CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:1054

CONCLUSÕES DO ADVOGADO‑GERAL

MACIEJ SZPUNAR

apresentadas em 17 de dezembro de 2020 (1)

Processo C‑439/19

sendo interveniente

Latvijas Republikas Saeima

[pedido de decisão prejudicial apresentado pelo Satversmes tiesa (Tribunal Constitucional, Letónia)]

«Reenvio prejudicial — Regulamento (UE) 2016/679 — Tratamento de dados pessoais — Informações relativas aos pontos de penalização por infrações rodoviárias — Conceito de tratamento de dados pessoais relativos a condenações penais e infrações — Regulamentação nacional que prevê a divulgação dessas informações e permite a sua reutilização»

I. Introdução

1. Em 1946, George Orwell comentava a campanha «Keep Death off the Roads» (acabar com a morte nas estradas), feita por um antigo Estado‑Membro da União Europeia nessa altura, do seguinte modo: «Se quiserem realmente acabar com a morte nas estradas, terão de reorganizar todo o sistema rodoviário de modo que as colisões se tornem impossíveis. Imaginem o que isto significa (implicaria, por exemplo, demolir e reconstruir toda a cidade de Londres) e verão que vai muito além dos poderes de qualquer nação neste momento. Fora isso, só se podem tomar medidas paliativas, que, em última análise, se reduzem a tornar as pessoas mais prudentes» (2).

2. O processo submetido ao Satversmes tiesa (Tribunal Constitucional, Letónia), que se dirigiu ao Tribunal de Justiça através do presente pedido de decisão prejudicial, tem, no seu cerne, as «medidas paliativas» acima referidas: a fim de promover a segurança rodoviária, tornando os condutores mais conscientes e prudentes, são aplicados aos condutores pontos de penalização por infrações rodoviárias. Essa informação é, em seguida, comunicada e transmitida para efeitos de reutilização. Chamado a pronunciar‑se através de um pedido de fiscalização da constitucionalidade, o órgão jurisdicional de reenvio pretende apreciar a compatibilidade do direito nacional em causa com o Regulamento (UE) 2016/679 (3) (a seguir «RGPD»).

3. Isto significa que o presente processo é um processo de proteção de dados quase clássico, no sentido de que se enquadra predominantemente no espaço offline e implica uma relação vertical entre um Estado e um particular, que se integra facilmente numa série de processos que têm chegado ao Tribunal de Justiça desde o Acórdão pioneiro Stauder (4), que é provavelmente o primeiro processo relativo à proteção de dados em sentido amplo (5).

4. Para apreciar em que medida um Estado‑Membro se pode imiscuir nos direitos pessoais de um particular para prosseguir o seu objetivo de promoção da segurança rodoviária, proporei ao Tribunal de Justiça que medidas como a legislação letã em questão não são proporcionais ao objetivo que visam atingir.

5. Mas antes de aí chegarmos, o presente processo levanta toda uma série de questões intrincadas e fundamentais que nos levam a atravessar o RGPD a uma velocidade vertiginosa. Apertem os cintos de segurança. Pode poupar‑vos um ou outro ponto de penalização.

II. Quadro jurídico

A. Direito da União

1. RGPD

6. O capítulo I do RGPD, intitulado «Disposições gerais», contém os artigos 1.^o a 4.^o que estabelecem o objeto e os objetivos, o âmbito de aplicação material e territorial, bem como as definições.

7. O artigo 1.^o do RGPD, sob a epígrafe «Objeto e objetivos», tem a seguinte redação:

«1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

3. A livre circulação de dados pessoais no interior da União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.»

8. O artigo 2.^o do RGPD, sob a epígrafe «Âmbito de aplicação material», dispõe:

«1. O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

b) Efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;

d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

[…]»

9. O capítulo II do RGPD, que contém os artigos 5.^o a 11.^o, consagra os princípios do regulamento: princípios relativos ao tratamento de dados pessoais, licitude do tratamento, condições aplicáveis ao consentimento, incluindo o consentimento de crianças em relação aos serviços da sociedade da informação, tratamento de categorias especiais de dados pessoais e de dados pessoais relacionados com condenações penais e infrações, bem como o tratamento que não exige identificação.

10. Nos termos do artigo 5.^o do RGPD, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais»:

«1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.^o, n.^o 1 (“limitação das finalidades”);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.^o, n.^o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”).

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

11. O artigo 10.^o do RGPD, sob a epígrafe «Tratamento de dados pessoais relacionados com condenações penais e infrações», dispõe:

«O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.^o, n.^o 1, só é efetuado sob o controlo de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados. Os registos completos das condenações penais só são conservados sob o controlo das autoridades públicas.»

2. Diretiva 2003/98/CE

12. O artigo 1.^o da Diretiva 2003/98/CE (6), sob a epígrafe «Objeto e âmbito de aplicação», tem a seguinte redação:

«1. A presente diretiva estabelece um conjunto mínimo de regras aplicáveis à reutilização e aos meios práticos de facilitar a reutilização de documentos na posse de organismos do setor público dos Estados‑Membros.

2. A presente diretiva não é aplicável a:

a) Documentos cujo fornecimento seja uma atividade fora do âmbito das funções de serviço público dos organismos públicos em causa, tal como definidas na lei ou noutras regras vinculativas do Estado‑Membro, ou na ausência de tais regras, tal como definidas de acordo com a prática administrativa corrente no Estado‑Membro em causa, desde que o âmbito das missões de serviço público seja transparente e passível de exame;

b) Documentos cujos direitos de propriedade intelectual sejam detidos por terceiros;

c) Documentos não acessíveis por força dos regimes de acesso dos Estados‑Membros, nomeadamente por razões de:

— proteção da segurança nacional (ou seja, segurança do Estado), defesa ou segurança pública,

— confidencialidade estatística,

— confidencialidade comercial (por exemplo, segredos de negócios, profissionais ou de empresa);

c‑A) Documentos cujo acesso é restrito por força dos regimes de acesso dos Estados‑Membros, incluindo o caso em que cidadãos ou empresas têm que provar um interesse particular para obter acesso a documentos;

c‑B) Partes de documentos que contêm apenas logótipos, brasões e insígnias;

c‑C) Documentos não acessíveis ou de acesso restrito por força dos regimes de acesso por motivos de proteção de dados pessoais e partes de documentos acessíveis por força desses regimes que contêm dados pessoais cuja reutilização foi definida por lei como incompatível com a legislação relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais;

d) Documentos na posse de empresas de radiodifusão de serviço público e suas filiais e de outros organismos ou suas filiais com vista ao cumprimento das suas funções de radiodifusão de serviço público;

e) Documentos na posse de estabelecimentos de ensino e investigação, incluindo organizações criadas com vista à transferência de resultados de investigação, escolas e universidades, com exceção das bibliotecas universitárias e

f) Documentos na posse de instituições culturais, exceto bibliotecas, museus e arquivos.

3. A presente diretiva baseia‑se nos regimes de acesso dos Estados‑Membros e é aplicável sem seu prejuízo.

4. A presente diretiva não modifica, nem de modo algum afeta o nível de proteção dos indivíduos relativamente ao processamento de dados pessoais nos termos das disposições de direito nacional e da União, nem altera, em particular, as obrigações e direitos estabelecidos na Diretiva 95/46/CE ^[(7)^].

5. As obrigações decorrentes da presente diretiva só devem ser aplicáveis na medida em que sejam compatíveis com as disposições dos acordos internacionais sobre proteção de direitos de propriedade intelectual, em especial a Convenção de Berna ^[(8)^] e o Acordo TRIPS ^[(9)^]».

13. O artigo 2.^o da Diretiva 2003/98, sob a epígrafe «Definições», tem a seguinte redação:

«Para efeitos da presente diretiva, são aplicáveis as seguintes definições:

1. “Organismo do setor público” significa o Estado, as autoridades regionais ou locais, os organismos de direito público e as associações formadas por uma ou mais autoridades ou por um ou mais organismos de direito público;

2. “Organismo de direito público” significa qualquer organismo:

a) Criado para satisfazer especificamente necessidades de interesse geral, sem caráter industrial ou comercial;

b) Dotado de personalidade jurídica; e

c) Financiado maioritariamente pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público, ou cuja gestão esteja sujeita a um controlo por parte de tais organismos, ou cujos órgãos de administração, de direção ou de fiscalização sejam compostos maioritariamente por membros designados pelo Estado, por autoridades regionais ou locais ou por outros organismos de direito público.

3. “Documento” significa:

a) Qualquer conteúdo, seja qual for o seu suporte (documento escrito em suporte papel ou eletrónico, registo sonoro, visual ou audiovisual);

b) Qualquer parte desse conteúdo.

4. “Reutilização” significa a utilização por pessoas singulares ou coletivas de documentos na posse de organismos do setor público, para fins comerciais ou não comerciais diferentes do fim inicial de serviço público para o qual os documentos foram produzidos. O intercâmbio de documentos entre organismos do setor público exclusivamente no desempenho das suas funções não constitui reutilização.

5. “Dados pessoais” significa os dados definidos nos termos da alínea a) do artigo 2.^o da Diretiva 95/46/CE.

6. “Formato legível por máquina” significa um formato de ficheiro estruturado de modo a ser facilmente possível, por meio de aplicações de software, identificar, reconhecer e extrair dados específicos, incluindo declarações de facto, e a sua estrutura interna.

7. “Formato aberto” significa um formato de ficheiro independente da plataforma e disponibilizado ao público sem qualquer restrição que impede a reutilização de documentos.

8. “Norma formal aberta” significa uma norma estabelecida em forma escrita, que pormenoriza especificações no que diz respeito aos requisitos para assegurar a interoperabilidade de software.

9. “Universidade” significa qualquer organismo do setor público que ministra ensino superior pós‑secundário conducente a graus académicos.»

14. O artigo 3.^o da Diretiva 2003/98, sob a epígrafe «Princípio geral», tem a seguinte redação:

«1. Sem prejuízo do disposto no n.^o 2, os Estados‑Membros devem assegurar que os documentos aos quais a presente diretiva é aplicável nos termos do artigo 1.^o sejam reutilizáveis para fins comerciais ou não comerciais, de acordo com as condições previstas nos capítulos III e IV.

