CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:270

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Primeira Secção)

30 de março de 2023 (*)

«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 88.o, n.os 1 e 2 — Tratamento de dados no contexto laboral — Sistema escolar regional — Ensino em direto através de videoconferência devido à pandemia de COVID‑19 — Implementação sem o consentimento expresso dos docentes»

No processo C‑34/21,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), por Decisão de 20 de dezembro de 2020, que deu entrada no Tribunal de Justiça em 20 de janeiro de 2021, no processo

Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium

contra

Minister des Hessischen Kultusministeriums,

O TRIBUNAL DE JUSTIÇA (Primeira Secção),

composto por: A. Arabadjiev, presidente de secção, K. Lenaerts, presidente do Tribunal de Justiça, L. Bay Larsen, vice‑presidente do Tribunal de Justiça, exercendo funções de juízes da Primeira Secção, A. Kumin e I. Ziemele (relatora), juízes,

advogado‑geral: M. Campos Sánchez‑Bordona,

secretário: S. Beer, administradora,

vistos os autos e após a audiência de 30 de junho de 2022,

vistas as observações apresentadas:

– em representação do Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium, por J. Kolter, Rechtsanwalt,

– em representação do Minister des Hessischen Kultusministeriums, por C. Meinert,

– em representação do Governo alemão, por J. Möller e D. Klebs, na qualidade de agentes,

– em representação do Governo austríaco, por G. Kunnert e J. Schmoll, na qualidade de agentes,

– em representação do Governo romeno, por E. Gane e A. Wellman, na qualidade de agentes,

– em representação da Comissão Europeia, por F. Erlbacher, H. Kranenborg e D. Nardi, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 22 de setembro de 2022,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 88.^o, n.^os 1 e 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio entre o Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium (Comité principal do pessoal docente do Ministério da Educação e da Cultura do Hesse, Alemanha) e o Minister des Hessischen Kultusministeriums (Ministro da Educação e da Cultura do Hesse, Alemanha), a respeito da legalidade de um sistema de difusão em direto de aulas por videoconferência implementado nas escolas do Land de Hesse (Alemanha) sem que estivesse previsto o consentimento prévio dos docentes envolvidos.

Quadro jurídico

Direito da União

Diretiva 95/46/CE

3 A Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), foi revogada, com efeitos a partir de 25 de maio de 2018, pelo RGPD. O artigo 3.^o desta diretiva, sob a epígrafe «Âmbito de aplicação», tinha a seguinte redação:

«1. A presente diretiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

2. A presente diretiva não se aplica ao tratamento de dados pessoais:

– efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado [UE, na sua versão anterior ao Tratado de Lisboa], e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as atividades do Estado no domínio do direito penal,

[…]»

RGPD

4 Os considerandos 8 a 10, 13, 16, 45 e 155 do RGPD enunciam:

«(8) Caso o presente regulamento preveja especificações ou restrições das suas regras pelo direito de um Estado‑Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida do necessário para manter a coerência e tornar as disposições nacionais compreensíveis para as pessoas a quem se aplicam.

(9) Os objetivos e os princípios da Diretiva [95/46] continuam a ser válidos, mas não evitaram a fragmentação da aplicação da proteção dos dados ao nível da União [Europeia], nem a insegurança jurídica ou o sentimento generalizado da opinião pública de que subsistem riscos significativos para a proteção das pessoas singulares, nomeadamente no que diz respeito às atividades por via eletrónica. As diferenças no nível de proteção dos direitos e das pessoas singulares, nomeadamente do direito à proteção dos dados pessoais no contexto do tratamento desses dados nos Estados‑Membros, podem impedir a livre circulação de dados pessoais na União. Essas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da União, distorcer a concorrência e impedir as autoridades de cumprirem as obrigações que lhes incumbem por força do direito da União. Essas diferenças entre os níveis de proteção devem‑se à existência de disparidades na execução e aplicação da Diretiva [95/46].

(10) A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os Estados‑Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. No que diz respeito ao tratamento de dados pessoais para cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, os Estados‑Membros deverão poder manter ou aprovar disposições nacionais para especificar a aplicação das regras do presente regulamento. Em conjugação com a legislação geral e horizontal sobre proteção de dados que dá aplicação à Diretiva [95/46], os Estados‑Membros dispõem de várias leis setoriais em domínios que necessitam de disposições mais específicas. O presente regulamento também dá aos Estados‑Membros margem de manobra para especificarem as suas regras, inclusive em matéria de tratamento de categorias especiais de dados pessoais (“dados sensíveis”). Nessa medida, o presente regulamento não exclui o direito dos Estados‑Membros que define as circunstâncias de situações específicas de tratamento, incluindo a determinação mais precisa das condições em que é lícito o tratamento de dados pessoais.

[…]

(13) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos […], que assegure às pessoas singulares de todos os Estados‑Membros o mesmo nível de direitos suscetíveis de proteção judicial e imponha obrigações e responsabilidades iguais aos responsáveis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, sanções equivalentes em todos os Estados‑Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados‑Membros. O bom funcionamento do mercado interno impõe que a livre circulação de dados pessoais na União não pode ser restringida ou proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. […]

[…]

(16) O presente regulamento não se aplica às questões de defesa dos direitos e das liberdades fundamentais ou da livre circulação de dados pessoais relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a segurança nacional. O presente regulamento não se aplica ao tratamento de dados pessoais pelos Estados‑Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União.

