CONCLUSÕES DO ADVOGADO‑GERAL
ANTHONY MICHAEL COLLINS
apresentadas em 28 de abril de 2022 (1)
Processo C‑129/21
Proximus NV
contra
Gegevensbeschermingsautoriteit
[pedido de decisão prejudicial apresentado pelo hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica)]
«Reenvio prejudicial — Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Diretiva 2002/58/CE — Artigo 12.o — Listas telefónicas e serviços de informação telefónica — Consentimento do titular dos dados — Regulamento (UE) 2016/679 — Definição de “consentimento” — Artigo 17.o — Direito ao apagamento dos dados (“direito a ser esquecido”) — Artigo 5.o, n.o 2, artigo 17.o, n.o 2, artigo 19.o e artigo 24.o — Obrigações de informação e responsabilidade do responsável pelo tratamento»
I. Introdução
1. O presente pedido de decisão prejudicial, submetido pelo hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica), surge no seguimento de um pedido apresentado por um assinante de um serviço de telecomunicações no sentido de que os seus dados de contacto fossem removidos de listas telefónicas eletrónicas públicas ou de serviços de informações telefónicas. O presente processo suscita questões importantes relativamente à interpretação do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (2), da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva Relativa à Privacidade e às Comunicações Eletrónicas) (3), bem como à relação entre estes dois atos.
2. O RGPD impõe a cada responsável pelo tratamento uma obrigação geral de obter o consentimento do titular dos dados para o tratamento dos seus dados pessoais. No que se refere ao tratamento de dados por fornecedores de listas telefónicas eletrónicas e de serviços de informação telefónica, a Diretiva 2002/58 altera esta obrigação permitindo que um ato único de consentimento de um assinante para a utilização dos seus dados pessoais baste para permitir um tratamento de dados com a mesma finalidade. Por conseguinte, o assinante dá o seu consentimento, uma única vez, para que os seus dados de contacto figurem em listas telefónicas, o que permite que outros fornecedores de listas telefónicas se baseiem nesse mesmo consentimento para incluir os referidos dados de contacto nas suas listas telefónicas. O que acontece então nos casos em que o assinante pretende que os seus dados de contacto sejam removidos de todas as listas telefónicas deste tipo? Nesse caso colocam‑se pelo menos duas questões. Em primeiro lugar, deve o assinante dirigir o pedido à operadora de telecomunicações com quem celebrou o contrato, ao(s) fornecedor(es) de listas telefónicas e serviços de informação telefónica, ou a ambos? Em segundo lugar, está o fornecedor de listas telefónicas obrigado a informar terceiros, como o operador de telecomunicações do assinante, outro(s) fornecedor(es) de listas telefónicas e serviços de informação telefónica e fornecedores de motores de busca, do pedido de remoção de dados de contacto?
II. Matéria de facto
3. A Proximus presta serviços de telecomunicação. Inscreve os dados de contacto dos seus próprios assinantes, bem como os dados que recebe de outras operadoras de telecomunicações, em duas listas telefónicas eletrónicas belgas, www.1207.be e www.1307.be, e em dois serviços de informação telefónica, 1207 e 1307, que também fornece. Transmite estes dados de contacto a outros fornecedores de listas telefónicas e serviços de informação telefónica.
4. A Proximus esclarece que as suas bases de dados, bem como as bases de dados de terceiros, distinguem os assinantes cujos dados de contacto podem ser incluídos em listas telefónicas daqueles cujos dados devem ser excluídos. Caso os dados de contacto possam ser incluídos nas listas, o código a ter em conta que figura no registo do assinante é «NNNNN». Caso os dados de contacto devam ser excluídos, o código a ter em conta é «XXXXX».
5. O autor da reclamação é um assinante de um serviço telefónico prestado pela Telenet, uma operadora de telecomunicações no mercado belga. A Telenet não disponibiliza listas telefónicas, mas transmite os dados de contacto dos seus assinantes, entre outros, à Proximus.
6. Em 13 de janeiro de 2019, fazendo uso do formulário de contacto disponível no sítio Web www.1207.be, o autor da reclamação dirigiu à Proximus o seguinte pedido: «Por favor, não incluir este número de telefone na lista telefónica “Witte Gids”, disponível em 1207.be, […]».
7. No seguimento deste pedido, em 28 de janeiro de 2019, a Proximus alterou o código «NNNNN» no registo do autor da reclamação para «XXXXX». Na mesma data, um trabalhador da Proximus respondeu ao autor da reclamação da seguinte forma: «O número de telefone [...] já não figura na presente edição da “Gids”. Os dados em causa também já não se encontram acessíveis através do serviço de informação telefónica (1207) ou do sítio Web (1207.be). A última atualização de todos os registos publicados encontra‑se disponível no nosso sítio Web www.1207.be».
8. Em 31 de janeiro de 2019, a Proximus recebeu da Telenet uma atualização periódica dos dados dos assinantes. Nesta atualização figuravam novos dados de contacto do autor da reclamação. Daí resultava igualmente que os dados de contacto do autor da reclamação deveriam ser inscritos nas listas telefónicas («NNNNN»). A Proximus procedeu a esta atualização automaticamente. Consequentemente, os dados de contacto do autor da reclamação tornaram‑se publicamente disponíveis.
9. Em 14 de agosto de 2019, apercebendo‑se de que o seu número de telefone figurava nas listas telefónicas eletrónicas acessíveis em www.1207.be e www.1307.be, assim como em várias outras listas telefónicas eletrónicas, o autor da reclamação contactou a Proximus, fazendo uso do formulário de contacto disponível no sítio Web www.1207.be, pedindo‑lhe para «não incluir» o seu número de telefone «no sítio Web http://www.1207.be».
