CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:46

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

16 de janeiro de 2024 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Artigo 16.o TFUE — Regulamento (UE) 2016/679 — Artigo 2.o, n.o 2, alínea a) — Âmbito de aplicação — Exclusões — Atividades não sujeitas à aplicação do direito da União — Artigo 4.o, n.o 2, TUE — Atividades que se prendem com a segurança nacional — Comissão de inquérito instituída pelo Parlamento de um Estado‑Membro — Artigo 23.o, n.o 1, alíneas a) e h), artigos 51.o e 55.o do Regulamento (UE) 2016/679 — Competência da autoridade de controlo responsável pela proteção de dados — Artigo 77.o — Direito de apresentar reclamação a uma autoridade de controlo — Efeito direto»

No processo C‑33/22,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria), por Decisão de 14 de dezembro de 2021, que deu entrada no Tribunal de Justiça em 14 de janeiro de 2022, no processo

Österreichische Datenschutzbehörde

contra

WK,

sendo interveniente:

Präsident des Nationalrates,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, L. Bay Larsen, vice‑presidente, K. Jürimäe, C. Lycourgos, E. Regan e N. Piçarra, presidentes de secção, M. Ilešič, P. G. Xuereb, L. S. Rossi (relatora), I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele e J. Passer, juízes,

advogado‑geral: M. Szpunar,

secretário: D. Dittert, chefe de unidade,

vistos os autos e após a audiência de 6 de março de 2023,

vistas as observações apresentadas:

– em representação da Österreichische Datenschutzbehörde, por A. Jelinek e M. Schmidl, na qualidade de agentes,

– em representação de WK, por M. Sommer, Rechtsanwalt,

– em representação do Präsident des Nationalrates, por C. Neugebauer e R. Posnik, na qualidade de agentes,

– em representação do Governo Austríaco, por A. Posch, J. Schmoll, S. Dörnhöfer e C. Leeb, na qualidade de agentes,

– em representação do Governo Checo, por O. Serdula, M. Smolek e J. Vláčil, na qualidade de agentes,

– em representação da Comissão Europeia, por A. Bouchagiar, M. Heller e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 11 de maio de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 16.^o, n.^o 2, primeiro período, TFUE, bem como do artigo 2.^o, n.^o 2, alínea a), do artigo 51.^o, n.^o 1, do artigo 55.^o, n.^o 1, e do artigo 77.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1; a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe a Österreichische Datenschutzbehörde (Autoridade para a Proteção de Dados, Áustria) (a seguir «Datenschutzbehörde») a WK a respeito do indeferimento da reclamação apresentada por este último contra uma pretensa violação do seu direito à proteção dos seus dados pessoais.

Quadro jurídico

Direito da União

3 Os considerandos 16, 20 e 117 do RGPD têm a seguinte redação:

«(16) O presente regulamento não se aplica às questões de defesa dos direitos e das liberdades fundamentais ou da livre circulação de dados pessoais relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a segurança nacional. O presente regulamento não se aplica ao tratamento de dados pessoais pelos Estados‑Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União.

[…]

(20) Na medida em que o presente regulamento é igualmente aplicável, entre outras, às atividades dos tribunais e de outras autoridades judiciais, poderá determinar‑se no direito da União ou dos Estados‑Membros quais as operações e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados pessoais. A competência das autoridades de controlo não abrange o tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a tomada de decisões. Deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado‑Membro, que deverão, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforçar a sensibilização [d]os membros do poder judicial para as obrigações que lhe são impostas pelo presente regulamento e tratar reclamações relativas às operações de tratamento dos dados.

[…]

(117) A criação de autoridades de controlo nos Estados‑Membros, habilitadas a desempenhar as suas funções e a exercer os seus poderes com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados‑Membros deverão poder criar mais do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e administrativa.»

4 O artigo 2.^o do RGPD, com a epígrafe «Âmbito de aplicação material», prevê:

«1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

b) Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

[…]

d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

3. O Regulamento (CE) n.^o 45/2001 [do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO 2001, L 8, p. 1),] aplica‑se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) n.^o 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98.^o

[…]»

5 O artigo 4.^o do RGPD, com a epígrafe «Definições», tem a seguinte redação:

«Para efeitos do presente regulamento, entende‑se por:

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]»

6 O artigo 23.^o do RGPD, com a epígrafe «Limitações», dispõe, no seu n.^o 1:

«O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.^o a 22.^o e no artigo 34.^o, bem como no artigo 5.^o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.^o a 22.^o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

a) A segurança do Estado;

b) A defesa;

c) A segurança pública;

d) A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

e) Outros objetivos importantes do interesse público geral da União ou de um Estado‑Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado‑Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;

f) A defesa da independência judiciária e dos processos judiciais;

[…]

h) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);

i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;

[…]»

7 O artigo 51.^o do RGPD, com a epígrafe «Autoridade de controlo», prevê, no seu n.^o 1:

«Os Estados‑Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União (“autoridade de controlo”).»