[…]

(45) Sempre que o tratamento dos dados for realizado em conformidade com uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública, o tratamento deverá assentar no direito da União ou de um Estado‑Membro. O presente regulamento não exige uma lei específica para cada tratamento de dados. Poderá ser suficiente uma lei para diversas operações de tratamento baseadas numa obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública. Deverá também caber ao direito da União ou dos Estados‑Membros determinar qual a finalidade do tratamento dos dados. Além disso, a referida lei poderá especificar as condições gerais do presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras específicas para determinar os responsáveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em questão, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do tratamento devem obedecer, os prazos de conservação e outras medidas destinadas a garantir a licitude e equidade do tratamento. […]

[…]

(155) O direito do Estado‑Membro ou as convenções coletivas (incluindo “acordos setoriais”) podem prever regras específicas para o tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente no que respeita às condições em que os dados pessoais podem ser tratados no contexto laboral, com base no consentimento do assalariado, para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas por lei ou por convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no trabalho, de saúde e segurança no trabalho, e para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.»

5 O artigo 1.^o do RGPD, sob a epígrafe «Objeto e objetivos», dispõe:

«1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

3. A livre circulação de dados pessoais no interior da União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.»

6 O artigo 2.^o do referido regulamento, sob a epígrafe «Âmbito de aplicação material», prevê, nos seus n.^os 1 e 2:

«1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União:

b) Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;

d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.»

7 O artigo 4.^o do referido regulamento, sob a epígrafe «Definições», dispõe:

«Para efeitos do presente regulamento, entende‑se por:

1) “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]»

8 O artigo 5.^o do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê:

«1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.^o, n.^o 1 (“limitação das finalidades”);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.^o, n.^o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”).

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

9 O artigo 6.^o do referido regulamento, sob a epígrafe «Licitude do tratamento», dispõe, nos seus n.^os 1 a 3:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

[…]

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados‑Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.^o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.^o 1, alíneas c) e e), é definido:

a) Pelo direito da União; ou

b) Pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.^o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado‑Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.»

10 No capítulo IX do RGPD, que tem por epígrafe «Disposições relativas a situações específicas de tratamento», figura o artigo 88.^o, relativo ao «[t]ratamento no contexto laboral», que prevê:

«1. Os Estados‑Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.

2. As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho.

3. Os Estados‑Membros notificam a Comissão [Europeia] das disposições de direito interno que adotarem nos termos do n.^o 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.»

Direito alemão

11 O § 26, n.^o 1, da Bundesdatenschutzgesetz (Lei Federal de Proteção de Dados), de 30 de junho de 2017 (BGBl. 2017 I, p. 2097), dispõe:

«Os dados pessoais relativos aos trabalhadores podem ser tratados para efeitos da relação laboral, se tal for necessário para decidir da constituição de uma relação de trabalho ou, após a constituição da relação de trabalho, para a sua execução ou cessação, ou para o exercício ou cumprimento dos direitos e obrigações ligados, respetivamente, à representação dos interesses dos trabalhadores previstos na lei ou numa convenção coletiva ou em acordo de empresa ou da função pública (acordo coletivo de trabalho). […]»

12 Nos termos do § 23 da Hessisches Datenschutz‑ und Informationsfreiheitsgesetz (Lei da Proteção de Dados e da Liberdade de Informação do Hesse), de 3 de maio de 2018 (a seguir «HDSIG»):

«1. Os dados pessoais relativos aos trabalhadores podem ser tratados para efeitos da relação laboral, se tal for necessário para decidir da constituição de uma relação de trabalho ou, após a constituição da relação de trabalho, para a sua execução, cessação ou resolução, ou para a execução de medidas internas de caráter administrativo, organizacional, social e pessoal. […]

2. Quando o tratamento de dados pessoais relativos aos trabalhadores for efetuado com base num consentimento, é necessário, para apreciar se o consentimento foi dado livremente, ter em conta, em particular, a dependência do trabalhador na relação de trabalho, bem como as circunstâncias em que o consentimento foi dado. O caráter livre do consentimento pode ser demonstrado, nomeadamente, se existir, para o trabalhador, uma vantagem jurídica ou económica, ou se o empregador e o trabalhador tiverem interesses convergentes. O consentimento deve ser dado por escrito, exceto se for exigida outra forma devido a circunstâncias especiais. O empregador tem de informar o trabalhador por escrito da finalidade do tratamento dos dados e do seu direito de revogar o seu consentimento, previsto no artigo 7.^o, n.^o 3, do [RGPD].

3. Em derrogação do artigo 9.^o, n.^o 1, do [RGPD], o tratamento de categorias especiais de dados pessoais na aceção do artigo 9.^o, n.^o 1, do [RGPD], é autorizado para efeitos da relação de trabalho quando for necessário para o exercício de direitos ou para o cumprimento de obrigações jurídicas decorrentes do direito do trabalho, do direito da segurança social e da proteção social, e não haja motivos para considerar que prevalece o interesse legítimo do titular dos dados em excluir o tratamento. O n.^o 2 é igualmente válido em relação ao consentimento para o tratamento de categorias especiais de dados pessoais. A este respeito, o consentimento deve fazer referência expressa a esses dados. […]

4. O tratamento de dados pessoais, incluindo categorias especiais de dados pessoais relativos aos trabalhadores, é autorizado com base em acordos coletivos. Os negociadores devem respeitar o artigo 88.^o, n.^o 2, do [RGPD].

5. O responsável pelo tratamento deve tomar as medidas adequadas para assegurar em especial a observância dos princípios que regem o tratamento dos dados pessoais enunciados no artigo 5.^o do [RGPD].

[…]

7. Os n.^os 1 a 6 são igualmente aplicáveis quando os dados pessoais, incluindo categorias especiais de dados pessoais dos trabalhadores são tratados sem estarem contidos ou serem destinados a um sistema de ficheiros. As disposições da Hessisches Beamtengesetz [(HBG) Lei da Função Pública do Hesse), de 21 de junho de 2018 (a seguir “HBG”)] aplicáveis aos processos do pessoal aplicam‑se mutatis mutandis aos trabalhadores do setor público, salvo disposição em contrário prevista na convenção coletiva.

