CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Acórdão do Tribunal de Justiça (Grande Secção) de 5 de dezembro de 2023 (pedido de decisão prejudicial apresentado pelo Vilniaus apygardos administracinis teismas – Lituânia) – Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos/Valstybinė duomenų apsaugos inspekcija

(Processo C-683/21 ¹ , Nacionalinis visuomenės sveikatos centras)

«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 4.o, pontos 2 e 7 — Conceitos de “tratamento” e “responsável pelo tratamento” — Desenvolvimento de uma aplicação informática móvel — Artigo 26.o — Responsabilidade conjunta do tratamento — Artigo 83.o — Aplicação de coimas — Condições — Exigência do caráter intencional ou negligente da violação — Responsabilidade do responsável pelo tratamento pelo tratamento de dados pessoais efetuado por um subcontratante»

Língua do processo: lituano

Órgão jurisdicional de reenvio

Vilniaus apygardos administracinis teismas

Partes no processo principal

Recorrente: Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos

Recorrido: Valstybinė duomenų apsaugos inspekcija

sendo intervenientes: UAB «IT sprendimai sėkmei», Lietuvos Respublikos sveikatos apsaugos ministerija

Dispositivo

O artigo 4.o, ponto 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

deve ser interpretado no sentido de que:

pode ser considerada responsável pelo tratamento, na aceção desta disposição, uma entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel e que, nesse contexto, participou na determinação das finalidades e dos meios do tratamento dos dados pessoais realizado através desta aplicação, ainda que esta entidade não tenha procedido, ela própria, a operações de tratamento de tais dados, não tenha dado explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público da referida aplicação móvel e não tenha adquirido esta mesma aplicação móvel, a menos que, antes dessa disponibilização ao público, a referida entidade se tenha expressamente oposto a ela e ao tratamento dos dados pessoais que daí resultou.

Os artigos 4.o, ponto 7, e 26.o, n.o 1, do Regulamento 2016/679

deve ser interpretado no sentido de que:

a qualificação de duas entidades como sendo responsáveis conjuntas pelo tratamento não pressupõe nem a existência de um acordo entre essas entidades quanto à determinação das finalidades e dos meios do tratamento dos dados pessoais em causa, nem a existência de um acordo que fixe as condições relativas à responsabilidade conjunta do tratamento.

O artigo 4.o, ponto 2, do Regulamento 2016/679

deve ser interpretado no sentido de que:

constitui um «tratamento», na aceção desta disposição, a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação móvel, a menos que tais dados tenham sido tornados anónimos de modo que a pessoa à qual tais dados dizem respeito não seja ou já não seja identificável ou que estejam em causa dados fictícios que não dizem respeito a uma pessoa singular existente.

O artigo 83.o do Regulamento 2016/679

deve ser interpretado no sentido de que:

por um lado, só pode ser aplicada uma coima ao abrigo desta disposição se se demonstrar que o responsável pelo tratamento cometeu, intencionalmente ou por negligência, uma violação referida nos n.os 4 a 6 deste artigo,

e, por outro, tal coima pode ser aplicada a um responsável pelo tratamento relativamente a operações de tratamento de dados pessoais realizadas por um subcontratante por sua conta, salvo se, no âmbito dessas operações este subcontratante tiver realizado tratamentos para finalidades que lhe são próprias ou tiver tratado esses dados de maneira incompatível com o quadro ou com as modalidades de tratamento conforme tinham sido determinadas pelo responsável pelo tratamento, ou de tal forma que não se possa razoavelmente considerar que a pessoa responsável teria dado o seu consentimento.

____________

¹ JO C 84, de 21.02.2022.