita quanto à legalidade do tratamento de dados pessoais em causa.

24      Nestas condições, o Bundesverwaltungsgericht (Tribunal Administrativo Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      Deve o artigo 2.°, alínea d), da Diretiva [95/46] ser interpretado no sentido de que regula de modo taxativo e exaustivo a responsabilidade pela violação da proteção de dados, ou, no âmbito das “medidas adequadas” a que se refere o artigo 24.° [desta diretiva] e dos “poderes efetivos de intervenção” referidos no artigo 28.°, n.° 3, segundo travessão, da mesma diretiva, nas relações de prestação de informações em diversas etapas, pode ser imputada a responsabilidade a um organismo que não é responsável pelo tratamento dos dados, na aceção do artigo 2.°, alínea d), da [referida diretiva], pela escolha do operador que assegurará a sua oferta de informação?

2)      Resulta a contrario sensu da obrigação que incumbe aos Estados‑Membros por força do artigo 17.°, n.° 2, da Diretiva [95/46], de, em caso de tratamento [em regime de subcontratação], estabelecerem que o responsável pelo tratamento “deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar”, que, no caso de outras […] utilizações, não relacionadas com o tratamento de dados subcontratado, na aceção do artigo 2.°, alínea e)[, desta diretiva], não há nem pode ser fundada no direito nacional qualquer obrigação de escolha diligente?

3)      Nos casos em que uma sociedade‑mãe de um grupo, sediada fora da União Europeia, detém estabelecimentos juridicamente independentes (filiais) em diversos Estados‑Membros, a autoridade de controlo de um Estado‑Membro (neste caso, a Alemanha), nos termos do artigo 4.° e do artigo 28.°, n.° 6, da Diretiva [95/46], também pode exercer os poderes que lhe são atribuídos pelo artigo 28.°, n.° 3, [desta diretiva] em relação ao estabelecimento situado no seu próprio território, quando este estabelecimento só é responsável pela promoção das vendas de publicidade e outras medidas de marketing orientadas para os residentes neste Estado‑Membro, ao passo que o estabelecimento independente (filial) situado noutro Estado‑Membro (neste caso, a Irlanda), de acordo com a distribuição interna das funções do grupo, é a única responsável pela recolha e tratamento de dados pessoais em todo o território da União [...] e, portanto, também no outro Estado‑Membro (neste caso, a Alemanha), e quando a decisão sobre o tratamento dos dados é efetivamente tomada pela sociedade‑mãe do grupo?

4)      Devem o artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.° 3, da Diretiva [95/46] ser interpretados no sentido de que, nos casos em que o responsável pelo tratamento tem um estabelecimento situado no território de um Estado‑Membro (neste caso, a Irlanda) e há outro estabelecimento juridicamente independente no território de outro Estado‑Membro (neste caso, a Alemanha), que é responsável, nomeadamente, pela venda de espaços publicitários e cuja atividade se orienta para os residentes deste Estado, a autoridade de controlo competente deste outro Estado‑Membro (neste caso, a Alemanha) também pode tomar medidas e dirigir injunções a fim de garantir o direito à proteção de dados ao outro estabelecimento (neste caso, na Alemanha) que, nos termos da distribuição interna de funções e responsabilidades do grupo, não é responsável pelo tratamento de dados, ou essas medidas e ordens só podem ser decretadas pela autoridade de controlo do Estado‑Membro (neste caso, a Irlanda) em cujo território se encontra sediado o organismo responsável dentro do grupo?

5)      Devem o artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.os 3 e 6, da Diretiva [95/46] ser interpretados no sentido de que, nos casos em que a autoridade de controlo de um Estado‑Membro (neste caso, a Alemanha) intervém junto de uma pessoa ou de um serviço, nos termos do artigo 28.°, n.° 3, [desta diretiva], por não ter tido o cuidado necessário na seleção de um terceiro envolvido no processo de tratamento de dados (neste caso, o Facebook), porquanto este terceiro infringe a legislação relativa à proteção de dados, a autoridade de controlo que intervém (neste caso, a Alemanha) está vinculada à apreciação da autoridade de controlo da proteção de dados do outro Estado‑Membro, no qual o terceiro responsável pelo tratamento de dados tem a sua sede (neste caso, a Irlanda), não podendo fazer qualquer apreciação jurídica divergente daquela, ou pode a autoridade de controlo que intervém (neste caso, a Alemanha) examinar ela própria a legalidade do tratamento de dados pelo terceiro estabelecido no outro Estado‑Membro (neste caso, a Irlanda) como questão prévia à sua própria ação?