8 O artigo 54.^o do RGPD, com a epígrafe «Regras aplicáveis à constituição da autoridade de controlo» enuncia, no seu n.^o 1:

«Os Estados‑Membros estabelecem, por via legislativa:

a) A constituição de cada autoridade de controlo;

[…]»

9 O artigo 55.^o do RGPD, com a epígrafe «Competência», tem a seguinte redação:

«1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado‑Membro.

2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.^o, n.^o 1, alínea c) ou e), é competente a autoridade de controlo do Estado‑Membro em causa. Nesses casos, não é aplicável o artigo 56.^o

3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.»

10 O artigo 77.^o RGPD, com a epígrafe «Direito de apresentar reclamação a uma autoridade de controlo», prevê:

«1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado‑Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2. A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78.^o»

Direito austríaco

11 O artigo 53.^o da Bundes‑Verfassungsgesetz (Lei Constitucional Federal), republicada em 2 de janeiro de 1930 (BGBl. 1/1930), na sua versão aplicável aos factos do processo principal (a seguir «B‑VG»), prevê:

«(1) A Nationalrat [(Assembleia Nacional, Áustria)] pode decidir a constituição de comissões de inquérito. Além disso, é criada uma comissão de inquérito a pedido de um quarto dos seus membros.

(2) O inquérito incide sobre uma atividade passada num domínio do poder executivo a nível federal. Estão incluídas todas as atividades dos órgãos federais por intermédio dos quais o Bund, independentemente da importância da sua participação, exerce direitos de participação e de fiscalização. Está excluída uma reapreciação da jurisprudência.

(3) Todos os órgãos do Bund, dos Länder, dos municípios e das associações de municípios, bem como dos outros órgãos autónomos devem, a pedido, apresentar os seus dossiês e os seus documentos a uma comissão de inquérito na medida em que estes estejam abrangidos pelo objeto do inquérito e devem satisfazer os requerimentos de uma comissão de inquérito tendo em vista a recolha de elementos de prova relacionados com o objeto do inquérito. Esta obrigação não se aplica à apresentação de dossiês e de documentos cuja divulgação possa comprometer as fontes na aceção do artigo 52.^oa, n.^o 2.

(4) A obrigação prevista no n.^o 3 não se aplica na medida em que o processo legal de formação da vontade do Governo federal ou de alguns dos seus membros ou a sua preparação imediata sejam afetados.

[…]»

12 A B‑VG prevê a separação dos poderes legislativo, executivo e judicial. Qualquer não aplicação deste princípio de separação requer uma base constitucional.

13 O artigo 1.^o, n.^o 1, da Datenschutzgesetz (Lei da Proteção de Dados), de 17 de agosto de 1999 (BGBl. I, 165/1999), na sua versão aplicável aos factos do processo principal (a seguir «DSG»), dispõe:

«Tendo também particularmente em conta o respeito da vida privada e familiar, qualquer pessoa tem direito à confidencialidade dos seus dados pessoais, desde que tenha um interesse digno de proteção. Este interesse é excluído quando os dados não dão origem a um direito à confidencialidade pelo facto de estarem livremente disponíveis ao público ou devido à impossibilidade de rastrear esses dados até à pessoa em causa.»

14 Nos termos do artigo 18.^o, n.^o 1, da DSG:

«A Datenschutzbehörde é instituída enquanto autoridade nacional de controlo nos termos do artigo 51.^o do RGPD.»

15 O artigo 24.^o, n.^o 1, da DSG tem a seguinte redação:

«Todo o interessado tem direito a apresentar reclamação ao Datenschutzbehörde se considerar que o tratamento dos dados pessoais que lhe diz respeito viola o RGPD ou o artigo 1.^o ou o artigo 2.^o, primeira parte principal.»

16 O artigo 35.^o da DSG prevê:

«(1) A Datenschutzbehörde tem a função de garantir a proteção dos dados em conformidade com as disposições do RGPD e da presente lei federal.

(2) A Datenschutzbehörde exerce igualmente os seus poderes perante os órgãos supremos do poder executivo referidos no artigo 19.^o da B‑VG, bem como perante os órgãos supremos em conformidade com as disposições do artigo 30.^o, n.^os 3 a 6, dos artigos 125.^o e 134.^o, n.^o 8, e do artigo 148.^oh, n.^os 1 e 2, da B‑VG no que respeita às questões administrativas da sua competência.»

Litígio no processo principal e questões prejudiciais

17 Por Decisão de 20 de abril de 2018, a Assembleia Nacional constituiu, em conformidade com o artigo 53.^o da B‑VG, uma comissão de inquérito encarregada de esclarecer a existência de uma eventual influência política no Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Serviço Federal para a Proteção da Constituição e a Luta contra o Terrorismo, Áustria) (a seguir «BVT»), ao qual sucedeu, em 1 de dezembro de 2021, a Direktion Staatsschutz und Nachrichtendienst (Direção da Segurança do Estado e dos Serviços de Informação, Áustria).

