CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2017:43

CONCLUSÕES DO ADVOGADO‑GERAL

MICHAL BOBEK

apresentadas em 26 de janeiro de 2017(1)

Processo C‑13/16

Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde

contra

Rīgas pašvaldības SIA ‘Rīgas satiksme’

[pedido de decisão prejudicial apresentado pelo Augstākā tiesa, Administratīvo lietu departaments (Secção de Contencioso Administrativo do Supremo Tribunal, Letónia)]

«Pedido de decisão prejudicial — Dados pessoais — Licitude do tratamento de dados — Artigo 7.°, alínea f), da Diretiva 95/46/CE — Âmbito e condições de aplicação — Obrigação ou faculdade de proceder ao tratamento de dados pessoais — Conceito de tratamento necessário para prosseguir interesses legítimos do responsável pelo tratamento ou de terceiros»

I. Introdução

1. Um taxista imobilizou o seu veículo junto ao passeio numa rua de Riga. No momento em que um trólei pertencente à Rīgas satiksme (a seguir «recorrente») circulava junto ao táxi, o seu passageiro abriu a porta e esta bateu no trólei, que ficou danificado. A recorrente pediu à polícia (a seguir «recorrida») para divulgar a identidade do passageiro, por pretender demandá‑lo civilmente para ressarcimento dos danos causados ao trólei. A polícia indicou‑lhe apenas o nome e o apelido do passageiro, recusando‑se a facultar o número do documento de identificação e o endereço.

2. Perante estes factos, o órgão jurisdicional de reenvio pergunta se o artigo 7.°, alínea f), da Diretiva 95/46/CE (a seguir «diretiva») (2) impõe a obrigação de comunicação de todos os dados pessoais necessários para a propositura de uma ação cível contra a pessoa alegadamente responsável por uma infração administrativa. Interroga‑se ainda sobre a possibilidade de a resposta a essa questão ser diferente se a pessoa em causa for menor de idade.

II. Quadro jurídico

A. Direito da União

1. Carta dos Direitos Fundamentais da União Europeia («Carta»)

3. O artigo 7.° estabelece que «[t]odas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações».

4. Nos termos do artigo 8.°:

«1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação.

3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.»

2. Tratado sobre o Funcionamento da União Europeia

5. De acordo com o artigo 16.°, n.° 1, TFUE, «[t]odas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito».

3. Diretiva 95/46, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados

6. O artigo 2.° estabelece algumas definições para efeitos da diretiva.

«a) ‘Dados pessoais’, qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b) ‘Tratamento de dados pessoais’ (‘tratamento’), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]

f) ‘Terceiro’, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não a pessoa em causa, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão habilitadas a tratar dos dados;

[…]»

7. O artigo 5.°, incluído no capítulo II com a epígrafe «Condições gerais de licitude do tratamento de dados pessoais», prevê que «[o]s Estados‑[M]embros especificarão, dentro dos limites do disposto no presente capítulo, as condições em que é lícito o tratamento de dados pessoais».

8. O artigo 6.°, n.° 1, tem a seguinte redação: «Os Estados‑Membros devem estabelecer que os dados pessoais serão:

[…]

c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;

[…]».

9. O artigo 7.° dispõe que «[o]s Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou

d) O tratamento for necessário para a proteção de interesses vitais da pessoa em causa; ou

e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.° 1 do artigo 1.°».

10. O artigo 8.° proíbe, em princípio, o tratamento de certas categorias específicas de dados, tais como os dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, e as convicções religiosas ou filosóficas. Porém, prevê determinadas exceções.

11. Em especial, segundo o artigo 8.°, n.° 2, alínea e), a proibição não se aplica quando «[o] tratamento […] for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial».

12. O artigo 8.°, n.° 5, estabelece o seguinte:

«[…] Os Estados‑Membros podem estabelecer que o tratamento de dados relativos a sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das autoridades públicas.»

13. De acordo com o artigo 8.°, n.° 7, «[c]abe aos Estados‑Membros determinar as condições em que um número nacional de identificação ou qualquer outro elemento de identificação de aplicação geral poderá ser objeto de tratamento.»

14. Nos termos do artigo 14.°, «[o]s Estados‑Membros reconhecerão à pessoa em causa o direito de:

a) Pelo menos nos casos referidos nas alíneas e) e f) do artigo 7.°, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objeto de tratamento, salvo disposição em contrário do direito nacional. Em caso de oposição justificada, o tratamento efetuado pelo responsável deixa de poder incidir sobre esses dados;

[…]».

15. A diretiva foi entretanto revogada pelo Regulamento (UE) n.° 2016/679 (3), que entrou em vigor em 24 de maio de 2016. No entanto, o novo regulamento só será aplicável a partir de 25 de maio de 2018.

B. Direito nacional

16. O artigo 7.° da Fizisko personu datu aizsardzības likums (Lei de Proteção dos Dados Pessoais) tem uma redação semelhante à do artigo 7.° da diretiva. Estabelece que, salvo disposição legal em contrário, o tratamento de dados pessoais só é autorizado se se verificar, pelo menos, um dos seguintes pressupostos:

1) a pessoa em causa deu o seu consentimento;

2) o tratamento é necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa;

3) o tratamento é necessário para o cumprimento de uma obrigação legal a que está sujeito o responsável pelo tratamento;

4) o tratamento é necessário para proteger interesses vitais do interessado, incluindo a sua vida e saúde;

5) o tratamento é necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;

6) o tratamento dos dados for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa.

III. Litígio no processo principal e questão prejudicial

17. Em dezembro de 2012, ocorreu um acidente de viação em Riga. Um taxista tinha parado o seu veículo junto ao passeio. No momento em que um trólei da Rīgas satiksme circulava junto ao táxi, o passageiro do táxi abriu a porta, que roçou na carroçaria do trólei, danificando‑a. O acidente deu origem à abertura de um processo e ao levantamento de um auto por infração administrativa.