6)      Na medida em que a autoridade de controlo que intervém (neste caso, a Alemanha) possa proceder a uma verificação autónoma: deve o artigo 28.°, n.° 6, segundo período, da Diretiva [95/46] ser interpretado no sentido de que esta autoridade de controlo só pode exercer os poderes efetivos de intervenção que lhe são atribuídos pelo artigo 28.°, n.° 3, [desta diretiva] contra uma pessoa ou um serviço estabelecido no seu território que seja corresponsável pela violação da proteção de dados cometida por um terceiro estabelecido no outro Estado‑Membro, se tiver pedido previamente à autoridade de controlo deste outro Estado‑Membro (neste caso, a Irlanda) que exercesse os seus poderes?»

 Quanto às questões prejudiciais

 Quanto à primeira e segunda questões

25      Com a primeira e segunda questões, que devem ser analisadas em conjunto, o órgão jurisdicional de reenvio pretende saber, em substância, se o artigo 2.°, alínea d), o artigo 17.°, n.° 2, o artigo 24.° e o artigo 28.°, n.° 3, segundo travessão, da Diretiva 95/46 devem ser interpretados no sentido de que permitem imputar a responsabilidade a um organismo, na sua qualidade de administrador de uma página de fãs alojada numa rede social, em caso de infração às regras relativas à proteção dos dados pessoais, por ter escolhido esta rede social para difundir a sua oferta de informações.

26      Para responder a estas questões, importa recordar que, como resulta do seu artigo 1.°, n.° 1, e do seu considerando 10, a Diretiva 95/46 visa garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente da sua vida privada, no que diz respeito ao tratamento de dados pessoais (Acórdão de 11 de dezembro de 2014, Ryneš, C‑212/13, EU:C:2014:2428, n.° 27 e jurisprudência referida).

27      Em conformidade com este objetivo, o artigo 2.°, alínea d), desta diretiva define de maneira ampla o conceito de «responsável pelo tratamento» como a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.

28      Com efeito, conforme já foi declarado pelo Tribunal de Justiça, esta disposição tem por objetivo assegurar, através de uma definição ampla do conceito de «responsável», uma proteção eficaz e completa das pessoas em causa (Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.° 34).

29      Além disso, uma vez que, como está expressamente previsto no artigo 2.°, alínea d), da Diretiva 95/46, o conceito de «responsável pelo tratamento» visa o organismo que, «individualmente ou em conjunto com outrem», determine as finalidades e os meios de tratamento dos dados pessoais, este conceito não se refere necessariamente a um único organismo e pode dizer respeito a vários atores que participam nesse tratamento, estando assim cada um deles sujeito às disposições aplicáveis em matéria de proteção dos dados.

30      No caso em apreço, deve considerar‑se que a Facebook Inc. e, tratando‑se da União, a Facebook Ireland determinam, a título principal, as finalidades e os meios de tratamento dos dados pessoais dos utilizadores do Facebook, bem como das pessoas que já visitaram as páginas de fãs alojadas no Facebook, e são por isso abrangidas pelo conceito de «responsável pelo tratamento», na aceção do artigo 2.°, alínea d), da Diretiva 95/46, o que não é posto em causa no presente processo.

31      Posto isto, e para responder às questões colocadas, importa examinar se e em que medida o administrador de uma página de fãs alojada no Facebook, como a Wirtschaftsakademie, contribui, no âmbito desta página de fãs, para determinar, conjuntamente com a Facebook Ireland e com a Facebook Inc., as finalidades e os meios de tratamento dos dados pessoais dos visitantes da referida página de fãs e pode, por conseguinte, também ele ser considerado «responsável pelo tratamento», na aceção do artigo 2.°, alínea d), da Diretiva 95/46.

32      A este respeito, resulta que qualquer pessoa que pretenda criar uma página de fãs no Facebook celebra com a Facebook Ireland um contrato específico relativo à abertura de tal página e aceita, a este título, as condições de utilização desta página, incluindo a respetiva política em matéria de cookies, o que compete ao órgão jurisdicional nacional verificar.