18 Em 19 de setembro de 2018, essa comissão de inquérito (a seguir «comissão de inquérito BVT») ouviu WK como testemunha numa audição acessível aos representantes dos meios de comunicação social. Apesar de um pedido de anonimização formulado por WK, a ata desta audição, na qual eram citados os seus apelidos e nomes próprios completos, foi publicada no sítio Internet do Parlament Österreich (Parlamento austríaco).

19 Em 2 de abril de 2019, WK apresentou uma reclamação na Datenschutzbehörde, na qual alegava que a publicação, contra a sua vontade, da ata da referida audição, com a menção da sua identidade, era contrária às disposições do RGPD e ao artigo 1.^o da DSG. Em apoio da sua reclamação, explicou que trabalhava como agente infiltrado no grupo de intervenção da polícia encarregado da luta contra a delinquência na via pública.

20 Por Decisão de 18 de setembro de 2019, a Datenschutzbehörde indeferiu essa reclamação. Considerou que, embora o RGPD não obstasse, em princípio, a que as autoridades de controlo procedessem ao controlo dos órgãos legislativos, estava, no entanto, excluído, por força do princípio da separação de poderes, que o poder legislativo estivesse sujeito ao controlo do poder executivo. Nestas condições, e na medida em que a comissão de inquérito BVT fazia parte do poder legislativo, a Datenschutzbehörde, que é um órgão do poder executivo, não estava habilitada a controlar a atividade da referida comissão e era, portanto, incompetente para se pronunciar sobre a reclamação de WK.

21 Por Decisão de 23 de novembro de 2020, o Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria) deu provimento ao recurso interposto por WK e anulou a decisão da Datenschutzbehörde. Declarou, em substância, que o RGPD é aplicável aos atos do legislador e, portanto, aos da comissão de inquérito BVT. Com efeito, o âmbito de aplicação material do RGPD, conforme definido no seu artigo 2.^o, n.^o 1, está concebido de forma exaustiva e abrange todos os tratamentos de dados, independentemente da entidade que efetua o tratamento e da função estatal dessa entidade. Por outro lado, também não se pode deduzir do artigo 2.^o, n.^o 2, do RGPD uma derrogação à aplicabilidade deste regulamento para certas funções do Estado, como a função legislativa, uma vez que a derrogação prevista na alínea a) desta disposição deve ser interpretada de forma restritiva. Consequentemente, segundo o Bundesverwaltungsgericht (Tribunal Administrativo Federal), a Datenschutzbehörde era competente para se pronunciar sobre a reclamação de WK, em conformidade com o artigo 77.^o do referido regulamento.

22 Chamado a pronunciar‑se em sede de recurso de «Revision» interposto pela Datenschutzbehörde contra essa decisão do Bundesverwaltungsgericht (Tribunal Administrativo Federal), o Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria), que é o órgão jurisdicional de reenvio no presente processo, interroga‑se, em primeiro lugar, sobre se os atos de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro estão, mesmo independentemente do objeto do inquérito, excluídos do âmbito de aplicação do RGPD por força do seu artigo 2.^o, n.^o 2, alínea a), e do artigo 16.^o, n.^o 2, primeiro período, TFUE, pelo facto de os trabalhos dessa comissão constituírem, por natureza, atividades não sujeitas à aplicação do direito da União.

23 Neste contexto, o referido órgão jurisdicional salienta, antes de mais, que, em conformidade com a jurisprudência do Tribunal de Justiça na matéria resultante, nomeadamente, do Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535), não se pode exigir, para efeitos da aplicação do RGPD, que o tratamento de dados pessoais em causa seja concretamente efetuado para fins abrangidos pelo direito da União, que seja transfronteiriço ou que afete concreta e diretamente a livre circulação entre os Estados‑Membros. Pelo contrário, a aplicação deste regulamento só está excluída se estiver preenchida pelo menos uma das condições de aplicação da derrogação prevista no artigo 2.^o, n.^o 2, alíneas a) a d), do referido regulamento.

24 A este respeito, o órgão jurisdicional de reenvio recorda que, segundo a jurisprudência do Tribunal de Justiça, se deve considerar que o artigo 2.^o, n.^o 2, alínea a), do RGPD, lido à luz do considerando 16 deste regulamento, tem por único objetivo excluir do âmbito de aplicação do referido regulamento os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria. As atividades que têm por finalidade preservar a segurança nacional, referidas no artigo 2.^o, n.^o 2, alínea a), do RGPD, abrangem, em particular, as que têm por objeto proteger as funções essenciais do Estado e os interesses fundamentais da sociedade [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^os 62 a 67 e jurisprudência referida].

25 Em seguida, sublinha certas diferenças entre a comissão parlamentar em causa no processo que deu origem ao Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535), a saber, a Comissão das Petições do Parlamento do Land Hessen (Land de Hesse, Alemanha), e a comissão de inquérito BVT. Em particular, os trabalhos desta última não contribuem apenas de indiretamente para a atividade parlamentar, mas estão no cerne desta atividade, em razão da missão de controlo conferida pela B‑VG às comissões de inquérito instituídas pela Assembleia Nacional.

