CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:214

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Quarta Secção)

7 de março de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Organização setorial normativa que propõe aos seus membros regras relativas ao tratamento do consentimento dos utilizadores — Artigo 4.o, ponto 1 — Conceito de “dados pessoais” — Cadeia de letras e de carateres que captam, de forma estruturada e legível por uma máquina, as preferências de um utilizador da Internet relativas ao consentimento desse utilizador quanto ao tratamento dos seus dados pessoais — Artigo 4.o, ponto 7 — Conceito de “responsável pelo tratamento” — Artigo 26.o, n.o 1 — Conceito de “responsáveis conjuntos pelo tratamento” — Organização que não tem, ela própria, acesso aos dados pessoais tratados pelos seus membros — Responsabilidade da organização que abrange os tratamentos posteriores de dados efetuados por terceiros»

No processo C‑604/22,

que tem por objeto um pedido de decisão prejudicial apresentado, ao abrigo do artigo 267.^o TFUE, pelo hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica), por Decisão de 7 de setembro de 2022, que deu entrada no Tribunal de Justiça em 19 de setembro de 2022, no processo

IAB Europe

contra

Gegevensbeschermingsautoriteit,

sendo intervenientes:

JEF Ausloos,

Pierre Dewitte,

Johnny Ryan,

Fundacja Panoptykon,

Stichting Bits of Freedom,

Ligue des droits humains VZW,

O TRIBUNAL DE JUSTIÇA (Quarta Secção),

composto por: C. Lycourgos, presidente de secção, O. Spineanu‑Matei, J.‑C. Bonichot, S. Rodin e L. S. Rossi (relatora), juízes,

advogado‑geral: T. Ćapeta,

secretário: A. Lamote, administradora,

vistos os autos e após a audiência de 21 de setembro de 2023,

vistas as observações apresentadas:

– em representação de IAB Europe, por P. Craddock, avocat, e K. Van Quathem, advocaat,

– em representação da Gegevensbeschermingsautoriteit, por E. Cloots, J. Roets e T. Roes, advocaten,

– em representação de Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom e Ligue des Droits Humains VZW, por F. Debusseré e R. Roex, advocaten,

– em representação do Governo Austríaco, por J. Schmoll e C. Gabauer, na qualidade de agentes,

– em representação da Comissão Europeia, por A. Bouchagiar e H. Kranenborg, na qualidade de agentes,

vista a decisão tomada, ouvida a advogada‑geral, de julgar a causa sem apresentação de conclusões,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação dos artigos 4.^o, pontos 1 e 7, e do artigo 24.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»), lidos à luz dos artigos 7.^o e 8.^o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe a IAB Europe à Gegevensbeschermingsautoriteit (Autoridade de Proteção de Dados, Bélgica) (a seguir «APD») a respeito de uma decisão da Unidade de Contencioso da APD adotada contra IAB Europe relativa à alegada violação de várias disposições do RGPD.

Quadro jurídico

Direito da União

3 Os considerandos 1, 10, 26 e 30 do RGPD têm a seguinte redação:

«(1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.^o, n.^o 1, da [Carta] e o artigo 16.^o, n.^o 1, [TFUE] estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

[…]

(10) A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União [Europeia], o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. […]

[…]

(26) Os princípios da proteção de dados deverão aplicar‑se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se há uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, importa considerar todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta a tecnologia disponível à data do tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois, aplicar‑se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado. O presente regulamento não diz, por isso, respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.

[…]

(30) As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares.»

4 O artigo 1.^o do RGPD, sob a epígrafe «Objeto e objetivos», dispõe, no n.^o 2:

«O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.»

5 O artigo 4.^o do referido regulamento prevê:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]

11) “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

[…]»

6 O artigo 6.^o do RGPD, sob a epígrafe «Licitude do tratamento», tem a seguinte redação:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

[…]

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

[…]»

7 O artigo 24.^o deste regulamento, sob a epígrafe «Responsabilidade do responsável pelo tratamento», dispõe, no n.^o 1:

«Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.»

8 O artigo 26.^o do referido regulamento, sob a epígrafe «Responsáveis conjuntos pelo tratamento», enuncia, no n.^o 1:

«Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. […]»

9 O capítulo VI do RGPD, relativo às «Autoridades de controlo independentes», inclui os artigos 51.^o a 59.^o deste regulamento.

10 O artigo 51.^o deste regulamento, sob a epígrafe «Autoridade de controlo», prevê, nos n.^os 1 e 2:

«1. Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União […]

2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.»

11 Nos termos do artigo 55.^o, n.^os 1 e 2, do RGPD, sob a epígrafe «Competência»:

«1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.

2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.^o, n.^o 1, alínea c) ou e), é competente a autoridade de controlo do Estado‑Membro em causa. Nesses casos, não é aplicável o artigo 56.^o»

12 O artigo 56.^o deste regulamento, sob a epígrafe «Competência da autoridade de controlo principal», enuncia no n.^o 1:

«Sem prejuízo do disposto no artigo 55.^o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.^o»

13 O artigo 57.^o, do referido regulamento, sob a epígrafe «Atribuições», dispõe, no n.^o 1:

«Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

a) Controla e executa a aplicação do presente regulamento;

[…]

g) Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;

[…]»

14 A secção 1, sob a epígrafe «Cooperação», do capítulo VII do mesmo regulamento, sob a epígrafe «Cooperação e coerência», inclui os artigos 60.^o a 62.^o deste regulamento. O artigo 60.^o, relativo à «Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas», prevê, no n.^o 1:

«A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.»