10. Na mesma data, um trabalhador da Proximus respondeu que: «Em conformidade com o seu pedido, apagamos a sua entrada eletrónica para que os seus dados pessoais (número de telefone, nome, endereço) deixem de figurar nas nossas listas telefónicas ou serviços de informação telefónica. Dentro de poucos dias os seus dados deixarão de estar disponíveis em www.1207.be — www.1307.be e nos serviços de informação telefónica (1207‑1307). Também contactaremos a Google para que apague as hiperligações pertinentes para o nosso sítio Web. Em conformidade com as disposições legais, os seus dados foram igualmente reenviados para outros fornecedores de listas telefónicas ou serviços de informação telefónica que solicitaram [à Proximus] o fornecimento dos dados pessoais dos assinantes, nomeadamente, www.wittegids.be, www.infobel.com, www.de1212.be e www.opendi.be. Estes serão igualmente informados do seu pedido de remoção de dados de contacto através das atualizações periódicas mensais.»
11. Simultaneamente, o autor da reclamação apresentou uma queixa junto da Gegevensbeschermingsautoriteit (Autoridade de Proteção de Dados, Bélgica, a seguir «APD»). Da mesma figurava o seguinte texto: «[n]ão obstante o meu pedido escrito e expresso […] de remoção do meu (novo) número de telefone […] e outros dados pessoais da lista telefónica Witte Gids, disponível em 1207.be, […] hoje, após ter recebido uma chamada telefónica de uma sociedade que não possui o meu número de telefone, [apercebi‑me] de que o meu número de telefone tinha, todavia, sido incluído nos sítios Web www.1207.be, www.1307.be, www.wittegids.be, www.infobel.be, ww.de1212.be, assim como, muito provavelmente, nos serviços de informações telefónicas pertinentes 1207, 1307 e edições físicas da lista telefónica Witte Gids(en) e www.opendi.be.»
12. Em 27 de agosto de 2019, o serviço de recebimento de queixas da APD declarou a queixa admissível e remeteu‑a para o Geschillenkamer van de Gegevensbeschermingsautoriteit (Secção de Contencioso da Autoridade de Proteção de Dados, Bélgica, a seguir «Secção de Contencioso da APD»).
III. Disposições legais aplicáveis
A. Direito da União
1. Carta dos Direitos Fundamentais da União Europeia
13. Nos termos do artigo 8.o, n.os 1 e 2, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), sob a epígrafe «Proteção de dados pessoais»:
«1. Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação.»
2. Regulamento Geral sobre a Proteção de Dados
14. O conceito de consentimento é fundamental para o funcionamento do RGPD. O seu artigo 4.o, ponto 11, define «consentimento» como qualquer manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
15. O artigo 5.o, n.o 1, do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», prevê, na parte relevante para o presente processo:
«Os dados pessoais são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);
[...]»
16. O artigo 5.o, n.o 2, do RGPD prevê:
«O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová‑lo (“responsabilidade”).»
17. O artigo 6.o do RGPD, sob a epígrafe «Licitude do tratamento», dispõe:
«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
[…]»
18. O artigo 7.o do RGPD, sob a epígrafe «Condições aplicáveis ao consentimento», prevê, nos seus números relevantes:
«1. Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
[…]
3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.
[…]»
19. Na parte que ora interessa, o artigo 17.o do RGPD, sob a epígrafe «Direito ao apagamento dos dados (“direito a ser esquecido”)», dispõe:
«1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:
[…]
b) O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.o, n.o 1, alínea a), ou do artigo 9.o, n.o 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;
[…]
2. Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá‑los nos termos do n.o 1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
[…]»
20. O artigo 19.o do RGPD, sob a epígrafe «Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento», dispõe:
«O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com o artigo 16.o, o artigo 17.o, n.o 1, e o artigo 18.o, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece‑lhe informações sobre os referidos destinatários.»
21. Em conformidade com o artigo 24.o, n.o 1, do RGPD, sob a epígrafe «Responsabilidade do responsável pelo tratamento»:
«Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.»
22. O artigo 95.o do RGPD, sob a epígrafe «Relação com a Diretiva 2002/58/CE», dispõe:
«O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento no contexto da prestação de serviços de comunicações eletrónicas disponíveis nas redes públicas de comunicações na União em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecidas na [Diretiva 2002/58].»
3. Diretiva 2002/58
23. O considerando 17 da Diretiva 2002/58 prevê:
«Para efeitos da presente diretiva, o consentimento por parte do utilizador ou assinante, independentemente de este ser uma pessoa singular ou coletiva, deve ter a mesma aceção que o consentimento da pessoa a quem os dados dizem respeito conforme definido e especificado na [Diretiva 95/46]. O consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, incluindo por via informática ao visitar um sítio na internet.»
24. Salvo disposição em contrário, a Diretiva 2002/58 aplica as definições constantes da Diretiva 95/46 (4) e da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva‑quadro) (5). O artigo 2.o, alínea f), da Diretiva 2002/58, define «consentimento» por parte do utilizador ou assinante remetendo para o conceito de consentimento da pessoa em causa que figura na Diretiva 95/46. Daqui resulta que, para efeitos da Diretiva 2002/58, a definição de consentimento é igual à prevista no artigo 4.o, ponto 11, do RGPD, cujo texto consta do n.o 14 das presentes conclusões.
25. O artigo 12.o, n.os 2 e 3, da Diretiva 2002/58 dispõe:
«2. Os Estados‑Membros assegurarão que os assinantes disponham da possibilidade de decidir da inclusão dos seus dados pessoais numa lista pública e, em caso afirmativo, de quais os dados a incluir, na medida em que esses dados sejam pertinentes para os fins a que se destinam as listas, como estipulado pelo fornecedor das listas, bem como de verificar, corrigir ou retirar esses dados. A não inclusão numa lista pública de assinantes, a verificação, a correção e a retirada de dados pessoais da mesma devem ser gratuitas.
3. Os Estados‑Membros poderão exigir que o consentimento adicional dos assinantes seja solicitado para qualquer utilização de uma lista pública que não a busca de coordenadas das pessoas com base no nome e, se necessário, num mínimo de outros elementos de identificação.»
B. Direito belga
26. A wet van 13 juni 2005 betreffende de elektronische communicatie (Lei de 13 de junho de 2005 Relativa às Comunicações Eletrónicas) transpõe para o direito belga (6), entre outros, a Diretiva 2002/58. O artigo 133.o, n.o 1, da mesma transpõe o artigo 12.o, n.o 2, da Diretiva 2002/58. Na medida em que relevam para as respostas propostas às questões submetidas pelo órgão jurisdicional de reenvio, outras disposições da WEC serão mencionadas infra.