26 Por último, o órgão jurisdicional de reenvio faz referência ao princípio da separação dos poderes legislativo, executivo e judicial, princípio inerente tanto ao direito de cada Estado‑Membro como ao direito da União. É certo que o artigo 55.^o, n.^o 3, do RGPD se limita a excluir a competência das autoridades de controlo para controlar os tratamentos de dados pessoais efetuados pelos tribunais no exercício das suas atividades jurisdicionais e não visa os tratamentos de dados efetuados no âmbito do cerne da atividade parlamentar. Todavia, este silêncio pode explicar‑se pelo facto de, para o legislador da União, esta última atividade já não estar abrangida pelo âmbito de aplicação do referido regulamento por força do seu artigo 2.^o, n.^o 2, alínea a).

27 Em segundo lugar, o órgão jurisdicional de reenvio sublinha que o objeto do inquérito da comissão de inquérito BVT diz respeito a atividades de segurança nacional que, à luz do considerando 16 do RGPD, não estão abrangidas pelo âmbito de aplicação do direito da União e estão, portanto, excluídas do âmbito de aplicação material deste regulamento, em conformidade com o seu artigo 2.^o, n.^o 2, alínea a).

28 Assim, admitindo que a atividade de controlo parlamentar de uma comissão de inquérito entra, em princípio, no âmbito de aplicação do direito da União, na aceção do artigo 16.^o, n.^o 2, TFUE, importa ainda verificar se as suas atividades estão, pelo menos, abrangidas pela exceção prevista no artigo 2.^o, n.^o 2, alínea a), do RGPD, tendo em conta a circunstância de o objeto do inquérito dizer respeito a atividades do poder executivo que, como no caso em apreço, não entram no âmbito de aplicação do direito da União.

29 Em terceiro lugar, o órgão jurisdicional de reenvio interroga‑se sobre se, tendo em conta, nomeadamente, o princípio constitucional da separação de poderes na Áustria, a Datenschutzbehörde, única autoridade nacional de controlo na aceção do artigo 51.^o do RGPD, é competente, com fundamento apenas neste regulamento, para se pronunciar sobre uma reclamação como a apresentada por WK, na falta de qualquer base constitucional no direito nacional que permita estabelecer tal competência.

30 Foi nestas condições que o Verwaltungsgerichtshof (Supremo Tribunal Administrativo) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) As atividades de uma comissão de inquérito nomeada pelo Parlamento de um Estado‑Membro no exercício da sua faculdade de fiscalização do poder executivo, independentemente do objeto do inquérito, são abrangidas pelo âmbito de aplicação do direito da União nos termos do artigo 16.^o, n.^o 2, primeiro período, TFUE, de modo que o [RGPD] é aplicável ao tratamento de dados pessoais por uma comissão parlamentar de inquérito de um Estado‑Membro?

Em caso de resposta afirmativa à primeira questão:

2) As atividades de uma comissão de inquérito nomeada pelo Parlamento de um Estado‑Membro no exercício da sua faculdade de fiscalização do poder executivo, que têm por objeto as atividades de uma autoridade policial de proteção do Estado, e, portanto, as atividades relativas à proteção da segurança nacional, na aceção do considerando 16 do RGPD, são abrangidas pela exceção prevista no artigo 2.^o, n.^o 2, alínea a), do RGPD?

Em caso de resposta negativa à segunda questão:

3) Na medida em que um Estado‑Membro só tenha criado, como no caso em apreço, uma única autoridade de controlo, nos termos do artigo 51.^o, n.^o 1, do RGPD, a sua competência para apreciar reclamações na aceção do artigo 77.^o, n.^o 1, conjugado com o artigo 55.^o, n.^o 1, do RGPD, resulta diretamente do RGPD?»

Quanto às questões prejudiciais

Quanto à primeira questão

31 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 16.^o, n.^o 2, primeiro período, TFUE e o artigo 2.^o, n.^o 2, alínea a), do RGPD devem ser interpretados no sentido de que uma atividade, pela simples razão de ser exercida por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, está fora do âmbito de aplicação do direito da União e não é, por conseguinte, abrangida pelo âmbito de aplicação deste regulamento.

32 O artigo 16.^o TFUE, que constitui a base jurídica do RGPD, prevê, no seu n.^o 2, que o Parlamento Europeu e o Conselho da União Europeia estabelecem as normas relativas, nomeadamente, à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelos Estados‑Membros no exercício de atividades relativas à aplicação do direito da União.

33 Em conformidade com esta disposição, o artigo 2.^o, n.^o 1, do RGPD dá uma definição muito ampla do âmbito de aplicação material deste regulamento [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 61]. Com efeito, prevê que este regulamento «[se aplica] ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados».

34 Além disso, este mesmo artigo 2.^o do RGPD fixa, nos seus n.^os 2 e 3, exaustivamente, as exceções à regra que define o âmbito de aplicação material deste regulamento enunciada no seu n.^o 1. Em particular, o artigo 2.^o, n.^o 2, alínea a), do referido regulamento precisa que o mesmo não se aplica ao tratamento de dados pessoais efetuado «no exercício de atividades não sujeitas à aplicação do direito da União».