8. São trabalhadores na aceção da presente lei:

1. os trabalhadores, incluindo os trabalhadores temporários na relação com o utilizador;

[…]

7. os funcionários sujeitos à HBG, os magistrados do Land e as pessoas que exerçam funções públicas.

[…]»

13 O § 86, n.^o 4, da HBG, dispõe:

«O empregador só pode recolher dados pessoais relativos a candidatos, a funcionários e antigos funcionários na medida em que tal seja necessário para decidir da constituição de uma relação de trabalho ou para a sua execução, cessação ou resolução, ou para a execução de medidas organizatórias, pessoais ou sociais e especialmente também para os efeitos do planeamento e recrutamento do pessoal, ou quando tal for permitido por lei ou por cláusula de acordo coletivo. […]»

Litígio no processo principal e questões prejudiciais

14 Como resulta dos autos submetidos ao Tribunal de Justiça, através de duas deliberações adotadas em 2020, o Ministro da Educação e da Cultura do Hesse fixou o quadro jurídico e organizacional do ensino escolar durante o período da pandemia de COVID‑19. Este quadro instituía, nomeadamente, a possibilidade de os alunos que não pudessem estar presentes em sala assistirem em direto às aulas por videoconferência. A fim de preservar os direitos dos alunos em matéria de proteção de dados pessoais, foi estabelecido que a ligação ao serviço de videoconferência só seria autorizada com o consentimento dos próprios alunos ou, se estes fossem menores, dos seus pais. Em contrapartida, não estava previsto o consentimento dos docentes em causa para participarem nesse serviço.

15 O Comité principal do pessoal docente do Ministério da Educação e da Cultura do Hesse interpôs recurso para o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), queixando‑se do facto de a difusão em direto das aulas por videoconferência não estar sujeita ao requisito do consentimento dos docentes em causa.

16 O Ministro da Educação e da Cultura do Hesse, por sua vez, alegou que o tratamento dos dados pessoais que a difusão em direto das aulas por videoconferência constitui estava abrangido pelo § 23, n.^o 1, primeiro período, da HDSIG, de modo que podia ser efetuado sem que fosse pedido o consentimento do docente em causa.

17 O Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) refere a este respeito que, de acordo com a vontade do legislador do Land de Hesse, o § 23 da HDSIG e o § 86 da HBG pertencem à categoria das «normas mais específicas» que os Estados‑Membros podem estabelecer, em conformidade com o artigo 88.^o, n.^o 1, do RGPD, para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral. No entanto, este órgão jurisdicional tem dúvidas quanto à compatibilidade do § 23, n.^o 1, primeiro período, da HDSIG e do § 86, n.^o 4, da HBG com os requisitos previstos no artigo 88.^o, n.^o 2, do RGPD.

18 Com efeito, em primeiro lugar, o § 23, n.^o 1, primeiro período, da HDSIG e o § 86, n.^o 4, da HBG baseiam‑se na «necessidade», enquanto base jurídica do tratamento de dados dos trabalhadores. Ora, por um lado, a inserção na lei do princípio da «necessidade» não constitui uma regra que especifique os requisitos do artigo 88.^o, n.^o 2, do RGPD, uma vez que o tratamento de dados necessário no âmbito de uma relação de trabalho já é regulado pelo artigo 6.^o, n.^o 1, primeiro parágrafo, alínea b), do RGPD.

19 Por outro lado, além de se aplicar à relação contratual propriamente dita, o § 23, n.^o 1, primeiro período, da HDSIG é aplicável a qualquer tratamento de dados dos trabalhadores. Ora, decorre do artigo 6.^o, n.^o 1, primeiro parágrafo, alínea f), do RGPD que, no caso de um tratamento de dados pessoais que vá para além do tratamento estritamente necessário no âmbito do contrato de trabalho, há que ponderar os direitos e liberdades fundamentais do titular, no presente processo os agentes e os funcionários, com o interesse legítimo prosseguido pelo responsável pelo tratamento, no presente processo, o empregador. Na medida em que o § 23, n.^o 1, primeiro período, da HDSIG não prevê essa ponderação, esta disposição não pode ser considerada uma norma setorial específica após a entrada em vigor do RGPD.

20 Em segundo lugar, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) considera que a mera referência que figura no § 23, n.^o 5, da HDSIG, segundo a qual o responsável pelo tratamento deve, nomeadamente, respeitar os princípios enunciados no artigo 5.^o do RGPD, não satisfaz os requisitos do artigo 88.^o, n.^o 2, desse regulamento. Com efeito, esta última disposição exige que as disposições normativas adequadas e específicas a que se refere sejam adotadas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho, e não é uma mera regra que o utilizador de uma norma nacional deve respeitar adicionalmente. O utilizador da norma não é o destinatário do artigo 88.^o, n.^o 2, do RGPD.

21 Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 88.^o, n.^o 1, do [RGPD] ser interpretado no sentido de que, para que uma disposição legal seja uma norma mais específica para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, na aceção do artigo 88.^o, n.^o 1, do [RGPD], deve preencher os requisitos indicados no artigo 88.^o, n.^o 2, do [RGPD]?

2) Pode uma norma nacional que manifestamente não satisfaz os requisitos indicados no artigo 88.^o, n.^o 2, do [RGPD] continuar a ser aplicável?»

22 Por comunicação entrada na Secretaria do Tribunal de Justiça em 30 de novembro de 2021, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) informou o Tribunal de Justiça de que, devido a alterações da legislação nacional sobre a competência territorial dos órgãos jurisdicionais administrativos do Land de Hesse que deviam produzir efeitos a partir de 1 de dezembro de 2021, o litígio no processo principal tinha sido transferido para o Verwaltungsgericht Frankfurt am Main (Tribunal Administrativo de Frankfurt am Main, Alemanha). Por comunicação entrada na Secretaria do Tribunal de Justiça em 21 de fevereiro de 2022, este último órgão jurisdicional confirmou essa transferência e indicou ao Tribunal de Justiça a nova referência processual atribuída ao processo principal.