33      Como resulta dos autos submetidos ao Tribunal de Justiça, os tratamentos de dados em causa no processo principal são essencialmente efetuados através da colocação, pela Facebook, no computador ou em qualquer outro aparelho das pessoas que tenham visitado a página de fãs, de cookies que visam armazenar informações sobre os navegadores Web e que ficam ativos durante dois anos se não forem apagados. Resulta igualmente dos autos que, na prática, a Facebook recebe, regista e trata as informações armazenadas nos cookies, designadamente quando uma pessoa visita «os serviços Facebook, os serviços propostos por outras companhias Facebook e serviços propostos por outras empresas que utilizam os serviços Facebook». Além disso, outras entidades, como os parceiros da Facebook ou mesmo terceiros, «são suscetíveis de utilizar cookies nos serviços Facebook para [propor serviços diretamente a esta rede social], bem como às empresas que fazem publicidade no Facebook».

34      Estes tratamentos de dados pessoais visam, designadamente, permitir, por um lado, à Facebook melhorar o seu sistema de publicidade, que difunde através da sua rede, e, por outro, ao administrador da página de fãs obter estatísticas elaboradas pela Facebook a partir das visitas a esta página, para fins de gestão da promoção da sua atividade, permitindo‑lhe conhecer, por exemplo, o perfil dos visitantes que apreciam a sua página de fãs ou que utilizam as suas aplicações, para que lhes possa propor um conteúdo mais pertinente e desenvolver funcionalidades suscetíveis de suscitar o seu interesse.

35      Ora, se o simples facto de utilizar uma rede social como o Facebook não torna um utilizador do Facebook corresponsável por um tratamento de dados pessoais efetuado por esta rede, importa, em contrapartida, sublinhar que o administrador de uma página de fãs alojada no Facebook, com a criação de tal página, oferece à Facebook a possibilidade de colocar cookies no computador ou em qualquer outro aparelho da pessoa que tenha visitado a sua página de fãs, independentemente de esta pessoa ter ou não conta no Facebook.

36      Neste âmbito, resulta das indicações fornecidas ao Tribunal de Justiça que a criação de uma página de fãs no Facebook implica, por parte do seu administrador, uma ação de parametrização, em função, designadamente, da sua audiência alvo, bem como de objetivos de gestão ou de promoção das suas atividades, que influi no tratamento de dados pessoais para efeitos de elaboração de estatísticas efetuadas a partir das visitas da página de fãs. Este administrador pode, com a ajuda de filtros que são colocados à sua disposição pela Facebook, definir os critérios a partir dos quais estas estatísticas devem ser elaboradas e inclusivamente designar as categorias de pessoas que vão ser objeto de exploração dos respetivos dados pessoais pela Facebook. Por conseguinte, o administrador de uma página de fãs alojada no Facebook contribui para o tratamento dos dados pessoais dos visitantes da sua página.

37      Em especial, o administrador da página de fãs pode pedir que lhe sejam concedidos – e, por conseguinte, que sejam tratados – dados demográficos respeitantes à sua audiência alvo, nomeadamente, tendências em matéria de idade, sexo, situação amorosa e profissão, informações sobre o estilo de vida e os centros de interesse da sua audiência alvo, informações respeitantes a compras e ao comportamento de compras em linha (online) dos visitantes da sua página, as categorias de produtos ou de serviços que mais lhe interessam, bem como dados geográficos que permitem ao administrador da página de fãs saber onde efetuar promoções especiais ou organizar eventos e, de maneira mais geral, direcionar da melhor forma a sua oferta de informações.

38      Embora seja certo que as estatísticas de audiência elaboradas pela Facebook só são transmitidas ao administrador da página de fãs de forma anonimizada, não é menos certo que a elaboração destas estatísticas assenta na recolha prévia, através de cookies instalados pela Facebook no computador ou em qualquer outro aparelho das pessoas que visitaram essa página, e no tratamento dos dados pessoais desses visitantes para esses fins estatísticos. De qualquer modo, a Diretiva 95/46 não exige que, quando seja conjunta a responsabilidade de vários operadores pelo mesmo tratamento, cada um destes operadores tenha acesso aos dados pessoais em causa.