35 Neste contexto, o órgão jurisdicional de reenvio interroga‑se sobre se um tratamento de dados pessoais que se inscreve no âmbito da atividade de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo está, em todo o caso e independentemente do objeto do inquérito, abrangido pela exceção prevista nesta última disposição.

36 A este respeito, importa recordar que, sem prejuízo dos casos mencionados no seu artigo 2.^o, n.^os 2 e 3, o RGPD se aplica aos tratamentos efetuados tanto por particulares como pelas autoridades públicas (v., neste sentido, Acórdão de 24 de março de 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, n.^o 25).

37 Resulta da jurisprudência do Tribunal de Justiça que a exceção prevista no artigo 2.^o, n.^o 2, do RGPD deve ser objeto de interpretação estrita [Acórdão de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 62 e jurisprudência referida]. Neste contexto, o Tribunal de Justiça já teve oportunidade de precisar que o artigo 2.^o, n.^o 2, alínea a), deste regulamento, lido à luz do considerando 16 do referido regulamento, tem por único objetivo excluir do seu âmbito de aplicação os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria, pelo que o simples facto de uma atividade ser própria do Estado ou de uma autoridade pública não é suficiente para que esta exceção seja automaticamente aplicável a tal atividade [Acórdãos de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 66, e de 20 de outubro de 2022, Koalitsia «Demokratichna Bulgaria — Obedinenie», C‑306/21, EU:C:2022:813, n.^o 39].

38 Esta interpretação, que já decorre da circunstância de o artigo 2.^o, n.^o 1, do RGPD não estabelecer uma distinção em função da identidade do autor do tratamento em causa, é confirmada pelo artigo 4.^o, ponto 7, deste regulamento, que define o conceito de «[r]esponsável pelo tratamento» como sendo «a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais».

39 Foi precisamente ao interpretar esta última disposição que o Tribunal de Justiça declarou que, na medida em que determina, individualmente ou em conjunto com outras, as finalidades e os meios de tratamento de dados pessoais, uma Comissão das Petições do Parlamento de um Estado federado de um Estado‑Membro deve ser qualificada de «responsável pelo tratamento» na aceção desta disposição, pelo que o tratamento de dados pessoais efetuado por essa comissão está abrangido pelo âmbito de aplicação deste regulamento (Acórdão de 9 de julho de 2020, Land Hessen, C‑272/19, EU:C:2020:535, n.^o 74).

40 A circunstância, salientada pelo Präsident des Nationalrates (Presidente da Assembleia Nacional, Áustria), segundo a qual, contrariamente à Comissão das Petições em causa no processo que deu origem ao Acórdão de 9 de julho de 2020, Land Hessen (C‑272/19, EU:C:2020:535), que contribuía apenas indiretamente para a atividade parlamentar, a comissão de inquérito BVT é um órgão cuja atividade é direta e exclusivamente de natureza parlamentar, não implica que as atividades desta última comissão estejam excluídas do âmbito de aplicação do RGPD.

41 Com efeito, como salientou, em substância, o advogado‑geral no n.^o 84 das suas conclusões, a exceção ao âmbito de aplicação do RGPD prevista no artigo 2.^o, n.^o 2, alínea a), deste regulamento refere‑se apenas a categorias de atividades que, em razão da sua natureza, não estão abrangidas pelo âmbito de aplicação do direito da União, e não a categorias de pessoas, consoante tenham natureza privada ou pública, nem, quando o responsável pelo tratamento seja uma autoridade pública, à circunstância de as suas missões e funções estarem direta e exclusivamente abrangidas por uma determinada prerrogativa de poder público, sem que esta prerrogativa esteja relacionada com uma atividade que, em todo o caso, está fora do âmbito de aplicação do direito da União.

42 Por conseguinte, a circunstância de o tratamento de dados pessoais ser efetuado por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo não permite, enquanto tal, demonstrar que esse tratamento é efetuado no contexto de atividades não sujeitas à aplicação do direito da União, na aceção do artigo 2.^o, n.^o 2, alínea a), do RGPD.

43 Tendo em conta o que precede, há que responder à primeira questão que o artigo 16.^o, n.^o 2, primeiro período, TFUE e o artigo 2.^o, n.^o 2, alínea a), do RGPD devem ser interpretados no sentido de que não se pode considerar que uma atividade está fora do âmbito de aplicação do direito da União e não é, por conseguinte, abrangida pelo âmbito de aplicação deste regulamento pela simples razão de ser exercida por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo.

Quanto à segunda questão

44 Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 2.^o, n.^o 2, alínea a), do RGPD, lido à luz do considerando 16 deste regulamento, deve ser interpretado no sentido de que as atividades de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, que tenham por objeto investigar as atividades de uma autoridade policial de proteção do Estado em razão de uma suspeita de influência política sobre esta autoridade, não podem ser consideradas atividades que se prendem com a segurança nacional que se situam fora do âmbito de aplicação do direito da União, na aceção desta disposição.