2. Relativamente aos documentos sobre os quais bibliotecas, incluindo as bibliotecas universitárias, museus e arquivos sejam titulares de direitos de propriedade intelectual, os Estados‑Membros devem assegurar que, caso seja permitida a sua reutilização, tais documentos sejam reutilizáveis para fins comerciais ou não comerciais, de acordo com as condições previstas nos capítulos III e IV.»

B. Direito letão

15. O artigo 14, n.^o 2, da Ceļu satiksmes likums (a seguir «Lei da Circulação Rodoviária») (10) tem a seguinte redação:

«A informação relativa a um veículo que seja propriedade de uma pessoa coletiva […], ao direito de uma pessoa a conduzir veículos automóveis, às coimas pelas infrações rodoviárias aplicadas a uma pessoa e não pagas nos prazos fixados por lei e restante informação inscrita no registo nacional de veículos e condutores [a seguir “registo nacional de veículos”], bem como no sistema de informação sobre meios de tração e condutores, é considerada informação acessível ao público.»

III. Matéria de facto, tramitação processual e questões prejudiciais

16. B, demandante no processo principal, é uma pessoa singular à qual foram aplicados pontos de penalização nos termos da Lei da Circulação Rodoviária e de um decreto a ela relativo (11). O Ceļu satiksmes drošības direkcija (Direção da Segurança Rodoviária, Letónia; a seguir «CSDD») é um organismo público que inscreveu esses pontos de penalização no registo nacional de veículos.

17. Como as informações relativas aos referidos pontos podem ser comunicadas a pedido e, segundo B, foram comunicadas, para reutilização, a várias empresas, B apresentou ao órgão jurisdicional de reenvio um pedido de fiscalização da constitucionalidade contestando a conformidade do artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária com o direito à privacidade consagrado no artigo 96.^o da Latvijas Republikas Satversme (Constituição da República da Letónia).

18. Tendo o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária sido adotado pela Latvijas Republikas Saeima (Parlamento letão; a seguir «Saeima»), esta instituição interveio no processo. Foi também ouvida a CSDD, que trata os dados em causa. Além disso, a Datu valsts inspekcija (Autoridade para a Proteção de Dados, Letónia), que é, na Letónia, a autoridade de controlo na aceção do artigo 51.^o do RGPD, e outras autoridades e pessoas foram convidadas a pronunciar‑se perante o órgão jurisdicional de reenvio a título de amici curiae.

19. A Saeima reconhece que, por força da disposição em causa, qualquer pessoa pode obter informações sobre os pontos de penalização de outra pessoa, quer mediante um pedido direto à CSDD quer utilizando os serviços prestados pelos reutilizadores comerciais.

20. Se for esse o caso, a Saeima considera que a disposição em causa é lícita, porque é justificada pelo objetivo de melhorar a segurança rodoviária, o qual exige que os infratores rodoviários sejam abertamente identificados e que os condutores sejam dissuadidos de cometer infrações.

21. Além disso, deve ser respeitado o direito de acesso à informação, previsto no artigo 100.^o da Constituição letã. Em qualquer caso, o tratamento das informações relativas aos pontos de penalização é feito sob o controlo da autoridade pública e em conformidade com garantias adequadas quanto aos direitos e liberdades dos titulares dos dados.

22. A Saeima explica, além disso, que, na prática, a comunicação das informações contidas no registo nacional de veículos é feita sob condição de o requerente indicar o número nacional de identificação do condutor cujas informações pretende obter. Esta condição prévia para a obtenção das informações explica‑se pelo facto de, ao contrário do nome de uma pessoa, um número nacional de identificação ser um identificador único.

23. A CSDD, por seu lado, explicou ao órgão jurisdicional de reenvio o funcionamento do sistema de pontos de penalização e confirmou que a legislação nacional não impõe limites quanto ao acesso do público aos dados relativos aos pontos de penalização e à sua reutilização.

24. A CSDD forneceu igualmente pormenores sobre os contratos celebrados com os reutilizadores comerciais. Salientou que esses contratos não preveem a transferência jurídica de dados e que os reutilizadores asseguram que as informações transmitidas aos seus clientes não ultrapassam as que podem ser obtidas da CSDD. Além disso, uma das cláusulas contratuais estipula que o adquirente das informações deve utilizá‑la segundo as modalidades previstas pela regulamentação em vigor e em conformidade com os fins indicados no contrato.

25. A Autoridade para a Proteção de Dados manifestou dúvidas quanto à conformidade da disposição em causa com o artigo 96.^o da Constituição letã. Não excluiu a possibilidade de o tratamento dos dados em causa poder ser inadequado ou desproporcionado.

26. Essa autoridade salientou igualmente que, embora as estatísticas relativas aos acidentes de viação na Letónia revelem uma redução do número de acidentes, não há provas de que o sistema de pontos de penalização e o acesso do público às informações a ele relativas tenham contribuído para esta evolução favorável.

27. O Satversmes tiesa (Tribunal Constitucional) observa, em primeiro lugar, que o processo que lhe foi submetido não diz respeito à totalidade do artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária, dizendo respeito a esta disposição apenas na medida em que torna acessíveis ao público os pontos de penalização inscritos no registo nacional de veículos.

28. Este órgão jurisdicional considera, além disso, que estes pontos de penalização constituem dados pessoais e devem, portanto, ser tratados em conformidade com o direito ao respeito pela vida privada. Sublinha que, para apreciar o âmbito de aplicação do artigo 96.^o da Constituição letã, há que tomar em conta o RGPD, bem como o artigo 16.^o TFUE e o artigo 8.^o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

29. No que respeita aos objetivos da Lei da Circulação Rodoviária, o órgão jurisdicional de reenvio indica que é com o fim de influenciar o comportamento dos condutores de veículos e de reduzir, assim, os riscos para a vida, a saúde e os bens das pessoas, que as infrações cometidas pelos condutores, qualificadas de infrações administrativas na Letónia, são inscritas no registo nacional de condenações e que os pontos de penalização são inscritos no registo nacional de veículos.

30. O registo nacional de condenações constitui um registo único de condenações de pessoas que tenham cometido infrações (penais ou administrativas) com o objetivo, nomeadamente, de facilitar a fiscalização das sanções aplicadas. Em contrapartida, o registo nacional de veículos permite monitorizar as infrações rodoviárias e aplicar medidas em função do número de tais infrações. O sistema de pontos de penalização visa melhorar a segurança rodoviária, distinguindo os condutores de veículos que ignoram sistematicamente e de má‑fé as regras da circulação rodoviária dos condutores que cometem infrações ocasionalmente, e influenciando de modo preventivo o comportamento dos utentes da estrada.

31. O órgão jurisdicional de reenvio observa que o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária confere a qualquer pessoa o direito de requerer e de obter da CSDD as informações que figuram no registo nacional de veículos relativas aos pontos de penalização aplicados aos condutores. Na prática, as informações sobre os pontos de penalização são fornecidas ao requerente logo que este indique o número nacional de identificação do condutor em questão.

32. O Satversmes tiesa (Tribunal Constitucional) esclarece, seguidamente, que os pontos de penalização, atendendo à sua classificação como informações acessíveis ao público, estão abrangidos pelo âmbito de aplicação da Lei da Divulgação de Informações e podem, portanto, ser reutilizados para fins comerciais ou não comerciais diferentes do fim original para o qual as informações foram criadas.

33. Para interpretar e aplicar o artigo 96.^o da Constituição letã em conformidade com o direito da União, o órgão jurisdicional de reenvio pretende saber, em primeiro lugar, se pontos de penalização como os previstos pelo direito letão são abrangidos pelo âmbito de aplicação do artigo 10.^o do RGPD. Em especial, o órgão jurisdicional de reenvio pretende ver esclarecida a questão de saber se o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária viola o requisito contido no artigo 10.^o do RGPD, segundo o qual o tratamento dos dados referidos nessa disposição só pode ser efetuado «sob o controlo de uma autoridade pública» ou com «garantias adequadas para os direitos e liberdades dos titulares dos dados».

34. O referido órgão jurisdicional observa que o artigo 8.^o, n.^o 5, da Diretiva 95/46, que deixava à discrição de cada Estado‑Membro a apreciação da questão de saber se as regras especiais sobre os dados relativos a infrações e condenações penais deviam ser alargadas aos dados relativos a infrações e sanções administrativas. Essa disposição foi implementada na Letónia pelo artigo 12.^o da Fizisko personu datu aizsardzības likums (Lei Relativa à Proteção de Dados das Pessoas Singulares), nos termos do qual os dados pessoais relativos a infrações administrativas, à semelhança dos dados relativos às infrações e às condenações penais, só podiam ser tratados pelas pessoas e nos casos previstos por lei.

35. Por conseguinte, durante mais de uma década, a Letónia aplicou requisitos semelhantes para o tratamento de dados pessoais relativos a infrações e condenações penais e dados pessoais relativos a infrações administrativas.

36. Aquele órgão jurisdicional observa, além disso, que o âmbito de aplicação do artigo 10.^o do RGPD deve, em conformidade com o considerando 4 deste regulamento, ser apreciado tomando em conta a função dos direitos fundamentais na sociedade. Considera, a este respeito, que o objetivo de garantir que a vida privada e profissional de uma pessoa não sofre um impacto excessivamente negativo com uma condenação anterior se pode aplicar tanto a condenações penais como a infrações administrativas.

37. O Satversmes tiesa (Tribunal Constitucional) procura precisar, em segundo lugar, o âmbito de aplicação do artigo 5.^o do RGPD. Especialmente, pretende saber se, à luz do considerando 39 do referido regulamento, o legislador letão cumpriu a obrigação, estabelecida no artigo 5.^o, n.^o 1, alínea f), do RGPD, de garantir que os dados pessoais são tratados com «integridade e confidencialidade». Observa que o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária, que, ao facultar o acesso às informações sobre os pontos de penalização, permite determinar se uma pessoa foi condenada por uma infração rodoviária, não foi acompanhado de medidas específicas que garantam a segurança desses dados.