IV. Processo nacional e processo no Tribunal de Justiça
27. Para efeitos do pedido de decisão prejudicial submetido ao Tribunal de Justiça, é de salientar que, em 30 de julho de 2020, a Secção de Contencioso da APD ordenou que a Proximus (i) adotasse medidas imediatas e adequadas para dar cumprimento à retirada do consentimento do autor da reclamação e, deste modo, cumprir as obrigações relativas ao tratamento de dados pessoais impostas pelo RGPD; (ii) respeitasse o pedido do autor da reclamação de exercer o seu «direito a ser esquecido»; e (iii) pusesse termo ao tratamento ilícito de dados pessoais que consistia na transmissão de dados pessoais a terceiros fornecedores de listas telefónicas. Condenou igualmente a Proximus pela violação do artigo 24.o do RGPD. A Secção de Contencioso da APD impôs uma coima à Proximus no valor 20 000 euros por violação dos artigos 6.o, 7.o e 12.o do RGPD (a seguir «decisão recorrida»).
28. A Proximus interpôs um recurso da decisão recorrida no hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica), o qual submeteu as seguintes questões prejudiciais ao Tribunal de Justiça:
«1) Deve o artigo 12.o, n.o 2, da Diretiva 2002/58, lido em conjugação com o artigo 2.o, alínea f), da referida diretiva e com o artigo 95.o do [RDPG], ser interpretado no sentido de que permite que uma autoridade de controlo nacional, na falta de disposições em contrário da legislação nacional, exija o «consentimento» do assinante, na aceção do [RGPD], como fundamento para a publicação dos seus dados pessoais em listas telefónicas e serviços de informação telefónica públicos, tanto dos que são publicados pelo próprio operador como dos que são publicados por terceiros fornecedores?
2) Deve o direito ao apagamento dos dados previsto no artigo 17.o do [RGPD] ser interpretado no sentido de que se opõe a que uma autoridade de controlo nacional qualifique o pedido de um assinante para ser removido das listas telefónicas e dos serviços de informação públicos de pedido de apagamento dos dados na aceção do artigo 17.o do [RGPD]?
3) Devem os artigos 24.o e 5.o, n.o 2, do [RGPD] ser interpretados no sentido de que se opõem a que uma autoridade de controlo nacional infira da responsabilidade aí consagrada que o responsável pelo tratamento deve adotar as medidas técnicas e organizativas que forem razoáveis para informar os terceiros responsáveis pelo tratamento — a saber, o fornecedor de serviços telefónicos e outros fornecedores de listas telefónicas e de serviços de informação telefónica que recebam dados desse responsável pelo tratamento — sobre a revogação do consentimento pelo particular, em conformidade com o artigo 6.o, em conjugação com o artigo 7.o do [RGPD]?
4) Deve o artigo 17.o, n.o 2, do [RGPD] ser interpretado no sentido de que se opõe a que uma autoridade de controlo nacional ordene a um fornecedor de listas telefónicas e de serviços de informação telefónica públicos, ao qual tenha sido solicitado que deixe de divulgar os dados de determinada pessoa, que tome medidas razoáveis para informar os [fornecedores de] motores de busca sobre esse pedido de apagamento dos dados?»
29. A Proximus, a APD, os Governos italiano, letão, português e romeno, bem como a Comissão Europeia, apresentaram observações escritas.
30. Na audiência de 9 de fevereiro de 2022, foram ouvidas as alegações da Proximus, da APD e da Comissão, bem como as suas respostas às questões do Tribunal de Justiça.
V. Apreciação
A. Quanto à admissibilidade das questões prejudiciais
31. A título preliminar, a Proximus alega que a parte da primeira questão relativa à distinção entre as obrigações que recaem sobre os operadores de telecomunicações e as que recaem sobre os fornecedores de listas telefónicas, assim como a segunda e quarta questões, têm caráter hipotético e/ou são irrelevantes para o litígio a decidir pelo órgão jurisdicional de reenvio, pelo que devem ser julgadas inadmissíveis.
32. Segundo jurisprudência constante do Tribunal de Justiça, no âmbito do processo instituído pelo artigo 267.o TFUE, o juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade da decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal de Justiça. Consequentemente, desde que as questões submetidas sejam relativas à interpretação do direito da União, o Tribunal de Justiça está, em princípio, obrigado a pronunciar‑se (7).
33. No entanto, o Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional quando for manifesto que a interpretação solicitada do direito da União não tem nenhuma relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para responder de forma útil às questões que lhe são submetidas (8).
34. Por forma a apreciar a exceção de inadmissibilidade suscitada pela Proximus, proponho expor os principais argumentos aduzidos pelas partes perante o Tribunal de Justiça, a fim de averiguar se as quatro questões prejudiciais submetidas estão tão desligadas do objeto do litígio perante o órgão jurisdicional de reenvio que deixa de existir qualquer ligação entre as mesmas e os factos no processo principal ou a sua finalidade, o que conduziria à inadmissibilidade total ou parcial das mesmas.
35. A Proximus considera não estar sujeita nem à obrigação de obter o consentimento do autor da reclamação para incluir os seus dados de contacto nas suas listas telefónicas nem à obrigação de lhe dar a possibilidade de determinar se os seus dados pessoais devem ser incluídos nessas mesmas listas. Segundo a Proximus, estas questões são da responsabilidade da operadora de telecomunicações (no caso em apreço a Telenet). Por conseguinte, o autor da reclamação deveria ter dirigido à Telenet o seu pedido de remoção dos seus dados de contacto das listas telefónicas da Proximus. A título subsidiário, a Proximus considera que as disposições do RGPD relativas ao «direito a ser esquecido» não são aplicáveis, visto que a retirada dos seus dados de contacto se concretiza mediante a alteração do código «NNNNN», constante do registo em causa, para «XXXXX». Trata‑se de uma retificação e não de um apagamento de dados. Do mesmo modo, não é razoável exigir à Proximus que informe os fornecedores de motores de busca do pedido do autor da reclamação, uma vez que não há certezas de que estes tenham obtido os seus dados de contacto através da Proximus ou através de um outro fornecedor de listas telefónicas e serviços de informação telefónica.
