Recurso interposto em 17 de maio de 2024 – Comissão/AEPD
(Processo T-262/24)
Língua do processo: inglês
Partes
Recorrente: Comissão Europeia (representantes: A. Bouchagiar e H. Kranenborg, agentes)
Recorrida: Autoridade Europeia para a Proteção de Dados (AEPD)
Pedidos
A recorrente conclui pedindo que o Tribunal Geral se digne:
anular a Decisão de 8 de março de 2024 da Autoridade Europeia para a Proteção de Dados relativa à investigação no processo 2021-0518 a respeito da utilização do Microsoft 365 pela Comissão Europeia; e
condenar a recorrida nas despesas do processo.
Fundamentos e principais argumentos
A recorrente invoca treze fundamentos de recurso.
Com o primeiro fundamento, alega a interpretação e aplicação erradas dos artigos 4.°, n.° 1, alínea b), 6.° e 9.° do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados (a seguir «RPDUE»), na parte em que a Comissão fica incumbida de definir de modo exaustivo os «tipos» de dados pessoais a tratar.
Com o segundo fundamento, alega a interpretação e aplicação erradas do artigo 29.°, n.° 3, alínea a), do RPDUE, na parte em que se conclui que a Comissão não especificou, no Acordo Interinstitucional de Licenciamento de 2021, os tipos de dados pessoais que devem ser objeto de tratamento e as respetivas finalidades.
Com o terceiro fundamento, alega a interpretação e aplicação erradas do artigo 9.° do RPDUE, ao considerar este artigo aplicável no presente processo e, em todo caso, ao aplicá-lo erroneamente.
Com o quarto fundamento, alega a interpretação e aplicação erradas do artigo 29.°, n.° 3, alínea a), do RPDUE, na parte em que se conclui que a Comissão não forneceu instruções documentadas suficientemente claras.
Com o quinto fundamento, alega a interpretação e aplicação erradas dos artigos 4.°, n.° 2, e 26.°, n.° 1, conjugados com o artigo 30.° do RPDUE, na parte em que se conclui que a Comissão não assegurou o tratamento de dados pessoais pela Microsoft para efeitos de prestação dos seus serviços apenas com base em instruções documentadas da Comissão.
Com o sexto fundamento, alega a interpretação e aplicação erradas do artigo 29.°, n.° 3, do RPDUE no que respeita à transferência de dados pessoais para países terceiros.
Com o sétimo fundamento, alega a interpretação e aplicação erradas dos artigos 4.°, n.° 2, 46.° e 48.° do RPDUE na parte em que são identificadas irregularidades no mapeamento de transferências.
Com o oitavo fundamento, alega erros de direito e erros de facto na interpretação e aplicação dos artigos 4.°, n.° 2, 46.° e 48.° do RPDUE.
Com o nono fundamento, alega a aplicação errada dos artigos 4.°, n.° 2, 46.° e 48.°, n.os 1 e 3, alínea a), do RPDUE, na parte em que se conclui que ocorreram transferências diretas de dados pessoais entre a Comissão e a Microsoft Corporation nos Estados Unidos.
Com o décimo fundamento, alega a interpretação e aplicação erradas do artigo 47.° do RPDUE.
Com o décimo primeiro fundamento, alega erros de direito e erros de facto na interpretação e aplicação dos artigos 4.°, n.° 1, alínea f), 29.°, n.° 3, alínea a), 33.°, n.os 1 e 2, e 36.° do RPDUE.
Com o décimo segundo fundamento, alega a violação do dever de fundamentação previsto no artigo 296.° TFUE, a falta de competência e a interpretação e aplicação erradas do artigo 52.°, n.° 3, do RPDUE, na parte em que é recomendado à Comissão que tome em consideração os artigos 1.°, 2.° e 5.° do Protocolo n.o 7 relativo aos privilégios e imunidades da União Europeia.
Com o décimo terceiro fundamento, alega a violação do princípio da proporcionalidade na parte em que são ordenadas medidas corretivas da decisão impugnada.
____________