38. Em terceiro lugar, o referido órgão jurisdicional pretende saber se a Diretiva 2003/98 é relevante para apreciar se o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária é compatível com o artigo 96.^o da Constituição letã. Salienta que resulta desta diretiva que a reutilização dos dados pessoais só pode ser permitida se o direito à privacidade for respeitado.

39. Em quarto lugar, à luz da jurisprudência do Tribunal de Justiça, segundo a qual a interpretação do direito da União feita em decisões prejudiciais produz efeitos erga omnes e ex tunc, o órgão jurisdicional de reenvio pretende saber se pode, todavia, no caso de o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária ser considerado incompatível com o artigo 96.^o da Constituição letã, lido à luz do direito da União conforme interpretado pelo Tribunal de Justiça, decidir que os efeitos jurídicos do referido artigo 14.^o, n.^o 2, serão mantidos até à data da prolação do seu acórdão que declare a sua inconstitucionalidade, com base no facto de que esse acórdão afetará um grande número de relações jurídicas.

40. A este respeito, explica que, nos termos do direito letão, um ato declarado inconstitucional é considerado nulo a partir do dia da publicação do acórdão do Satversmes tiesa (Tribunal Constitucional), salvo decisão em contrário desse órgão jurisdicional. Explica igualmente a sua prática de assegurar um equilíbrio entre o princípio da segurança jurídica e os direitos fundamentais das diferentes partes envolvidas ao fixar a data em que a disposição declarada inconstitucional deixa de estar em vigor.

41. Foi neste contexto que, por Despacho de 4 de junho de 2019, que deu entrada no Tribunal de Justiça em 11 de junho de 2019, o Satversmes tiesa (Tribunal Constitucional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o conceito de “tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas”, utilizado no artigo 10.^o do [RGPD], ser interpretado no sentido de que abrange o tratamento de informação relativa aos pontos [de penalização aplicados] aos condutores por infrações de trânsito previsto na disposição controvertida?

2) Independentemente da resposta à primeira questão, pode o disposto no [RGPD], designadamente o princípio da “integridade e confidencialidade” enunciado no seu artigo 5.^o, n.^o 1, alínea f), ser interpretado no sentido de que proíbe que os Estados‑Membros estabeleçam que a informação relativa aos pontos [de penalização aplicados] aos condutores por infrações de trânsito seja acessível ao público e de que permite o tratamento dos dados correspondentes através da sua comunicação?

3) Devem os considerandos 50 e 154, os artigos 5.^o, n.^o 1, alínea b), e 10.^o do [RGPD] e o artigo 1.^o, n.^o 2, alínea [c‑C)], da Diretiva [2003/98], ser interpretados no sentido de que se opõem a uma disposição legal de um Estado‑Membro que permite a transmissão da informação relativa aos pontos [de penalização aplicados] aos condutores por infrações de trânsito para efeitos da sua reutilização?

4) Em caso de resposta afirmativa a alguma das questões anteriores, devem o princípio do primado do direito da União e o princípio da segurança jurídica ser interpretados no sentido de que poderia ser permitido aplicar a disposição controvertida e manter os seus efeitos jurídicos até que a decisão definitiva do Tribunal Constitucional transite em julgado?»

42. Foram apresentadas observações escritas pelos Governos letão, neerlandês, austríaco e português, bem como pela Comissão Europeia.

43. No contexto da propagação do vírus SARS‑CoV‑2, o Tribunal de Justiça decidiu anular a audiência que tinha sido marcada para 11 de maio de 2020 no presente processo. No âmbito das medidas de organização do processo e a título excecional, o Tribunal de Justiça decidiu substituir esta audiência por perguntas para resposta escrita. Os Governos letão e sueco, bem como a Comissão, responderam às perguntas submetidas pelo Tribunal de Justiça.

IV. Apreciação

44. O presente pedido de decisão prejudicial suscita várias questões fundamentais relativas ao RGPD. Todas essas questões pressupõem, todavia, a aplicabilidade do RGPD ao caso em apreço (12). Levanto esta questão atendendo ao facto de que a União Europeia não legislou em matéria de pontos de penalização por infrações de trânsito.

A. Quanto ao âmbito de aplicação material do RGPD — Artigo 2.^o, n.^o 2, alínea a)

45. Nos termos do artigo 2.^o, n.^o 2, alínea a), do RGPD, este regulamento não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União. É manifesto que, enquanto o artigo 2.^o, n.^o 1, do RGPD formula pela positiva o que é abrangido por este regulamento (13), o artigo 2.^o, n.^o 2, exclui quatro tipos de atividades do seu âmbito de aplicação. Enquanto exceção à regra geral, o artigo 2.^o, n.^o 2, do RGPD deve ser objeto de interpretação restritiva (14).

46. O legislador da União escolheu a forma de um regulamento como instrumento jurídico a fim de aumentar o grau de uniformidade da legislação da União em matéria de proteção de dados, nomeadamente a fim de criar condições equitativas entre os operadores (económicos) no mercado interno, independentemente do local onde estes operadores estejam estabelecidos (15).

47. O artigo 16.^o TFUE contém não só uma base jurídica para a adoção de textos como o RGPD mas constitui também, mais genericamente, por estar inserido na parte I, título II, do Tratado FUE (16), uma disposição horizontal de caráter constitucional que deve ser tida em conta no exercício de qualquer competência da União.

48. Tal como fez a sua antecessora, a Diretiva 95/46, o RGPD visa garantir um elevado nível de proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais (17).

49. A redação do artigo 2.^o, n.^o 2, alínea a), do RGPD reflete, essencialmente, a do artigo 16.^o, n.^o 2, TFUE, o qual constitui a base jurídica de direito primário deste regulamento(18). Nos termos do artigo 16.^o, n.^o 2, TFUE, o legislador da União estabelece as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelos Estados‑Membros «no exercício de atividades relativas à aplicação do direito da União, e à livre circulação desses dados» (19). Essa disposição tem, por conseguinte, caráter declaratório. Consequentemente, a análise que se segue aplica‑se em igual medida ao artigo 2.^o, n.^o 2, alínea a), do RGPD e ao artigo 16.^o, n.^o 2, TFUE.

50. Há que observar, antes de mais, que a redação do artigo 2.^o, n.^o 2, alínea a), do RGPD («atividades não sujeitas à aplicação do direito da União») difere da do artigo 51.^o, n.^o 1, da Carta (20), nos termos do qual «[a]s disposições da presente Carta têm por destinatários […] os Estados‑Membros, apenas quando apliquem o direito da União» (21).

51. Se esta diferença fosse entendida no sentido de que a redação do artigo 2.^o, n.^o 2, alínea a), do RGPD é mais ampla do que a do artigo 51.^o, n.^o 1, da Carta (22), uma vez que o Tribunal de Justiça interpretou o artigo 51.^o, n.^o 1, da Carta no sentido de que esta se aplica «quando uma regulamentação nacional se enquadra no âmbito de aplicação do direito da União» (23), não existiria uma diferença substancial entre a redação destas duas disposições conforme interpretadas pelo Tribunal de Justiça (24).

52. Dito isto, não penso que devam ser feitas analogias com a jurisprudência do Tribunal de Justiça relativamente ao âmbito de aplicação da Carta (25). Seria demasiado restritivo e contrário ao objetivo prosseguido pelo artigo 16.^o TFUE e pelo RGPD. Com efeito, a lógica da Carta é completamente diferente da do RGPD: a Carta visa regular o exercício do poder pelas instituições da União e pelos Estados‑Membros quando agem no âmbito do direito da União e, inversamente, prever uma proteção que permite aos particulares invocar os seus direitos respetivos. Pelo contrário, a proteção dos dados pessoais é mais do que um direito fundamental. Como é demonstrado pelo artigo 16.^o TFUE (26), a proteção dos dados constitui, de pleno direito, um domínio político da União. O próprio objetivo do RGPD consiste na sua aplicação a qualquer forma de tratamento de dados pessoais, independentemente do seu objeto — e assim, diga‑se, quer seja efetuado pelos Estados‑Membros quer por particulares. Uma interpretação restritiva dos termos do artigo 2.^o, n.^o 2, alínea a), do RGPD frustraria completamente este objetivo. O RGPD, concebido para ser um tigre na proteção de dados, acabaria por não passar de um gatinho doméstico.

53. A mera existência de uma disposição como o artigo 10.^o do RGPD, que será interpretada pormenorizadamente mais adiante no âmbito da minha análise da primeira questão do órgão jurisdicional de reenvio, é disso um exemplo claro. Se o RGPD regula o «tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.^o, n.^o 1», do RGPD (27), num momento em que as condenações penais e as infrações são quase exclusivamente determinadas pelo direito nacional, e não pelo direito da União, este regulamento não poderá ter a função acessória que é própria da Carta, sob pena de se invalidar o artigo 10.^o do RGPD.

54. O mesmo se aplica à existência do artigo 87.^o do RGPD, que permite aos Estados‑Membros determinar pormenorizadamente as condições específicas aplicáveis ao tratamento de um número de identificação nacional (28).

55. Além disso, importa tomar em conta o considerando 16 do RGPD que, na parte não normativa, mas, todavia, instrutiva deste regulamento, reflete o artigo 2.^o do RGPD. Neste considerando, a segurança nacional é mencionada como exemplo de um domínio que escapa ao âmbito de aplicação do direito da União. O mesmo se aplica à declaração, igualmente não vinculativa, feita no artigo 16.^o do Tratado FUE (29), em que se afirma que «quando haja que adotar, com fundamento no artigo 16.^o [TFUE], regras sobre proteção de dados pessoais que possam ter implicações diretas para a segurança nacional, as especificidades desta questão deverão ser devidamente ponderadas», e em que se recorda que «em especial, a Diretiva 95/46/[…] prevê derrogações específicas nesta matéria» (30).

56. Esta atenção expressamente dada à segurança nacional constitui uma indicação clara do que tanto os autores do Tratado FUE (artigo 16.^o TFUE) como o legislador da União [artigo 2.^o, n.^o 2, alínea a), do RGPD] tinham em mente quando redigiram os respetivos excertos.