36. A APD considera que a inclusão dos dados de contacto do autor da reclamação nas listas telefónicas necessitava do consentimento prévio deste último. A partir do momento em que aquele informou a Proximus de que já não pretendia que os seus dados fossem incluídos em tais listas telefónicas, a sua subsequente inclusão nas mesmas tornou‑se ilícita. O pedido do autor da reclamação equivale a uma retirada do seu consentimento e ao exercício do seu «direito a ser esquecido», na aceção do artigo 17.o do RGPD. Nos termos do artigo 17.o, n.o 2, do RGPD, a Proximus estava obrigada a informar os fornecedores de motores de busca deste pedido. Em conformidade com o artigo 5.o, n.o 2, e com o artigo 24.o, do RGPD, a APD pode igualmente exigir à Proximus que informe a operadora de telecomunicações e os outros fornecedores de listas telefónicas deste pedido.
37. As observações do Governo italiano e da Comissão seguem amplamente a linha de raciocínio apresentada pela APD. Embora adotem uma abordagem semelhante, as observações dos Governos letão, português e romeno incluem também as seguintes ressalvas. O Governo letão sublinha que não existe base jurídica que permita exigir a cada fornecedor de listas telefónicas a obtenção de consentimentos separados: diferentes fornecedores, que utilizem os dados pessoais para o mesmo fim, devem poder basear‑se num ato único de consentimento dado pelo titular de dados. O Governo romeno considera que o artigo 5.o, n.o 2 e o artigo 24.o do RGPD não podem ser invocados da forma preconizada pela ADP, visto que estas disposições não impõem aos responsáveis pelo tratamento qualquer obrigação de comunicar com outros responsáveis pelo tratamento. O Governo português considera que a obrigação que impende sobre os responsáveis pelo tratamento de informar terceiros, incluindo os fornecedores de motores de busca, do pedido de apagamento de dados pessoais, deriva do artigo 19.o do RGPD e não do artigo 17.o, n.o 2 desse regulamento.
38. Com base nesta breve exposição dos principais argumentos das partes perante o Tribunal de Justiça, considero que as quatro questões submetidas pelo órgão jurisdicional de reenvio relevam para o litígio que lhe foi submetido e que as mesmas estão de tal forma relacionadas que nenhuma delas pode ser declarada inadmissível. Por conseguinte, proponho ao Tribunal de Justiça que julgue improcedente a exceção de inadmissibilidade das questões prejudiciais suscitada pela Proximus.
B. Quanto ao mérito
1. Quanto à primeira questão
39. Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta se, em conformidade com o artigo 12.o, n.o 2, da Diretiva 2002/58, lido em conjugação com o seu artigo 2.o, alínea f) e com o artigo 95.o do RGPD, deve ser exigido o consentimento de um assinante, conforme definido pelo RGPD, para que uma operadora de telecomunicações e/ou outros fornecedores de listas telefónicas possam incluir os seus dados de contacto nas suas listas telefónicas.
40. O artigo 12.o, n.o 2, da Diretiva 2002/58 exige que se dê aos assinantes a possibilidade de decidir da inclusão dos seus dados pessoais numa lista pública. Deste requisito resulta implicitamente a correspondente obrigação de dar aos assinantes a possibilidade de escolher expressamente se pretendem que os seus dados sejam incluídos em tais listas. Aliás, o artigo 12.o, n.o 3, da Diretiva 2002/58 refere‑se ao facto de o «consentimento adicional» dos assinantes poder ser exigido para qualquer utilização de uma lista pública que não a busca de coordenadas das pessoas com base no seu nome (9). A referência ao «consentimento adicional» que figura no referido artigo 12.o, n.o 3, também sugere que o artigo 12.o, n.o 2, exige que o consentimento para tal publicação seja obtido previamente.
41. Como mencionado nos n.os 23 e 24 das presentes conclusões, para efeitos do artigo 2.o, alínea f), da Diretiva 2002/58, «consentimento» refere‑se a uma manifestação de vontade, livre, específica, informada e inequívoca, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
42. A referência a uma «declaração ou ato positivo» na definição de consentimento para efeitos de aplicação da Diretiva 2002/58 é um indício adicional de que deve ser dada aos assinantes a possibilidade de adotarem uma abordagem «opt‑in» e de darem o seu acordo expresso para a inclusão dos seus dados pessoais numa lista pública. Ao contrário do que sustenta a Proximus, os fornecedores de listas não podem assumir que, por defeito, o assinante consentiu que os seus dados de contacto fossem incluídos numa lista telefónica pública, algo que pode ser descrito como uma abordagem «opt‑out».
43. Além disso, o Tribunal de Justiça já se pronunciou no sentido de que resulta de uma interpretação contextual e sistemática do artigo 12.o da Diretiva 2002/58 que o consentimento, nos termos do artigo 12.o, n.o 2 da mesma, se refere ao fim a que se destina a publicação dos dados pessoais numa lista pública e não à identidade de um fornecedor de listas em concreto. O consentimento ao abrigo do artigo 12.o, n.o 2, da Diretiva 2002/58 é, assim, extensível a qualquer tratamento de dados posterior por empresas terceiras que operem no mercado dos serviços de informações telefónicas acessíveis ao público e dos serviços de listas, desde que tais tratamentos prossigam a mesma finalidade (10).
44. Daqui decorre que o consentimento do assinante, conforme definido no artigo 4.o, ponto 11, do RGPD, é necessário para que os seus dados pessoais sejam incluídos em listas telefónicas publicadas pela operadora de telecomunicações e/ou por terceiros fornecedores de listas telefónicas. Quando essa publicação prossegue o mesmo fim, a operadora de telecomunicações e/ou terceiro(s) fornecedor(es) pode basear‑se nesse mesmo consentimento.
45. Acrescentaria que, ao abrigo do artigo 7.o, n.o 1, do RGPD, quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais. Um fornecedor como a Proximus não pode assumir que um assinante tenha dado o seu consentimento, mesmo que se possa basear no consentimento que o assinante deu a outro responsável pelo tratamento.