Quanto à admissibilidade do pedido de decisão prejudicial

23 Nas suas observações escritas, o Governo alemão alegou que o pedido de decisão prejudicial era inadmissível na medida em que as questões prejudiciais não eram pertinentes para a decisão da causa principal. Com efeito, a resposta do Tribunal de Justiça não teria utilidade para o órgão jurisdicional de reenvio na hipótese de o tratamento dos dados ser autorizado devido ao consentimento do docente. Ora, o órgão jurisdicional de reenvio não explica as razões pelas quais não teve em conta essa hipótese.

24 Interrogado sobre este ponto na audiência no Tribunal de Justiça, o Governo alemão reconheceu, no entanto, que as questões prejudiciais eram pertinentes quando o consentimento do docente não podia ser obtido.

25 A este propósito, importa recordar que, segundo jurisprudência constante, as questões relativas à interpretação do direito da União submetidas pelo juiz nacional no quadro regulamentar e factual que define sob a sua responsabilidade, e cuja exatidão não cabe ao Tribunal de Justiça verificar, gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre um pedido de decisão prejudicial apresentado por um órgão jurisdicional nacional se for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.^o 48 e jurisprudência referida).

26 No caso em apreço, resulta da decisão de reenvio que as partes no processo principal estão em desacordo sobre a questão de saber se a implementação da difusão em direto de aulas através de sistemas de videoconferência exige, além do consentimento dos pais relativamente aos seus filhos ou do consentimento dos estudantes maiores de idade, o consentimento dos docentes em causa, ou se, em contrapartida, o tratamento dos dados pessoais destes últimos está abrangido pelo § 23, n.^o 1, primeiro período, da HDSIG e pelo § 86, n.^o 4, da HBG.

27 Importa igualmente observar que o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) referiu no seu pedido de decisão prejudicial, por um lado, que o legislador nacional considerou que o § 23 da HDSIG e o § 86 da HBG constituem normas mais específicas na aceção do artigo 88.^o do RGPD e, por outro, que a decisão da causa principal depende da questão de saber se o § 23, n.^o 1, primeiro período, da HDSIG e o § 86, n.^o 4, da HBG satisfazem os requisitos do referido artigo 88.^o do RGPD, de modo a poderem constituir normas mais específicas aplicáveis ao tratamento dos dados pessoais dos docentes aquando da difusão em direto das aulas através do sistema de videoconferência em causa no processo principal.

28 Tendo em conta as indicações assim fornecidas no pedido de decisão prejudicial, a argumentação apresentada pelo Governo alemão não é suscetível de ilidir a presunção de pertinência de que beneficiam as questões submetidas.

29 Nestas condições, não se pode considerar que a interpretação das disposições do direito da União pedida não tem manifestamente nenhuma relação com a realidade ou com o objeto do litígio no processo principal, nem que o problema é hipotético, uma vez que o órgão jurisdicional de reenvio pode ter em conta essa interpretação para efeitos da decisão da causa principal. Além disso, o Tribunal de Justiça dispõe dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas.

30 Por conseguinte, o pedido de decisão prejudicial é admissível.

Quanto às questões prejudiciais

Observações preliminares

31 As questões prejudiciais têm por objeto a interpretação do artigo 88.^o, n.^os 1 e 2, do RGPD no âmbito de um litígio relativo ao tratamento de dados pessoais dos docentes aquando da difusão em direto por videoconferência das aulas de ensino público que estão encarregados de ministrar.

32 Em primeiro lugar, há que determinar se esse tratamento está abrangido pelo âmbito de aplicação material do RGPD, tendo em conta que, nos termos do artigo 2.^o, n.^o 2, alínea a), do mesmo regulamento, este não se aplica ao tratamento de dados pessoais efetuado «no exercício de atividades não sujeitas à aplicação do direito da União» e que, em conformidade com o artigo 165.^o, n.^o 1, TFUE, os Estados‑Membros são responsáveis pelo conteúdo do ensino e pela organização dos seus sistemas educativos.

33 A este respeito, resulta da jurisprudência do Tribunal de Justiça que a definição do âmbito de aplicação material do RGPD, conforme enunciada no seu artigo 2.^o, n.^o 1, é muito ampla e que as exceções a este âmbito de aplicação, previstas no seu artigo 2.^o, n.^o 2, devem ser objeto de interpretação estrita [v., neste sentido, Acórdãos de 9 de julho de 2020, Land Hessen, C‑272/19, EU:C:2020:535, n.^o 68, assim como de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^os 61 e 62].

34 Além disso, há que ler o artigo 2.^o, n.^o 2, alínea a), do RGPD em conjugação com o seu artigo 2.^o, n.^o 2, alínea b), e com o seu considerando 16, que precisa que o referido regulamento não se aplica ao tratamento de dados pessoais no exercício de «atividades que se encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a segurança nacional», bem como de «atividades relacionadas com a política externa e de segurança comum da União» [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 63].

35 Daqui resulta que o artigo 2.^o, n.^o 2, alíneas a) e b), do RGPD, que se inscreve parcialmente na continuidade do artigo 3.^o, n.^o 2, primeiro travessão, da Diretiva 95/46, não pode ser interpretado no sentido de que dispõe de um alcance mais amplo do que a exceção que decorre do artigo 3.^o, n.^o 2, primeiro travessão, da Diretiva 95/46, que já excluía do âmbito de aplicação desta diretiva, nomeadamente, o tratamento de dados pessoais efetuado no quadro de «atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado [UE, na sua versão anterior ao Tratado de Lisboa], e, em qualquer caso, [o] tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado» [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 64].