57. O legislador da União especificou noutro diploma, ainda no âmbito da proteção de dados, que a segurança nacional deve ser entendida, neste contexto, como «segurança do Estado» (31).

58. A este respeito, o artigo 2.^o, n.^o 2, alínea a), do RGPD deve ser visto no contexto do artigo 4.^o, n.^o 2, TUE, que prevê que a União respeita as funções essenciais dos Estados‑Membros (32) e precisa a este respeito, a título de exemplo, que «a segurança nacional continua a ser da exclusiva responsabilidade de cada Estado‑Membro». O artigo 2.^o, n.^o 2, alínea a), do RGPD mais não faz do que reiterar esta exigência constitucional do que deve ser garantido para o funcionamento de um Estado (33).

59. Com base na análise precedente, não tenho motivos para crer que o artigo 2.^o, n.^o 2, alínea a), do RGPD introduz um critério com um limiar elevado para que seja desencadeada a aplicabilidade do RGPD, nem que tenha sido essa a intenção do legislador da União.

60. Por último, um breve olhar sobre as três outras exceções ao âmbito de aplicação material do RGPD, constantes do artigo 2.^o, n.^o 2, alíneas b) a d), confirma esta análise. O RGPD não se aplica, portanto, ao tratamento de dados pessoais efetuado pelos Estados‑Membros no exercício de atividades abrangidas pelo âmbito de aplicação da política externa e de segurança comum da União (34), por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas (35), nem pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública (36).

61. A exclusão da política externa e de segurança comum, ainda predominantemente intergovernamental, é perfeitamente lógica (37). As atividades puramente pessoais e domésticas das pessoas singulares estão, em qualquer caso, em princípio, excluídas do âmbito de aplicação do direito da União, uma vez que não são regidas pelo direito primário ou derivado. O mesmo se aplica, em princípio, à prevenção, investigação, deteção ou repressão de infrações penais ou à execução de sanções penais. Contudo, esta última exceção deve‑se ao facto de a União ter adotado uma diretiva especializada (38), aliás, no dia em que foi adotado o RGPD. Acresce que resulta do artigo 23.^o, n.^o 1, alínea d), do RGPD que o tratamento de dados pessoais efetuado por particulares para os mesmos efeitos está abrangido pelo âmbito de aplicação do RGPD (39).

62. Logo, para terem algum alcance jurídico normativo, estas duas últimas exceções não podem ser consideradas não sujeitas à aplicação do direito da União, na aceção do artigo 2. ^o, n. ^o 2, alínea a), do RGPD.

63. Por último, importa salientar que não existe nenhuma prova manifesta de que o Tribunal de Justiça, por uma questão de princípio, aplicaria um critério estrito quanto ao âmbito de aplicação do RGPD ou da Diretiva 95/46 nos termos do artigo 2.^o deste regulamento e do artigo 3.^o desta diretiva, respetivamente (40). Pelo contrário, o Tribunal de Justiça tende a sublinhar que «a aplicabilidade da Diretiva 95/46 não pode depender da questão de saber se as situações concretas em causa nos processos principais têm uma ligação suficiente com o exercício das liberdades fundamentais garantidas pelo Tratado» (41).

64. Para concluir esta parte preliminar da análise, o artigo 2.^o, n.^o 2, alínea a), do RGPD deve ser interpretado no sentido de que este regulamento é aplicável ao tratamento de dados pessoais num Estado‑Membro ou por um Estado‑Membro, salvo se esse tratamento for efetuado num domínio em que a União não tem competência.

65. Por conseguinte, o RGPD é aplicável ao caso em apreço e deve ser tido em conta pelo órgão jurisdicional de reenvio no âmbito do exame da validade do direito nacional.

B. Quanto ao artigo 86.^o do RGPD

66. Por uma questão de exaustividade, gostaria de abordar sucintamente a disposição do artigo 86.^o do RGPD no caso em apreço.

67. Nos termos deste artigo, os dados pessoais que constem de documentos oficiais na posse de uma autoridade pública ou de um organismo público ou privado para a prossecução de atribuições de interesse público podem ser divulgados pela autoridade ou organismo nos termos do direito da União ou do Estado‑Membro que for aplicável à autoridade ou organismo público, a fim de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais nos termos do RGPD.

68. Essa disposição mais não faz do que reconhecer a importância do acesso do público a documentos oficiais. Além disso, como a Comissão salientou, com razão, esta disposição não fornece nenhuma outra orientação sobre o modo pelo qual o acesso do público a documentos oficiais deve ser conciliado com as regras relativas à proteção de dados (42). Esta disposição é de natureza essencialmente declarativa, o que a aproxima mais de um considerando do que de uma disposição normativa de um texto jurídico (43). Por conseguinte, diria que a «norma narrativa» do artigo 86.^o do RGPD não tem relevância para a análise que se segue.

C. Quanto à primeira questão: pontos de penalização nos termos do artigo 10.^o do RGPD

69. Com a sua primeira questão, o órgão jurisdicional de reenvio pretende saber se o artigo 10.^o do RGPD deve ser interpretado no sentido de que abrange situações de tratamento de informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito, conforme previsto pelo direito nacional.

70. Em conformidade com esta disposição, o tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6.^o, n.^o 1, do RGPD (44), só é efetuado sob o controlo de uma autoridade pública (45). Os registos completos das condenações penais só são conservados sob o controlo das autoridades públicas.

71. Tendo em conta o facto de a CSDD parecer ser uma autoridade oficial, no sentido de «autoridade pública», poderia pôr‑se em causa a pertinência da primeira questão e questionar‑se se a mesma é hipotética, na aceção da jurisprudência do Tribunal de Justiça em matéria de admissibilidade. No entanto, parece‑me que estas dúvidas podem ser afastadas salientando que o caso em apreço tem por objeto tanto a comunicação dos pontos de penalização (pela CSDD) como a reutilização desses dados por outras entidades. Uma vez que a primeira questão se refere a essas outras entidades, é, na minha opinião, admissível.

1. Dados pessoais

72. O artigo 4.^o, ponto 1, do RGPD dispõe que se entende por «dados pessoais» a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, especialmente por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

73. Não há motivos para duvidar de que as informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito constituem dados pessoais na aceção do artigo 4.^o, ponto 1, do RGPD.

2. … relacionados com condenações penais e infrações ou com medidas de segurança conexas

74. No que respeita às «infrações» previstas no artigo 10.^o do RGPD, importa observar que esta disposição não é inteiramente clara em todas as versões linguísticas no que respeita à questão de saber se a mesma visa apenas infrações penais ou se abrange igualmente infrações administrativas. A interpretação mais natural e intuitiva da versão em língua inglesa é a de que o termo «criminal» (penais) foi colocado, por assim dizer, antes do parêntese e se refere tanto às «convictions» (condenações) como às «offences» (infrações). A este respeito, algumas versões linguísticas (46) não deixam margem para dúvidas: as «infrações» na aceção do artigo 10.^o do RGPD devem ser entendidas no sentido de «infrações penais». Outras versões linguísticas (47) são ambíguas, uma vez que permitem mais do que uma interpretação. A versão em língua letã (saistītiem drošības pasākumiem), que, presume‑se, é a versão linguística com a qual o órgão jurisdicional de reenvio está mais familiarizado, é também ambígua. Neste caso, além de não se especificar se as «infrações» (pārkāpumi) são de natureza penal, deixa‑se também em aberto se as «condenações» (sodāmība) devem ser de natureza penal (48).

75. Ainda que as diferentes versões linguísticas possam ter alguns matizes, podem tirar‑se, no entanto, desde já algumas conclusões.

76. Todas as línguas oficiais da União Europeia constituem as línguas autênticas dos atos em que são redigidos, pelo que, em princípio, deve ser reconhecido o mesmo valor a todas as versões linguísticas de um ato da União (49). A interpretação de uma disposição do direito da União implica assim a comparação das diferentes versões linguísticas (50). Além disso, as diferentes versões linguísticas de um texto do direito da União devem ser interpretadas de modo uniforme (51).

77. Nestas circunstâncias, é o sentido das versões linguísticas mais «precisas» que deve ser considerado correto, nomeadamente porque este sentido mais preciso é igualmente uma das interpretações possíveis nas versões linguísticas menos precisas, quanto às quais se pode afirmar que uma interpretação no sentido de que as «infrações» têm apenas caráter «penal» é uma possibilidade. Posso, portanto, concluir provisoriamente, nesta fase, que, com base numa leitura comparada das diferentes versões linguísticas do artigo 10.^o do RGPD, o termo «penal» se refere tanto às «condenações» como às «infrações» (52).

78. Além disso, a interpretação que proponho do artigo 10.^o do RGPD preserva a continuidade da distinção efetuada no seu precursor, o artigo 8.^o, n.^o 5, da Diretiva 95/46. Nos termos desta disposição anterior, havia uma obrigação de controlo pelas autoridades públicas (53) no que respeita ao tratamento de dados referentes às condenações penais e às infrações, ao passo que, quanto às sanções administrativas, havia a possibilidade de sujeitar o tratamento de dados ao controlo das autoridades públicas (54). Se, por força do artigo 8.^o, n.^o 5, da Diretiva 95/46, o termo «infrações» tivesse sido entendido no sentido de abranger as «infrações administrativas», o segundo parágrafo desta disposição seria redundante.

79. Esta conclusão deixa ainda em aberto o que se deve entender exatamente da expressão «infrações penais».

80. A primeira questão que se coloca é a de saber se esta expressão constitui um conceito autónomo do direito da União ou se a sua interpretação é deixada ao critério dos Estados‑Membros.

81. Segundo jurisprudência constante do Tribunal de Justiça, decorre das exigências tanto da aplicação uniforme do direito da União como do princípio da igualdade que os termos de uma disposição do direito da União que não comporte uma remissão expressa para o direito dos Estados‑Membros para determinar o seu sentido e o seu alcance devem normalmente ser objeto, em toda a União, de uma interpretação autónoma e uniforme (55). Essa interpretação deve tomar em conta os termos, os objetivos e o contexto legislativo da disposição em questão bem como o conjunto das disposições do direito da União. A génese de uma disposição do direito da União pode igualmente revestir elementos pertinentes para a sua interpretação (56).

