ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)
1 de outubro de 2015 (*)
«Reenvio prejudicial — Diretiva 95/46/CE — Tratamento de dados pessoais — Artigos 10.° e 11.° — Informação das pessoas em causa — Artigo 13.° — Exceções e limitações — Transferência, por uma Administração Pública de um Estado‑Membro, de dados fiscais pessoais, com vista ao seu tratamento por outra Administração Pública»
No processo C‑201/14,
que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.° TFUE, pela Curtea de Apel Cluj (Roménia), por decisão de 31 de março de 2014, que deu entrada no Tribunal de Justiça em 22 de abril de 2014, no processo
Smaranda Bara e o.
contra
Președintele Casei Naționale de Asigurări de Sănătate,
Casa Naţională de Asigurări de Sănătate,
Agenţia Naţională de Administrare Fiscală (ANAF),
O TRIBUNAL DE JUSTIÇA (Terceira Secção),
composto por: M. Ilešič, presidente de secção, A. Ó Caoimh, C. Toader, E. Jarašiūnas e C. G. Fernlund (relator), juízes,
advogado‑geral: P. Cruz Villalón,
secretário: L. Carrasco Marco, administrador,
vistos os autos e após a audiência de 29 de abril de 2015,
vistas as observações apresentadas:
– em representação de Smaranda Bara e o., por C. F. Costaş e K. Kapcza, avocați,
– em representação da Casa Naţională de Asigurări de Sănătate, por V. Ciurchea, na qualidade de agente,
– em representação do Governo romeno, por R. H. Radu, A. Buzoianu, A.‑G. Văcaru e D. M. Bulancea, na qualidade de agentes,
– em representação do Governo checo, por M. Smolek e J. Vláčil, na qualidade de agentes,
– em representação da Comissão Europeia, por I. Rogalski, B. Martenczuk e J. Vondung, na qualidade de agentes,
ouvidas as conclusões do advogado‑geral na audiência de 9 de julho de 2015,
profere o presente
Acórdão
1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 124.° TFUE, bem como dos artigos 10.°, 11.° e 13.° da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).
2 Este pedido foi apresentado no âmbito de um litígio que opõe S. Bara e o. ao Președintele Casei Naționale de Asigurări de Sănătate (Presidente da Caixa Nacional de Segurança Social), à Casa Națională de Asigurări de Sănătate (Caixa Nacional de Segurança Social, a seguir «CNAS») e à Agenția Națională de Administrare Fiscală (Agência Nacional da Administração Fiscal, a seguir «ANAF») a propósito do tratamento de certos dados.
Quadro jurídico
Direito da União
3 Nos termos do artigo 2.° da Diretiva 95/46, intitulado «Definições»:
«Para efeitos da presente diretiva, entende‑se por:
a) ‘Dados pessoais’, qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;
b) ‘Tratamento de dados pessoais’ (‘tratamento’), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;
c) ‘Ficheiro de dados pessoais’ (‘ficheiro’), qualquer conjunto estruturado de dados pessoais, acessível segundo critérios determinados, que seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
d) ‘Responsável pelo tratamento’, a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais; sempre que as finalidades e os meios do tratamento sejam determinadas por disposições legislativas ou regulamentares nacionais ou comunitárias, o responsável pelo tratamento ou os critérios específicos para a sua nomeação podem ser indicados pelo direito nacional ou comunitário;
[...]»
4 O artigo 3.° desta diretiva, intitulado «Âmbito de aplicação», tem a seguinte redação:
«1. A presente diretiva aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.
2. A presente diretiva não se aplica ao tratamento de dados pessoais:
– efetuado no exercício de atividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objeto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado) e as atividades do Estado no domínio do direito penal,
– efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas.»