18. Inicialmente, por considerar que o acidente era imputável ao taxista, a Rīgas satiksme pediu uma indemnização à companhia de seguros que assegurava a responsabilidade civil do proprietário do táxi. No entanto, essa seguradora comunicou‑lhe que não pagaria nenhuma indemnização, uma vez que o acidente tinha ocorrido por culpa do passageiro e não do condutor do táxi, e que a Rīgas satiksme podia demandar civilmente o referido passageiro.

19. A Rīgas satiksme dirigiu‑se à Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (serviço responsável pelas infrações administrativas em matéria de tráfego da Polícia de Segurança da região de Riga) (a seguir «polícia») e solicitou informações sobre a pessoa que tinha sido sancionada administrativamente pelo acidente. Mais concretamente, pediu que lhe fosse indicado o nome e o apelido, o número do documento de identificação e o endereço do passageiro do táxi, e que lhe fossem facultadas cópias dos documentos com as declarações do condutor do táxi e do passageiro sobre as circunstâncias do acidente. A Rīgas satiksme assegurou à polícia que as informações solicitadas seriam utilizadas exclusivamente para a propositura de uma ação cível contra a pessoa em causa.

20. A polícia acedeu apenas parcialmente ao pedido da Rīgas satiksme. Facultou‑lhe o nome e o apelido do passageiro do táxi, mas negou‑se a facultar o número do documento de identificação e o endereço dessa pessoa. Também não forneceu à Rīgas satiksme as declarações prestadas pelas pessoas envolvidas no acidente.

21. Na sua decisão, a polícia afirmou que só as partes no processo podem aceder a documentos relativos a processos administrativos sancionatórios e a Rīgas satiksme não era parte no processo. Além disso, a Datu valsts inspekcija (Agência de Proteção de Dados letã) proíbe que sejam prestadas tais informações sobre particulares.

22. Nos termos do artigo 261.° do Latvijas Administrativo parkapumu kodekss (Código de Infrações Administrativas letão), nos procedimentos administrativos sancionatórios, a pedido expresso do interessado pode ser‑lhe reconhecido o estatuto de vítima. A Rīgas satiksme não exerceu o direito ao reconhecimento do estatuto de vítima no processo.

23. A Rīgas satiksme impugnou em sede de contencioso administrativo a decisão da polícia na parte em que se negou a revelar o número do documento de identificação e o endereço do passageiro.

24. Por decisão de 16 de maio de 2014, o Administratīvā rajona tiesa (Tribunal de Contencioso Administrativo de Primeira Instância) deu provimento ao recurso da Rīgas satiksme e determinou que a polícia entregasse as informações solicitadas, a saber, o número do documento de identificação e o endereço do passageiro do táxi.

25. A polícia recorreu dessa decisão para o Augstāka tiesa (Supremo Tribunal, Letónia), o órgão jurisdicional de reenvio no presente processo, que começou por pedir um parecer à Agência de Proteção de Dados letã. Esta respondeu que, no caso em apreço, os dados não podiam ser divulgados ao abrigo do artigo 7.°, n.° 6, da Lei de Proteção dos Dados Pessoais, uma vez que o Código de Infrações Administrativas identifica as pessoas singulares ou coletivas a quem a polícia pode facultar informações constantes de processos. Assim, o fornecimento de dados pessoais de processos administrativos sancionatórios só pode realizar‑se em conformidade com os n.^os 3 e 5 do referido artigo. Além disso, o artigo 7.° da lei não obriga o responsável pelo tratamento (no presente caso, a polícia) a proceder ao tratamento dos dados, apenas permite que este o faça.

26. A Agência de Proteção de Dados letã referiu ainda que a Rīgas satiksme tem ao seu dispor meios alternativos de obter as informações: apresentar ao Iedzīvotāju reģistras (Registo Civil) um pedido fundamentado ou, com base nos artigos 98.°, 99.° e 100.° da Civilprocesa likuma (Lei do Processo Civil letã), dirigir aos tribunais um pedido de apresentação de provas. O tribunal competente poderá então ordenar à polícia que divulgue os dados pessoais de que a Rīgas satiksme necessita para instaurar a ação cível contra a pessoa em causa.

27. O órgão jurisdicional de reenvio tem dúvidas quanto às vias alternativas de obtenção dos dados pessoais referidas pela Agência de Proteção de Dados letã. No que respeita à apresentação de um pedido ao Registo Civil em que seja indicado apenas o nome e o apelido do passageiro do táxi, o nome em questão poderá ser partilhado por várias pessoas. Nesse caso, a pessoa em causa só poderá ser identificada através de dados adicionais, como os que são solicitados no caso presente (o número do documento de identificação e o endereço). Além disso, a Agência de Proteção de Dados letã invocou as disposições da Lei do Processo Civil letã que têm por objeto a produção da prova. Em conformidade com o artigo 128.° da Lei do Processo Civil, ao propor uma ação, deve indicar‑se o nome, o apelido e o número do documento de identificação (se conhecido) do demandado, bem como o domicílio legal e o endereço adicional indicado no seu recenseamento, ou, na falta destes, o domicílio para efeito de notificações. Por conseguinte, o demandante deve conhecer, pelo menos, o local de residência do demandado.

28. No entender do órgão jurisdicional de reenvio, as formas alternativas de obtenção dos dados pessoais necessários são equívocas ou ineficazes. Assim, para que possa proteger os seus interesses legítimos, afigura‑se que a Rīgas satiksmei precisa de obter os dados pessoais que solicitou à polícia.