46. A Proximus invoca os considerandos 38 e 39 da Diretiva 2002/58 para sustentar o argumento de que qualquer obrigação de: (i) informar os assinantes do fim a que se destinam as listas onde figuram os seus dados pessoais; e (ii) de lhes dar a possibilidade de decidir da inclusão dos seus dados pessoais, recai unicamente sobre a operadora de telecomunicações com quem o assinante celebrou o contrato. A redação dos referidos considerandos não permite sustentar esta afirmação. O considerando 38 refere‑se à obrigação dos «fornecedores de listas públicas» de «informar os assinantes que vão ser incluídos nessas listas dos fins a que se destina a lista». O considerando 39 dispõe que «a obrigação de informar os assinantes do fim ou fins a que se destinam as listas públicas em que vão ser incluídos os seus dados pessoais deverá caber à parte que recolhe os dados tendo em vista essa inclusão».
47. Uma vez que a Telenet não publica as listas telefónicas, nenhum dos considerandos lhe é aplicável. Embora uma operadora de telecomunicações possa obter o consentimento dos assinantes para incluir os seus dados pessoais em listas fornecidas por terceiros, e ainda que esses terceiros possam subsequentemente basear‑se nesse consentimento, e ser capazes de demonstrar que um tal consentimento tinha sido dado à operadora de telecomunicações, os considerandos 38 e 39 da Diretiva 2002/58 não implicam que a obrigação de obter esse consentimento recaia exclusivamente sobre as operadoras de telecomunicações, isentando, por conseguinte, os fornecedores de listas terceiros das suas obrigações e da respetiva responsabilização a esse respeito.
48. Por último, uma vez que a Diretiva 2002/58 adota expressamente a definição de consentimento contida no RGPD, o argumento apresentado pela Proximus relativamente à interpretação do artigo 95.o do RGPD e à relação entre o RGPD e a Diretiva 2002/58, que a Proximus caracterizou de lex generalis/lex specialis, é irrelevante.
49. Assim, proponho que o Tribunal de Justiça responda à primeira questão no sentido de que, em conformidade com o artigo 12.o, n.o 2, da Diretiva 2002/58, lido em conjugação com o seu artigo 2.o, alínea f) e artigo 95.o do RGPD, deve ser exigido o consentimento de um assinante, conforme definido pelo artigo 4.o, ponto 11 do RGPD, para que uma operadora de telecomunicações e/ou outros fornecedores de listas telefónicas possam incluir os seus dados de contacto nas suas listas telefónicas.
2. Quanto à segunda questão
50. Com a sua segunda questão, o órgão jurisdicional de reenvio pretende saber se o pedido de um assinante no sentido de que os seus dados pessoais sejam removidos das listas telefónicas equivale ao exercício do seu «direito ao apagamento» previsto no artigo 17.o do RGPD.
51. A Proximus alega que, uma vez que o artigo 17.o do RGPD não se aplica a terceiros fornecedores de listas telefónicas, não impende sobre estes a obrigação de respeitar um pedido de um assinante de remoção de dados pessoais das listas telefónicas. O assinante deveria ter dirigido o seu pedido à operadora de telecomunicações com quem celebrou contrato. A Proximus volta a alegar que existe uma relação lex generalis/lex specialis entre o RGPD e a Diretiva 2002/58.
52. Subsidiariamente, a Proximus sustenta que o pedido do autor da reclamação para «não incluir este número de telefone […] em 1207.be» constitui um pedido de retificação na aceção do artigo 16.o do RGPD, e não um pedido de apagamento ao abrigo do artigo 17.o do RGPD, na medida em que apenas o código pertinente que figura no registo do assinante de «NNNNN» para «XXXXX» é alterado.
53. O artigo 12.o, n.o 2 da Diretiva 2002/58 prevê que os assinantes devem ter a possibilidade de «corrigir ou retirar» os dados pessoais relativamente aos quais deram o seu consentimento para que fossem incluídos em listas telefónicas. A Diretiva 2002/58 não define os termos «corrigir ou retirar». Por conseguinte, há que ter em conta a aceção corrente destes conceitos no contexto em que se inserem, concretamente, a inclusão em listas telefónicas dos dados de contacto dos assinantes. O verbo «corrigir» é inequivocamente aplicável em situações em que os assinantes pretendam alterar a forma como os seus dados de contacto surgem nas listas, por exemplo, retificando a ortografia de um nome ou a inexatidão de um endereço. Esta situação difere da do caso em apreço, na qual o autor da reclamação pretende que os seus dados de contacto deixem de figurar em listas telefónicas públicas. Entre as aceções do verbo «retirar» figuram encontram‑se «remover», «retrair» e «afastar». Pode sustentar‑se que, ao retirar o seu consentimento para o tratamento dos seus dados pessoais para fins da sua inclusão em listas telefónicas, o autor da reclamação pediu a retirada os seus dados pessoais, na aceção do artigo 12.o, n.o 2 da Diretiva 2002/58.
54. Como salienta o Governo letão, a Diretiva 2002/58 não contém outras indicações relativamente às modalidades, execução e consequências dos pedidos para «retirar» os dados pessoais. Por conseguinte, as disposições do RGPD são diretamente aplicáveis, pelo que o argumento da Proximus relativo à relação lex generalis/lex specialis entre os dois atos deve ser afastado. Ao abrigo do artigo 7.o, n.o 3 do RGPD, um assinante tem o direito de retirar o seu consentimento a qualquer momento. Uma vez retirado o consentimento, o artigo 6.o, n.o 1, alínea a), do RGPD dispõe que o tratamento dos dados do assinante, para o fim específico de inclusão em listas telefónicas, deixa de ser lícito. Tal aciona, por sua vez, a aplicação do artigo 17.o do RGPD.
55. A Proximus alega que esta interpretação não pode ser considerada correta visto que significaria que a obrigação de apagar o registo do autor da reclamação de todas as suas bases de dados recairia tanto sobre si como sobre a Telenet. A APD, assim como as outras partes que submeteram observações ao Tribunal de Justiça, consideram que o pedido do autor da reclamação se limita a um pedido de retirada dos seus dados das listas telefónicas, não ao seu apagamento das bases de dados de assinantes da Telenet.