39      Nestas circunstâncias, há que considerar que o administrador de uma página de fãs alojada no Facebook, como a Wirtschaftsakademie, participa, através da sua ação de parametrização, em função, designadamente, da sua audiência alvo, bem como de objetivos de gestão ou de promoção das suas atividades, na determinação das finalidades e dos meios do tratamento dos dados pessoais dos visitantes da sua página de fãs. Logo, este administrador deve, no caso em apreço, ser qualificado de responsável na União, conjuntamente com a Facebook Ireland, por esse tratamento, na aceção do artigo 2.°, alínea d), da Diretiva 95/46.

40      Com efeito, o facto de um administrador de uma página de fãs utilizar a plataforma disponibilizada pela Facebook para beneficiar dos respetivos serviços não o exonera das suas obrigações em matéria de proteção dos dados pessoais.

41      Aliás, importa ainda sublinhar que as páginas de fãs alojadas no Facebook também podem ser visitadas por pessoas que não são utilizadores do Facebook e que não têm assim uma conta de utilizador nesta rede social. Neste caso, a responsabilidade do administrador da página de fãs pelo tratamento dos dados pessoais dessas pessoas parece ser ainda mais significativo, pois a simples consulta da página de fãs por visitantes desencadeia automaticamente o tratamento dos seus dados pessoais.

42      Nestas condições, o reconhecimento de uma responsabilidade conjunta do operador da rede social e do administrador de uma página de fãs alojada nessa rede em relação ao tratamento dos dados pessoais dos visitantes dessa página de fãs contribui para assegurar uma proteção mais completa dos direitos de que dispõem as pessoas que visitam uma página de fãs, em conformidade com as exigências da Diretiva 95/46.

43      Deste modo, importa precisar, como o advogado‑geral sublinhou nos n.os 75 e 76 das suas conclusões, que a existência de uma responsabilidade conjunta não se traduz necessariamente numa responsabilidade equivalente dos diferentes operadores em causa por um tratamento de dados pessoais. Pelo contrário, esses operadores podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que, para avaliar o nível de responsabilidade de cada um, há que tomar em consideração todas as circunstâncias pertinentes do caso em apreço.

44      Atendendo às considerações que precedem, há que responder à primeira e segunda questões que o artigo 2.°, alínea d), da Diretiva 95/46 deve ser interpretado no sentido de que o conceito de «responsável pelo tratamento», na aceção desta disposição, engloba o administrador de uma página de fãs alojada numa rede social.

 Quanto à terceira e quarta questões

45      Com a terceira e quarta questões, que devem ser analisadas em conjunto, o órgão jurisdicional de reenvio visa, em substância, saber se os artigos 4.° e 28.° da Diretiva 95/46 devem ser interpretados no sentido de que, quando uma empresa estabelecida fora da União dispõe de vários estabelecimentos em diferentes Estados‑Membros, a autoridade de controlo de um Estado‑Membro pode exercer os poderes que lhe são conferidos pelo artigo 28.°, n.° 3, desta diretiva em relação a um estabelecimento situado no território desse Estado‑Membro, ainda que, em resultado da distribuição interna das funções do grupo, por um lado, este estabelecimento só seja responsável pela venda de espaços publicitários e por outras atividades de marketing no território do referido Estado‑Membro e, por outro, a responsabilidade exclusiva pela recolha e pelo tratamento dos dados pessoais incumba, para o conjunto do território de União, a um estabelecimento situado noutro Estado‑Membro, ou se o exercício de tais poderes em relação ao segundo estabelecimento incumbir à autoridade de controlo deste último Estado‑Membro.

46      A ULD e o Governo italiano expressam dúvidas quanto à admissibilidade destas questões por não serem pertinentes para a solução do litígio no processo principal. Com efeito, a decisão impugnada tem por destinatária a Wirtschaftsakademie e não visa, por conseguinte, nem a Facebook Inc. nem nenhuma das suas filiais estabelecidas no território de União.

47      A este respeito, importa recordar que, no âmbito da cooperação entre o Tribunal de Justiça e os órgãos jurisdicionais nacionais instituída no artigo 267.° TFUE, compete exclusivamente ao juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade pela decisão jurisdicional a tomar, apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal de Justiça. Consequentemente, desde que as questões colocadas sejam relativas à interpretação do direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se (Acórdão de 6 de setembro de 2016, Petruhhin, C‑182/15, EU:C:2016:630, n.° 19 e jurisprudência referida).