5 O artigo 6.° da referida diretiva, respeitante aos princípios relativos à qualidade dos dados, dispõe:
«1. Os Estados‑Membros devem estabelecer que os dados pessoais serão:
a) Objeto de um tratamento leal e lícito;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades. O tratamento posterior para fins históricos, estatísticos ou científicos não é considerado incompatível desde que os Estados‑Membros estabeleçam garantias adequadas;
c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;
d) Exatos e, se necessário, atualizados; devem ser tomadas todas as medidas razoáveis para assegurar que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados;
e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente. Os Estados‑Membros estabelecerão garantias apropriadas para os dados pessoais conservados durante períodos mais longos do que o referido, para fins históricos, estatísticos ou científicos.
2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no n.° 1.»
6 O artigo 7.° da mesma diretiva, que versa sobre os princípios relativos à legitimidade dos tratamentos de dados, enuncia:
«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou
b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou
c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito; ou
d) O tratamento for necessário para a proteção de interesses vitais da pessoa em causa; ou
e) O tratamento for necessário para a execução de uma missão de interesse público ou o exercício da autoridade pública de que é investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados; ou
f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou do terceiro ou terceiros a quem os dados sejam comunicados, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais da pessoa em causa, protegidos ao abrigo do n.° 1 do artigo 1.°»
7 O artigo 10.° da Diretiva 95/46, intitulado «Informação em caso de recolha de dados junto da pessoa em causa», dispõe:
«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento a que os dados se destinam;
c) Outras informações, tais como:
– os destinatários ou categorias de destinatários dos dados,
– o caráter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,
– a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,
desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.»
8 O artigo 11.° da referida diretiva, intitulado «Informação em caso de dados não recolhidos junto da pessoa em causa», tem a seguinte redação:
«1. Se os dados não tiverem sido recolhidos junto da pessoa em causa, os Estados‑Membros estabelecerão que o responsável pelo tratamento, ou o seu representante, deve fornecer à pessoa em causa, no momento em que os dados forem registados ou, se estiver prevista a comunicação de dados a terceiros, o mais tardar aquando da primeira comunicação desses dados, pelo menos as seguintes informações, salvo se a referida pessoa já delas tiver conhecimento:
a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;
b) Finalidades do tratamento;
c) Outras informações, tais como:
– as categorias de dados envolvidos,
– os destinatários ou categorias de destinatários dos dados,
– a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,
desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.
2. O n.° 1 não se aplica quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação da pessoa em causa se revelar impossível ou implicar esforços desproporcionados ou quando a lei dispuser expressamente o registo dos dados ou a sua divulgação. Nestes casos, os Estados‑Membros estabelecerão as garantias adequadas.»
9 Nos termos do artigo 13.° desta diretiva, intitulado «Derrogações e restrições»:
«1. Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.° 1 do artigo 6.°, no artigo 10.°, no n.° 1 do artigo 11.° e nos artigos 12.° e 21.°, sempre que tal restrição constitua uma medida necessária à proteção:
a) Da segurança do Estado;
b) Da defesa;
c) Da segurança pública;
d) Da prevenção, investigação, deteção e repressão de infrações penais e de violações da deontologia das profissões regulamentadas;
e) De um interesse económico ou financeiro importante de um Estado‑Membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;
f) De missões de controlo, de inspeção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);
g) D[a] pessoa em causa ou dos direitos e liberdades de outrem.
2. Sob reserva de garantias jurídicas adequadas, nomeadamente a de que os dados não serão utilizados para tomar medidas ou decisões em relação a pessoas determinadas, os Estados‑Membros poderão restringir através de uma medida legislativa os direitos referidos no artigo 12.° nos casos em que manifestamente não exista qualquer perigo de violação do direito à vida privada da pessoa em causa e os dados forem exclusivamente utilizados para fins de investigação científica ou conservados sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.»