56. O autor da reclamação pretende evitar que os seus dados pessoais sejam tratados para fins relacionados com listas telefónicas. O artigo 17.o, n.o 1, alínea b), do RGPD, que permite a retirada do consentimento em que se baseia o tratamento de dados, facilita a concretização do seu pedido. O consentimento a obter do assinante ao abrigo do artigo 12.o, n.o 2 da Diretiva 2002/58 refere‑se a uma forma específica de tratamento de dados, nomeadamente para fins de publicação em listas. A partir do momento em que o consentimento é retirado, essa forma específica de tratamento de dados do assinante torna‑se ilícita. Caso contrário, não seria possível o assinante retirar o seu consentimento para fins de publicação em listas telefónicas sem ter de, simultaneamente, denunciar o seu contrato de fornecimento de serviços de telecomunicações.
57. Por conseguinte, proponho que o Tribunal de Justiça responda à segunda questão no sentido de que o pedido de um assinante para que os seus dados pessoais sejam removidos das listas telefónicas equivale ao exercício do seu «direito ao apagamento» previsto no artigo 17.o do RGPD.
3. Quanto à terceira questão
58. Com a sua terceira questão, o órgão jurisdicional de reenvio pretende saber, essencialmente, se, ao abrigo do artigo 5.o, n.o 2 e do artigo 24.o do RGPD, uma autoridade de controlo nacional pode concluir que cabe ao responsável pelo tratamento adotar as medidas técnicas e organizativas que forem razoáveis para informar terceiros responsáveis pelo tratamento, nomeadamente a operadora de telecomunicações e outros fornecedores de listas telefónicas que tenham recebido dados pessoais desse primeiro responsável pelo tratamento, da retirada de consentimento do titular dos dados, em conformidade com o artigo 6.o do RGPD, lido em conjugação com o artigo 7.o do mesmo regulamento.
59. Para efeitos dessa questão, o «responsável pelo tratamento» é a Proximus, ao passo que os «terceiros responsáveis pelo tratamento» são: (i) a operadora de telecomunicações, Telenet, com a qual o autor da reclamação celebrou um contrato de fornecimento de serviços telefónicos, e (ii) o(s) fornecedor(es) de listas telefónicas a quem a Proximus transmite os dados pessoais dos assinantes, incluindo os que recebeu da Telenet.
60. Uma vez que a operadora de telecomunicações não disponibiliza as suas listas telefónicas e que é necessário obter o consentimento dos assinantes de modo que incluam os seus dados de contacto em listas telefónicas, coloca‑se a questão de saber qual a necessidade de informar a operadora de telecomunicações da retirada do consentimento do assinante relativamente à utilização dos seus dados pessoais para esse fim.
61. A WEC exige que as operadoras de telecomunicações transmitam os dados de contacto dos assinantes aos fornecedores de listas telefónicas (11). Contudo, as operadoras de telecomunicações devem «manter separados» os dados de contacto dos assinantes que indicaram que não pretendiam estar incluídos nas listas telefónicas, de forma que permitam que os fornecedores de listas telefónicas recebam uma cópia dessa lista (12). Como descrito no n.o 4 das presentes conclusões, a retirada do consentimento é concretizada através da alteração dos códigos constantes do registo do assinante. A Proximus atualiza a sua base de dados no momento em que recebe uma notificação de que o consentimento foi retirado. Todavia, esta atualização é anulada quando a Proximus recebe, da operadora de telecomunicações, outro conjunto de dados pessoais dos assinantes para inclusão em listas telefónicas e a operadora de telecomunicações não foi informada do pedido do assinante de não inclusão dos seus dados nas listas telefónicas públicas. Por conseguinte, a Proximus deve, não só atualizar a sua base de dados para que reflita a retirada do consentimento do assinante, mas também transmitir a informação relativa a essa retirada à operadora de telecomunicações.
62. A Proximus alega ser um mero «destinatário a quem os dados pessoais [foram] transmitidos» na aceção do artigo 19.o do RGPD. Por conseguinte, a obrigação de adotar as medidas que forem razoáveis para informar outros responsáveis pelo tratamento dos pedidos de apagamento, prevista no artigo 17.o, n.o 2 do RGPD, que recai sobre os responsáveis pelo tratamento, não lhe é aplicável. Segundo a Proximus, resulta do exposto que é erróneo interpretar o artigo 5.o, n.o 2 e o artigo 24.o do RGPD no sentido de que lhe impõem uma obrigação de informar a operadora de telecomunicações, assim como outros fornecedores de listas e serviços de informação telefónica dos pedidos de apagamento recebidos.
63. Entendo que é difícil ver a Proximus como um mero destinatário de dados pessoais. Ainda que esta tenha recebido os dados de contacto do autor da reclamação da Telenet, a publicação desses dados pessoais nas suas listas telefónicas constitui uma forma de tratamento de dados pessoais na aceção do artigo 4.o, ponto 2 do RGPD. Neste contexto, a Proximus age como responsável pelo tratamento na aceção do artigo 4.o, ponto 7, do RGPD (13). Nos termos do artigo 5.o, n.o 2, e do artigo 24.o do RGPD, os responsáveis pelo tratamento estão sujeitos a obrigações de responsabilidade e devem adotar as medidas que forem adequadas para assegurar que o tratamento é realizado em conformidade com o RGPD.
64. O artigo 5.o, n.o 1, alínea a), do RGPD prevê que os dados pessoais deverão ser objeto de um tratamento lícito. Ao abrigo do artigo 6.o, n.o 1, alínea a), do mesmo, o tratamento só é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas. Resulta do pedido de decisão prejudicial que o autor da reclamação retirou o seu consentimento, na aceção do artigo 7.o do RGPD, para o tratamento dos seus dados pessoais para fins de publicação em listas telefónicas. Este tratamento, incluindo o efetuado para o mesmo fim por outros fornecedores de listas telefónicas, não está em conformidade com o RGPD e, por conseguinte, é ilícito.