45 Como recordado no n.^o 37 do presente acórdão, o artigo 2.^o, n.^o 2, alínea a), do RGPD deve ser interpretado de forma estrita e tem por único objetivo excluir do âmbito de aplicação do referido regulamento os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria.

46 As atividades que têm por finalidade preservar a segurança nacional na aceção do artigo 2.^o, n.^o 2, alínea a), do RGPD abrangem, em particular, as que têm por objeto proteger as funções essenciais do Estado e os interesses fundamentais da sociedade [Acórdãos de 22 de junho de 2021, Latvijas Republikas Saeima (Pontos de penalização), C‑439/19, EU:C:2021:504, n.^o 67, e de 20 de outubro de 2022, Koalitsia «Demokratichna Bulgaria — Obedinenie», C‑306/21, EU:C:2022:813, n.^o 40].

47 Em conformidade com o artigo 4.^o, n.^o 2, TUE, tais atividades continuam a ser da exclusiva responsabilidade dos Estados‑Membros (v., neste sentido, Acórdão de 15 de julho de 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, n.^o 36).

48 No caso em apreço, resulta dos autos de que o Tribunal de Justiça dispõe que a comissão de inquérito BVT foi instituída pela Assembleia Nacional para investigar a existência de uma eventual influência política sobre o BVT, cuja missão consistia, no período em causa no processo principal, em assegurar a proteção da Constituição e lutar contra o terrorismo.

49 O Presidente da Assembleia Nacional e o Governo Checo consideram, em substância, que, uma vez que as missões do BVT incluem «atividades […] que se prendem com a segurança nacional», as suas atividades estão abrangidas pela exceção prevista no artigo 2.^o, n.^o 2, alínea a), do RGPD. Ora, as atividades de uma comissão de inquérito do Parlamento de um Estado‑Membro que consistem em fiscalizar órgãos estatais que, como era o caso do BVT, estão encarregados de assegurar a segurança nacional também estão abrangidas pelo conceito de atividades que se prendem com a segurança nacional. Com efeito, o objetivo da atividade de fiscalização de tal comissão de inquérito é verificar se as autoridades fiscalizadas asseguram corretamente a segurança nacional.

50 A este respeito, importa recordar que, embora incumba aos Estados‑Membros, em conformidade com o artigo 4.^o, n.^o 2, TUE, definir os seus interesses essenciais de segurança e adotar as medidas adequadas para salvaguardar a sua segurança interna e externa, o simples facto de uma medida nacional ter sido adotada para efeitos da proteção da segurança nacional não pode levar à inaplicabilidade do direito da União e dispensar os Estados‑Membros do respeito necessário desse direito (v., neste sentido, Acórdão de 15 de julho de 2021, Ministrstvo za obrambo, C‑742/19, EU:C:2021:597, n.^o 40 e jurisprudência referida).

51 Ora, como recordado no n.^o 41 do presente acórdão, a exceção prevista no artigo 2.^o, n.^o 2, alínea a), do RGPD refere‑se apenas a categorias de atividades que, em razão da sua natureza, não estão sujeitas à aplicação do direito da União, e não a categorias de pessoas, consoante tenham natureza privada ou pública, nem, quando o responsável pelo tratamento seja uma autoridade pública, à circunstância de as suas missões e funções estarem direta e exclusivamente abrangidas por uma determinada prerrogativa de poder público, sem que esta prerrogativa esteja relacionada com uma atividade que não é abrangida, em todo o caso, ao âmbito de aplicação do direito da União. A este respeito, a circunstância de o responsável pelo tratamento ser uma autoridade pública cuja atividade principal é assegurar a segurança nacional não basta, enquanto tal, para excluir do âmbito de aplicação do RGPD os tratamentos de dados pessoais efetuados por essa autoridade no âmbito de outras atividades por ela realizadas.

52 No caso em apreço, resulta dos autos de que o Tribunal de Justiça dispõe que a comissão de inquérito em causa no processo principal tinha por objeto proceder a uma fiscalização política da atividade do BVT em razão de uma suspeita de influência política sobre este organismo, sem que esse controlo pareça constituir, enquanto tal, uma atividade destinada a preservar a segurança nacional ou que possa ser classificada na mesma categoria, na aceção da jurisprudência recordada no n.^o 45 do presente acórdão. Daqui resulta que, sem prejuízo de verificação pelo órgão jurisdicional de reenvio, esta atividade não está fora do âmbito de aplicação do RGPD ao abrigo do seu artigo 2.^o, n.^o 2, alínea a).

53 No entanto, uma comissão de inquérito parlamentar como a que está em causa no processo principal pode, no âmbito dos seus trabalhos, ter acesso a informações, em particular a dados pessoais, que, por razões de segurança nacional, devem beneficiar de uma proteção especial, que consiste, por exemplo, em limitar as informações a fornecer aos titulares dos dados quanto à recolha desses dados ou ainda o acesso desses titulares aos referidos dados.