48      No caso em apreço, há que salientar que o órgão jurisdicional de reenvio necessita de uma resposta do Tribunal de Justiça à terceira e quarta questões prejudiciais para se pronunciar sobre o litígio no processo principal. Com efeito, explica que, no caso de se vir a constatar, à luz desta resposta, que a ULD podia sanar as alegadas infrações ao direito à proteção dos dados pessoais através da adoção de uma medida contra a Facebook Germany, tal circunstância seria suscetível de determinar que existe um erro de apreciação que vicia a decisão impugnada, na medida em que foi erradamente tomada contra a Wirtschaftsakademie.

49      Nestas condições, a terceira e quarta questões são admissíveis.

50      Para responder a estas questões, importa recordar a título preliminar que, nos termos do artigo 28.°, n.os 1 e 3, da Diretiva 95/46, cada autoridade de controlo exerce todos os poderes que lhe são conferidos pelo direito nacional no território do Estado‑Membro a que pertence, para garantir nesse território o cumprimento das regras em matéria de proteção de dados (v., neste sentido, Acórdão de 1 de outubro de 2015, Weltimmo, C‑230/14, EU:C:2015:639, n.° 51).

51      A questão de saber qual é o direito nacional que se aplica ao tratamento dos dados pessoais é regida pelo artigo 4.° da Diretiva 95/46. Nos termos do n.° 1, alínea a), deste artigo, cada Estado‑Membro aplicará as suas disposições nacionais adotadas por força desta diretiva ao tratamento de dados pessoais quando o tratamento for efetuado no contexto das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro. Esta disposição precisa que, se o mesmo responsável pelo tratamento estiver estabelecido no território de vários Estados‑Membros, deverá tomar as medidas necessárias para garantir que cada um desses estabelecimentos cumpre as obrigações estabelecidas no direito nacional que lhe for aplicável.

52      Decorre assim de uma leitura combinada desta disposição e do artigo 28.°, n.os 1 e 3, da Diretiva 95/46 que, quando o direito nacional do Estado‑Membro a que pertence a autoridade de controlo é aplicável nos termos do artigo 4.°, n.° 1, alínea a), desta, por o tratamento em causa ser efetuado no âmbito das atividades de um estabelecimento do responsável pelo tratamento situado no território desse Estado‑Membro, esta autoridade de controlo pode exercer todos os poderes que lhe são conferidos por este direito em relação a este estabelecimento, e isto independentemente da questão de saber se o responsável pelo tratamento também dispõe de estabelecimentos noutros Estados‑Membros.

53      Desta forma, para determinar se uma autoridade de controlo pode, em circunstâncias como as do processo principal, exercer em relação a um estabelecimento situado no território do Estado‑Membro a que pertence os poderes que lhe são conferidos pelo direito nacional, há que verificar se estão reunidos os dois requisitos previstos no artigo 4.°, n.° 1, alínea a), da Diretiva 96/46, a saber, por um lado, se se trata de um «estabelecimento do responsável pelo tratamento», na aceção desta disposição, e, por outro, se o referido tratamento é efetuado «no contexto das atividades» deste estabelecimento, na aceção da mesma disposição.

54      No que respeita, em primeiro lugar, ao requisito segundo o qual o responsável pelo tratamento de dados pessoais deve dispor de um estabelecimento no território do Estado‑Membro a que pertence a autoridade de controlo em causa, importa recordar que, segundo o considerando 19 da Diretiva 95/46, o estabelecimento no território de um Estado‑Membro pressupõe o exercício efetivo e real de uma atividade mediante uma instalação estável e que a forma jurídica de tal estabelecimento, quer se trate de uma simples sucursal ou de uma filial com personalidade jurídica, não é determinante (Acórdão de 1 de outubro de 2015, Weltimmo, C‑230/14, EU:C:2015:639, n.° 28 e jurisprudência aí referida).

55      No presente caso, é facto assente que a Facebook Inc., enquanto responsável pelo tratamento de dados pessoais, conjuntamente com a Facebook Ireland, dispõe de um estabelecimento estável na Alemanha, a saber, a Facebook Germany, situado em Hamburgo, e que esta última sociedade exerce real e efetivamente atividades no referido Estado‑Membro. Desta forma, constitui um estabelecimento, na aceção do artigo 4.°, n.° 1, alínea a), da Diretiva 95/46.

