Processo T‑578/22
Autoridade Europeia para a Proteção de Dados
contra
Parlamento Europeu,
e
Conselho da União Europeia,
Despacho do Tribunal Geral (Primeira Secção Alargada) de 6 de setembro de 2023
«Recurso de anulação — Direito institucional — Tratamento de dados pessoais pela Europol — Regulamento (UE) 2016/794 — Prerrogativas institucionais da AEPD — Legitimidade — Recurso em parte inadmissível e em parte manifestamente inadmissível»
1. Recurso de anulação — Competência do juiz da União — Recurso interposto por um órgão da União — Recurso interposto pela Autoridade Europeia para a Proteção de Dados (AEPD) — Legitimidade com fundamento na salvaguarda das prerrogativas institucionais próprias, invocada em apoio do presente recurso
(Artigo 263.° TFUE; Regulamento do Parlamento e do Conselho n.o 45/2001, artigo 41.°, n.° 1)
(cf. n.os 26‑36)
2. Recurso de anulação — Pessoas singulares ou coletivas — Interesse em agir — Legitimidade — Recurso interposto pela Autoridade Europeia para a Proteção de Dados (AEPD) — Legitimidade com fundamento na salvaguarda das prerrogativas institucionais próprias — Falta — Admissibilidade dependente da demonstração da legitimidade e do interesse em agir
(Artigo 263.°, quarto parágrafo, TFUE)
(cf. n.os 41‑48, 54‑57)
3. Recurso de anulação — Legitimidade — Pessoas coletivas — Conceito — Autoridade Europeia para a Proteção de Dados (AEPD) — Órgão da União — Inclusão — Requisitos
(Artigo 263.°, quarto parágrafo, TFUE)
(cf. n.os 60‑65)
4. Recurso de anulação — Pessoas singulares ou coletivas — Atos que lhes dizem direta e individualmente respeito — Disposições relativas ao tratamento de dados pessoais pela Europol — Decisão da Autoridade Europeia para a Proteção de Dados (AEPD) contra a Europol — Falta de impacto das referidas disposições na referida decisão e nas competências da AEPD — Inexistência de afetação direta — Inadmissibilidade
(Artigo 16.°, n.° 2, e 263.°, quarto parágrafo, TFUE; Regulamento do Parlamento e do Conselho 2016/794, conforme alterado pelo Regulamento 2022/991, artigo 74.°‑A e 74.°‑B)
(cf. n.os 66, 68‑76, 78‑82, 84, 85)
Resumo
Em 3 de janeiro de 2022, na sequência de um inquérito por iniciativa própria, a Autoridade Europeia para a Proteção de Dados (AEPD) adotou uma decisão dirigida à Agência da União Europeia para a Cooperação Policial (Europol) (1). Através desta decisão a AEPD ordenou, em substância, à Europol, que, para cada contribuição de dados pessoais recebida a partir de 4 de janeiro de 2022, procedesse à categorização dos titulares de dados pessoais num prazo de seis meses a contar da data da receção da contribuição e num prazo de doze meses no caso dos conjuntos de dados existentes à data da referida decisão, sendo que, em caso de inobservância desses prazos, a Europol estava obrigada a apagar os dados em causa.
Em 8 de junho de 2022, o Parlamento Europeu e o Conselho adotaram o Regulamento Europol alterado (2). Este último previa, em substância, ao abrigo de duas disposições transitórias (3), as condições em que a Europol devia proceder, num determinado prazo, à categorização dos conjuntos de dados que se encontravam na sua posse no momento da entrada em vigor do regulamento Europol alterado e precisava os requisitos e os procedimentos com base nos quais era autorizado o tratamento de dados pessoais que não dissessem respeito a categorias de titulares de dados enumeradas no Anexo II do Regulamento Europol alterado, e que tivessem sido transferidos à Europol antes de 28 de junho de 2022, para apoiar uma investigação criminal em curso.