36 No caso, é pacífico que a atividade relativa à organização do ensino no Land de Hesse não pode ser incluída na categoria das atividades que têm por objetivo a preservação da segurança nacional, referidas no artigo 2.^o, n.^o 2, alínea a), do RGPD.

37 Por conseguinte, um tratamento de dados pessoais de docentes no âmbito da difusão em direto por videoconferência das aulas de ensino público que ministram, como o que está em causa no processo principal, encontra‑se abrangido pelo âmbito de aplicação material do RGPD.

38 Em segundo lugar, resulta do pedido de decisão prejudicial que os docentes, cujo tratamento de dados pessoais é objeto do litígio no processo principal, integram o serviço público do Land de Hesse, enquanto agentes ou funcionários.

39 Assim, importa determinar se esse tratamento de dados pessoais está abrangido pelo âmbito de aplicação do artigo 88.^o do RGPD, que visa o «tratamento de dados pessoais dos trabalhadores no contexto laboral».

40 A este respeito, há que referir que o RGPD não define os termos «trabalhadores» e «relações de trabalho», nem remete para o direito dos Estados‑Membros para os definir. Perante a inexistência desta remissão, importa recordar que, como decorre das exigências tanto da aplicação uniforme do direito da União como do princípio da igualdade, os termos de uma disposição do direito da União que não comporte uma remissão expressa para o direito dos Estados‑Membros para determinar o seu sentido e o seu alcance devem normalmente ser objeto de uma interpretação autónoma e uniforme em toda a União (Acórdãos de 2 de junho de 2022, HK/Danmark e HK/Privat, C‑587/20, EU:C:2022:419, n.^o 25 e jurisprudência referida).

41 Além disso, uma vez que o RGPD não define os termos «trabalhadores» e «relações de trabalho», estes devem ser interpretados de acordo com o seu sentido habitual na linguagem corrente, tendo em conta o contexto em que são utilizados e os objetivos prosseguidos pela regulamentação de que fazem parte (Acórdão de 2 de junho de 2022, HK/Danmark e HK/Privat, C‑587/20, EU:C:2022:419, n.^o 26 e jurisprudência referida).

42 Ora, o termo «trabalhador» no seu sentido habitual designa uma pessoa que presta o seu trabalho no âmbito de uma relação de subordinação com o seu empregador e, assim, sob o seu controlo (Acórdão de 18 de março de 2021, Kuoni Travel, C‑578/19, EU:C:2021:213, n.^o 42).

43 De igual modo, a característica essencial de uma «relação de trabalho» é a circunstância de uma pessoa realizar, durante um certo período de tempo, em benefício de outra e sob a direção desta, prestações em contrapartida das quais recebe uma remuneração (Acórdão de 15 de julho de 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, n.^o 49).

44 Sendo esta uma característica própria dos trabalhadores e das relações de trabalho tanto do setor público como do setor privado, deve daí deduzir‑se que os termos «trabalhador» e «relações de trabalho», entendidos no seu sentido habitual, não excluem as pessoas que exercem a sua atividade profissional no setor público.

45 Com efeito, o alcance do artigo 88.^o, n.^o 1, do RGPD não pode ser determinado em função da natureza do vínculo jurídico entre o trabalhador e o empregador. Assim, é irrelevante a questão de saber se o titular dos dados foi contratado na qualidade de agente ou de funcionário, ou ainda se o seu vínculo laboral é regulado pelo direito público ou pelo direito privado, uma vez que estas qualificações jurídicas efetivamente variam consoante as legislações nacionais e não podem, assim, fornecer um critério adequado para uma interpretação uniforme e autónoma desta disposição (v., por analogia, Acórdãos de 12 de fevereiro de 1974, Sotgiu, 152/73, EU:C:1974:13, n.^o 5, e de 3 de junho de 1986, Comissão/França, 307/84, EU:C:1986:222, n.^o 11).

46 No que respeita especificamente às pessoas cujo vínculo laboral não é um contrato de trabalho, como os funcionários, é certo que o artigo 88.^o do RGPD faz referência, no seu n.^o 1, à «execução do contrato de trabalho». No entanto, há que observar, por um lado, que esta referência figura entre outros fins do tratamento de dados pessoais no âmbito das relações de trabalho que podem ser objeto das normas mais específicas adotadas pelos Estados‑Membros, enumeradas no artigo 88.^o, n.^o 1, do RGPD, e que, em todo o caso, esta enumeração não tem caráter taxativo, como demonstra o advérbio «nomeadamente» utilizado nesta disposição.

47 Por outro lado, a irrelevância da qualificação do vínculo jurídico entre o trabalhador e a administração que o emprega é corroborada pelo facto de a gestão, planificação e organização do trabalho, a igualdade e diversidade no local de trabalho, a saúde e segurança no trabalho, a proteção dos bens do empregador ou do cliente, o exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como a cessação da relação de trabalho, que são igualmente enumeradas nesse artigo 88.^o, n.^o 1, do RGPD, dizerem respeito ao emprego tanto no setor privado como no setor público.

48 Por conseguinte, não se pode deduzir da referência à «execução do contrato de trabalho», que figura no artigo 88.^o, n.^o 1, do RGPD, que o emprego no setor público que não se baseie num contrato de trabalho está excluído do âmbito de aplicação da referida disposição.

49 A mesma conclusão se impõe no que respeita ao facto de o artigo 88.^o, n.^o 2, do RGPD mencionar, entre os três elementos a que os Estados‑Membros devem dar «especial relevo» quando adotam tais «normas mais específicas», a transferência de dados pessoais «num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta». Com efeito, os dois outros elementos, designadamente, a transparência do tratamento e os sistemas de controlo no local de trabalho, são pertinentes tanto para o emprego no setor privado como para o emprego no setor público, independentemente da natureza do vínculo jurídico que liga o trabalhador e o empregador.