56      Em segundo lugar, no que se refere ao requisito segundo o qual o tratamento de dados pessoais deve ser efetuado «no contexto das atividades» do estabelecimento em causa, importa recordar, antes de mais, que, atendendo ao objetivo prosseguido pela Diretiva 95/46, que consiste em assegurar uma proteção eficaz e completa das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais, a expressão «no contexto das atividades de um estabelecimento» não pode ser objeto de interpretação restritiva (Acórdão de 1 de outubro de 2015, Weltimmo, C‑230/14, EU:C:2015:639, n.° 25 e jurisprudência referida).

57      Em seguida, importa salientar que o artigo 4.°, n.° 1, alínea a), da Diretiva 95/46 não exige que tal tratamento seja efetuado «pelo» próprio estabelecimento em causa, mas unicamente que o seja «no contexto das atividades» deste (Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.° 52).

58      No caso em apreço, resulta da decisão de reenvio e das observações escritas apresentadas pela Facebook Ireland que a Facebook Germany está encarregada da promoção e da venda de espaços publicitários e que se dedica a atividades destinadas a pessoas residentes na Alemanha.

59      Conforme foi recordado nos n.os 33 e 34 do presente acórdão, o tratamento de dados pessoais em causa no processo principal, efetuado pela Facebook Inc. conjuntamente com a Facebook Ireland e que consiste na recolha de tais dados através de cookies instalados nos computadores ou em qualquer outro aparelho dos visitantes das páginas de fãs alojadas no Facebook, tem designadamente por objetivo permitir a esta rede social melhorar o seu sistema de publicidade para direcionar da melhor forma as comunicações que difunde.

60      Ora, como foi sublinhado pelo advogado‑geral no n.° 94 das suas conclusões, atendendo, por um lado, a que uma rede social como o Facebook gera uma parte substancial das suas receitas graças, nomeadamente, à publicidade difundida nas páginas Web que os utilizadores criam e às quais acedem e, por outro, a que o estabelecimento da Facebook situado na Alemanha se destina a assegurar, neste Estado‑Membro, a promoção e a venda de espaços publicitários que servem para rentabilizar os serviços oferecidos pela Facebook, há que considerar que as atividades deste estabelecimento estão indissociavelmente ligadas ao tratamento de dados pessoais em causa no processo principal, pelo qual a Facebook Inc. é responsável conjuntamente com a Facebook Ireland. Por conseguinte, deve entender‑se que tal tratamento é efetuado no âmbito das atividades de um estabelecimento do responsável pelo tratamento, na aceção do artigo 4.°, n.° 1, alínea a), da Diretiva 95/46 (v., neste sentido, Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.os 55 e 56).

61      Daqui decorre que, sendo o direito alemão, nos termos do artigo 4.°, n.° 1, alínea a), da Diretiva 95/46, aplicável ao tratamento dos dados pessoais em causa no processo principal, a autoridade de controlo alemã era competente, nos termos do artigo 28.°, n.° 1, desta diretiva, para aplicar esse direito ao referido tratamento.

62      Por conseguinte, esta autoridade de controlo era competente, de modo a garantir o cumprimento, no território alemão, das regras em matéria de proteção dos dados pessoais, para exercer, face à Facebook Germany, todos os poderes de que dispõe nos termos das disposições nacionais que transpuseram o artigo 28.°, n.° 3, da Diretiva 95/46.

63      Importa ainda precisar que a circunstância, salientada pelo órgão jurisdicional de reenvio na sua terceira questão, segundo a qual as decisões estratégicas quanto à recolha e ao tratamento de dados pessoais relativos a pessoas residentes no território de União são tomadas por uma sociedade‑mãe estabelecida num país terceiro como, no caso em apreço, a Facebook Inc., não é suscetível de pôr em causa a competência da autoridade de controlo para aplicar o direito de um Estado‑Membro em relação a um estabelecimento, situado no território desse mesmo Estado, do responsável pelo tratamento dos referidos dados.