29. O órgão jurisdicional de reenvio também expressa dúvidas quanto à interpretação do termo «necessário» no artigo 7.°, alínea f), da diretiva e considera que essa interpretação é determinante para o desfecho do presente processo.

30. Consequentemente, a Augstākās tiesas (Administratīvo lietu departaments) (Secção de Contencioso Administrativo do Supremo Tribunal, Letónia) decidiu suspender a instância e submeter ao Tribunal de Justiça a seguinte questão prejudicial:

«Deve a passagem ‘for necessário para prosseguir interesses legítimos do […] terceiro ou terceiros a quem os dados sejam comunicados’ do artigo 7.°, alínea f), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, ser interpretada no sentido de que a Polícia Nacional é obrigada a revelar à Rīgas satiksme os dados pessoais solicitados por esta para a propositura de uma ação cível? É relevante para a resposta a dar a essa questão o facto de, como indicam os documentos dos autos, o passageiro do táxi, cujos dados a Rīgas satiksme tenta obter, ser menor de idade no momento do acidente?»

31. A Rīgas satiksme, a Comissão e os Governos checo, espanhol, letão, austríaco e português apresentaram observações escritas. A Comissão e o Governo letão apresentaram alegações orais na audiência que teve lugar em 24 de novembro de 2016.

IV. Apreciação

32. O órgão jurisdicional de reenvio pergunta essencialmente se, nos termos da diretiva, o responsável pelo tratamento de dados tem o dever de comunicar os dados que permitem identificar a pessoa alegadamente responsável por uma infração administrativa, de modo a possibilitar a Rīgas satiksme a propositura de uma ação cível.

33. A minha resposta sucinta a essa questão específica do órgão jurisdicional de reenvio é: «não». A própria diretiva não estabelece essa obrigação, limitando‑se a prever (no sentido de permitir ou autorizar) a faculdade de proceder a essa comunicação, desde que estejam reunidas determinadas condições. A faculdade de praticar determinado ato ao abrigo da lei é uma figura distinta da obrigação de praticar esse ato.

34. Todavia, no que respeita aos factos do presente caso, a questão não se esgota aí. Pelo menos em parte, ou seja, em relação às informações que foram efetivamente prestadas, o Tribunal de Justiça é também chamado a determinar as condições de aplicação do artigo 7.°, alínea f), da diretiva, bem como a natureza e o âmbito dos dados pessoais que podem ser comunicados ao requerente nos termos dessa disposição.

35. Por conseguinte, as presentes conclusões encontram‑se estruturadas da seguinte forma: primeiro, exporei os motivos pelos quais entendo que a diretiva não impõe à entidade que detém as informações nenhuma obrigação de comunicação (secção A). De seguida, para proporcionar ao órgão jurisdicional de reenvio uma resposta cabal e útil no caso presente, enunciarei as condições de aplicação do artigo 7.°, alínea f), da diretiva e o âmbito dos dados pessoais que podem ser comunicados caso essas condições sejam satisfeitas (secção B).

A. Obrigação de comunicação

36. O órgão jurisdicional de reenvio pergunta se, por força do artigo 7.°, alínea f), da diretiva, os dados pessoais têm de ser comunicados para efeitos da propositura de uma ação cível. Por outras palavras, o órgão jurisdicional de reenvio pretende saber se a própria diretiva impõe um dever de comunicação desses dados pessoais.

37. Na minha perspetiva, não é possível extrair essa obrigação da diretiva. Esta conclusão resulta inequivocamente da letra e da sistemática da diretiva, bem como do seu próprio objetivo.

38. Começando pela sistemática e pela lógica da diretiva, a regra geral que lhe está subjacente é a de que, para garantir um elevado nível de proteção do direito à vida privada, em princípio, os dados pessoais não devem ser objeto de tratamento (4). Por natureza, o tratamento dos dados pessoais deve ser excecional.

39. O artigo 7.° inscreve‑se nesta sistemática. Este artigo estabelece uma lista de exceções à regra geral, que determinam a legitimidade do tratamento determinadas condições estritamente definidas. As categorias do artigo 7.° constituem, portanto, as exceções à regra geral.

40. Neste cenário, a redação do artigo 7.° confirma claramente que, quando a situação de facto se enquadra numa das exceções legais, cada uma das categorias enumeradas deve ser considerada como uma mera faculdade ou possibilidade de tratamento dos dados pessoais e não como uma obrigação. Nos termos dessa disposição, «[o]s Estados‑Membros estabelecerão que o tratamento de dados pessoais sópoderá ser efetuado se […]» (5). Esta linguagem, que também é utilizada nas restantes versões linguísticas (6), revela inequivocamente que as exceções do artigo 7.° são verdadeiras exceções. Não podem ser interpretadas como uma obrigação de proceder ao tratamento dos dados pessoais.

41. O facto de pelo menos algumas das exceções previstas no artigo 7.° produzirem efeito direto (7) não altera aquela conclusão. Tais exceções não instituem, por si só, o direito dos requerentes das informações à obtenção destas, nem impõem aos detentores dos dados a correspondente obrigação de divulgação. Ao invés, o artigo 7.° prevê regras gerais que permitem ao responsável pelo tratamento determinar se, quando, como e em que medida pode proceder ao tratamento dos dados na sua posse.

42. Por último, o objetivo geral da diretiva é o estabelecimento de fronteiras ou limites comuns ao tratamento de dados pessoais na União. Os fundamentos e motivos concretos e individuais do tratamento encontram‑se normalmente previstos no direito nacional e noutros instrumentos jurídicos da União. Por outras palavras, a diretiva não promove o tratamento dos dados, antes estabelece os seus limites.