A AEPD considerou que as disposições impugnadas violavam a sua independência e os seus poderes de autoridade de controlo, na medida em que, segundo a referida Autoridade, tais disposições legalizavam retroativamente as práticas da Europol de conservação dos dados controvertidos e anulavam, na prática, a sua Decisão de 3 de janeiro de 2022. Assim sendo, ao abrigo do artigo 263.° TFUE, a AEPD pediu que o Tribunal Geral anulasse as referidas disposições. Alegou que a sua legitimidade para agir assentava na necessidade de dispor de uma via de recurso judicial para defender as suas prerrogativas institucionais, em particular a sua independência enquanto autoridade de controlo.
No caso em apreço, o Tribunal Geral foi pela primeira vez chamado a conhecer de um recurso de anulação apresentado pela AEPD contra um ato legislativo do Conselho e do Parlamento, circunstância que, nomeadamente, suscita a questão da competência do Tribunal Geral para conhecer do referido recurso, a questão da aplicação por analogia do acórdão Parlamento/Conselho (C‑70/88) (4) ao caso vertente, e a questão da afetação direta da AEPD, equiparada a uma pessoa coletiva, ao abrigo do artigo 263.°, quarto parágrafo, TFUE.
Apreciação do Tribunal Geral
Em primeiro lugar, o Tribunal Geral examinou a sua competência para conhecer do recurso interposto pela AEPD e observou, antes de mais, que a mesma não figura nem entre os recorrentes mencionados no artigo 263.°, segundo e terceiro parágrafos, TFUE (5), nem na lista das instituições do artigo 13.°, n.° 1, TUE (6). Em seguida, salientou que, embora o artigo 263.°, primeiro parágrafo, TFUE vise expressamente os órgãos e organismos da União na lista dos autores dos atos cuja legalidade pode ser posta em causa no âmbito de um recurso de anulação, o mesmo não acontece no que respeita ao artigo 263.°, segundo e terceiro parágrafos, TFUE. Assim, precisa que embora o estatuto da AEPD, enquanto autoridade independente de controlo, esteja consagrado no Tratado FUE e na Carta (7), a AEPD foi instituída como órgão da União por um ato de direito derivado e não de direito primário (8). Por conseguinte, embora seja um órgão da União com um estatuto especial, a AEPD não é uma instituição da União e, em todo o caso, não se pode considerar que figura entre os recorrentes referidos no artigo 263.°, segundo e terceiro parágrafos, TFUE. Por último, o Tribunal Geral concluiu ser competente para conhecer do recurso uma vez que estão reservados ao Tribunal de Justiça os recursos previstos no artigo 263.° TFUE interpostos, nomeadamente, por uma instituição da União contra um ato legislativo (9) e uma vez que a AEPD não é uma instituição nem um dos recorrentes referidos no artigo 263.°, segundo e terceiro parágrafos, TFUE.
Em segundo lugar, o Tribunal apreciou a questão de saber se a AEPD tem legitimidade para agir ao abrigo da jurisprudência resultante do acórdão Parlamento/Conselho (C‑70/88). Observou que, nesse acórdão, invocado pela AEPD para fundamentar a sua legitimidade para agir no contexto da salvaguarda das suas prerrogativas institucionais, o Tribunal de Justiça declarou que o Parlamento não tinha qualquer possibilidade de impugnar, perante os juízes da União, os atos adotados pelas outras instituições e que fossem suscetíveis de pôr em causa as suas próprias prerrogativas, tendo optado por colmatar esta lacuna recorrendo ao princípio geral do equilíbrio institucional. Em contrapartida, a AEPD pode interpor um recurso de anulação com fundamento no artigo 263.°, quarto parágrafo, TFUE, uma vez que é um órgão criado por um ato de direito derivado da União que pode ser equiparado a uma pessoa coletiva. Por outro lado, o Tribunal Geral precisa que embora a AEPD tenha um estatuto especial reconhecido pelo Tratado FUE e pela Carta, e que a criação de autoridades de controlo independentes seja um elemento essencial da proteção dos indivíduos no que respeita à proteção dos dados pessoais, a independência com que a AEPD deve exercer as suas funções não se destina, na prática, a limitar os poderes do legislador da União (10). Por conseguinte, a AEPD está obrigada a exercer as suas missões e poderes com total independência, sendo que é no contexto dos atos legislativos adotados conjuntamente pelo Parlamento e pelo Conselho, e em conformidade com estes, que a AEPD controla a observância das regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos e organismos da União. O Tribunal Geral concluiu que o Acórdão Parlamento/Conselho (C‑70/88), não pode ser aplicado por analogia à situação da AEPD, à qual não pode ser reconhecida legitimidade para agir ao abrigo desse acórdão, sendo que a mesma deve ser considerada uma recorrente que tem de preencher os requisitos previstos no artigo 263.°, quarto parágrafo, TFUE.