82. Neste caso, é manifesto que, em princípio, a legislação penal e as regras processuais penais são da competência dos Estados‑Membros (57). Por conseguinte, são os Estados‑Membros que estarão mais bem colocados para determinar o que constitui uma infração (58).

83. Todavia, uma vez que o legislador da União escolheu a forma jurídica de um regulamento, por oposição à de uma diretiva, considero que uma interpretação uniforme dos termos deste regulamento em toda a União deve ser a norma, a fim de garantir o seu caráter geral e a sua aplicabilidade direta em todos os Estados‑Membros, em conformidade com o artigo 288.^o, n.^o 2, TFUE.

84. Pela mesma ordem de ideias, existem indícios de que o legislador da União não quis remeter para o(s) direito(s) nacional(ais) no que respeita à interpretação do termo «infrações». Assim, o considerando 13 da Diretiva 2016/680 indica que uma infração penal, na aceção desta diretiva, deverá ser um conceito autónomo do direito da União, tal como interpretado pelo Tribunal de Justiça da União Europeia. Num espírito de a maiore ad minus, considero que esta afirmação se aplica igualmente ao RGPD (59) que, como acabei de referir, sendo um regulamento, constitui um ato jurídico que automaticamente apresenta um grau de integração e de centralização mais elevado.

85. A segunda questão, que consiste em determinar se os dados pessoais em causa dizem respeito a condenações penais e infrações ou a medidas de segurança conexas, na aceção do artigo 10.^o do RGPD, é mais difícil.

86. O Tribunal de Justiça teve já oportunidade de se pronunciar sobre a definição do conceito de «infração penal» no contexto do princípio ne bis in idem (60), nos termos do artigo 50.^o da Carta (61).

87. O Tribunal de Justiça baseou‑se, a este respeito, na jurisprudência do Tribunal Europeu dos Direitos do Homem (62), segundo a qual três critérios são pertinentes para a definição da expressão «processo penal»: a qualificação jurídica da infração no direito interno, a própria natureza da infração e o tipo e a gravidade da sanção suscetível de ser aplicada ao interessado (63).

88. Os pontos de penalização, como os previstos pelo direito nacional no caso em apreço, não são, na minha opinião, qualificáveis como infração penal à luz desta jurisprudência, uma vez que não preenchem esses critérios. Em especial, não são de natureza muito grave (64).

89. Por último, gostaria de salientar que, em consequência desta análise, não há que analisar a delimitação entre o artigo 10.^o do RGPD e as disposições da Diretiva 2016/680, uma vez que esta diretiva não é aplicável ao caso em apreço.

3. Resposta proposta

90. Por conseguinte, proponho que se responda à primeira questão declarando que o artigo 10.^o do RGPD deve ser interpretado no sentido de que não abrange situações de tratamento de informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito nos termos previstos por uma regulamentação nacional como o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária.

D. Quanto à segunda questão: comunicação dos pontos de penalização

91. Com a sua segunda questão, o órgão jurisdicional de reenvio pretende apurar, em substância, se as disposições do RGPD se opõem a que um Estado‑Membro trate e comunique informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito.

92. Embora o órgão jurisdicional de reenvio invoque, a título de exemplo, o princípio da integridade e da confidencialidade contido no artigo 5.^o, n.^o 1, alínea f), do RGPD (65), a questão é formulada em termos muito amplos, uma vez que remete para as disposições deste regulamento no seu conjunto (66). A análise que se segue irá, portanto, abranger outras disposições do RGPD além da mencionada pelo órgão jurisdicional de reenvio na sua questão.

93. Qualquer tratamento de dados pessoais deve respeitar, por um lado, os princípios relativos à qualidade dos dados enunciados no artigo 5.^o do RGPD e, por outro, um dos critérios de licitude do tratamento de dados enumerados no artigo 6.^o deste regulamento (67). Pode deduzir‑se da redação destas duas disposições que os primeiros são de natureza cumulativa (68) e estes últimos de natureza alternativa (69).

94. A segunda questão tem por objeto os princípios relativos à qualidade dos dados. O órgão jurisdicional de reenvio parece, com razão, partir do princípio de que a CSDD trata dados e não questiona sobre o registo dos pontos de penalização enquanto tal, mas sobre a comunicação dos pontos a pedido.

95. A CSDD é incontestavelmente um «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD, que trata dados pessoais na aceção do artigo 4.^o, ponto 2, deste regulamento, inserindo os pontos de penalização no registo nacional de veículos.

96. Basta salientar que o Tribunal de Justiça declarou, relativamente a um «registo de empresas» público, que, ao transcrever e manter informações no registo e ao comunicá‑las, sendo o caso, a pedido de terceiros, a autoridade encarregada da manutenção desse registo procede a um «tratamento de dados pessoais», pelo qual é «responsável», na aceção das definições dadas na Diretiva 95/46 (70), precursoras das definições previstas no artigo 4.^o, ponto 2, e do artigo 7.^o do RGPD (71).

1. Quanto ao artigo 5.^o, n.^o 1, alínea f), do RGPD: integridade e confidencialidade

97. Isto suscita a questão de saber se foram respeitados os princípios da integridade e da confidencialidade, previstos no artigo 5.^o, n.^o 1, alínea f), do RGPD, disposição para a qual o próprio órgão jurisdicional de reenvio remete na sua questão.

98. Nos termos do artigo 5.^o, n.^o 1, alínea f), do RGPD, os dados pessoais são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas.

99. Como claramente resulta da sua redação, esta disposição é relativa à segurança e a medidas técnicas e organizativas no âmbito do tratamento de dados pessoais (72). Trata‑se aqui de requisitos formais gerais em matéria de segurança de dados (73).

100. Pelo contrário, o órgão jurisdicional de reenvio pretende obter uma orientação mais fundamental e que se refira à possibilidade legal desse tratamento. Dito de outro modo, e em termos mais figurativos, pretende obter orientações quanto ao se do tratamento de dados pessoais, ao passo que o artigo 5.^o, n.^o 1, alínea f), do RGPD respeita ao como desse tratamento. Por conseguinte, o artigo 5.^o, n.^o 1, alínea f), do RGPD não tem relevância para o caso em apreço.

2. Quanto ao artigo 5.^o, n.^o 1, alínea a), do RGPD: licitude, lealdade e transparência

101. Nos termos do artigo 5.^o, n.^o 1, alínea a), do RGPD, os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados.

102. Importa observar que o termo «licitude» figura tanto no artigo 5.^o, n.^o 1, alínea a), como no artigo 6.^o do RGPD. Inserir os requisitos pormenorizados do artigo 6.^o na leitura do artigo 5.^o deste regulamento não faria muito sentido do ponto de vista da redação legislativa se este devesse integrar igualmente os critérios do artigo 6.^o do RGPD.

103. Pelo contrário, a licitude, na aceção do artigo 5.^o, n.^o 1, alínea a), do RGPD, deve ser lida à luz do considerando 40 deste regulamento (74), que exige que o tratamento se baseie num consentimento ou noutro fundamento legítimo, previsto por lei (75).

104. Por conseguinte (existe base legal ao abrigo do direito interno), não vejo nenhuma razão para questionar a licitude do tratamento no caso em apreço (76).

105. À semelhança das observações do Governo austríaco (77), entendo, portanto, que este princípio não é relevante para os factos do caso em apreço.

3. Quanto ao artigo 5.^o, n.^o 1, alínea b), do RGPD: limitação das finalidades

106. O artigo 5.^o, n.^o 1, alínea b), do RGPD consagra o princípio da «limitação das finalidades» ao declarar que os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades (78).

107. O órgão jurisdicional de reenvio explica que a disposição em causa, a saber, o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária, prossegue o objetivo da segurança rodoviária, expondo os condutores que violem a regulamentação. Como tal, a comunicação dos pontos de penalização parece ser uma finalidade determinada, explícita e legítima. Além disso, o tratamento dos dados pessoais não se afigura incompatível com essa finalidade.

4. Quanto ao artigo 5.^o, n.^o 1, alínea c), do RGPD: minimização dos dados

108. Nos termos do artigo 5.^o, n.^o 1, alínea c), do RGPD, o princípio da minimização dos dados exige que os dados pessoais sejam adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados. Do mesmo modo, o considerando 39 do RGPD precisa que os dados pessoais apenas deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios.

109. À semelhança dos outros princípios consagrados no artigo 5.^o, n.^o 1, do RGPD, entendo este princípio como o reflexo do princípio da proporcionalidade (79), razão pela qual considero adequado prosseguir a análise examinando se o direito nacional em causa é proporcional ao objetivo que visa atingir.

110. Segundo jurisprudência constante, o princípio da proporcionalidade, enquanto princípio geral do direito da União, exige que as medidas implementadas por atos da União sejam adequadas para atingir o objetivo prosseguido e não vão além do que é necessário para o alcançar (80).

111. Com efeito, o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária deve ser adequado e necessário para prosseguir o seu objetivo, a saber, a melhoria da segurança rodoviária.

a) Quanto à adequação

112. O primeiro objetivo do direito nacional em causa é identificar os condutores de veículos que ignoram sistematicamente as regras do sistema de circulação rodoviária. É evidente que a identificação dos infratores das regras de trânsito não depende de forma nenhuma do caráter público (geralmente disponível) dos pontos de penalização impostos ao autor de uma infração. É da exclusiva responsabilidade de uma autoridade pública identificar com precisão esses infratores e manter registos dos pontos de penalização que lhes sejam impostos para que as consequências jurídicas pertinentes e as sanções lhes possam ser aplicadas.

113. O segundo objetivo da disposição de direito interno, que autoriza a divulgação dos dados pessoais em causa, invocado pela Saeima, é o de influenciar o comportamento dos utentes da estrada, a fim de dissuadir eventuais infratores de cometerem outras infrações. A este respeito, poderia aceitar‑se que o facto de dar a qualquer pessoa a oportunidade de saber quem infringe as regras de trânsito é suscetível de ter algum efeito dissuasor: muitos condutores não quereriam provavelmente que tais informações a seu respeito fossem divulgadas ao público geral, a fim de não serem rotulados de transgressores.