43. Portanto, a letra, a sistemática, a lógica e o objetivo da diretiva demonstram claramente que o artigo 7.°, alínea f), da diretiva não pode ser interpretado no sentido de impor, por si mesmo, uma obrigação de comunicação dos dados pessoais.

44. A título complementar, num contexto mais amplo, pode acrescentar‑se que este tipo de estrutura não é invulgar noutros domínios do direito da União em que os instrumentos de direito derivado incidem, direta ou indiretamente, sobre os dados pessoais.

45. Por exemplo, a Diretiva 2002/58/CE relativa à privacidade e às comunicações eletrónicas (8), que complementa a Diretiva 95/46 no que respeita ao setor das comunicações eletrónicas, tão‑pouco contém uma obrigação de comunicação. O Tribunal de Justiça precisou no acórdão Promusicae que a primeira não obsta a que os Estados‑Membros imponham uma obrigação de comunicação de dados pessoais no contexto das ações cíveis nem os obriga a fazê‑lo (9). Por conseguinte, a decisão cabe aos Estados‑Membros. A imposição ou não imposição de tal obrigação não é uma consequência necessária do direito da União.

46. Do mesmo modo, o Tribunal de Justiça considerou que outras diretivas (10) que abordam a questão dos dados pessoais mas visam principalmente assegurar a proteção efetiva da propriedade intelectual na sociedade de informação (11) tão‑pouco impõem aos Estados‑Membros que prevejam uma obrigação de comunicação de dados pessoais com vista a assegurar a proteção efetiva dos direitos de autor no âmbito das ações cíveis (12).

B. Faculdade de comunicação

47. Conforme referido pelo órgão jurisdicional de reenvio, alguns dados pessoais foram efetivamente comunicados à requerente: o nome e o apelido da pessoa em causa. No remanescente, o seu pedido foi indeferido. Presumivelmente, este indeferimento terá sido determinado pelo direito nacional.

48. Por conseguinte, e relativamente aos dados pessoais efetivamente comunicados, é pertinente a questão da compatibilidade de tal comunicação com o artigo 7.° da diretiva.

49. Todavia, deve ser expressamente sublinhado que a parte seguinte das presentes conclusões respeita à faculdade de comunicar dados pessoais numa situação de facto como a do processo principal, desde que o direito nacional forneça a base jurídica para essa comunicação. Por outras palavras, em tal situação, que limites impõe o direito da União à comunicação de dados pessoais? Caso o direito nacional preveja a comunicação de dados pessoais numa situação semelhante, essa comunicação será compatível com o artigo 7.°, alínea f), da diretiva?

50. No meu entender, numa situação como a do processo principal, a comunicação de dados pessoais de alcance e extensão que permitam a uma parte lesada instaurar uma ação cível é plenamente compatível com o artigo 7.°, alínea f).

51. Por conseguinte, na presente secção, começarei por analisar a base jurídica adequada do tratamento de dados pessoais ao abrigo da diretiva numa situação de facto semelhante. Em segundo lugar, proporei condições para a aplicação do artigo 7.°, alínea f), da diretiva. E, em terceiro lugar, analisarei o presente caso à luz de tais condições.

1. Base jurídica adequada nos termos do artigo 7.° da diretiva

52. Uma questão prévia, abordada nas observações escritas e orais, consiste em determinar qual das alíneas do artigo 7.° da diretiva deve ser aplicável a uma situação de facto como a do processo principal.

53. A maioria das partes e dos intervenientes invocou o artigo 7.°, alínea f), referido pelo órgão jurisdicional de reenvio. Porém, o Governo austríaco alegou nas suas observações escritas que o artigo 7.°, alínea f), da diretiva não constitui a base jurídica correta, nem mesmo para efeitos da propositura de uma ação cível. Isto porque alegadamente esta disposição prevê um fundamento demasiado abstrato e impreciso para o tratamento de dados. Logo, não pode justificar tal ingerência no direito à proteção dos dados.

54. Nas suas observações escritas, a Comissão centrou‑se no artigo 7.°, alínea f). No entanto, nas alegações orais também sugeriu que um tratamento de dados como o que está em causa no processo principal poderia igualmente estar abrangido pelo âmbito de aplicação da alínea c) ou da alínea e) do artigo 7.° da diretiva.

55. Este artigo estabelece diferentes bases jurídicas para o tratamento lícito de dados por referência a seis cenários distintos. Para que possam ser objeto de tratamento, é necessário que os dados estejam abrangidos, pelo menos, por uma das categorias do artigo 7.° Contudo, é evidente que o âmbito de aplicação de tais disposições e a lógica que lhes está subjacente são distintos.

56. Em termos amplos e abstratos, o artigo 7.° contém três tipos de exceções que determinam a legitimidade do tratamento dos dados pessoais: primeiro, os casos em que a pessoa em causa tiver dado o seu consentimento [artigo 7.°, alínea a)]; segundo, os casos em que, de certo modo, se presume a existência de interesses legítimos do responsável pelo tratamento ou de terceiros [artigo 7.°, alíneas b) a e)]; e, terceiro, os casos em que não só têm de existir interesses legítimos concorrentes como também é necessário que estes prevaleçam sobre os interesses ou os direitos e liberdades da pessoa em causa [artigo 7.°, alínea f)].

57. Por conseguinte, o âmbito de aplicação da alínea f) do artigo 7.° é reconhecidamente mais amplo do que o das alíneas c) ou e) desse artigo. A aplicação da alínea f), que está formulada em termos bastante gerais, não depende de circunstâncias jurídicas ou factuais específicas. Porém, a sua aplicação é mais restrita, na medida em que depende da existência de efetivos interesses legítimos do responsável pelo tratamento de dados ou de um terceiro que prevaleçam sobre os interesses da pessoa em causa o que não é exigido relativamente às alíneas c) ou e) do artigo 7.^o

58. Deixando de parte as discussões académicas, cumpre salientar duas questões. Primeiro, as exceções do artigo 7.° não se excluem reciprocamente. Logo, é possível que, ao mesmo conjunto de factos, se apliquem duas das exceções ou mesmo as três (13). Segundo, não obstante algumas diferenças de redação, desde que exista um interesse legítimo credível e bem formulado, as diferenças práticas de aplicação deverão ser mínimas.