15 O artigo 61.^o do RGPD, sob a epígrafe «Assistência mútua», enuncia, no n.^o 1:

«As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.»

16 O artigo 62.^o deste regulamento, sob a epígrafe «Operações conjuntas das autoridades de controlo», prevê, nos n.^os 1 e 2:

«1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados‑Membros.

2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados‑Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado‑Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados‑Membros tem direito a participar nas operações conjuntas. […]»

17 A secção 2, sob a epígrafe «Coerência», do capítulo VII do referido regulamento inclui os artigos 63.^o a 67.^o deste regulamento. O artigo 63.^o, sob a epígrafe «Procedimento de controlo da coerência», tem a seguinte redação:

«A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.»

Direito belga

18 A wet tot oprichting van de Gegevensbeschermingsautoriteit (Lei que Cria a Autoridade de Proteção de Dados), de 3 de dezembro de 2017 (Belgisch Staatsblad, 10 de janeiro de 2018, p. 989; a seguir «LCA»), dispõe, no artigo 100.^o, n.^o 1, 9°:

«A Unidade de Contencioso tem o poder de:

[…]

9° ordenar a conformidade do tratamento».

19 O artigo 101.^o da LCA prevê:

«A Unidade de Contencioso pode decidir aplicar uma coima às partes demandadas segundo os princípios gerais referidos no artigo 83.^o do [RGPD].»

Litígio no processo principal e questões prejudiciais

20 A IAB Europe é uma associação sem fins lucrativos estabelecida na Bélgica que representa as empresas do setor da publicidade e do marketing digitais no âmbito europeu. Os membros da IAB Europe são quer empresas deste setor, como editores, empresas de comércio eletrónico e de marketing, intermediários, quer associações nacionais, entre as quais os IAB (Interactive Advertising Bureau) nacionais, que, por seu turno, são membros das empresas do referido setor. Entre os membros da IAB Europe, figuram, nomeadamente, empresas que geram receitas significativas por meio da venda de espaços publicitários em sítios Internet ou aplicações.

21 A IAB Europe elaborou o Transparency & Consent Framework (quadro de transparência e de consentimento) (a seguir «TCF»), que constitui um quadro de regras composto por diretivas, instruções, especificações técnicas, protocolos e obrigações contratuais que permitem tanto ao fornecedor de um sítio Internet ou de uma aplicação como a intermediários de dados ou ainda a plataformas publicitárias tratar legalmente os dados pessoais de um utilizador de um sítio Internet ou de uma aplicação.

22 O TCF tem, nomeadamente, por objetivo favorecer o cumprimento do RGPD quando estes operadores recorrem ao protocolo OpenRTB, a saber, um dos protocolos mais utilizados para o Real Time Bidding, que é um sistema de leilões em linha instantâneos e automatizados de perfis de utilizadores para efeitos de venda e compra de espaços publicitários na Internet (a seguir «RTB»). Tendo em conta certas práticas implementadas por membros da IAB Europe no âmbito deste sistema de intercâmbio maciço de dados pessoais relativos aos perfis de utilizadores, o TCF foi apresentado pela IAB Europe como uma solução suscetível de tornar o referido sistema de leilões conforme com o RGPD.

23 Em especial, como resulta dos autos submetidos ao Tribunal de Justiça, de um ponto de vista técnico, quando um utilizador consulta um sítio Internet ou uma aplicação que contém um espaço publicitário, as empresas de tecnologia publicitária, e nomeadamente os intermediários de dados e as plataformas publicitárias, que representam milhares de anunciantes, podem licitar em tempo real, nos bastidores, para obter esse espaço publicitário por meio de um sistema de leilões automatizado que utiliza algoritmos, para exibir no referido espaço publicidade direcionada especificamente adaptada ao perfil desse utilizador.

24 No entanto, antes de exibir essa publicidade direcionada, deve ser obtido o consentimento prévio do referido utilizador. Assim, quando este consulta um sítio Internet ou uma aplicação pela primeira vez, uma plataforma de gestão do consentimento denominada Consent Management Platform (a seguir «CMP») aparece numa janela pop‑up que permite a esse utilizador, por um lado, dar o seu consentimento ao fornecedor do sítio Internet ou da aplicação com vista à recolha e ao tratamento dos seus dados pessoais para fins previamente definidos, como, por exemplo, o marketing ou a publicidade, ou com vista à partilha desses dados com certos fornecedores, e, por outro lado, opor‑se a diferentes tipos de tratamento de dados ou à partilha destes, baseados nos interesses legítimos reivindicados por fornecedores, na aceção do artigo 6.^o, n.^o 1, alínea f), do RGPD. Estes dados pessoais dizem respeito, nomeadamente, à localização do utilizador, à sua idade, ao histórico das suas pesquisas e às suas compras recentes.