50 A interpretação que decorre da redação do artigo 88.^o do RGPD é confirmada pelo contexto em que este artigo se insere, bem como pelo objetivo prosseguido pela regulamentação de que faz parte.

51 Como resulta do artigo 1.^o, n.^o 1, do RGPD, lido à luz, nomeadamente, dos seus considerandos 9, 10 e 13, este regulamento visa assegurar uma harmonização das legislações nacionais relativas à proteção dos dados pessoais que é, em princípio, completa. No entanto, as disposições do referido regulamento conferem aos Estados‑Membros a possibilidade de preverem regras nacionais adicionais, mais rigorosas ou derrogatórias, e deixam‑lhes uma margem de apreciação quanto ao modo como essas disposições podem ser aplicadas («cláusulas de abertura») (v., neste sentido, Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 57).

52 O artigo 88.^o do RGPD, que faz parte do capítulo IX deste regulamento, sob a epígrafe «Disposições relativas a situações específicas de tratamento», constitui uma das referidas cláusulas de abertura, uma vez que confere aos Estados‑Membros a faculdade de adotarem «normas mais específicas» para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral.

53 As especificidades do tratamento de dados pessoais no contexto laboral e, por conseguinte, a faculdade conferida aos Estados‑Membros pelo artigo 88.^o, n.^o 1, do RGPD explicam‑se, nomeadamente, pela existência de um vínculo de subordinação entre o trabalhador e o empregador e não pela natureza do vínculo jurídico existente entre ambos.

54 Além disso, segundo o seu artigo 1.^o, n.^o 2, conjugado com o seu considerando 10, o RGPD tem por objeto, nomeadamente, garantir um nível elevado de proteção das liberdades e dos direitos fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais, sendo este direito igualmente reconhecido no artigo 8.^o da Carta dos Direitos Fundamentais da União Europeia e estando estreitamente ligado ao direito ao respeito pela vida privada, consagrado no artigo 7.^o desta Carta (v., neste sentido, Acórdão de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, n.^o 61).

55 Ora, é conforme a este objeto uma interpretação ampla do artigo 88.^o, n.^o 1, do RGPD, segundo a qual as «normas mais específicas» que os Estados‑Membros podem prever para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral são suscetíveis de afetar todos os trabalhadores, independentemente da natureza do vínculo jurídico que os liga ao seu empregador.

56 Nestas condições, um tratamento de dados pessoais de docentes aquando da difusão em direto por videoconferência das aulas de ensino público que ministram, como o que está em causa no processo principal, encontra‑se abrangido pelo âmbito de aplicação material e pessoal do artigo 88.^o do RGPD.

Quanto à primeira questão

57 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 88.^o do RGPD deve ser interpretado no sentido de que, para poder ser qualificada de norma mais específica na aceção do n.^o 1 deste artigo, uma disposição legal deve preencher os requisitos previstos no n.^o 2 do referido artigo.

58 Conforme referido no n.^o 52 do presente acórdão, os Estados‑Membros têm a faculdade, e não a obrigação, de adotar tais normas, podendo estas estar previstas na lei ou em convenções coletivas.

59 Além disso, quando os Estados‑Membros exercem a faculdade que lhes é concedida por uma cláusula de abertura do RGPD, devem utilizar a sua margem de apreciação nas condições e nos limites previstos pelas disposições desse regulamento e, assim, devem legislar de modo a não prejudicar o conteúdo e os objetivos do referido regulamento (v., neste sentido, Acórdão de 28 de abril de 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, n.^o 60).

60 Para determinar as condições e os limites a que estão sujeitas as normas previstas no artigo 88.^o, n.^os 1 e 2, do RGPD e, por conseguinte, para apreciar a margem de apreciação deixada aos Estados‑Membros por estas disposições, há que recordar que, segundo jurisprudência constante, a interpretação de uma disposição do direito da União exige que se tenham em conta não só os seus termos mas também o contexto em que se insere e os objetivos e a finalidade prosseguidos pelo ato de que faz parte (Acórdão de 15 de março de 2022, Autoridade dos Mercados Financeiros, C‑302/20, EU:C:2022:190, n.^o 63).

61 No que respeita à redação do artigo 88.^o, n.^o 1, do RGPD, resulta, antes de mais, da utilização dos termos «mais específicas» que as normas visadas por esta disposição devem ter um conteúdo normativo próprio do domínio regulamentado e distinto das normas gerais desse regulamento.

62 Em seguida, conforme foi referido no n.^o 52 do presente acórdão, o objetivo das normas adotadas com base nesta disposição consiste em defender os direitos e as liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral.

63 Por último, decorre dos diferentes fins para os quais o tratamento de dados pessoais pode ser efetuado, conforme enunciados no artigo 88.^o, n.^o 1, do RGPD, que as «normas mais específicas» que refere podem dizer respeito a um grande número de tratamentos ligados a uma relação de trabalho, de maneira a abranger todos os fins para os quais o tratamento de dados pessoais pode ser efetuado no âmbito de uma relação de trabalho. Além disso, uma vez que a enunciação destes fins não é taxativa, como foi referido no n.^o 46 do presente acórdão, os Estados‑Membros dispõem de uma margem de apreciação quanto aos tratamentos assim sujeitos a essas normas mais específicas.

64 O artigo 88.^o do RGPD prevê, no seu n.^o 2, que as normas adotadas com fundamento no seu n.^o 1 incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho.

65 Assim, resulta da redação do artigo 88.^o do RGPD que o n.^o 2 deste artigo abrange a margem de apreciação dos Estados‑Membros que pretendam adotar «normas mais específicas» ao abrigo do n.^o 1 do referido artigo. Assim, por um lado, estas normas não se podem limitar a reiterar as disposições deste regulamento e devem visar a defesa dos direitos e liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral e incluir medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados.