59. Tendo presentes estas ressalvas, mas remetendo para o órgão jurisdicional nacional que, conhecendo plenamente os factos do processo e o direito nacional referido na sua questão, invoca o artigo 7.°, alínea f), da diretiva como a exceção aplicável, entendo que o Tribunal de Justiça deve basear a sua apreciação no mesmo pressuposto.

2. Condições e âmbito de aplicação do artigo 7.°, alínea f), da diretiva

60. O artigo 7.°, alínea f), estabelece duas condições cumulativas que têm de ser satisfeitas para que o tratamento dos dados pessoais seja lícito. Em primeiro lugar, o tratamento de dados pessoais tem de ser necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados. Em segundo lugar, sobre tais interesses não podem prevalecer os direitos e liberdades fundamentais da pessoa em causa (14).

61. A segunda condição visa a ponderação dos interesses em causa. Para efeitos didáticos, a primeira condição pode ser dividida em duas subcondições: por um lado, o interesse legítimo propriamente dito; por outro, o caráter necessário do tratamento, ou seja, um tipo de proporcionalidade.

62. Por conseguinte, para efeitos do artigo 7.°, alínea f), têm de estar presentes três elementos: a) a existência de um interesse legítimo que justifique o tratamento; b) a prevalência de tal interesse sobre os direitos e interesses da pessoa em causa (ponderação de interesses); e c) a necessidade do tratamento para a prossecução dos interesses legítimos.

a) Interesse legítimo

63. Em primeiro lugar, nos termos do artigo 7.°, alínea f), da diretiva, o tratamento depende da existência de interesses legítimos do responsável pelo tratamento de dados ou de um terceiro.

64. A diretiva não define o conceito de interesses legítimos (15), pelo que incumbe ao responsável pelo tratamento ou ao subcontratante, sob a fiscalização dos órgãos jurisdicionais nacionais, determinar se existe um objetivo legítimo que seja suscetível de justificar uma ingerência na vida privada.

65. O Tribunal de Justiça já afirmou que a transparência (16) e a proteção dos bens, da saúde e da vida familiar (17) constituem interesses legítimos. O conceito de interesses legítimos é suficientemente flexível para comportar outros tipos de considerações. Não há dúvida de que o interesse de um terceiro em obter os dados pessoais de uma pessoa que danificou os seus bens para pedir uma indemnização a essa pessoa pode ser classificado como um interesse legítimo.

b) Ponderação de interesses

66. A segunda condição prende‑se com a ponderação de dois conjuntos de interesses concorrentes, ou seja, os interesses e os direitos da pessoa em causa (18) e os interesses do responsável pelo tratamento dos dados ou de terceiros. O requisito de ponderação decorre claramente tanto do artigo 7.°, alínea f), como dos trabalhos preparatórios da diretiva. A redação do artigo 7.°, alínea f), da diretiva impõe que os interesses legítimos da pessoa em causa sejam ponderados em relação aos interesses legítimos do responsável pelo tratamento ou de um terceiro. Os trabalhos preparatórios confirmam que a ponderação dos interesses já tinha sido prevista, de forma ligeiramente diferente, na proposta inicial da Comissão (19) e também na sua proposta alterada após a primeira leitura do Parlamento Europeu (20).

67. O Tribunal de Justiça já sustentou que a aplicação do artigo 7.°, alínea f), requer uma ponderação dos direitos e interesses opostos em questão. Deve ser tida em conta a importância dos direitos da pessoa em causa, resultantes dos artigos 7.° e 8.° da Carta (21). Essa ponderação tem de ser efetuada de forma casuística (22).

68. A ponderação é um aspeto fundamental da correta aplicação do artigo 7.°, alínea f). É esse exercício que distingue esta disposição das restantes alíneas do artigo 7.° A sua aplicação depende sempre das circunstâncias do caso concreto. É por esse motivo que o Tribunal de Justiça já sublinhou que um Estado‑Membro não pode prescrever, para algumas categorias de dados pessoais, de forma definitiva, o resultado da ponderação dos direitos e dos interesses opostos, sem permitir um resultado diferente devido a circunstâncias particulares de um caso concreto (23).

69. Para realizar judiciosamente essa ponderação, devem ser tidos especialmente em consideração a natureza e o caráter sensível dos dados solicitados, o seu grau de publicitação (24) e a gravidade da infração cometida. Um dos potenciais elementos a ter em conta no exercício de ponderação, e que é pertinente para o caso em apreço, é a idade da pessoa em causa.

c) Necessidade

70. No que respeita à necessidade, ou, de certa forma, à simples proporcionalidade, o Tribunal de Justiça tem considerado, em geral, que as derrogações à proteção dos dados pessoais e as respetivas limitações devem ocorrer na estrita medida do necessário (25). Portanto, a natureza e o volume dos dados que podem ser objeto de tratamento não devem exceder o que é necessário para efeitos dos interesses legítimos em presença.

71. A análise da proporcionalidade consiste na avaliação da relação entre os objetivos e os meios escolhidos. Os meios escolhidos não podem exceder a medida do necessário. Todavia, este raciocínio aplica‑se igualmente no sentido oposto: os meios devem ser adequados à prossecução do objetivo declarado.