25 Neste contexto, o TCF proporciona um quadro para o tratamento de dados pessoais em grande escala e facilita o registo das preferências dos utilizadores por meio da CMP. Estas preferências são posteriormente codificadas e armazenadas numa cadeia composta por uma combinação de letras e de carateres designada pela IAB Europe sob o nome Transparency and Consent String (a seguir «TC String»), que é partilhada com intermediários de dados pessoais e plataformas publicitárias que participam no protocolo OpenRTB, para que estes saibam o que é que o utilizador consentiu e a que é que se opôs. A CMP põe igualmente um cookie (euconsenti‑v2) no aparelho do utilizador. Quando combinados, a TC String e o cookie euconsenti‑v2 podem ser associados ao endereço IP desse utilizador.

26 O TCF desempenha assim um papel no funcionamento do protocolo OpenRTB, pois permite transcrever as preferências do utilizador com vista à sua comunicação a potenciais vendedores e alcançar diferentes objetivos de tratamento, incluindo a proposta de publicidade por medida. O TCF visa, nomeadamente, garantir aos intermediários de dados pessoais e às plataformas de publicidade, por meio da TC String, o cumprimento do RGPD.

27 Desde 2019, a APD recebeu várias queixas contra a IAB Europe, provenientes tanto da Bélgica como de países terceiros, relativas à conformidade do TCF com o RGPD. Depois de ter examinado estas queixas, a APD, na qualidade de autoridade de controlo principal, na aceção do artigo 56.^o, n.^o 1, do RGPD, desencadeou o mecanismo de cooperação e coerência, em conformidade com os artigos 60.^o a 63.^o deste regulamento, a fim de adotar uma decisão comum aprovada conjuntamente por todas as 21 autoridades de controlo nacionais envolvidas no quadro deste mecanismo. Assim, a Unidade de Contencioso da APD, por meio da sua Decisão de 2 de fevereiro de 2022 (a seguir «Decisão de 2 de fevereiro de 2022»), declarou que a IAB Europe atuava como responsável pelo tratamento dos dados pessoais no que respeita ao registo do sinal de consentimento, das objeções e das preferências dos utilizadores individuais através de uma TC String, que, segundo a Unidade de Contencioso da APD, está associada a um utilizador identificável. Além disso, nessa decisão, a Unidade de Contencioso da APD ordenou à IAB Europe, nos termos do artigo 100.^o, n.^o 1, 9.^o, da LCA, que o tratamento de dados pessoais efetuado no quadro do TCF fosse realizado em conformidade com as disposições do RGPD tendo‑lhe aplicado várias medidas corretivas, e uma coima.

28 A IAB Europe interpôs recurso da referida decisão no hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica), que é o órgão jurisdicional de reenvio. A IAB Europe pede a este órgão jurisdicional que anule a Decisão de 2 de fevereiro de 2022. Contesta, entre outros, o facto de se considerar que agiu na qualidade de responsável pelo tratamento. Sustenta também que, uma vez que declara que a TC String é um dado pessoal, na aceção do artigo 4.^o, ponto 1, do RGPD, esta decisão carece de fundamentação adequada e, em todo o caso, está errada. Em especial, a IAB Europe sublinha que só os outros participantes no TCF poderiam combinar a TC String com um endereço IP para a transformar num dado pessoal, que a TC String não é específica de um utilizador e que a IAB Europe não tem a possibilidade de aceder aos dados tratados pelos seus membros nesse quadro.

29 A APD, apoiada no âmbito do processo nacional por Jef Ausloos, Pierre Dewitte, Johnny Ryan, Fundacja Panoptykon, Stichting Bits of Freedom e Ligue des droits Humains VZW, alega, nomeadamente, que as TC Strings constituem efetivamente dados pessoais, uma vez que os CMP podem associar as TC Strings aos endereços IP, que, além disso, os participantes no TCF podem também identificar os utilizadores com base noutros dados, que a IAB Europe tem acesso às informações para o efeito, e que esta identificação do utilizador é precisamente a finalidade da TC String, que visa facilitar a venda da publicidade direcionada. A APD sustenta também, designadamente, que o facto de a IAB Europe dever ser considerada responsável pelo tratamento na aceção do RGPD resulta do seu papel determinante no tratamento das TC Strings. A APD acrescenta que esta organização determina, respetivamente, as finalidades e os meios de tratamento, o modo como as TC Strings são geradas, alteradas e lidas, como e onde são armazenados os cookies necessários, quem recebe os dados pessoais e com base em que critérios são estabelecidos os prazos de conservação das TC Strings.

30 O órgão jurisdicional de reenvio tem dúvidas quanto à questão de saber se uma TC String, combinada ou não com um endereço IP, constitui um dado pessoal e, em caso afirmativo, se a IAB Europe deve ser qualificada de responsável pelo tratamento dos dados pessoais no quadro do TCF, em especial no que diz respeito ao tratamento da TC String. A este respeito, esse órgão jurisdicional indica que, sendo certo que a Decisão de 2 de fevereiro de 2022 reflete a posição comum adotada conjuntamente pelas diferentes autoridades de controlo nacionais envolvidas no caso em apreço, o Tribunal de Justiça ainda não teve oportunidade de se pronunciar sobre esta nova tecnologia intrusiva que constitui a TC String.