Direito romeno
Lei n.° 95/2006
10 Resulta da decisão de reenvio que o artigo 215.° da Lei n.° 95/2006, relativa à reforma do setor da saúde (Legea nr. 95/2006 privind reforma în domeniul sănătății), de 14 de abril de 2006 (Monitorul Oficial al României, parte I, n.° 372, de 28 de abril de 2006), prevê:
«(1) A obrigação de pagar a contribuição para o seguro de doença incumbe à pessoa singular ou coletiva que emprega pessoas ao abrigo de um contrato individual de trabalho ou de um estatuto especial previsto na lei e, consoante os casos, às pessoas singulares.
(2) As pessoas coletivas ou singulares para as quais os segurados prestam a sua atividade estão obrigadas a apresentar mensalmente, nas Caixas de Seguro de Doença livremente escolhidas pelos segurados, as declarações nominativas relativas às obrigações que lhes incumbem perante a caixa e a provar que as contribuições foram pagas.
[…]»
11 O artigo 315.° da referida lei dispõe:
«Os dados necessários para atestar a qualidade de segurado são transmitidos gratuitamente às Caixas de Seguro de Doença pelas autoridades, instituições públicas e outras instituições, em conformidade com o protocolo.»
Despacho n.° 617/2007 do presidente da CNAS
12 O artigo 35.° do Despacho n.° 617/2007 do presidente da CNAS, de 13 de agosto de 2007, que aprova as regras metodológicas relativas à determinação dos documentos comprovativos para a aquisição da qualidade de segurado ou de segurado não contributivo e à aplicação das medidas de execução coerciva para a cobrança dos montantes devidos ao Fundo Nacional Único de Segurança Social (Monitorul Oficial al României, parte I, n.° 649, de 24 de setembro de 2007), dispõe:
«[...] no que respeita às obrigações de pagamento ao Fundo a cargo das pessoas singulares que subscreveram um contrato de seguro, diferentes das pessoas relativamente às quais os impostos são cobrados pela ANAF, o título de crédito consiste, consoante o caso, na declaração […], no aviso de liquidação emitido pelo órgão competente da CNAS [Caixa de Seguro de Doença] ou nas decisões judiciais relativas aos montantes devidos ao Fundo. O aviso de liquidação pode ser emitido pelo órgão competente da CNAS, com base nas informações transmitidas pela ANAF em conformidade com um protocolo».
Protocolo de 2007
13 Nos termos do artigo 4.° do Protocolo n.° P 5282/26.10.2007/95896/30.10.2007, celebrado entre a CNAS e a ANAF (a seguir «Protocolo de 2007»):
«Depois da entrada em vigor do presente protocolo, a [ANAF], através das suas estruturas de apoio, transmitirá, em formato eletrónico, a base de dados inicial, relativamente:
a. aos rendimentos das pessoas que fazem parte das categorias incluídas no artigo 1.°, n.° 1, do presente protocolo e, trimestralmente, a atualização dessa base de dados, à [CNAS], em suporte compatível com o tratamento automático, em conformidade com o anexo 1 do presente protocolo [...]
[...]»
Litígio no processo principal e questões prejudiciais
14 Os recorrentes no processo principal auferem rendimentos de atividades independentes. A ANAF transmitiu à CNAS os dados relativos aos seus rendimentos declarados. Com base nesses dados, a CNAS exigiu o pagamento de contribuições em atraso para o regime de seguro de doença.
15 Os recorrentes no processo principal interpuseram na Curtea de Apel Cluj um recurso no âmbito do qual contestam a legalidade da transmissão dos dados fiscais relativos aos seus rendimentos, à luz da Diretiva 95/46. Alegam que, com base num simples protocolo interno, estes dados pessoais foram transmitidos e utilizados para fins diferentes daqueles para que haviam sido inicialmente comunicados à ANAF, sem o seu consentimento expresso e sem terem sido previamente informados.
16 Resulta da decisão de reenvio que, ao abrigo da Lei n.° 95/2006, as entidades públicas estão habilitadas a transmitir dados pessoais às Caixas de Seguro de Doença, para lhes permitir determinar a qualidade de segurado das pessoas em causa. Estes dados respeitam à identificação das pessoas (apelido, nome próprio, número de identificação pessoal, morada), mas não incluem os dados relativos aos rendimentos auferidos.