72. Em termos práticos, confrontado com a tarefa de avaliação da necessidade, o responsável pelo tratamento de dados tem duas opções: ou se abstém de comunicar quaisquer informações ou, caso decida proceder ao tratamento das informações em causa, deve comunicar todas as informações necessárias para efeitos da prossecução dos interesses legítimos em presença (26).

73. Em primeiro lugar, o artigo 6.°, n.° 1, alínea c), e o considerando 28 da diretiva estabelecem que os dados pessoais deverão ser adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos, mas também relativamente às finalidades para que são tratados posteriormente (27). Logo, resulta destas disposições que os dados comunicados têm igualmente de ser adequados e pertinentes para a prossecução dos interesses legítimos.

74. Em segundo lugar, o bom senso impõe que a abordagem aos dados que devem efetivamente ser objeto de tratamento se paute pela razoabilidade. Com efeito, devem ser prestadas aos requerentes de dados informações úteis e pertinentes, que sejam necessárias e suficientes para a prossecução dos seus interesses legítimos próprios, sem que seja necessário apresentar um pedido a outra entidade que talvez também possua as informações em causa.

75. Em termos metafóricos, a aplicação do critério da necessidade não deve converter a prossecução de um interesse legítimo numa caça ao tesouro kafkiana, com fortes semelhanças a um episódio da série televisiva francesa Fort Boyard, em que os participantes vão de sala em sala, recolhendo pistas incompletas até eventualmente descobrirem para onde se devem dirigir.

76. Por último, cumpre repetir que a determinação precisa do escopo dos dados a comunicar é uma matéria de direito nacional. É certo que o direito nacional também pode prever apenas a comunicação parcial, que, só por si, será insuficiente. Isso é realmente possível. O facto de a legislação nacional parecer fazer pouco sentido prático não determina automaticamente a sua incompatibilidade com o direito da União, desde que tal legislação permaneça na esfera regulamentar dos Estados‑Membros. As presentes conclusões sugerem apenas que, desde que as restantes condições sejam satisfeitas, o artigo 7.°, alínea f), da diretiva não se opõe à comunicação integral de todas as informações necessárias à prossecução efetiva do objetivo legítimo de uma pessoa.

3. Aplicação ao presente processo

77. Tendo estabelecido o quadro geral de análise, debruçar‑me‑ei de seguida sobre o caso presente, com a ressalva de que, em última instância, a decisão compete naturalmente ao órgão jurisdicional de reenvio, que tem um conhecimento aprofundado dos factos e do direito nacional.

78. A Rīgas Satiksme solicitou à polícia que lhe facultasse o endereço e o número do documento de identificação do passageiro do táxi, com vista à propositura de uma ação cível destinada a obter o ressarcimento dos danos sofridos.

79. Em primeiro lugar, conforme acertadamente argumentaram os Governos checo, espanhol e português, a interposição de uma ação judicial como a visada no processo principal constitui um interesse legítimo, na aceção do artigo 7.°, alínea f).

80. Assim o confirma também o artigo 8.°, n.° 2, alínea e), da diretiva, que prevê a possibilidade de tratamento de certos dados sensíveis quando «[o] tratamento disser respeito a dados manifestamente tornados públicos pela pessoa em causa ou for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial». Se o exercício de um direito num processo judicial pode justificar o tratamento de dados sensíveis nos termos do artigo 8.°, não vejo por que motivo não deve, a fortiori, ser considerado um interesse legítimo que justifica o tratamento de dados não sensíveis ao abrigo do artigo 7.°, alínea f). Esta interpretação resulta igualmente de uma abordagem pragmática da diretiva, à luz de outros instrumentos de direito derivado (acima mencionados) que procuram estabelecer um equilíbrio entre a vida privada e a proteção jurisdicional efetiva (28).

81. Em segundo lugar, no que respeita à ponderação de interesses, não vislumbro, em geral, nenhum motivo pelo qual os interesses ou os direitos fundamentais da pessoa em causa devam prevalecer sobre o objetivo legítimo específico da parte lesada de instaurar uma ação cível. Neste contexto, talvez valha a pena acrescentar que, na realidade, tudo o que a requerente pede é a possibilidade de propor uma ação judicial num tribunal cível. A comunicação dos dados, em si mesma, nem sequer acarretaria uma alteração imediata na situação jurídica da pessoa em causa.

82. No entanto, conforme observou corretamente o Governo português, é especialmente nesta fase de ponderação que a idade da pessoa em causa deve ser tomada em consideração.

83. Com efeito, o órgão jurisdicional de reenvio pergunta em que medida é pertinente o facto de o passageiro do táxi ser menor à data do acidente. No meu entender, e dadas as circunstâncias concretas do caso presente, esse facto não é pertinente.

84. Em geral, a circunstância de a pessoa em causa ser menor é um fator que deve efetivamente ser tido em conta na ponderação dos interesses. Porém, a atenção especial e a proteção reforçada concedidas aos menores devem estar manifestamente relacionadas com o tipo de tratamento de dados em causa. A menos que se determine com precisão de que modo a comunicação dos dados neste caso específico ameaçaria, por exemplo, o desenvolvimento físico ou mental de uma criança, não vejo por que motivo o facto de os danos terem sido provocados por um menor deva efetivamente conduzir à exoneração da responsabilidade civil.

85. Por fim, caso resulte da ponderação de interesses que os interesses da pessoa em causa não prevalecem sobre os interesses da pessoa que pede a comunicação dos dados pessoais, suscita‑se uma última questão: a da necessidade e do alcance das informações a comunicar.

86. Mais uma vez, compete ao órgão jurisdicional de reenvio identificar no direito nacional a base jurídica que justifica tal comunicação. Uma vez identificada essa base, o critério da necessidade estabelecido no artigo 7.°, alínea f), da diretiva seguramente não se opõe, no meu entender, à comunicação integral de todas as informações necessárias para a propositura de uma ação cível nos termos do direito letão.