31 Nestas condições, o hof van beroep te Brussel (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1. a) Deve o artigo 4.^o, [ponto] 1, do [RGPD], em conjugação com os artigos 7.^o e 8.^o da [Carta], ser interpretado no sentido de que uma sequência de carateres, que capta, de maneira sistemática e legível por máquina, as preferências do utilizador da Internet relativas ao tratamento dos seus dados pessoais, constitui um dado pessoal na aceção da referida disposição relativamente (1) a uma organização setorial que disponibiliza aos seus membros um modelo que os instrui sobre as condições práticas e técnicas de criação, armazenamento e difusão das sequências de carateres, e (2) às entidades que implementaram o referido modelo nos respetivos sítios Web ou nas respetivas aplicações e que, por conseguinte, têm acesso à sequência de carateres?

b) É relevante para o efeito que a implementação do modelo implique a disponibilização da sequência de carateres juntamente com um endereço IP?

c) A resposta [aos pontos a) e b) da primeira questão] será diferente se a própria organização setorial normativa não tiver acesso legal aos dados pessoais tratados pelos seus membros no âmbito deste modelo?

2. a) Devem os artigos 4.^o, [ponto] 7, e 24.^o, n.^o 1, do [RGPD], em conjugação com os artigos 7.^o e 8.^o da [Carta] ser interpretados no sentido de que uma organização setorial normativa deve ser qualificada de responsável pelo tratamento se oferecer aos seus membros um modelo de gestão do consentimento que, além de um quadro técnico vinculativo, contém regras que especificam pormenorizadamente o modo como esses dados de consentimento — que constituem dados pessoais — devem ser armazenados e difundidos?

b) A resposta [ao ponto a) da segunda questão] será diferente se a organização setorial não tiver, ela própria, acesso legal aos dados pessoais tratados pelos seus membros no âmbito do referido modelo?

c) Se a organização setorial normativa for [necessariamente] designada responsável pelo tratamento ou responsável conjunto pelo tratamento relativamente ao tratamento das preferências dos utilizadores da Internet, tal responsabilidade (conjunta) da organização setorial normativa abrange também automaticamente o tratamento subsequente por terceiros para os quais foram obtidas as preferências dos utilizadores da Internet, como a publicidade em linha direcionada de editores e vendedores?»

Quanto à primeira questão

32 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.^o, ponto 1, do RGPD deve ser interpretado no sentido de que uma cadeia composta por uma combinação de letras e de carateres, como a TC String, que contém as preferências de um utilizador de Internet ou de uma aplicação relativas ao consentimento desse utilizador para o tratamento dos dados pessoais que lhe dizem respeito por fornecedores de sítios Internet ou de aplicações, bem como por intermediários desses dados e por plataformas publicitárias, constitui um dado pessoal na aceção desta disposição, quando uma organização setorial tenha estabelecido o quadro de regras segundo o qual essa cadeia deve ser gerada, armazenada ou difundida e os membros dessa organização aplicaram essas regras e têm, assim, acesso à referida cadeia. Este órgão jurisdicional pretende também saber se, para efeitos da resposta a esta questão, importa, em primeiro lugar, que a referida cadeia seja associada a um identificador, como, nomeadamente, o endereço IP do aparelho do referido utilizador, que permita identificar a pessoa em causa, e, em segundo lugar, que essa organização setorial tenha o direito de aceder diretamente aos dados pessoais que são tratados pelos seus membros no quadro de regras que estabeleceu.

33 A título preliminar, importa recordar que, uma vez que o RGPD revogou e substituiu a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), e que as disposições pertinentes deste regulamento têm um alcance substancialmente idêntico ao das disposições pertinentes desta diretiva, a jurisprudência do Tribunal de Justiça relativa à referida diretiva é igualmente aplicável, em princípio, no que respeita ao referido regulamento (Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.^o 107).

34 Importa também recordar que, segundo jurisprudência constante, a interpretação de uma disposição do direito da União exige que se tenha em conta não só os seus termos mas também o contexto em que se insere, e os objetivos e a finalidade prosseguidos pelo ato de que faz parte (Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.^o 38 e jurisprudência referida).

35 A este respeito, importa realçar que o artigo 4.^o, ponto 1, do RGPD indica que se entende por dados pessoais a «informação relativa a uma pessoa singular identificada ou identificável» e especifica que «é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».

36 A utilização do termo «informação» na definição do conceito de «dado pessoal», que figura nesta disposição, reflete o objetivo de o legislador da União atribuir um sentido amplo a este conceito, o qual abrange potencialmente qualquer tipo de informações, tanto objetivas como subjetivas, sob a forma de opiniões ou de apreciações, na condição de «dizerem respeito» à pessoa em causa (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, С‑487/21, EU:C:2023:369, n.^o 23, e jurisprudência referida).

37 A este respeito, o Tribunal de Justiça declarou que uma informação diz respeito a uma pessoa singular identificada ou identificável quando, devido ao seu conteúdo, à sua finalidade ou ao seu efeito, está relacionada com uma pessoa identificável (Acórdão de 4 de maio de 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, n.^o 24, e jurisprudência referida).