17 O órgão jurisdicional de reenvio pretende determinar se o tratamento dos dados pela CNAS impunha a informação prévia das pessoas em causa quanto à identidade do responsável pelo tratamento e ao fim para que foram transmitidos. O referido órgão jurisdicional é também chamado a pronunciar‑se sobre a questão de saber se a transmissão de dados com base no Protocolo de 2007 é contrária às disposições da Diretiva 95/46 que exigem que qualquer restrição dos direitos das pessoas em causa seja prevista por lei e acompanhada de garantias, designadamente quando os dados são utilizados contra as referidas pessoas.
18 Nestas condições, a Curtea de Apel Cluj decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) A autoridade tributária nacional, na qualidade de órgão representativo do Ministério competente de um Estado‑Membro, é uma instituição financeira na aceção do artigo 124.° TFUE?
2) É possível regulamentar, mediante um ato equiparável aos atos administrativos, concretamente, um protocolo celebrado entre a administração nacional tributária e outra instituição do Estado, a transferência da base de dados relativos aos rendimentos auferidos pelos cidadãos de um Estado‑Membro da administração nacional tributária para outra instituição desse Estado‑Membro sem que isso constitua um acesso privilegiado na aceção do artigo 124.° TFUE?
3) A transferência da base de dados, com o objetivo de impor aos cidadãos do Estado‑Membro obrigações de pagamento das contribuições sociais à instituição do Estado‑Membro em benefício da qual a referida transferência é feita, pode ser abrangida pelo conceito de considerações de ordem prudencial na aceção do artigo 124.° TUFE?
4) Podem os dados pessoais ser tratados pela autoridade que não era destinatária desses dados, quando essa operação provoca, com caráter retroativo, danos patrimoniais?»
Quanto às questões prejudiciais
Quanto à admissibilidade
Quanto à admissibilidade das três primeiras questões
19 Segundo uma jurisprudência constante, o Tribunal pode recusar decidir sobre uma questão prejudicial submetida por um órgão jurisdicional nacional quando é manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema é hipotético ou ainda quando o Tribunal não dispõe dos elementos de facto e de direito necessários para responder utilmente às questões que lhe são colocadas (v. acórdão PreussenElektra, C‑379/98, EU:C:2001:160, n.° 39 e jurisprudência referida).
20 Todas as observações submetidas ao Tribunal consideram que as três primeiras questões prejudiciais, relativas à interpretação do artigo 124.° TFUE, são inadmissíveis por não terem relação com o objeto do litígio no processo principal.
21 A este respeito, há que recordar que o artigo 124.° TFUE figura na parte III, título VIII, do Tratado FUE, relativo à política económica e monetária. Este preceito proíbe quaisquer medidas não baseadas em considerações de ordem prudencial que possibilitem o acesso privilegiado às instituições financeiras por parte das instituições, órgãos ou organismos da União, dos governos centrais, das autoridades regionais ou locais, ou outras autoridades públicas, de outros organismos do setor público ou de empresas públicas dos Estados‑Membros.
22 Esta proibição tem origem no artigo 104.°‑A do Tratado CE (posteriormente artigo 102.° CE), que foi inserido no Tratado CE pelo Tratado de Maastricht. Faz parte das disposições do Tratado FUE relativas à política económica, que visam incitar os Estados‑Membros a respeitar uma política orçamental sólida, evitando que um financiamento monetário dos défices públicos ou um acesso privilegiado das autoridades públicas aos mercados financeiros conduza a um endividamento excessivo ou a défices excessivos dos Estados‑Membros (v., neste sentido, acórdão Gauweiler e o., C‑62/14, EU:C:2015:400, n.° 100).
23 É, portanto, manifesto que a interpretação do artigo 124.° TFUE solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, que respeita à proteção de dados pessoais.