87. O Governo letão argumentou que, segundo jurisprudência assente, a proteção do direito fundamental à vida privada impõe que as derrogações à proteção dos dados pessoais e as respetivas limitações ocorram na estrita medida do necessário. Não obstante confirmar a existência de vias alternativas para a obtenção de dados adicionais, reconheceu que o nome e o apelido seriam provavelmente insuficientes para permitir a instauração de uma ação judicial e, consequentemente, remeteu a apreciação para o órgão jurisdicional nacional.

88. Refira‑se que o artigo 8.°, n.° 7, da diretiva atribui aos Estados‑Membros margem para decidir se um número de identificação pode ser comunicado. Por conseguinte, os Estados‑Membros não estão obrigados a proceder ao tratamento de números de identificação se isso não for absolutamente necessário para a propositura de uma ação cível.

89. Independentemente da sua natureza específica, o que releva é a posse de todos os dados pertinentes indispensáveis à propositura da ação judicial. Assim, se, nos termos do direito nacional, o endereço for suficiente, nenhum outro dado deve ser comunicado.

90. Cabe ao órgão jurisdicional nacional determinar os dados pessoais necessários para permitir efetivamente à Rīgas satiksme instaurar uma ação judicial (29) ao abrigo do direito letão. Gostaria apenas de sublinhar que, conforme já referido nos n.^os 74 a 75 das presentes conclusões, a existência de meios alternativos de obtenção dos dados pessoais necessários não é pertinente para efeitos da aplicação do artigo 7.°, alínea f). A Rīgas satiksme deve poder obter todas as informações necessárias junto do responsável pelo tratamento a quem as solicitou.

C. Epílogo cautelar em matéria de proteção dos dados

91. O caso presente reveste‑se de algumas peculiaridades. O órgão jurisdicional de reenvio pergunta, no fundo, se uma exceção que permite o tratamento dos dados pessoais pode ser interpretada como uma obrigação do responsável pelo tratamento de revelar a identidade de uma pessoa que provocou um acidente de viação. Afigura‑se que a verdadeira razão de ser dessa pergunta reside no facto de, ao nível nacional, as vias para a obtenção de tais informações terem sido dificultadas (se não totalmente vedadas) em nome da proteção de dados.

92. Considerando os sucessivos eventos em causa, um espetador menos informado poderia levantar uma questão inocente: uma situação em que alguém pede para lhe ser facultado o número de identificação de uma pessoa que danificou um bem da sua propriedade, com vista a pedir a essa pessoa o pagamento de uma indemnização, merece realmente que os agentes policiais sejam obrigados a efetuar vários níveis de ponderação de interesses e de avaliação da proporcionalidade e que a isto se siga um longo contencioso e um parecer da autoridade nacional de proteção de dados?

93. O presente caso constitui mais um exemplo (30) em que as leis de proteção dos dados se estendem e se aplicam a circunstâncias algo surpreendentes. Daqui resulta, e não só para o espetador menos informado, uma certa apreensão intelectual quanto à razoabilidade da utilização e da função das regras em matéria de proteção de dados. Aproveitarei esta oportunidade para tecer algumas considerações finais a este propósito.

94. É indiscutível que a proteção dos dados pessoais é de primordial importância na era digital. O Tribunal de Justiça tem estado na vanguarda do desenvolvimento jurisprudencial neste domínio (31), e com toda a justeza.

95. Todavia, os processos citados refletem verdadeiramente a principal preocupação da proteção dos dados pessoais, que motivou inicialmente a sua instituição e que deve ser vigorosamente salvaguardada: o tratamento de dados em larga escala, efetuado por meios mecânicos ou digitais, em todas as formas que pode assumir, tais como a compilação, a gestão e a utilização de grandes conjuntos de dados, a transferência de conjuntos de dados para efeitos ilegítimos, a recolha e a organização de metadados, etc.

96. Tal como em qualquer outro domínio do direito, as normas que regulam determinada atividade devem ser suficientemente flexíveis para abranger todas as eventualidades que se verifiquem. No entanto, essa flexibilidade pode gerar o risco de uma interpretação e aplicação demasiado amplas de tais normas. Estas podem acabar por ser aplicadas também a situações em que o nexo com o objetivo inicial é já ténue e discutível. Uma aplicação demasiado ampla e «absolutista» pode ter como resultado desacreditar a própria ideia inicial, que era, em si mesma, importante e legítima.

97. Em termos gerais, no acórdão Promusicae, o Tribunal de Justiça frisou a necessidade de que a interpretação das diretivas relativas aos dados pessoais permita assegurar o justo equilíbrio entre os direitos fundamentais protegidos pela ordem jurídica da União (32).

98. A estas considerações pode talvez ser acrescentado um certo critério de razoabilidade, que deveria ser aplicado na fase do exercício de ponderação. Isto implicaria ter presente o objetivo original e principal (não o único, decerto, mas o principal) da legislação: a regulação de operações em larga escala, realizadas através de meios mecânicos e automatizados, e a utilização e transmissão das informações assim obtidas. Em contrapartida, na minha modesta opinião, a abordagem deve ser consideravelmente mais moderada nas situações em que alguém pede um elemento de informação específico,relativo a uma pessoa concreta, no âmbito de uma relação individualizada, quando existe um objetivo evidente e totalmente legítimo que decorre da aplicação normal da lei.

99. Em resumo, o bom senso não é fonte de direito, mas deveria certamente presidir à sua interpretação. Seria lamentável que a proteção dos dados pessoais degenerasse em obstrução pelos dados pessoais.