64      À luz do que precede, há que responder à terceira e quarta questões que os artigos 4.° e 28.° da Diretiva 95/46 devem ser interpretados no sentido de que, quando uma empresa estabelecida fora da União dispõe de vários estabelecimentos em diferentes Estados‑Membros, a autoridade de controlo de um Estado‑Membro pode exercer os poderes que lhe são conferidos pelo artigo 28.°, n.° 3, desta diretiva, em relação a um estabelecimento desta empresa situado no território deste Estado‑Membro, ainda que, em resultado da distribuição interna das funções do grupo, por um lado, este estabelecimento só seja responsável pela venda de espaços publicitários e por outras atividades de marketing no território do referido Estado‑Membro e, por outro, a responsabilidade exclusiva pela recolha e pelo tratamento dos dados pessoais incumba, para todo o território da União, a um estabelecimento situado noutro Estado‑Membro.

 Quanto à quinta e sexta questões

65      Com a sua quinta e sexta questões, que devem ser analisadas em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.os 3 e 6, da Diretiva 95/46 devem ser interpretados no sentido de que, quando a autoridade de controlo de um Estado‑Membro pretende exercer, em relação a um organismo estabelecido no território desse Estado‑Membro, os poderes de intervenção referidos no artigo 28.°, n.° 3, desta diretiva devido a violações às regras relativas à proteção dos dados pessoais, cometidas por um terceiro responsável pelo tratamento desses dados e que tem sede noutro Estado‑Membro, esta autoridade de controlo é competente para apreciar, de maneira autónoma em relação à autoridade de controlo deste último Estado‑Membro, a legalidade de tal tratamento de dados e pode exercer os seus poderes de intervenção em relação ao organismo estabelecido no seu território sem ter de pedir previamente a intervenção da autoridade de controlo do outro Estado‑Membro.

66      Para responder a estas questões, importa recordar, como resulta da resposta dada à primeira e segunda questões prejudiciais, que o artigo 2.°, alínea d), da Diretiva 95/46 deve ser interpretado no sentido de que permite, em circunstâncias como as que estão em causa no processo principal, imputar a responsabilidade a um organismo, como a Wirtschaftsakademie, na sua qualidade de administrador de uma página de fãs alojada no Facebook, em caso de violação às regras relativas à proteção dos dados pessoais.

67      Daqui resulta que, nos termos do artigo 4.°, n.° 1, alínea a), bem como do artigo 28.°, n.os 1 e 3, da Diretiva 95/46, a autoridade de controlo do Estado‑Membro em cujo território esse organismo está estabelecido é competente para aplicar o seu direito nacional e, assim, para exercer, relativamente ao referido organismo, todos os poderes que lhe são conferidos por este direito nacional, em conformidade com o disposto no artigo 28.°, n.° 3, desta diretiva.

68      Conforme previsto no artigo 28.°, n.° 1, segundo parágrafo, da referida diretiva, as autoridades de controlo encarregadas de fiscalizar a aplicação, no território dos Estados‑Membros a que pertencem, das disposições adotadas por estes últimos em aplicação da mesma diretiva, exercerão com total independência as funções que lhes forem atribuídas. Esta exigência resulta igualmente do direito primário da União, designadamente do artigo 8.°, n.° 3, da Carta dos Direitos Fundamentais da União Europeia e do artigo 16.°, n.° 2, TFUE (v., neste sentido, Acórdão de 6 de outubro de 2015, Schrems, C‑362/14, EU:C:2015:650, n.° 40).

69      Por outro lado, embora seja certo que, nos termos do artigo 28.°, n.° 6, segundo parágrafo, da Diretiva 95/46, as autoridades de controlo cooperam entre si na medida do necessário ao desempenho das suas funções, em especial através da troca de quaisquer informações úteis, esta mesma diretiva não prevê nenhum critério de prioridade que regule a intervenção das diferentes autoridades de controlo entre si nem impõe à autoridade de controlo de um Estado‑Membro a obrigação de se conformar com a posição que eventualmente tenha sido tomada pela autoridade de controlo de outro Estado‑Membro.

70      Assim, nada obriga uma autoridade de controlo cuja competência é reconhecida nos termos do seu direito nacional a tomar como sua a solução adotada por outra autoridade de controlo numa situação análoga.