38 Quanto ao caráter «identificável» de uma pessoa, resulta da redação do artigo 4.^o, ponto 1, do RGPD que é considerada identificável uma pessoa que possa ser identificada não só diretamente mas também indiretamente.

39 Como o Tribunal de Justiça já declarou, a utilização pelo legislador da União do termo «indiretamente» pretende indicar que, para qualificar uma informação como dado pessoal, não é necessário que essa informação permita, por si só, identificar a pessoa em causa (v., por analogia, Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 41). Em contrapartida, decorre do artigo 4.^o, ponto 5, do RGPD, em conjugação com o considerando 26 deste regulamento, que os dados pessoais que só tenham sido objeto de um pseudónimo e que possam ser atribuídos a uma pessoa singular através da utilização de informações suplementares devem ser considerados informações sobre uma pessoa singular identificável, às quais se aplicam os princípios da proteção de dados (Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.^o 58).

40 Além disso, esse considerando 26 precisa que, para determinar se uma pessoa singular é «identificável», importa considerar «todos os meios suscetíveis de ser razoavelmente utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular». Esta redação sugere que, para que um dado possa ser qualificado de «dado pessoal», na aceção do artigo 4.^o, ponto 1, deste regulamento, não é necessário que todas as informações que permitem identificar a pessoa em causa tenham de estar na posse de uma única pessoa (v., por analogia, Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 43).

41 Daqui resulta que a definição ampla do conceito de «dados pessoais» não abrange apenas os dados recolhidos e conservados pelo responsável pelo tratamento, mas inclui igualmente todas as informações resultantes de um tratamento de dados pessoais que digam respeito a uma pessoa identificada ou identificável (Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.^o 45).

42 No caso em apreço, importa salientar que uma cadeia composta por uma combinação de letras e de carateres, como a TC String, contém as preferências de um utilizador de Internet ou de uma aplicação relativas ao consentimento desse utilizador para o tratamento por terceiros de dados pessoais que lhe dizem respeito ou à sua eventual oposição a um tratamento desses dados baseado num alegado interesse legítimo, nos termos do artigo 6.^o, n.^o 1, alínea f), do RGPD.

43 Ora, mesmo que uma TC String não contenha, em si mesma, elementos que permitam a identificação direta da pessoa em causa, não deixa de ser certo, em primeiro lugar, que ela contém as preferências individuais de um utilizador específico quanto ao seu consentimento para o tratamento dos dados pessoais que lhe dizem respeito, sendo essa informação «relativa a uma pessoa singular», na aceção do artigo 4.^o, ponto 1, do RGPD.

44 Em segundo lugar, também é ponto assente que, quando as informações contidas numa TC String estão associadas a um identificador, como, designadamente, o endereço IP do aparelho desse utilizador, podem permitir criar um perfil do referido utilizador e identificar efetivamente a pessoa concreta a quem essas informações dizem respeito.

45 Uma vez que o facto de associar uma cadeia composta por uma combinação de letras e de carateres, como a TC String, a dados suplementares, designadamente ao endereço IP do aparelho de um utilizador ou a outros identificadores, permite identificar esse utilizador, há que considerar que a TC String contém informações relativas a um utilizador identificável constituindo, portanto, um dado pessoal, na aceção do artigo 4.^o, ponto 1, do RGPD, o que é corroborado pelo considerando 30 do RGPD, que visa expressamente essa hipótese.

46 Esta interpretação não pode ser posta em causa pelo simples facto de a IAB Europe não poder, ela própria, combinar a TC String com o endereço IP do aparelho de um utilizador e de não ter a possibilidade de aceder diretamente aos dados tratados pelos seus membros no quadro do TCF.

47 Com efeito, como resulta da jurisprudência recordada no n.^o 40 do presente acórdão, tal facto não obsta a que uma TC String seja qualificada de «dados pessoais», na aceção do artigo 4.^o, ponto 1, do RGPD.

48 De resto, decorre dos autos, e designadamente da Decisão de 2 de fevereiro de 2022, que os membros da IAB Europe são obrigados a comunicar‑lhe, a pedido desta, todas as informações que lhe permitam identificar os utilizadores cujos dados são objeto de uma TC String.

49 Afigura‑se, portanto, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar a este respeito, que a IAB Europe dispõe, em conformidade com o enunciado no considerando 26 do RGPD, de meios razoáveis que lhe permitem identificar uma determinada pessoa singular a partir de uma TC String, graças às informações que os seus membros e outras organizações que participam no TCF são obrigados a fornecer‑lhe.

50 Resulta do que precede que uma TC String constitui um dado pessoal, na aceção do artigo 4.^o, ponto 1, do RGPD. A este respeito, não é pertinente o facto de, sem uma contribuição externa que ela tem o direito de exigir, essa organização setorial não poder aceder aos dados tratados pelos seus membros no quadro das regras que estabeleceu nem combinar a TC String com outros identificadores, tais como, nomeadamente, o endereço IP do aparelho de um utilizador.