66 Por outro lado, deve ser dado especial relevo à transparência do tratamento, à transparência do tratamento de dados, à transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e aos sistemas de controlo no local de trabalho.

67 No que respeita ao contexto em que se insere o artigo 88.^o do RGPD, há que referir, em primeiro lugar, que esta disposição deve ser interpretada à luz do considerando 8 do mesmo regulamento, segundo o qual, caso este regulamento preveja especificações ou restrições das suas regras pelo direito de um Estado‑Membro, estes podem incorporar elementos do referido regulamento no respetivo direito nacional, na medida do necessário para manter a coerência e tornar as disposições nacionais compreensíveis para as pessoas a quem se aplicam.

68 Em segundo lugar, importa recordar que os capítulos II e III do RGPD enunciam, respetivamente, os princípios que regem o tratamento de dados pessoais e os direitos do titular dos dados que qualquer tratamento de dados pessoais deve respeitar [Acórdão de 24 de fevereiro de 2022, Valsts ieņēmumu dienests (Tratamento de dados pessoais para efeitos fiscais), C‑175/20, EU:C:2022:124, n.^o 50].

69 Em especial, qualquer tratamento de dados pessoais deve, por um lado, ser conforme aos princípios relativos ao tratamento de dados, enunciados no artigo 5.^o do RGPD, e, por outro, cumprir um dos princípios relativos à licitude do tratamento, enumerados no artigo 6.^o do referido regulamento [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 96 e jurisprudência referida].

70 No que respeita aos princípios relativos à licitude do tratamento, o artigo 6.^o do RGPD prevê uma lista exaustiva e taxativa dos casos em que o tratamento de dados pessoais pode ser considerado lícito. Assim, para ser considerado legítimo, o tratamento deve integrar‑se num dos casos previstos no referido artigo 6.^o [v., Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 99 e jurisprudência referida].

71 Por conseguinte, embora, no exercício da faculdade que lhes é conferida por uma cláusula de abertura do RGPD, os Estados‑Membros possam integrar elementos deste regulamento no seu direito na medida do necessário para garantir a coerência e tornar as disposições nacionais compreensíveis para as pessoas a que se aplicam, as «normas mais específicas» adotadas com base no artigo 88.^o, n.^o 1, do referido regulamento não se podem limitar a constituir a reiteração das condições para o tratamento lícito dos dados pessoais, bem como dos princípios desse tratamento, enunciados, respetivamente, no artigo 6.^o e no artigo 5.^o do mesmo regulamento, ou a remeter para essas condições e princípios.

72 A interpretação no sentido de que a margem de apreciação dos Estados‑Membros na adoção de normas com base no n.^o 1 do artigo 88.^o do RGPD é limitada pelo n.^o 2 deste artigo está em conformidade com o objetivo desse regulamento, recordado no n.^o 51 do presente acórdão, que consiste em assegurar uma harmonização das legislações nacionais relativas à proteção dos dados pessoais que, em princípio, é completa.

73 Com efeito, como referiu, em substância, o advogado‑geral nos n.^os 56, 70 e 73 das suas conclusões, a possibilidade de os Estados‑Membros adotarem «normas mais específicas» com base no artigo 88.^o, n.^o 1, do RGPD pode conduzir a uma falta de harmonização no âmbito de aplicação das referidas normas. Ora, os requisitos impostos pelo artigo 88.^o, n.^o 2, deste regulamento refletem os limites da diferenciação aceite pelo referido regulamento, no sentido de que esta falta de harmonização só pode ser admitida quando as diferenças que subsistem são acompanhadas de garantias específicas e adequadas para defender os direitos e as liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral.

74 Por conseguinte, para poder ser qualificada de «norma mais específica», na aceção do n.^o 1 do artigo 88.^o do RGPD, uma disposição legal deve preencher os requisitos previstos no n.^o 2 do referido artigo. Além de terem um conteúdo normativo próprio do domínio regulamentado e distinto das normas gerais deste regulamento, essas normas mais específicas devem visar a defesa dos direitos e liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral e incluir medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados. Por outro lado, deve ser dado especial relevo à transparência do tratamento de dados, à transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e aos sistemas de controlo no local de trabalho.

75 Tendo em conta o exposto, há que responder à primeira questão que o artigo 88.^o do RGPD deve ser interpretado no sentido de que uma regulamentação nacional não pode constituir uma «norma mais específica», na aceção do n.^o 1 desse artigo, caso não preencha os requisitos previstos no n.^o 2 do referido artigo.

Quanto à segunda questão

76 Com a sua segunda questão, o órgão jurisdicional de reenvio interroga‑se, em substância, sobre as consequências que devem ser retiradas da constatação de que as condições e os limites previstos no artigo 88.^o, n.^os 1 e 2, do RGPD são incompatíveis com disposições nacionais adotadas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral.

77 A este respeito, importa recordar que, nos termos do artigo 288.^o, segundo parágrafo, TFUE, um regulamento é obrigatório em todos os seus elementos e é diretamente aplicável em todos os Estados‑Membros, pelo que as suas disposições não necessitam, em princípio, de nenhuma medida de aplicação dos Estados‑Membros (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.^o 109).

78 No entanto, como foi recordado no n.^o 51 do presente acórdão, as cláusulas de abertura previstas pelo RGPD conferem aos Estados‑Membros a possibilidade de preverem regras nacionais adicionais, mais rigorosas ou derrogatórias, e deixam‑lhes uma margem de apreciação quanto ao modo como as disposições em causa podem ser aplicadas.

79 Conforme referido no n.^o 59 do presente acórdão, quando os Estados‑Membros exercem a faculdade que lhes é concedida por uma cláusula de abertura do RGPD, devem utilizar a sua margem de apreciação nas condições e nos limites previstos pelas disposições desse regulamento, devendo, assim, legislar de modo a não prejudicar o conteúdo e os objetivos do referido regulamento.