65. É coerente com esta constatação, assim como com a obrigação de informação prevista no artigo 17.o, n.o 2, do RGPD e no artigo 19.o do RGPD, que uma autoridade de controlo nacional possa concluir, da obrigação de responsabilidade prevista no artigo 5.o, n.o 2, do RGPD e da obrigação de assegurar e de poder comprovar que o tratamento é realizado em conformidade com este regulamento, prevista no artigo 24.o do RGPD, que o responsável pelo tratamento deve, através de medidas técnicas e organizativas razoáveis, informar outros responsáveis pelo tratamento, nomeadamente a operadora de telecomunicações e outros fornecedores de listas telefónicas que tenham recebido dados pessoais desse primeiro responsável pelo tratamento, da retirada do consentimento do titular de dados nos termos do artigo 6.o do RGPD, lido em conjugação com o artigo 7.o do RGPD.
66. O Governo romeno salienta que o artigo 17.o, n.o 2, do RGPD prevê as obrigações de informação que recaem sobre os fornecedores de motores de busca em caso de apresentação de pedidos de apagamento. Assim, na medida em que o artigo 5.o, n.o 2, e o artigo 24.o do RGPD não contêm obrigações específicas de informar terceiros, não seria apropriado que uma autoridade de controlo nacional se baseasse nestas disposições.
67. Em meu entender, o artigo 5.o, n.o 2, e o artigo 24.o do RGPD impõem obrigações gerais de responsabilidade e cumprimento aos responsáveis pelo tratamento. A sua redação genérica e alcance amplo permitem que as autoridades de controlo nacionais imponham aos responsáveis pelo tratamento uma obrigação de informar terceiros. É certo que o artigo 17.o, n.o 2, e o artigo 19.o do RGPD preveem uma obrigação específica de informação no que se refere, respetivamente, aos «responsáveis pelo tratamento» (relativamente aos dados tornados públicos e cujo apagamento foi pedido) e aos «destinatários». No entanto, estas disposições não abrangem o cenário em causa no caso vertente, no qual, devido à interação entre as diferentes bases de dados das várias partes envolvidas, surge a necessidade de informar as operadoras de telecomunicações da retirada de consentimento, sem o qual o tratamento de dados efetuado pela Proximus, bem como pelos fornecedores que usam os dados pessoais de assinantes que receberam da Proximus, seria ilícito.
68. Desta interpretação resulta que um assinante pode comunicar a retirada do seu consentimento (no caso em apreço um pedido de remoção dos seus dados de contacto em listas telefónicas) a qualquer entidade que inclua esses dados pessoais em listas telefónicas, ou a qualquer entidade (incluindo a operadora de telecomunicações) que transmita esses dados de contacto a terceiros com a mesma finalidade. A entidade a que o assinante escolher dirigir‑se fica responsável por informar terceiros responsáveis pelo tratamento do seu pedido de apagamento, na medida do necessário, de modo que assegure que os dados pessoais não são alvo de um tratamento ilícito. Esta interpretação é conforme com a obrigação prevista no artigo 12.o, n.o 2, do RGPD, e que recai sobre os responsáveis pelo tratamento, de facilitar aos titulares de dados o exercício dos seus direitos ao abrigo dos artigos 15.o a 22.o do RGPD. Reflete igualmente o requisito previsto no artigo 7.o, n.o 3, última frase do RGPD, ao abrigo do qual o consentimento deve ser tão fácil de retirar quanto de dar. Uma vez que o fornecedor de listas telefónicas e serviços de informação telefónicos se pode basear no consentimento dado por um assinante a outro fornecedor para efeitos do tratamento de dados com essa finalidade, então, para retirar o seu consentimento, o assinante deve poder contactar qualquer um dos fornecedores de listas telefónicas a fim de remover os seus dados de contacto das listas publicadas por qualquer fornecedor que se tenha baseado no seu ato único de consentimento.
69. Proponho que se responda à terceira questão no sentido de que, ao abrigo do artigo 5.o, n.o 2, e do artigo 24.o do RGPD, uma autoridade de controlo nacional pode concluir que cabe ao responsável pelo tratamento adotar as medidas técnicas e organizativas que forem razoáveis para informar terceiros responsáveis pelo tratamento, nomeadamente a operadora de telecomunicações e outros fornecedores de listas telefónicas que tenham recebido dados pessoais desse primeiro responsável pelo tratamento, a respeito da retirada de consentimento do titular dos dados, em conformidade com o artigo 6.o do RGPD, lido em conjugação com o artigo 7.o do RGPD.
4. Quanto à quarta questão
70. Com a sua quarta questão, o órgão jurisdicional de reenvio pergunta, no essencial, se o artigo 17.o, n.o 2, do RGPD se opõe a que uma autoridade de controlo nacional ordene que um fornecedor de listas telefónicas informe os fornecedores de motores de busca dos pedidos de apagamento que recebeu.
71. Nesta questão está implícita a opinião do órgão jurisdicional de reenvio de que o autor da reclamação pretendia que os seus dados de contacto deixassem de estar publicamente disponíveis na Internet através de motores de busca.
72. Como referido no n.o 62 das presentes conclusões, a Proximus considera que, visto que é uma mera destinatária, o artigo 17.o, n.o 2, do RGPD não lhe é aplicável. A título subsidiário, a Proximus alega que, ao abrigo do artigo 17.o, n.o 2, do RGPD, apenas está obrigada a adotar as medidas que forem razoáveis para informar os responsáveis pelo tratamento do pedido de apagamento de dados pessoais (14) submetido pelo titular de dados. Uma vez que a Proximus não transmite os dados pessoais diretamente aos fornecedores de motores de busca, «não há 100 % de certeza» de que esses fornecedores tenham obtido os dados de contacto do autor da reclamação a partir da Proximus, podendo tê‑los obtido de outro fornecedor de listas telefónicas e serviços de informação telefónica. Perante tais circunstâncias, não é razoável exigir à Proximus que, ao receber o pedido do autor da reclamação, contacte diretamente os fornecedores de motores de busca.
73. Resulta da minha proposta de resposta à segunda questão que um pedido de um assinante para remoção dos seus dados pessoais das listas telefónicas aciona a aplicação da obrigação prevista no artigo 17.o, n.o 2, do RGPD que obriga o responsável pelo tratamento a adotar apenas as medidas que forem razoáveis para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados solicitou o apagamento de quaisquer hiperligações para, ou qualquer cópia ou reprodução desses dados pessoais.