51 Tendo em conta o que precede, importa responder à primeira questão que o artigo 4.^o, ponto 1, do RGPD deve ser interpretado no sentido de que uma cadeia composta por uma combinação de letras e de carateres, como a TC String, que contém as preferências de um utilizador de Internet ou de uma aplicação relativas ao consentimento desse utilizador para o tratamento dos dados pessoais que lhe dizem respeito por fornecedores de sítios Internet ou de aplicações, bem como por intermediários desses dados e por plataformas publicitárias, constitui um dado pessoal na aceção desta disposição uma vez que quando esta pode, por meios razoáveis, ser associada a um identificador, como designadamente o endereço IP do aparelho do referido utilizador, permite identificar a pessoa em questão. Nestas condições, a circunstância de, sem uma contribuição externa, uma organização setorial que detém essa cadeia não poder aceder aos dados que são tratados pelos seus membros no quadro das regras que estabeleceu nem combinar a referida cadeia com outros elementos não obsta a que a mesma cadeia constitua um dado pessoal na aceção da referida disposição.

Quanto à segunda questão

52 Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.^o, ponto 7, do RGPD deve ser interpretado no sentido de que:

– por um lado, uma organização setorial, na medida em que propõe aos seus membros um quadro de regras por si estabelecido relativo ao consentimento em matéria de tratamento de dados pessoais, que contém não só regras técnicas vinculativas mas também regras que especificam de forma detalhada as modalidades de armazenamento e de difusão dos dados pessoais relativos a esse consentimento, deve ser qualificada de «responsável pelo tratamento», na aceção desta disposição, e se, para efeitos da resposta a esta questão, é necessário que essa organização setorial tenha, ela própria, diretamente acesso aos dados pessoais tratados pelos seus membros no quadro das referidas regras;

– por outro lado, a eventual responsabilidade conjunta da referida organização setorial se estende automaticamente aos tratamentos posteriores de dados pessoais efetuados por terceiros, como os fornecedores de sítios Internet ou de aplicações, no que respeita às preferências dos utilizadores para efeitos da publicidade direcionada em linha.

53 A título preliminar, importa recordar que o objetivo prosseguido pelo RGPD, conforme resulta do artigo 1.^o e dos considerandos 1 e 10, consiste, nomeadamente, em garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, em particular, do seu direito à vida privada no que diz respeito ao tratamento de dados pessoais, consagrado no artigo 8.^o, n.^o 1, da Carta e no artigo 16.^o, n.^o 1, TFUE [Acórdão de 4 de maio de 2023, Bundesrepublik Deutschland (Caixa de correio eletrónico dos tribunais), C‑60/22, EU:C:2023:373, n.^o 64].

54 Em conformidade com este objetivo, o artigo 4.^o, ponto 7, deste regulamento define de maneira ampla o conceito de «responsável pelo tratamento» como a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais.

55 Com efeito, conforme já foi declarado pelo Tribunal de Justiça, esta disposição tem por objetivo assegurar, por meio de uma definição ampla do conceito de «responsável pelo tratamento», uma proteção eficaz e completa das pessoas em causa (v., por analogia, Acórdão de 5 de junho de 2018, Wirtschaftsakademie SchleswigHolstein, C‑210/16, EU:C:2018:388, n.^o 28).

56 Além disso, uma vez que, como está expressamente previsto no artigo 4.^o, ponto 7, do RGPD, o conceito de «responsável pelo tratamento» visa o organismo que, «individualmente ou em conjunto com outras», determina as finalidades e os meios de tratamento dos dados pessoais, e que, por conseguinte, não remete necessariamente para uma pessoa singular ou coletiva única e pode dizer respeito a vários intervenientes que participem no referido tratamento, cada um deles deve estar sujeito às disposições aplicáveis em matéria de proteção de dados (v., por analogia, Acórdãos de 5 de junho de 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, n.^o 29, e de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.^o 65).

57 O Tribunal de Justiça também considerou que uma pessoa singular ou coletiva que, para fins que lhe são próprios, influencia o tratamento de dados pessoais e contribui assim para a determinação da finalidade e dos meios do tratamento pode ser considerada responsável pelo tratamento, na aceção do artigo 4.^o, ponto 7, do RGPD (v., por analogia, Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.^o 68). Assim, nos termos do artigo 26.^o, n.^o 1, do RGPD, existem «responsáveis conjuntos pelo tratamento» quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento (Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.^o 40).

58 A este respeito, embora cada responsável conjunto pelo tratamento deva corresponder de forma independente à definição de «responsável pelo tratamento» que figura no artigo 4.^o, ponto 7, do RGPD, a existência de uma responsabilidade conjunta não se traduz necessariamente numa responsabilidade equivalente, para o mesmo tratamento de dados pessoais, dos diferentes intervenientes. Pelo contrário, os referidos intervenientes podem estar envolvidos em diferentes fases desse tratamento e em diferentes graus, pelo que, para avaliar o nível de responsabilidade de cada um, há que tomar em consideração todas as circunstâncias pertinentes do caso concreto. Além disso, para que exista responsabilidade conjunta de vários intervenientes pelo mesmo tratamento ao abrigo desta disposição, não é necessário que cada um deles tenha acesso aos dados pessoais em causa (v., por analogia, Acórdão de 10 de julho de 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, n.^os 66 e 69 e jurisprudência referida).