114. Esta finalidade é também claramente enunciada no artigo 43.^o da Lei da Circulação Rodoviária como o objetivo prosseguido pela introdução do sistema de pontos de penalização. É bastante óbvio que tornar públicos os pontos de penalização impostos pode constituir, em certa medida, um fator dissuasor adicional. A disposição em causa seria, portanto, em princípio, conforme ao interesse geral prosseguido, a saber, o de promover a segurança rodoviária e evitar acidentes rodoviários.

115. Dito isto, se os dados pessoais em causa forem disponibilizados apenas a pedido e se o requerente indicar o número de identificação pessoal da pessoa em causa, coloca‑se a questão de saber em que medida é difícil obter esse número. Com efeito, quanto mais difícil for a obtenção desses dados, menos dissuasor será o regime da divulgação, uma vez que a própria acessibilidade do público dependerá de outros fatores dificilmente previsíveis.

116. É por esta razão que tenho sérias dúvidas quanto à adequação da lei nacional em questão.

117. Cabe ao órgão jurisdicional de reenvio determinar, à luz de todas as circunstâncias do caso em apreço, se o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária é genuinamente adequado para alcançar o objetivo legítimo de melhorar a segurança rodoviária.

b) Quanto à necessidade

118. No que respeita à questão da necessidade, ou seja, o requisito de a medida em causa não ultrapassar o que é necessário para atingir o objetivo prosseguido, a situação afigura‑se mais clara.

119. Mais uma vez, é ao órgão jurisdicional de reenvio que cabe decidir, à luz de todas as circunstâncias do caso em apreço, se a disposição em causa é genuinamente necessária. Contudo, com base nas informações disponíveis, não vejo como tal disposição poderia, de modo nenhum, ser considerada necessária.

120. Embora o objetivo de promoção da segurança rodoviária seja importante, é necessário encontrar um justo equilíbrio entre os diferentes interesses envolvidos e, por conseguinte, cabe ao legislador nacional decidir se a divulgação dos dados pessoais em causa ultrapassa o que é necessário para alcançar os objetivos legítimos prosseguidos, tendo em conta, particularmente, a violação dos direitos fundamentais gerada por essa divulgação.

121. O despacho de reenvio não indica se a Saeima, antes da adoção da disposição em causa, contemplou outros meios para atingir o objetivo de promoção da segurança rodoviária que interferissem em menor grau nos direitos dos particulares à proteção de dados. Além disso, o legislador deve poder demonstrar que as derrogações e as limitações à proteção de dados respeitariam estritamente os limites impostos. Deve proceder‑se a uma avaliação cuidadosa do impacto sobre a proteção de dados antes da publicação de um conjunto de dados (ou antes da adoção de uma lei que imponha a sua publicação), que deve incluir uma apreciação das possibilidades de reutilização e do impacto potencial da reutilização.

122. A existência e a precisão de tais informações são indispensáveis para determinar se os objetivos de encorajamento da segurança rodoviária e da redução dos acidentes rodoviários podem ser alcançados através de medidas menos atentatórias dos direitos das pessoas em causa, evitando ou, pelo menos, atenuando desse modo uma violação da proteção conferida pelo artigo 8.^o da Carta.

123. A invasão da privacidade causada pela publicação de dados relativos às infrações e às sanções aplicadas é, em si, particularmente grave: revela ao público geral informações sobre infrações cometidas por uma pessoa. Além disso, não se pode excluir que tais tratamentos de dados inerentes à publicação dos dados em causa possam conduzir à estigmatização do infrator e a outras consequências negativas. Por conseguinte, essas «listas negras» devem ser estritamente regulamentadas.

124. Por último, como sublinha a Autoridade para a Proteção de Dados, o caráter preventivo da disposição em causa e as estatísticas que indicam tendências favoráveis, a saber, uma redução do número de acidentes de viação, não demonstram que esta redução esteja associada à introdução do sistema de pontos de penalização enquanto tal ou ao facto de as informações relativas aos pontos de penalização registados serem acessíveis ao público.

5. Resposta proposta

125. Por conseguinte, proponho ao Tribunal de Justiça que responda à segunda questão no sentido de que o artigo 5.^o, n.^o 1, alínea c), do RGPD se opõe a uma regulamentação nacional como o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária que permite o tratamento e a comunicação de informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito.

E. Quanto à terceira questão: reutilização de dados pessoais

1. Quanto à Diretiva 2003/98

126. Como previsto no artigo 1.^o, n.^o 1, da Diretiva 2003/98, esta diretiva estabelece um conjunto mínimo de regras aplicáveis à reutilização e aos meios práticos de facilitar a reutilização de documentos na posse de organismos do setor público dos Estados‑Membros.

127. Podemos partir do princípio, para efeitos do presente caso, de que os pontos de penalização na Letónia são registados em documentos na posse da CSDD, como organismo do setor público na aceção do artigo 1.^o, n.^o 1, da Diretiva 2003/98.

128. Contudo, não nos encontramos no âmbito da Diretiva 2003/98, uma vez que o seu artigo 1.^o, n.^o 2, alínea c‑C), dispõe que a mesma não é aplicável a documentos não acessíveis ou de acesso restrito por força dos regimes de acesso por motivos de proteção de dados pessoais (81). Além disso, nos termos do artigo 1.^o, n.^o 4, da Diretiva 2003/98, esta não modifica, nem de modo nenhum afeta, o nível de proteção dos indivíduos relativamente ao processamento de dados pessoais nos termos das disposições de direito nacional e da União, nem altera, particularmente, as obrigações e direitos estabelecidos no RGPD (82).

129. Resulta destas disposições que o tratamento dos dados pessoais em causa deve ser apreciado à luz da regulamentação da União em matéria de proteção de dados, a saber, o RGPD, e não da Diretiva 2003/98 (83).

2. Quanto à reutilização

130. Como o órgão jurisdicional de reenvio observa, com razão, se as informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito puderem ser comunicadas a qualquer pessoa, incluindo os operadores de reutilização, não será possível identificar as finalidades do tratamento posterior dos dados ou avaliar se os dados pessoais são tratados de forma incompatível com essas finalidades.

131. Nestas circunstâncias, a análise que efetuei no âmbito da segunda questão prejudicial aplica‑se plenamente não só mutatis mutandis, como também a fortiori: as empresas privadas poderiam ser tentadas a explorar os dados pessoais para fins comerciais, ou seja, para fins incompatíveis com a finalidade do tratamento, que é o aumento da segurança rodoviária.

132. Além disso, a possibilidade de tratamento posterior dos dados pessoais por terceiros ultrapassa manifestamente a limitação das finalidades prevista pelo artigo 5.^o, n.^o 1, alínea b), do RGPD.

3. Resposta proposta

133. Por conseguinte, proponho que se responda à terceira questão no sentido de que uma regulamentação nacional como o artigo 14.^o, n.^o 2, da Lei da Circulação Rodoviária, que permite o tratamento e a comunicação, incluindo para efeitos de reutilização, das informações relativas aos pontos de penalização registados relativamente aos condutores por infrações de trânsito, não é regida pelas disposições da Diretiva 2003/98. Além disso, o artigo 5.^o, n.^o 1, alínea c), do RGPD opõe‑se a tal regulamentação.

F. Quanto à quarta questão

134. Com a sua quarta questão, o órgão jurisdicional de reenvio pretende saber se, no caso de se demonstrar que a regulamentação nacional em causa é contrária ao direito da União, seria possível aplicar a disposição em questão e manter os seus efeitos jurídicos até que a decisão que vier a ser adotada pelo Satversmes tiesa (Tribunal Constitucional) transite em julgado.

135. O órgão jurisdicional de reenvio pede, portanto, que os efeitos jurídicos da disposição em causa sejam mantidos até à prolação de uma decisão definitiva.

136. Segundo jurisprudência constante, a interpretação de uma regra do direito da União pelo Tribunal de Justiça, no exercício da competência que lhe é conferida pelo artigo 267.^o TFUE, clarifica e precisa o significado e o alcance dessa regra, tal como deve ser ou deveria ter sido entendida e aplicada desde a data da sua entrada em vigor (84). Daí decorre que a regra assim interpretada pode e deve ser aplicada pelos órgãos jurisdicionais a relações jurídicas surgidas e constituídas antes de ser proferido o acórdão que se pronuncia sobre o pedido de interpretação, se, além disso, estiverem preenchidos os requisitos que permitem submeter aos órgãos jurisdicionais competentes um litígio relativo à aplicação da referida regra (85). Só a título verdadeiramente excecional pode o Tribunal de Justiça, aplicando o princípio geral da segurança jurídica inerente ao ordenamento jurídico da União, ser levado a limitar a possibilidade de qualquer interessado invocar uma disposição por ele interpretada para pôr em causa relações jurídicas estabelecidas de boa‑fé (86).

137. Em qualquer caso, só o Tribunal de Justiça pode determinar as condições de uma eventual suspensão (87), o que é justificado: se assim não fosse, um órgão jurisdicional nacional poderia diferir os efeitos dessa decisão, afetando assim o seu caráter erga omnes, cujo objetivo primordial é assegurar a aplicação uniforme do direito da União e a segurança jurídica em todos os Estados‑Membros e criar condições equitativas para os Estados‑Membros, os cidadãos e os operadores económicos. A este respeito, não se pode admitir que a unidade e a eficácia do direito da União sejam postas em causa por normas de direito nacional, mesmo que sejam de ordem constitucional (88).

138. Para decidir esta limitação, é necessário que estejam preenchidos dois critérios essenciais, a saber, a boa‑fé dos meios interessados e o risco de perturbações graves (89).

139. Importa acrescentar que só a título excecional (90) o Tribunal de Justiça optou por essa solução e só em circunstâncias bem precisas: quando existia um risco de repercussões económicas graves devidas, especialmente, ao grande número de relações jurídicas constituídas de boa‑fé com base na regulamentação considerada validamente em vigor e quando se afigurava que os particulares e as autoridades nacionais tinham sido incitados a adotar um comportamento não conforme com o direito da União em virtude de uma incerteza objetiva e importante quanto ao alcance das disposições do direito da União, incerteza para a qual tinham eventualmente contribuído os próprios comportamentos adotados por outros Estados‑Membros ou pela União (91).