54 A este respeito, o artigo 23.^o do RGPD dispõe que podem ser estabelecidas limitações, através de medidas legislativas, às obrigações e aos direitos previstos nos artigos 5.^o, 12.^o a 22.^o e 34.^o do RGPD, para assegurar, designadamente, a segurança do Estado ou uma missão de controlo associada ao exercício da autoridade pública, em particular no âmbito da segurança do Estado.

55 Assim, a exigência de salvaguarda da segurança nacional pode justificar limitações, através de medidas legislativas, às obrigações e aos direitos decorrentes do RGPD, nomeadamente no que respeita à recolha de dados pessoais, à informação dos titulares dos dados e ao seu acesso aos referidos dados ou ainda à divulgação desses dados, sem o consentimento dos titulares dos dados, a pessoas que não sejam o responsável pelo tratamento, desde que tais limitações respeitem a essência dos direitos e liberdades fundamentais dos titulares dos dados e constituam uma medida necessária e proporcionada numa sociedade democrática.

56 No caso em apreço, não resulta todavia dos autos de que o Tribunal de Justiça dispõe que a comissão de inquérito BVT tenha alegado que a divulgação dos dados pessoais de WK, ocorrida por ocasião da publicação no sítio Internet do Parlamento Austríaco da ata da sua audição perante essa comissão, e sem o consentimento dessa pessoa, era necessária para a salvaguarda da segurança nacional e se baseava numa medida legislativa nacional prevista para esse efeito. No entanto, é ao órgão jurisdicional de reenvio que incumbe, sendo caso disso, proceder às verificações necessárias a este respeito.

57 Tendo em conta o exposto, há que responder à segunda questão que o artigo 2.^o, n.^o 2, alínea a), do RGPD, lido à luz do considerando 16 deste regulamento, deve ser interpretado no sentido de que as atividades de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, que tenham por objeto investigar as atividades de uma autoridade policial de proteção do Estado em razão de uma suspeita de influência política sobre esta autoridade, não podem ser consideradas, enquanto tais, atividades que se prendem com a segurança nacional que se situam fora do âmbito de aplicação do direito da União, na aceção desta disposição.

Quanto à terceira questão

58 Com a sua terceira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 77.^o, n.^o 1, e o artigo 55.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que, quando um Estado‑Membro tenha optado, em conformidade com o artigo 51.^o, n.^o 1, deste regulamento, por instituir uma única autoridade de controlo, sem todavia lhe atribuir competência para fiscalizar a aplicação do RGPD por uma comissão de inquérito instituída pelo Parlamento desse Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, estas disposições conferem diretamente a essa autoridade competência para conhecer das reclamações relativas a tratamentos de dados pessoais efetuados pela referida comissão de inquérito.

59 Para responder a esta questão, importa recordar que, nos termos do artigo 288.^o, segundo parágrafo, TFUE, o regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados‑Membros.

60 Segundo jurisprudência assente do Tribunal de Justiça, em virtude desta disposição e devido à própria natureza dos regulamentos e à sua função no sistema das fontes do direito da União, as disposições dos regulamentos produzem, regra geral, um efeito imediato nas ordens jurídicas nacionais, sem que seja necessário que as autoridades nacionais tomem medidas de aplicação (Acórdão de 15 de junho de 2021, Facebook Ireland e o., C‑645/19, EU:C:2021:483, n.^o 110 e jurisprudência referida).

61 Ora, por um lado, segundo o artigo 77.^o, n.^o 1, do RGPD, o titular de dados tem direito a apresentar reclamação a uma autoridade de controlo se considerar que o tratamento dos dados pessoais que lhe diga respeito viola este regulamento. Por outro lado, nos termos do artigo 55.^o, n.^o 1, do referido regulamento, as autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo mesmo regulamento no território do seu próprio Estado‑Membro.

62 Resulta da redação destas disposições que, como salientou, em substância, o advogado‑geral no n.^o 132 das suas conclusões, o artigo 77.^o, n.^o 1, e o artigo 55.^o, n.^o 1, do RGPD não necessitam, para a sua execução, da adoção de medidas nacionais de aplicação e são suficientemente claros, precisos e incondicionais para serem dotados de efeito direto.

63 Daqui se conclui que, embora o RGPD, em conformidade com o seu artigo 51.^o, n.^o 1, reconheça uma margem de apreciação aos Estados‑Membros quanto ao número de autoridades de controlo a instituir, fixa, em contrapartida, o alcance da competência de que estas autoridades, independentemente do seu número, devem ser dotadas para fiscalizar a aplicação deste regulamento.

64 Assim, como salientou, em substância, o advogado‑geral no n.^o 137 das suas conclusões, no caso de um Estado‑Membro optar por instituir uma única autoridade de controlo, esta dispõe necessariamente da totalidade das competências que o RGPD confere às autoridades de controlo.