80 Cabe ao órgão jurisdicional de reenvio, que tem competência exclusiva para interpretar o direito nacional, apreciar se as disposições em causa no processo principal respeitam as condições e os limites previstos no artigo 88.^o do RGPD, conforme resumidos no n.^o 74 do presente acórdão.

81 No entanto, como referiu o advogado‑geral nos n.^os 60 a 62 das suas conclusões, disposições como o § 23, n.^o 1, da HDSIG e o § 86, n.^o 4, da HBG, que subordinam o tratamento dos dados pessoais dos trabalhadores à condição de esse tratamento ser necessário para determinadas finalidades ligadas à execução de uma relação de trabalho, parecem reiterar a condição geral de licitude do tratamento já enunciada no artigo 6.^o, n.^o 1, primeiro parágrafo, alínea b), do RGPD, sem acrescentar uma norma mais específica na aceção do artigo 88.^o, n.^o 1, deste regulamento. Com efeito, verifica‑se que tais disposições não têm um conteúdo normativo próprio do domínio regulamentado e distinto das normas gerais do referido regulamento.

82 Caso o órgão jurisdicional de reenvio chegue à conclusão de que as disposições em causa no processo principal não respeitam as condições e os limites previstos no artigo 88.^o do RGPD, deve, em princípio, impedir a aplicação das referidas disposições.

83 Com efeito, por força do princípio do primado do direito da União, as disposições dos Tratados e os atos das instituições diretamente aplicáveis têm por efeito, nas suas relações com o direito interno dos Estados‑Membros, impedir de pleno direito, pelo simples facto da sua entrada em vigor, a aplicação de qualquer disposição contrária da legislação nacional (Acórdãos de 9 de março de 1978, Simmenthal, 106/77, EU:C:1978:49, n.^o 17; de 19 de junho de 1990, Factortame e o., C‑213/89, EU:C:1990:257, n.^o 18, assim como de 4 de fevereiro de 2016, Ince, C‑336/14, EU:C:2016:72, n.^o 52).

84 Por conseguinte, na falta de normas mais específicas que respeitem as condições e os limites previstos no artigo 88.^o do RGPD, o tratamento de dados pessoais no contexto laboral, tanto no setor privado como no setor público, é diretamente regido pelas disposições desse regulamento.

85 A este respeito, há que referir que podem ser aplicadas a um tratamento de dados pessoais como o que está em causa no processo principal as alíneas c) e e), do artigo 6.^o, n.^o 1, primeiro parágrafo do RGPD, nos termos das quais o tratamento de dados pessoais é lícito quando este for necessário, respetivamente, para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito ou ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

86 O artigo 6.^o, n.^o 3, do RGPD enuncia, por um lado, em relação às duas hipóteses de licitude previstas, respetivamente, nas alíneas c) e e) do artigo 6.^o, n.^o 1, primeiro parágrafo, desse regulamento, que o tratamento se deve basear no direito da União ou no direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito, e acrescenta, por outro lado, que a finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.^o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento [v., neste sentido, Acórdão de 8 de dezembro de 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalidades do tratamento de dados pessoais — Inquérito penal), C‑180/21, EU:C:2022:967, n.^o 95].

87 Importa recordar que o Tribunal de Justiça já declarou que o tratamento lícito de dados pessoais pelos responsáveis pelo tratamento com base no artigo 6.^o, n.^o 1, alínea e), do RGPD pressupõe não apenas que se possa considerar que estas exercem funções de interesse público, mas também que os tratamentos de dados pessoais para efeitos do exercício dessa função assentam numa base jurídica prevista no artigo 6.^o, n.^o 3, deste regulamento (v., neste sentido, Acórdão de 20 de outubro de 2022, Koalitsia «Demokratichna Bulgaria — Obedinenie», C‑306/21, EU:C:2022:813, n.^o 52).

88 Por conseguinte, quando o órgão jurisdicional de reenvio chega à conclusão de que as disposições nacionais relativas ao tratamento de dados pessoais no contexto laboral não respeitam as condições e os limites previstos no artigo 88.^o, n.^os 1 e 2, do RGPD, deve ainda verificar se as referidas disposições constituem uma base jurídica prevista no artigo 6.^o, n.^o 3, deste regulamento, conjugado com o seu considerando 45, que cumpre os requisitos previstos no referido regulamento. Se tal for o caso, a aplicação das disposições nacionais não deve ser afastada.

89 Em face do exposto, há que responder à segunda questão prejudicial que o artigo 88.^o, n.^os 1 e 2, do RGPD deve ser interpretado no sentido de que a aplicação de disposições nacionais adotadas para garantir a defesa dos direitos e liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral deve ser afastada quando essas disposições não respeitem as condições e os limites previstos neste artigo 88.^o, n.^os 1 e 2, a menos que essas disposições constituam uma base jurídica referida no artigo 6.^o, n.^o 3, desse regulamento que respeite as exigências previstas por este último.

Quanto às despesas

90 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara:

1) O artigo 88.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

uma regulamentação nacional não pode constituir uma «norma mais específica», na aceção do n.^o 1 desse artigo, caso não preencha os requisitos previstos no n.^o 2 do referido artigo.

2) O artigo 88.^o, n.^o 1 e 2, do Regulamento 2016/679

deve ser interpretado no sentido de que:

a aplicação de disposições nacionais adotadas para garantir a defesa dos direitos e liberdades dos trabalhadores no que respeita ao tratamento dos seus dados pessoais no contexto laboral deve ser afastada quando essas disposições não respeitem as condições e os limites previstos neste artigo 88.^o, n.^os 1 e 2, a menos que essas disposições constituam uma base jurídica referida no artigo 6.^o, n.^o 3, deste regulamento que respeite as exigências previstas por este último.

Assinaturas

* Língua do processo: alemão.