71      A este respeito, importa recordar que, uma vez que as autoridades nacionais de controlo estão encarregadas, nos termos do artigo 8.°, n.° 3, da Carta dos Direitos Fundamentais e do artigo 28.° da Diretiva 95/46, da fiscalização do cumprimento das regras da União relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, cada uma delas tem, assim, competência para verificar se um tratamento de dados pessoais no território do seu Estado‑Membro respeita os requisitos estabelecidos na Diretiva 95/46 (v., neste sentido, Acórdão de 6 de outubro de 2015, Schrems, C‑362/14, EU:C:2015:650, n.° 47).

72      Aplicando‑se o artigo 28.° da Diretiva 95/46, pela sua própria natureza, a qualquer tratamento de dados pessoais, mesmo perante uma decisão de uma autoridade de controlo de outro Estado‑Membro, uma autoridade de controlo à qual uma pessoa tenha apresentado um pedido relativo à proteção dos seus direitos e liberdades no que diz respeito ao tratamento dos seus dados pessoais deve examinar, com total independência, se o tratamento desses dados pessoais respeita as exigências estabelecidas na referida diretiva (v., neste sentido, Acórdão de 6 de outubro de 2015, Schrems, C‑362/14, EU:C:2015:650, n.° 57).

73      Daqui resulta que, no caso em apreço, nos termos do sistema estabelecido pela Diretiva 95/46, a ULD podia apreciar, de maneira autónoma em relação às apreciações efetuadas pela autoridade de controlo irlandesa, a legalidade do tratamento de dados em causa no processo principal.

74      Por conseguinte, há que responder à quinta e sexta questões que o artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.os 3 e 6, da Diretiva 95/46 devem ser interpretados no sentido de que, quando a autoridade de controlo de um Estado‑Membro pretende exercer, em relação a um organismo estabelecido no território deste Estado‑Membro, os poderes de intervenção referidos no artigo 28.°, n.° 3, desta diretiva devido a violações às regras relativas à proteção dos dados pessoais, cometidas por um terceiro responsável pelo tratamento desses dados e que tem sede noutro Estado‑Membro, esta autoridade de controlo é competente para apreciar, de maneira autónoma em relação à autoridade de controlo deste último Estado‑Membro, a legalidade de tal tratamento de dados e pode exercer os seus poderes de intervenção em relação ao organismo estabelecido no seu território sem ter de solicitar previamente a intervenção da autoridade de controlo do outro Estado‑Membro.

 Quanto às despesas

75      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1)      O artigo 2.°, alínea d), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, deve ser interpretado no sentido de que o conceito de «responsável pelo tratamento», na aceção desta disposição, engloba o administrador de uma página de fãs alojada numa rede social.

2)      Os artigos 4.° e 28.° da Diretiva 95/46 devem ser interpretados no sentido de que, quando uma empresa estabelecida fora da União Europeia dispõe de vários estabelecimentos em diferentes EstadosMembros, a autoridade de controlo de um EstadoMembro pode exercer os poderes que lhe são conferidos pelo artigo 28.°, n.° 3, desta diretiva, em relação a um estabelecimento desta empresa situado no território deste EstadoMembro, ainda que, em resultado da distribuição interna das funções do grupo, por um lado, este estabelecimento só seja responsável pela venda de espaços publicitários e por outras atividades de marketing no território do referido EstadoMembro e, por outro, a responsabilidade exclusiva pela recolha e pelo tratamento dos dados pessoais incumba, para todo o território da União, a um estabelecimento situado noutro EstadoMembro.

3)      O artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.os 3 e 6, da Diretiva 95/46 devem ser interpretados no sentido de que, quando a autoridade de controlo de um EstadoMembro pretende exercer, em relação a um organismo estabelecido no território deste EstadoMembro, os poderes de intervenção referidos no artigo 28.°, n.° 3, desta diretiva devido a violações às regras relativas à proteção dos dados pessoais, cometidas por um terceiro responsável pelo tratamento desses dados e que tem sede noutro EstadoMembro, esta autoridade de controlo é competente para apreciar, de maneira autónoma em relação à autoridade de controlo deste último EstadoMembro, a legalidade de tal tratamento de dados e pode exercer os seus poderes de intervenção em relação ao organismo estabelecido no seu território sem ter de solicitar previamente a intervenção da autoridade de controlo do outro EstadoMembro.

Assinaturas


*      Língua do processo: alemão.