74. Coloca‑se então a questão de saber se os fornecedores de motores de busca podem ser considerados responsáveis pelo tratamento. Indexar e disponibilizar dados pessoais a utilizadores da Internet numa lista de resultados de pesquisa constitui um tratamento de dados na aceção do artigo 4.o, ponto 2 do RGPD. Uma vez que decidem como indexar esses dados e são responsáveis por desenvolver o algoritmo que fixa a ordem em que surgem os resultados de pesquisa, os fornecedores de motores de busca determinam as finalidades e os meios de tratamento dos dados pessoais, agindo assim na qualidade de responsáveis pelo tratamento, na aceção do artigo 4.o, ponto 7, do RGPD (15).
75. Resta ainda evocar a obrigação da Proximus de apenas adotar as medidas que forem razoáveis, incluindo de caráter técnico, para informar os fornecedores de motores de busca do pedido de apagamento de dados.
76. O artigo 17.o, n.o 2, precisa que a tecnologia disponível e os custos da sua aplicação devem ser tidos em conta de forma que se avalie a razoabilidade das medidas tomadas, tarefa que incumbe principalmente à autoridade competente nesta matéria e que está sujeita a fiscalização judicial. No n.o 10 das presentes conclusões salientou‑se que a Proximus indicou ao autor da reclamação que informaria a Google do seu pedido de apagamento. Nas suas observações apresentadas no Tribunal de Justiça, a APD precisou que, no segundo trimestre de 2020, o número de fornecedores de motores de busca na Bélgica era limitado, sendo que o mercado era liderado pela Google que tinha uma quota de mercado compreendida entre 90 % (para as pesquisas em computador fixo) e 99 % (para as pesquisas em telemóveis inteligentes e tablets) (16). Apenas tendo em conta o que precede, parece injustificado concluir que não é razoável exigir à Proximus que informe os fornecedores de motores de busca dos pedidos de apagamento que recebe.
77. Em todo o caso, não estou convencido de que, para efeitos da avaliação do caráter «razoável», na aceção do artigo 17.o, n.o 2, do RGPD, das medidas a tomar pela Proximus para informar um fornecedor de motor de busca específico, seja necessário ponderar se esta tinha «100 % de certeza» de que o fornecedor de motor de busca em causa tinha obtido os dados a apagar através da Proximus. Também não me convence o argumento de que não é razoável exigir à Proximus que tome medidas ao abrigo do artigo 17.o, n.o 2, visto que a mesma não tem «100 % de certeza» de que os fornecedores de motores de busca tenham obtido os dados de contacto do autor da reclamação através de si.
78. Permitir que o responsável pelo tratamento se exima da responsabilidade pelo tratamento ilícito de dados pessoais com base na hipótese de os dados em causa não terem sido obtidos através de si, privaria qualquer obrigação a este respeito do seu efeito útil nas inúmeras circunstâncias em que os dados são hiperligados ou copiados na Internet. Tal abordagem poderia até, de forma perversa, incentivar a divulgação de dados com o objetivo de evitar a sujeição a esta obrigação. Além disso, se levado até às últimas consequências lógicas, o argumento da Proximus permitiria que nenhum fornecedor de listas telefónicas e serviços de informação telefónica fosse responsável pelo cumprimento do artigo 17.o, n.o 2, do RGPD e por informar os fornecedores de motores de busca do pedido do assinante, visto que todos esses fornecedores poderiam invocar uma qualquer incerteza quanto à origem desses dados. Ademais, uma vez que a Telenet não publica listas telefónicas, os fornecedores de motores de busca não podem ter obtido os dados da operadora de telecomunicações. Isto significaria que o assinante teria de descobrir onde se encontram disponíveis os seus dados de contacto e enviar pedidos de apagamento a cada entidade que os publicasse. Tal abordagem seria manifestamente incompatível com o artigo 7.o, n.o 3, do RGPD, que prevê que o consentimento deve ser tão fácil de retirar quanto de dar.
79. Por conseguinte, proponho ao Tribunal de Justiça que responda à quarta questão que o artigo 17.o, n.o 2, do RGPD não se opõe a que uma autoridade de controlo nacional ordene a um fornecedor de listas telefónicas que informe os fornecedores de motores de busca dos pedidos de apagamento que recebeu.
VI. Conclusão
80. Por conseguinte, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo hof van beroep te Brussel (Tribunal de Recurso de Bruxelas, Bélgica) do seguinte modo:
1) Em conformidade com o artigo 12.o, n.o 2, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva Relativa à Privacidade e às Comunicações Eletrónicas), lido em conjugação com o seu artigo 2.o, alínea f), e o artigo 95.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser exigido o «consentimento» de um assinante, conforme definido pelo artigo 4.o, ponto 11, do Regulamento Geral sobre a Proteção de Dados, para que uma operadora de telecomunicações e/ou outros fornecedores de listas telefónicas possam incluir os seus dados de contacto nas suas listas telefónicas.
2) O pedido de um assinante para que os seus dados pessoais sejam removidos das listas telefónicas equivale ao exercício do seu «direito ao apagamento» previsto no artigo 17.o do Regulamento Geral sobre a Proteção de Dados.
3) Ao abrigo do artigo 5.o, n.o 2, e do artigo 24.o do Regulamento Geral sobre a Proteção de Dados, uma autoridade de controlo nacional pode concluir que cabe ao responsável pelo tratamento adotar as medidas técnicas e organizativas que forem razoáveis para informar terceiros responsáveis pelo tratamento, nomeadamente a operadora de telecomunicações e outros fornecedores de listas telefónicas que tenham recebido dados pessoais desse primeiro responsável pelo tratamento, a respeito da retirada de consentimento do titular dos dados, em conformidade com o artigo 6.o do Regulamento Geral sobre a Proteção de Dados, lido em conjugação com o artigo 7.o desse regulamento.
4) O artigo 17.o, n.o 2, do Regulamento Geral sobre a proteção de dados não se opõe a que uma autoridade de controlo nacional ordene a um fornecedor de listas telefónicas que informe os fornecedores de motores de busca dos pedidos de apagamento que recebeu.