59 A participação na determinação das finalidades e dos meios do tratamento pode assumir diferentes formas, podendo essa participação resultar quer de uma decisão comum tomada por duas ou mais entidades quer de decisões convergentes dessas entidades. Ora, neste último caso, as referidas decisões devem complementar‑se de tal forma, que cada uma delas deve ter um efeito concreto na determinação das finalidades e meios do tratamento. Em contrapartida, não se pode exigir que exista um acordo formal entre esses responsáveis pelo tratamento quanto às finalidades e aos meios de tratamento (Acórdão de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.^os 43 e 44).

60 À luz do que precede, é necessário ter em consideração que a primeira parte da segunda questão submetida visa determinar se uma organização setorial, como a IAB Europe, pode ser considerada um responsável conjunto pelo tratamento, na aceção do artigo 4.^o, ponto 7, e do artigo 26.^o, n.^o 1, do RGPD.

61 Para este efeito, importa assim apreciar se, tendo em conta as circunstâncias específicas do caso concreto, ela influencia, para fins que lhe são próprios, o tratamento de dados pessoais, como a TC String, e determina, conjuntamente com outras, as finalidades e os meios desse tratamento.

62 No que respeita, em primeiro lugar, às finalidades desse tratamento de dados pessoais, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, resulta dos autos que, como foi recordado nos n.^os 21 e 22 do presente acórdão, o TCF estabelecido pela IAB Europe constitui um quadro de regras que visa assegurar a conformidade com o RGPD do tratamento de dados pessoais de um utilizador de um sítio Internet ou de uma aplicação efetuada por certos operadores que participam no leilão eletrónico de espaços publicitários.

63 Nestas condições, o TCF visa, em substância, favorecer e permitir a venda e a compra de espaços publicitários na Internet pelos referidos operadores.

64 Por conseguinte, pode considerar‑se, sob reserva das verificações que incumbem ao órgão jurisdicional de reenvio, que a IAB Europe influencia, para fins que lhe são próprios, as operações de tratamento de dados pessoais em causa no processo principal e determina, por isso, conjuntamente com os seus membros, as finalidades dessas operações.

65 Em segundo lugar, quanto aos meios utilizados para esse tratamento de dados pessoais, resulta dos autos, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, que o TCF constitui um quadro de regras que os membros da IAB Europe devem aceitar para aderir a esta associação. Em especial, como foi confirmado pela IAB Europe na audiência no Tribunal de Justiça, se um dos seus membros não cumprir as regras do TCF, a IAB Europe pode adotar, relativamente a esse membro, uma decisão de não conformidade e de suspensão que pode levar à exclusão do referido membro do TCF e, portanto, impedi‑lo de invocar a garantia de conformidade com o RGPD que se considera ser concedida por esse dispositivo para o tratamento de dados pessoais que ele efetua através das TC Strings.

66 Além disso, e de um ponto de vista prático, como mencionado no n.^o 21 do presente acórdão, o TCF estabelecido pela IAB Europe contém especificações técnicas relativas ao tratamento da TC String. Em especial, afigura‑se que essas especificações descrevem com precisão a forma como as CMP são obrigadas a recolher as preferências dos utilizadores relativas ao tratamento dos seus dados pessoais, bem como a forma como essas preferências devem ser tratadas, a fim de gerar uma TC String. Além disso, estabelecem‑se também regras precisas no que respeita ao conteúdo da TC String, bem como ao seu armazenamento e partilha.

67 Resulta nomeadamente da Decisão de 2 de fevereiro de 2022 que a IAB Europe prescreve, no quadro destas regras, designadamente, a forma normalizada como as diversas partes envolvidas no TCF podem consultar as preferências, as objeções e os consentimentos dos utilizadores constantes das TC Strings.

68 Nestas condições, e sob reserva das verificações que competem ao órgão jurisdicional de reenvio, deve considerar‑se que uma organização setorial como a IAB Europe influencia, para efeitos que lhe são próprios, as operações de tratamento de dados pessoais em causa no processo principal e determina, por isso, conjuntamente com os seus membros, os meios que estão na origem dessas operações. Daqui resulta que deve ser considerada um «responsável conjunto pelo tratamento», na aceção do artigo 4.^o, ponto 7, e do artigo 26.^o, n.^o 1, do RGPD, em conformidade com a jurisprudência recordada no n.^o 57 do presente acórdão.

69 A circunstância evocada pelo órgão jurisdicional de reenvio de essa organização setorial não ter, ela própria, acesso direto às TC Strings e, portanto, aos dados pessoais tratados pelos seus membros no quadro das referidas regras, com os quais ela determina conjuntamente as finalidades e os meios do tratamento desses dados, não obsta, em conformidade com a jurisprudência recordada no n.^o 58 do presente acórdão, a que possa ser qualificada de «responsável pelo tratamento», na aceção destas disposições.

70 Acrescente‑se que, em resposta às dúvidas manifestadas por esse órgão jurisdicional, há que excluir que a eventual responsabilidade conjunta desta organização setorial se estenda automaticamente aos tratamentos posteriores de dados pessoais efetuados por terceiros, como os fornecedores de sítios Internet ou de aplicações, no que respeita às preferências dos utilizadores para efeitos da publicidade direcionada em linha.