V. Conclusão

100. À luz das considerações precedentes, proponho que o Tribunal de Justiça responda à questão que lhe foi submetida pelo Augstākā tiesa, Administrativo lietu departaments (Secção de Contencioso Administrativo do Supremo Tribunal, Letónia), nos seguintes termos:

O artigo 7.°, alínea f), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, não pode ser interpretado no sentido de que estabelece uma obrigação do responsável pelo tratamento de comunicar os dados pessoais solicitados por um terceiro para efeitos da propositura de uma ação cível.

Todavia, o artigo 7.°, alínea f), da diretiva não se opõe a essa comunicação de dados pessoais, desde que a lei nacional a preveja em situações como a do processo principal. O facto de a pessoa em causa ser menor à data do acidente não é relevante a este propósito.

1 Língua original: inglês.

2 — Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

3 — Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

4 — V., por exemplo, acórdãos de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 25), e de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.° 66).

5 — O sublinhado é meu.

6 — Por exemplo, em francês, «[…] le traitement de données à caractère personnel ne peut être effectué que si […]»; em alemão, «[…] die Verarbeitung personenbezogener Daten lediglich erfolgen darf […]»; em italiano, «[…] il trattamento di dati personali può essere effettuato soltanto quando […]»; em espanhol, «[…] el tratamiento de datos personales sólo pueda efectuarse si […]»; em checo, «[…] zpracování osobních údajů může být provedeno pouze pokud […]».

7 — V. a propósito do artigo 7.^o, alínea f), acórdão de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 52); a propósito do artigo 7.^o, alíneas c) e e), acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.^os 99 a 101).

8 — Diretiva do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (JO 2002, L 201, p. 37).

9 — V. acórdão de 29 de janeiro de 2008 (C‑275/06, EU:C:2008:54, n.^os 54 a 55).

10 — V. Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno (JO 2000, L 178, p. 1); Diretiva 2001/29/CE do Parlamento Europeu e do Conselho, de 22 de maio de 2001, relativa à harmonização de certos aspetos do direito de autor e dos direitos conexos na sociedade da informação (JO 2001, L 167, p. 10); Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao respeito dos direitos de propriedade intelectual (JO 2004, L 157, p. 45).

11 — O Tribunal de Justiça insistiu particularmente no facto de a proteção da propriedade intelectual que essas diretivas asseguram não poder prejudicar as exigências ligadas à proteção dos dados pessoais e, ainda, na necessária conciliação entre as exigências ligadas à proteção de direitos fundamentais: v. acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.^os 57 e 65).

12 — V. acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.° 70).

13 — O Regulamento n.° 2016/679 é ainda mais explícito a este respeito. O artigo 6.^o, n.° 1, que revoga o artigo 7.^o da diretiva, estabelece que «[o] tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações […]» (o sublinhado é meu).

14 — V. acórdão de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 38).

15 — V. Parecer 06/2014 do Grupo de Trabalho do Artigo 29.^o para a Proteção de Dados sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.^o da Diretiva 95/46/CE (844/14/PT WP 217).

16 — Acórdão de 9 de novembro de 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, n.° 77).

17 — Acórdão de 11 de dezembro de 2014, Ryneš (C‑212/13, EU:C:2014:2428, n.° 34).

18 — Várias disposições da diretiva têm por objetivo a proteção da pessoa em causa, tanto no que respeita às informações que lhe devem ser fornecidas (artigos 10.^o e 11.^o) como ao acesso aos seus próprios dados pessoais (artigo 12.^o). O artigo 14.^o prevê expressamente o direito da pessoa em causa de, «[p]elo menos nos casos referidos nas alíneas e) e f) do artigo 7.^o, se opor em qualquer altura, por razões preponderantes e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objeto de tratamento».

19 — Proposta de Diretiva do Conselho relativa à proteção das pessoas no que diz respeito ao tratamento dos dados pessoais (COM (90) 314 final).

20 — Proposta alterada de Diretiva do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à sua livre circulação (COM (92) 422 final).

21 — Acórdãos de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.^os 38 e 40), e de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.° 74).

22 — Acórdão de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 40).

23 — Acórdãos de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 47), e de 19 de outubro de 2016, Breyer (C‑582/14, EU:C:2016:779, n.° 62).

24 — Acórdão de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 e C‑469/10, EU:C:2011:777, n.° 44).

25 — Acórdãos de 9 de novembro de 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, n.° 86), e de 11 de dezembro de 2014, Ryneš (C‑212/13, EU:C:2014:2428, n.° 28).

26 — Como é lógico, estas duas opções também estão disponíveis quando os dados são objeto de tratamento com base em qualquer outro fundamento previsto no artigo 7.°

27 — O Tribunal de Justiça considerou que o artigo 6.^o, n.° 1, alínea c), tem efeito direto (acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o., C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.^os 99 a 101).

28 — V. n.° 46 das presentes conclusões e notas 10 a 12.

29 — Acórdãos de 14 de setembro de 2000, Fisher (C‑369/98, EU:C:2000:443, n.° 38) e de 16 de dezembro de 2008, Huber (C‑524/06, EU:C:2008:724, n.° 67).

30 — V., por exemplo, na mais recente jurisprudência do Tribunal de Justiça, acórdão de 11 de dezembro de 2014, Ryneš (C‑212/13, EU:C:2014:2428). V. também, ainda que incidindo principalmente sobre outras disposições do direito da União, despacho de 11 de janeiro de 2017, Boudjellal (C‑508/16, EU:C:2017:6).

31 — V., em especial, acórdãos de 8 de abril de 2014, Digital Rights Ireland e o. (C‑293/12 e C‑594/12, EU:C:2014:238); de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317); e de 6 de outubro de 2015, Schrems (C‑362/14, EU:C:2015:650).

32 — Acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.° 68).