140. No caso em apreço, os elementos mencionados no despacho de reenvio não permitem concluir que seria afetado um grande número de relações jurídicas constituídas de boa‑fé com base na disposição controvertida e, por conseguinte, que seria particularmente difícil assegurar o respeito ex tunc da decisão prejudicial do Tribunal de Justiça que declare essa disposição incompatível com o direito da União.

141. Nestas condições, não há necessidade de limitar os efeitos temporais do acórdão do Tribunal de Justiça no caso em apreço.

142. Por conseguinte, proponho que se responda à quarta questão no sentido de que não é possível aplicar a disposição em causa e manter os seus efeitos jurídicos até que a decisão que vier a ser adotada pelo Satversmes tiesa (Tribunal Constitucional) transite em julgado.

V. Conclusão

143. À luz das considerações precedentes, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pelo Satversmes tiesa (Tribunal Constitucional, Letónia) do seguinte modo:

1) O artigo 10.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), deve ser interpretado no sentido de que não abrange situações de tratamento de dados pessoais relativos aos pontos de penalização registados relativamente aos condutores por infrações de trânsito nos termos previstos por uma regulamentação nacional como o artigo 14.^o, n.^o 2, da Ceļu satiksmes likums (Lei da Circulação Rodoviária).

2) O artigo 5.^o, n.^o 1, alínea c), do Regulamento 2016/679 opõe‑se a que um Estado‑Membro proceda ao tratamento e à comunicação de dados pessoais relativos aos pontos de penalização registados relativamente aos condutores por infrações de trânsito.

3) O artigo 5.^o, n.^o 1, alíneas b) e c), do Regulamento 2016/679 opõe‑se a que um Estado‑Membro proceda ao tratamento e à comunicação de dados pessoais relativos aos pontos de penalização registados relativamente aos condutores por infrações de trânsito quando essa comunicação seja feita para efeitos de reutilização.

4) A Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa à reutilização de informações do setor público, não regula o tratamento e a comunicação, incluindo para efeitos de reutilização, dos dados pessoais relativos aos pontos de penalização registados relativamente aos condutores por infrações de trânsito.

5) Não é possível aplicar a disposição em causa e manter os seus efeitos jurídicos até que a decisão que vier a ser adotada pelo Satversmes tiesa (Tribunal Constitucional) transite em julgado.

1 Língua original: inglês.

2 V. Tribune de 8 de novembro de 1946 [tradução livre].

3 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

4 V. Acórdão de 12 de novembro de 1969 (29/69, EU:C:1969:57, n.^o 7).

5 E certamente o primeiro processo relativo a direitos fundamentais na ordem jurídica da União.

6 Diretiva do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa à reutilização de informações do setor público (JO 2003, L 345, p. 90), conforme alterada pela Diretiva 2013/37/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013 (JO 2013, L 175, p. 1).

7 Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

8 Convenção de Berna para a Proteção das Obras Literárias e Artísticas (Ato de Paris de 24 de julho de 1971), na sua versão resultante da alteração de 28 de setembro de 1979.

9 O Acordo TRIPS (Acordo sobre os Aspetos dos Direitos de Propriedade Intelectual Relacionados com o Comércio) constitui o anexo 1C do Acordo que Institui a Organização Mundial do Comércio (Acordo OMC), aprovado em nome da Comunidade, em relação às matérias da sua competência, pela Decisão 94/800/CE do Conselho, de 22 de dezembro de 1994 (JO 1994, L 336, p. 1).

10 Na sua versão alterada que entrou em vigor em 10 de maio de 2018.

11 Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 «Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi» (Decreto Ministerial n.^o 551, de 21 de junho de 2004, «Normas para a aplicação do sistema de pontos de penalização»).

12 Por contraintuitivo que isto possa parecer, a expressão «[âmbito de] aplicação do direito da União», contida no artigo 2.^o, n.^o 2, alínea a), do RGPD, é tudo menos clara no contexto do RGPD, v. Wolff, H.A., em M. Pechstein, C. Nowak, U. Häde (eds.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017, Art. 16 AEUV, ponto 19.

13 A saber, o tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como o tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

14 No que respeita ao artigo 3.^o, n.^o 2, da Diretiva 95/46, o Tribunal de Justiça declarou reiteradamente isso mesmo; v. Acórdão de 10 de julho de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, n.^o 37 e jurisprudência referida). V., igualmente, Sobotta, Chr., em E. Grabitz, M. Hilf e M. Nettesheim, Das Recht der Europäischen Union, 71. EL., atualizado em agosto de 2020, C.H. Beck, Munique, Art. 16 AEUV, ponto 22, que destaca o amplo âmbito de aplicação material do regime de proteção de dados da União.

15 V. também, a este respeito, Hatje, A., em J. Schwarze, U. Becker, A. Hatje, J. Schoo (eds.), EU‑Kommentar, 4.^a ed., Nomos, Baden‑Baden, 2019, Art. 16, ponto 10, e Brühann, U., em H. von der Groeben, H., J. Schwarze, A. Hatje (eds.), Europäisches Unionsrecht (Kommentar), Band 1, 7.^a ed., Nomos, Baden‑Baden, 2015, Art. 16 AEUV, ponto 130.

16 Relativo às «disposições de aplicação geral».

17 V., a respeito da Diretiva 95/46, a título de exemplo, Acórdãos de 13 de maio de 2014, Google Spain e Google (C‑131/12, EU:C:2014:317, n.^o 66), e de 10 de julho de 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, n.^o 35).

18 A lógica inicial, associada ao mercado interno, do regime de proteção de dados da União mantém‑se, a par da proteção dos dados em si mesma. Conforme resulta já do seu título e da definição no seu artigo 1.^o, o objeto e os objetivos do RGPD são duplos: estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Além disso, o considerando 13 do RGPD precisa que as divergências que constituam um obstáculo à livre circulação de dados pessoais no mercado interno devem ser evitadas e que o bom funcionamento do mercado interno impõe que a livre circulação de dados pessoais na União não possa ser restringida ou proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

19 Sublinhado meu.

20 Esta disposição define o âmbito de aplicação da Carta.

21 Sublinhado meu.

22 V., por exemplo, Zerdick, Th., em E. Ehmann, M. Selmayr (eds.), Datenschutz‑Grundverordnung, Kommentar, C.H. Beck, Munique, 2.^a ed., 2018, Art. 2, ponto 5.

23 Isto constitui jurisprudência constante desde o Acórdão de 26 de fevereiro de 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, n.^o 21). V., igualmente, Acórdãos de 21 de dezembro de 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, n.^o 62); de 21 de maio de 2019, Comissão/Hungria (Usufruto sobre terrenos agrícolas) (C‑235/17, EU:C:2019:432, n.^o 63); e de 24 de setembro de 2020, NK (Pensões de empresa de pessoal de direção) (C‑223/19, EU:C:2020:753, n.^o 78).

24 A redação do artigo 2.^o, n.^o 2, alínea a), do RGPD é, na minha opinião, inconclusiva. Em conformidade com jurisprudência constante do Tribunal de Justiça, para interpretar uma disposição do direito da União, deve ter‑se em conta não só os seus termos mas também o seu contexto e os objetivos prosseguidos pela regulamentação de que a mesma faz parte e, nomeadamente, a génese dessa regulamentação, v., a título de exemplo, Acórdão de 17 de abril de 2018, Egenberger (C‑414/16, EU:C:2018:257, n.^o 44 e jurisprudência referida).

25 V., igualmente, neste sentido, Lubasz, D., em D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsóvia, 2020, ponto 92.

26 E era igualmente válido, anteriormente, quanto ao artigo 114.^o TFUE.

27 V. artigo 10.^o do RGPD.

28 Especialmente se se considerar que o número de identificação nacional é normalmente atribuído por ocasião do registo oficial de um nascimento, matéria que não está tipicamente associada a uma competência da União.

29 V. Declaração n.^o 20 anexa à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, assinado em 13 de dezembro de 2007.

30 Resulta do artigo 94.^o, n.^o 2, do RGPD que as remissões para a Diretiva 95/46 devem ser consideradas remissões para o RGPD.

31 V. artigo 15.^o, n.^o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37). V., quanto a esta disposição, Acórdão de 29 de janeiro de 2008, Promusicae (C‑275/06, EU:C:2008:54, n.^o 49).

32 Incluindo a garantia da integridade territorial do Estado, a manutenção da ordem pública e a salvaguarda da segurança nacional.

33 V., quanto a este termo, Franzius, C., em M. Pechstein, C. Nowak, U. Häde (eds.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017, Art. 4 EUV, ponto 50: «Staatsfunktionengarantie».

34 V. artigo 2.^o, n.^o 2, alínea b), do RGPD.

35 V. artigo 2.^o, n.^o 2, alínea c), do RGPD.

36 V. artigo 2.^o, n.^o 2, alínea d), do RGPD.

37 Além disso, o artigo 39.^o TUE contém uma base legal específica para o tratamento de dados pessoais pelos Estados‑Membros quando realizem atividades ao abrigo da política externa e de segurança comum. Assim, a diferença dos «pilares» foi mantida a este respeito pelo Tratado de Lisboa, v. Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, p. 18.

38 V. Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89).

39 V., além disso, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.^o 102).

40 Para dar apenas um exemplo, o Tribunal de Justiça não examinou, portanto, ativamente se as atividades caritativas e religiosas estão sujeitas à aplicação do direito da União (v. Acórdão de 6 de novembro de 2003, Lindqvist, C‑101/01, EU:C:2003:596, n.^o 48).

41 V. Acórdão de 20 de maio de 2003, Österreichischer Rundfunk e o. (C‑465/00, C‑138/01 e C‑139/01, EU:C:2003:294, n.^o 42).

42 Na doutrina, v., além disso, Kranenborg, H., em Chr. Kuner, L.A. Bygrave, Chr. Docksey (eds.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, Art.86, A., p. 1214. V., igualmente, Pauly, D.A., em B.P. Paal, D.A. Pauly, Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, C.H. Beck, Munique, 2018, Art. 86 DS‑GVO, ponto 9.