24 Daqui resulta que não há que responder às três primeiras questões.
Quanto à admissibilidade da quarta questão
25 A CNAS e o Governo romeno sustentam que a quarta questão é inadmissível. O referido governo alega que não existe nenhum nexo entre o prejuízo invocado pelos recorrentes no processo principal e a anulação dos atos administrativos impugnados no mesmo.
26 A este respeito, há que recordar que, segundo jurisprudência constante do Tribunal de Justiça, as questões relativas à interpretação do direito da União submetidas pelo juiz nacional no quadro regulamentar e factual que o mesmo define sob sua responsabilidade, e cuja exatidão não compete ao Tribunal verificar, gozam de uma presunção de pertinência. O Tribunal só pode recusar responder a um pedido de decisão prejudicial formulado por um órgão jurisdicional nacional, quando for manifesto que a interpretação do direito da União solicitada não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe foram submetidas (acórdão Fish Legal e Shirley, C‑279/12, EU:C:2013:853, n.° 30 e jurisprudência referida).
27 Há que salientar que o processo principal tem por objeto a legalidade do tratamento dos dados fiscais recolhidos pela ANAF. O órgão jurisdicional de reenvio interroga‑se sobre a interpretação das disposições da Diretiva 95/46, no âmbito da fiscalização da legalidade da transmissão destes dados à CNAS e do seu tratamento subsequente. A quarta questão prejudicial é, pois, pertinente e suficientemente precisa para permitir ao Tribunal responder‑lhe de forma útil. Assim, o pedido de decisão prejudicial deve ser considerado admissível no que respeita à quarta questão.
Quanto ao mérito
28 Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, em substância, se os artigos 10.°, 11.° e 13.° da Diretiva 95/46 devem ser interpretados no sentido de que se opõem a medidas nacionais, como as que estão em causa no processo principal, que permitem a uma Administração Pública de um Estado‑Membro transmitir dados pessoais a outra Administração Pública e o seu tratamento subsequente, sem que as pessoas em causa tenham sido informadas dessa transmissão e desse tratamento.
29 A este respeito, há que reconhecer, com base nas indicações fornecidas pelo órgão jurisdicional de reenvio, que os dados fiscais transferidos à CNAS pela ANAF constituem dados pessoais na aceção do artigo 2.°, alínea a), da referida diretiva, uma vez que se trata de «informação relativa a uma pessoa singular identificada ou identificável» (acórdão Satakunnan Markkinapörssi e Satamedia, C‑73/07, EU:C:2008:727, n.° 35). Tanto a sua transmissão pela ANAF, organismo responsável pela gestão da base de dados, que os reúne, como o seu tratamento subsequente pela CNAS apresentam, assim, caráter de «tratamento de dados pessoais» na aceção do artigo 2.°, alínea b), da referida diretiva (v., neste sentido, designadamente, acórdãos Österreichischer Rundfunk e o., C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.° 64; e Huber, C‑524/06, EU:C:2008:724, n.° 43).
30 Em conformidade com o disposto no capítulo II da Diretiva 95/46, intitulado «Condições gerais de licitude do tratamento de dados pessoais», sem prejuízo das derrogações admitidas pelo artigo 13.° dessa diretiva, qualquer tratamento de dados pessoais deve, por um lado, ser conforme aos princípios relativos à qualidade dos dados enunciados no artigo 6.° da referida diretiva e, por outro, cumprir um dos princípios relativos à legitimidade do tratamento de dados enumerados no artigo 7.° da mesma diretiva (acórdãos Österreichischer Rundfunk e o., C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.° 65; Huber, C‑524/06, EU:C:2008:724, n.° 48; e ASNEF e FECEMD, C‑468/10 e C‑469/10, EU:C:2011:777, n.° 26).
31 Além disso, o responsável pelo tratamento dos dados ou o seu representante estão sujeitos a uma obrigação de informação cujas modalidades, enunciadas nos artigos 10.° e 11.° da Diretiva 95/46, variam consoante esses dados sejam ou não recolhidos junto da pessoa visada, sem prejuízo das derrogações admitidas ao abrigo do artigo 13.° desta diretiva.