71 A este respeito, importa relevar, por um lado, que o artigo 4.^o, ponto 2, do RGPD define «[t]ratamento» de dados pessoais como «uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição».

72 Decorre desta definição que um tratamento de dados pessoais pode ser constituído por uma ou várias operações, estando cada uma delas associada a uma fase diferente desse tratamento.

73 Por outro lado, como o Tribunal de Justiça já declarou, decorre do artigo 4.^o, ponto 7, e do artigo 26.^o, n.^o 1, do RGPD que uma pessoa singular ou coletiva só pode ser considerada responsável conjunto pelas operações de tratamento de dados pessoais se determinar conjuntamente as respetivas finalidades e meios. Consequentemente, e sem prejuízo de uma eventual responsabilidade civil prevista no direito nacional a esse respeito, essa pessoa singular ou coletiva não pode ser considerada responsável, na aceção da referida disposição, por operações anteriores ou posteriores da cadeia de tratamento cujas finalidades e meios não são por ela determinados (v., por analogia, Acórdão de 29 de julho de 2019, Fashion ID, C‑40/17, EU:C:2019:629, n.^o 74).

74 No caso em apreço, cabe fazer uma distinção entre, por um lado, o tratamento de dados pessoais efetuado pelos membros da IAB Europe, a saber, os fornecedores de sítios Internet ou de aplicações, e os intermediários de dados ou ainda as plataformas publicitárias, no momento do registo numa TC String das preferências em matéria de consentimento dos utilizadores em questão segundo o quadro de regras estabelecido no TCF e, por outro lado, o tratamento posterior de dados pessoais efetuado por esses operadores e por terceiros com base nessas preferências, como a transmissão desses dados a terceiros ou a oferta de publicidade personalizada a esses utilizadores.

75 Com efeito, este tratamento posterior, sob reserva das verificações que cabe ao órgão jurisdicional de reenvio efetuar, não parece implicar a participação da IAB Europe, pelo que há que excluir uma responsabilidade automática dessa organização, conjuntamente com os referidos operadores e com terceiros, no que respeita ao tratamento de dados pessoais efetuado com base nos dados relativos às preferências dos utilizadores em questão contidas numa TC String.

76 Assim, uma organização setorial, como a IAB Europe, só pode ser considerada responsável por esses tratamentos posteriores quando se demonstre que influenciou a determinação das finalidades e das modalidades destes tratamentos, o que incumbe ao órgão jurisdicional de reenvio verificar à luz de todas as circunstâncias pertinentes do processo principal.

77 Tendo em conta todas as considerações precedentes, há que responder à segunda questão que o artigo 4.^o, ponto 7, e o artigo 26.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que:

– por um lado, uma organização setorial, na medida em que propõe aos seus membros um quadro de regras que estabeleceu relativo ao consentimento em matéria de tratamento de dados pessoais, que contém não só regras técnicas vinculativas mas também regras que especificam de forma detalhada as modalidades de armazenamento e de difusão dos dados pessoais relativos a esse consentimento, deve ser qualificada de «responsável conjunto pelo tratamento», na aceção destas disposições, se, tendo em conta as circunstâncias específicas do caso concreto, influenciar, para fins que lhe são próprios, o tratamento dos dados pessoais em questão e determinar, por isso, conjuntamente com os seus membros, as finalidades e os meios desse tratamento. A circunstância de essa organização setorial não ter, ela própria, acesso direto aos dados pessoais tratados pelos seus membros no quadro das referidas regras não obsta a que possa apresentar a qualidade de responsável conjunto pelo tratamento, na aceção das referidas disposições;

– por outro lado, a responsabilidade conjunta da referida organização setorial não se estende automaticamente aos tratamentos posteriores de dados pessoais efetuados por terceiros, como os fornecedores de sítios Internet ou de aplicações, no que respeita às preferências dos utilizadores para efeitos da publicidade direcionada em linha.

Quanto às despesas

78 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Quarta Secção) declara:

1) O artigo 4.^o, ponto 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

uma cadeia composta por uma combinação de letras e de carateres, como a TC String (Transparency and Consent String), que contém as preferências de um utilizador de Internet ou de uma aplicação relativas ao consentimento desse utilizador para o tratamento dos dados pessoais que lhe dizem respeito por fornecedores de sítios Internet ou de aplicações, bem como por intermediários desses dados e por plataformas publicitárias, constitui um dado pessoal na aceção desta disposição uma vez que quando esta pode, por meios razoáveis, ser associada a um identificador, como designadamente o endereço IP do aparelho do referido utilizador, permite identificar a pessoa em questão. Nestas condições, a circunstância de, sem uma contribuição externa, uma organização setorial que detém essa cadeia não poder aceder aos dados que são tratados pelos seus membros no quadro das regras que estabeleceu nem combinar a referida cadeia com outros elementos não obsta a que a mesma cadeia constitua um dado pessoal na aceção da referida disposição.

2) O artigo 4.^o, ponto 7, e o artigo 26.^o, n.^o 1, do Regulamento 2016/679

devem ser interpretados no sentido de que:

Assinaturas

* Língua do processo: neerlandês.