Em terceiro lugar, no âmbito do exame da legitimidade ativa da AEPD ao abrigo do artigo 263.°, quarto parágrafo, TFUE, o Tribunal Geral analisou, a título preliminar, se esta pode, enquanto órgão da União, ser equiparada a uma pessoa coletiva na aceção deste artigo. Salienta que, em aplicação de uma interpretação desta disposição à luz dos princípios da fiscalização jurisdicional efetiva e do Estado de direito, um órgão da União, como a AEPD, tem, enquanto «pessoa coletiva», legitimidade para interpor um recurso de anulação das disposições impugnadas, desde que estas lhe digam direta e individualmente respeito na aceção da referida disposição. Com efeito, tal pessoa coletiva é tão suscetível como qualquer outra pessoa ou entidade de ser afetada negativamente nos seus direitos ou interesses por um ato da União e deve, assim, poder, no respeito dessas condições, pedir a anulação desse ato.
No que respeita ao requisito de que uma pessoa coletiva deve ser diretamente afetada, o Tribunal Geral recorda que devem ser cumulativamente preenchidos dois critérios. Em primeiro lugar, no que diz respeito ao critério relativo aos efeitos das disposições impugnadas na situação jurídica da AEPD, o Tribunal Geral sublinha que a AEPD é responsável pelo controlo da aplicação pelas instituições, órgãos ou organismos da União das regras pertinentes relativas à proteção dos dados pessoais (11). No caso em apreço, as disposições impugnadas alteram o Regulamento Europol Inicial e não têm incidência na natureza ou no alcance das missões confiadas à AEPD pela legislação da União. Assim, embora seja verdade que o regime jurídico que a AEPD tem a responsabilidade de controlar foi alterado, as suas próprias competências não o foram, uma vez que a forma como pode exercer legalmente estas competências não foi, enquanto tal, alterada. Assim, as disposições impugnadas não dizem diretamente respeito à AEPD, na medida em que os seus direitos, deveres ou competências não foram afetados por essas disposições. Além disso, quanto aos efeitos das disposições impugnadas na Decisão de 3 de janeiro de 2022, o Tribunal Geral precisa que se trata de uma decisão administrativa que não pode afetar atos legislativos como o Regulamento Europol Alterado nem afetar o seu conteúdo.
Em segundo lugar, no que respeita ao requisito relativo à margem de apreciação dos destinatários responsáveis pela execução das disposições impugnadas, o Tribunal Geral salienta que estas últimas deixam uma certa margem de apreciação à Europol. Por conseguinte, não têm um caráter puramente automático e decorrem apenas da regulamentação da União em relação à AEPD, sem aplicação de outras regras intermédias.
Por conseguinte, dado que as disposições impugnadas não afetam diretamente a situação jurídica da AEPD e uma vez que os requisitos da afetação direta e da afetação individual pelo ato cuja anulação é pedida são cumulativos, o Tribunal Geral concluiu pela inadmissibilidade do recurso.