32 Em primeiro lugar, o artigo 10.° da referida diretiva prevê que o responsável pelo tratamento deve fornecer à pessoa junto da qual recolha dados que lhe digam respeito as informações enumeradas nas alíneas a) a c) deste artigo, salvo se a pessoa disso estiver informada. Essas informações dizem respeito à identidade do responsável pelo tratamento desses dados, às finalidades do referido tratamento, bem como a qualquer informação adicional necessária para garantir um tratamento leal dos dados. Entre as outras informações necessárias para garantir um tratamento leal dos dados, o artigo 10.°, alínea c), da diretiva em causa menciona expressamente «os destinatários ou categorias de destinatários dos dados» assim como «a existência do direito de acesso aos dados que […] digam respeito [à pessoa em causa] e do direito de os retificar».
33 Como salientou o advogado‑geral no n.° 74 das suas conclusões, esta exigência de informação às pessoas afetadas pelo tratamento dos dados pessoais é tanto mais importante quanto condiciona o exercício, por essas pessoas, do seu direito de acesso aos dados tratados e à sua retificação, previsto no artigo 12.° da Diretiva 95/46, e do seu direito de oposição ao tratamento dos referidos dados, previsto no artigo 14.° da mesma diretiva.
34 Daqui resulta que a exigência de tratamento leal dos dados pessoais prevista no artigo 6.° da Diretiva 95/46 obriga uma Administração Pública a informar as pessoas visadas da transmissão desses dados a outra Administração Pública, com vista ao seu tratamento por esta última, na sua qualidade de destinatária dos referidos dados.
35 Decorre das explicações do órgão jurisdicional de reenvio que os recorrentes no processo principal não foram informados pela ANAF da transmissão à CNAS dos dados pessoais que lhes diziam respeito.
36 O Governo romeno alega, no entanto, que a ANAF está obrigada, designadamente por força do artigo 315.° da Lei n.° 95/2006, a transmitir às Caixas Regionais de Seguro de Doença as informações necessárias à determinação, pela CNAS, da qualidade de segurado das pessoas que auferem rendimentos de atividades independentes.
37 É certo que o artigo 315.° da Lei n.° 95/2006 prevê expressamente que «[o]s dados necessários para atestar a qualidade de segurado são transmitidos gratuitamente às Caixas de Seguro de Doença pelas autoridades, instituições públicas e outras instituições, em conformidade com o protocolo». Contudo, resulta das explicações fornecidas pelo órgão jurisdicional de reenvio que os dados necessários para atestar a qualidade de segurado, na aceção da referida disposição, não incluem os dados relativos aos rendimentos, uma vez que a lei também reconhece a qualidade de segurado às pessoas sem rendimentos tributáveis.
38 Nestas condições, o artigo 315.° da Lei n.° 95/2006 não pode constituir, na aceção do artigo 10.° da Diretiva 95/46, uma informação prévia que permita dispensar o responsável pelo tratamento da sua obrigação de informar as pessoas junto das quais recolhe os dados relativos aos seus rendimentos, sobre os destinatários destes dados. Assim, não se pode considerar que a transmissão em causa tenha sido efetuada no respeito do disposto no artigo 10.° da Diretiva 95/46.
39 Importa examinar se essa falta de informação das pessoas visadas é suscetível de ser abrangida pelo artigo 13.° da dita diretiva. Resulta, com efeito, do n.° 1, alíneas e) e f), deste artigo 13.° que os Estados‑Membros podem restringir o alcance das obrigações e dos direitos referidos no artigo 10.° da mesma diretiva, sempre que tal restrição constitua uma medida necessária à proteção de «um interesse económico ou financeiro importante de um Estado‑Membro […], incluindo nos domínios monetário, orçamental ou fiscal», bem como de «missões de controlo, de inspeção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e)». No entanto, o artigo 13.° exige expressamente que tais restrições sejam adotadas através de medidas legislativas.