65 Qualquer outra interpretação poria em causa o efeito útil do artigo 55.^o, n.^o 1, e do artigo 77.^o, n.^o 1, do RGPD e poderia enfraquecer o efeito útil de todas as outras disposições deste regulamento suscetíveis de ser afetadas por uma reclamação.

66 De resto, quando o legislador da União pretendeu limitar a competência das autoridades de controlo em matéria de controlo das operações de tratamento efetuadas por autoridades públicas, fê‑lo expressamente, como atesta o artigo 55.^o, n.^o 3, do RGPD, nos termos do qual estas autoridades não têm competência para controlar as operações de tratamento efetuadas por tribunais no exercício da sua função jurisdicional.

67 A Datenschutzbehörde, o Presidente da Assembleia Nacional e o Governo Austríaco observam que as disposições de direito austríaco de nível constitucional proíbem o poder executivo de exercer qualquer fiscalização sobre o poder legislativo. Por conseguinte, estas disposições excluem a possibilidade de a Datenschutzbehörde, que depende do poder executivo, fiscalizar a aplicação do RGPD pela comissão de inquérito BVT, que é um órgão do poder legislativo.

68 No entanto, no caso em apreço, é precisamente no respeito da estrutura constitucional dos Estados‑Membros que o artigo 51.^o, n.^o 1, do RGPD se limita a exigir que os Estados‑Membros instituam pelo menos uma autoridade de controlo, dando‑lhes a possibilidade de instituírem várias. Além disso, o considerando 117 deste regulamento especifica que os Estados‑Membros deverão poder criar mais do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e administrativa.

69 O artigo 51.^o, n.^o 1, do RGPD reconhece assim aos Estados‑Membros uma margem de apreciação que lhes permite criar tantas autoridades de controlo quantas sejam requeridas, nomeadamente, pelas exigências relativas à sua estrutura constitucional.

70 Além disso, importa recordar que o facto de um Estado‑Membro invocar disposições de direito nacional não pode afetar a unidade e a eficácia do direito da União. Efetivamente, os efeitos associados ao princípio do primado do direito da União impõem‑se a todos os órgãos de um Estado‑Membro, sem que, nomeadamente, as disposições internas, incluindo de ordem constitucional, o possam impedir [Acórdão de 22 de fevereiro de 2022, RS (Efeito dos acórdãos de um tribunal constitucional), C‑430/21, EU:C:2022:99, n.^o 51 e jurisprudência referida].

71 Quando, no âmbito da sua margem de apreciação, um Estado‑Membro tenha optado por instituir uma única autoridade de controlo, não pode invocar disposições de direito nacional, ainda que sejam de ordem constitucional, para excluir do controlo dessa autoridade tratamentos de dados pessoais abrangidos pelo âmbito de aplicação do RGPD.

72 Tendo em conta o exposto, importa responder à terceira questão que o artigo 77.^o, n.^o 1, e o artigo 55.^o, n.^o 1, do RGPD devem ser interpretados no sentido de que, quando um Estado‑Membro tenha optado, em conformidade com o artigo 51.^o, n.^o 1, deste regulamento, por instituir uma única autoridade de controlo, sem todavia lhe atribuir competência para fiscalizar a aplicação do referido regulamento por uma comissão de inquérito instituída pelo Parlamento desse Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, estas disposições conferem diretamente a essa autoridade competência para conhecer das reclamações relativas a tratamentos de dados pessoais efetuados pela referida comissão de inquérito.

Quanto às despesas

73 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1) O artigo 16.^o, n.^o 2, primeiro período, TFUE e o artigo 2.^o, n.^o 2, alínea a), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

devem ser interpretados no sentido de que:

não se pode considerar que uma atividade está fora do âmbito de aplicação do direito da União e não é, por conseguinte, abrangida pelo âmbito de aplicação deste regulamento pela simples razão de ser exercida por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo.

2) O artigo 2.^o, n.^o 2, alínea a) do Regulamento 2016/679, lido à luz do considerando 16 deste regulamento,

deve ser interpretado no sentido de que:

que as atividades de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, que tenham por objeto investigar as atividades de uma autoridade policial de proteção do Estado em razão de uma suspeita de influência política sobre esta autoridade, não podem ser consideradas, enquanto tais, atividades que se prendem com a segurança nacional que se situam fora do âmbito de aplicação do direito da União, na aceção desta disposição.

3) O artigo 77.^o, n.^o 1, e o artigo 55.^o, n.^o 1, do Regulamento 2016/679

devem ser interpretados no sentido de que:

quando um Estado‑Membro tenha optado, em conformidade com o artigo 51.^o, n.^o 1, deste regulamento, por instituir uma única autoridade de controlo, sem todavia lhe atribuir competência para fiscalizar a aplicação do referido regulamento por uma comissão de inquérito instituída pelo Parlamento desse Estado‑Membro no exercício do seu poder de fiscalização do poder executivo, estas disposições conferem diretamente a essa autoridade competência para conhecer das reclamações relativas a tratamentos de dados pessoais efetuados pela referida comissão de inquérito.

Assinaturas

* Língua do processo: alemão.