40 Ora, além da circunstância, salientada pelo órgão jurisdicional de reenvio, de os dados relativos aos rendimentos não fazerem parte dos dados pessoais necessários para atestar a qualidade de segurado, há que salientar que o artigo 315.° da Lei n.° 95/2006 apenas visa, em princípio, a transmissão destes últimos dados pessoais detidos por autoridades, instituições públicas e outras instituições. Resulta igualmente da decisão de reenvio que a definição das informações transmissíveis assim como as modalidades de aplicação da transmissão dessas informações foram elaboradas não através de uma medida legislativa, mas do Protocolo de 2007 celebrado entre a ANAF e a CNAS, o qual não foi objeto de publicação oficial.
41 Nestas circunstâncias, não se pode considerar que estejam reunidas as condições impostas pelo artigo 13.° da Diretiva 95/46 para que um Estado‑Membro possa derrogar aos direitos e às obrigações decorrentes do artigo 10.° da mesma.
42 Em segundo lugar, o artigo 11.°, n.° 1, da referida diretiva prevê que o responsável pelo tratamento de dados que não foram recolhidos junto da pessoa em causa lhe deve fornecer as informações enumeradas nas alíneas a) a c). Essas informações dizem respeito à identidade do responsável pelo tratamento, às finalidades do tratamento, bem como a todas as outras informações necessárias para garantir um tratamento leal dos dados. Entre essas outras informações, o artigo 11.°, alínea c), da mesma diretiva menciona expressamente «as categorias de dados envolvidos» e «a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar».
43 Daqui resulta que, em conformidade com o artigo 11.°, n.° 1, alíneas b) e c), da Diretiva 95/46, em circunstâncias como as do processo principal, o tratamento, pela CNAS, dos dados transmitidos pela ANAF implicava que as pessoas visadas nesses dados fossem informadas das finalidades desse tratamento, bem como das categorias de dados envolvidos.
44 Ora, decorre das explicações dadas pelo órgão jurisdicional de reenvio que a CNAS não forneceu aos recorrentes no processo principal as informações enumeradas no artigo 11.°, n.° 1, alíneas a) a c), da referida diretiva.
45 Há que acrescentar que, em conformidade com o artigo 11.°, n.° 2, da Diretiva 95/46, o disposto no artigo 11.°, n.° 1, da mesma não se aplica quando, nomeadamente, a lei dispuser expressamente o registo dos dados ou a sua divulgação, devendo os Estados‑Membros estabelecer as garantias adequadas. Pelos motivos enunciados nos n.os 40 e 41 do presente acórdão, as disposições da Lei n.° 95/2006 invocadas pelo Governo romeno e o Protocolo de 2007 não são suscetíveis de ser abrangidas pelo regime derrogatório do artigo 11.°, n.° 2, nem pelo que resulta do artigo 13.° desta diretiva.
46 Tendo em conta todas as considerações precedentes, há que responder à questão colocada que os artigos 10.°, 11.° e 13.° da Diretiva 95/46 devem ser interpretados no sentido de que se opõem a medidas nacionais, como as que estão em causa no processo principal, que permitem a uma Administração Pública de um Estado‑Membro transmitir dados pessoais a outra Administração Pública e o seu tratamento subsequente, sem que as pessoas visadas tenham sido informadas dessa transmissão ou desse tratamento.
Quanto às despesas
47 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.
Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:
Os artigos 10.°, 11.° e 13.° da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, devem ser interpretados no sentido de que se opõem a medidas nacionais, como as que estão em causa no processo principal, que permitem a uma Administração Pública de um Estado‑Membro transmitir dados pessoais a outra Administração Pública e o seu tratamento subsequente, sem que as pessoas visadas tenham sido informadas dessa transmissão ou desse tratamento.
Assinaturas