43 V. igualmente, a este respeito, Kranenborg, H., op. cit., Art.86, C.1., p. 1217, incluindo nota 14. É com razão que o mesmo autor sublinha que a proposta inicial da Comissão incluía apenas um considerando, mas nenhuma disposição a este respeito.

44 Nos termos desta disposição, se o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas, o tratamento é lícito na medida do consentimento dado.

45 Ou se o tratamento for autorizado por disposições do direito da União ou de um Estado‑Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados.

46 Como as versões nas línguas espanhola (condenas e infracciones penales), alemã (strafrechtliche Verurteilungen und Straftaten), italiana (condanne penali e […] reati), lituana (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), maltesa (kundanni kriminali u reati) e neerlandesa (strafrechtelijke veroordelingen en strafbare feiten).

47 Como as versões nas línguas francesa (condamnations pénales et […] infractions), polaca (wyroków skazujących oraz naruszeń prawa), portuguesa (condenações penais e infrações) e romena (condamnări penale și infracțiuni).

48 Com efeito, numa leitura simples do texto, mesmo as «condenações» poderiam, teoricamente, revestir caráter administrativo.

49 V., a título de exemplo, Acórdão de 25 de junho de 2020, A e o. (Turbinas eólicas em Aalter e em Nevele) (C‑24/19, EU:C:2020:503, n.^o 39 e jurisprudência referida).

50 V. Acórdão de 6 de outubro de 1982, Cilfit e o. (283/81, EU:C:1982:335, n.^o 18).

51 V., a título de exemplo, Acórdãos de 30 de maio de 2013, Genil 48 e Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, n.^o 38 e jurisprudência referida), e de 6 de setembro de 2012, Parlamento/Conselho (C‑490/10, EU:C:2012:525, n.^o 68).

52 V. igualmente, neste sentido, Kawecki, M., Barta, P, em P. Litwiński (ed.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, Varsóvia, 2018, Art. 10.^o, ponto 3.

53 «O tratamento de dados relativos a infrações, condenações penais ou medidas de segurança só poderá ser efetuado sob o controlo das autoridades públicas […]». Sublinhado meu.

54 «Os Estados‑Membros podem estabelecer que o tratamento de dados relativos a sanções administrativas ou decisões cíveis fique igualmente sujeito ao controlo das autoridades públicas». Sublinhado meu.

55 V., a título de exemplo, Acórdão de 1 de outubro de 2019, Planet49 (C‑673/17, EU:C:2019:801, n.^o 47 e jurisprudência referida).

56 V., a título de exemplo, Acórdão de 1 de outubro de 2019, Planet49 (C‑673/17, EU:C:2019:801, n.^o 47 e jurisprudência referida).

57 V. Acórdão de 17 de setembro de 2020, JZ (Pena de prisão em caso de proibição de entrada) (C‑806/18, EU:C:2020:724, n.^o 26 e jurisprudência referida).

58 V. igualmente, neste sentido, Georgieva, L., The EU General Data Protection Regulation (GDPR), op. cit., Art. 10, C.1., p. 388, e Schiff, A., Datenschutz‑Grundverordnung, Kommentar, op. cit., Art. 10, ponto 4.

59 Aliás, adotado no mesmo dia que o RGPD.

60 O direito a não ser julgado ou punido penalmente mais do que uma vez pelo mesmo delito.

61 V., igualmente, as instrutivas Conclusões da advogada‑geral J. Kokott no processo Bonda (C‑489/10, EU:C:2011:845, n.^os 32 e segs.).

62 V. Acórdãos do TEDH de 8 de junho de 1976, Engel e o. c. Países Baixos (CE:ECHR:1976:0608JUD000510071, §§ 80 a 82), e de 10 de fevereiro de 2009, Sergey Zolotukhin c. Rússia (CE:ECHR:2009:0210JUD001493903, §§ 52 e 53).

63 V. Acórdão de 5 de junho de 2012, Bonda (C‑489/10, EU:C:2012:319, n.^o 37).

64 Uma vez que se trata neste caso de pontos de penalização que, como já se viu, não são de natureza grave, esta conclusão não é posta em causa pelo Acórdão do Tribunal de Justiça de 14 de novembro, Baláž (C‑60/12, EU:C:2013:733), que tratava da questão mais ampla e genérica da «competência nomeadamente em matéria penal» relativamente a infrações rodoviárias em geral e não apenas no que respeita aos pontos de penalização no contexto da Decisão‑Quadro 2005/214/JAI do Conselho, de 24 de fevereiro de 2005, relativa à aplicação do princípio do reconhecimento mútuo às sanções pecuniárias (JO 2005, L 76, p. 16).

65 Que, como veremos adiante, não é de modo nenhum aplicável.

66 Neste contexto, seria legítimo questionar se os requisitos do artigo 94.^o, n.^o 1, alínea c), do Regulamento de Processo do Tribunal de Justiça estão preenchidos, pois, caso contrário, a questão seria inadmissível.

67 V. Acórdão de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.^o 57 e jurisprudência referida).

68 O artigo 5.^o do RGPD é formulado de modo normativo («são») e os diferentes princípios estão ligados por ponto e vírgula, o que implica um «e» e não um «ou».

69 O artigo 6.^o do RGPD menciona «pelo menos uma das […] situações».

70 V. Acórdão de 9 de março de 2017, Manni (C‑398/15, EU:C:2017:197, n.^o 35).

71 Artigo 2.^o, alíneas b) e d), da Diretiva 95/46.

72 Este princípio é aprofundado no capítulo IV, secção 2, do RGPD (artigos 32.^o a 34.^o).

73 V. igualmente, para o efeito, Pötters, St., em P. Gola (ed.), Datenschutz‑Grundverordnung VO (EU) 2016/679, Kommentar, C.H. Beck, Munique, 2.^a ed., 2018, Art. 5, ponto 29.

74 Nos termos do qual, para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento legítimo, previsto por lei, quer no RGPD quer noutro ato de direito da União ou de um Estado‑Membro referido nesse regulamento, incluindo a necessidade de serem cumpridas as obrigações legais a que o responsável pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligências pré‑contratuais que o titular dos dados solicitar.

75 V. igualmente, a esse respeito, Herbst, T., em J. Buchner, B. Kühling (eds.), Datenschutz‑Grundverordnung/BDSG, Kommentar, 2.^a ed., C.H. Beck, Munique, 2018, Art. 5 DS‑GVO, ponto 11, e Pötters, St., op. cit., Art. 5, ponto 6. Para uma compreensão mais ampla da licitude no sentido de que exige o respeito por todas as disposições do regulamento, v. Lubasz, D., em D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsóvia, 2020, ponto 186.

76 E mesmo que se considere necessário verificar os requisitos do artigo 6.^o do RGPD no âmbito do artigo 5.^o deste regulamento, considero que o tratamento seria igualmente lícito na aceção do artigo 6.^o, n.^o 1, alínea c), do RGPD, como um tratamento necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito, dado que a CSDD, ao comunicar os pontos de penalização ao público, cumpre a sua obrigação jurídica nos termos do direito nacional.

77 Quanto à referência feita pelo Governo austríaco a este respeito ao Acórdão do Bundesverfassungsgericht (Tribunal Constitucional Federal) de 27 de fevereiro de 2008 [1 BvR 370/07 e 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 e segs., p. 314, disponível em: http://www.bverfg.de/e/rs20080227_1bvr037007en.html], estou menos seguro da sua pertinência, uma vez que este acórdão diz respeito a um direito fundamental material ao passo que o artigo 5.^o, n.^o 1, alínea f), do RGPD é, como já se concluiu nos números anteriores das presentes conclusões, relativo a requisitos formais.

78 Esta disposição precisa, seguidamente, que o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica, ou para fins estatísticos não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.^o, n.^o 1, do RGPD.

79 V., para o efeito, Lubasz, D., em D. Lubasz (ed.), Ochrona danych osobowych, Wolters Kluwer, Varsóvia, 2020, ponto 202.

80 V., a título de exemplo, Despacho de 13 de janeiro de 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:8, n.^o 74 e jurisprudência referida).

81 Esta disposição foi aditada à Diretiva 2003/98 em 2013, v. artigo 1.^o, n.^o 1, alínea a), i), da Diretiva 2013/37/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, que altera a Diretiva 2003/98/CE relativa à reutilização de informações do setor público (JO 2013, L 175, pp. 1 a 8).

82 O artigo 1.^o, n.^o 4, da Diretiva 2003/98 remete, a este respeito, para a Diretiva 95/46.

83 Quanto à Diretiva (UE) 2019/1024 do Parlamento Europeu e do Conselho, de 20 de junho de 2019, relativa aos dados abertos e à reutilização de informações do setor público (JO 2019, L 172, p. 56), que, nos termos do seu artigo 19.^o, revoga a Diretiva 2003/98 com efeitos a partir de 17 de julho de 2021, v. artigo 1.^o, n.^o 2, alínea f), da Diretiva 2019/1024.

84 Trata‑se do chamado efeito ex tunc das decisões prejudiciais nos termos do artigo 267.^o TFUE.

85 V., a título de exemplo, Acórdãos de 29 de setembro de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, n.^o 44), e de 28 de outubro de 2020, Bundesrepublik Deutschland (Determinação das taxas das portagens pela utilização das autoestradas) (C‑321/19, EU:C:2020:866, n.^o 54).

86 V., a título de exemplo, Acórdãos de 29 de setembro de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, n.^o 45), e de 28 de outubro de 2020, Bundesrepublik Deutschland (Determinação das taxas das portagens pela utilização das autoestradas) (C‑321/19, EU:C:2020:866, n.^o 55).

87 V. Acórdãos de 8 de setembro de 2010, Winner Wetten (C‑409/06, EU:C:2010:503, n.^o 67); de 19 de novembro de 2009, Filipiak (C‑314/08, EU:C:2009:719, n.^o 84); e de 6 de março de 2007, Meilicke e o. (C‑292/04, EU:C:2007:132, n.^o 36 e jurisprudência referida).

88 V. Acórdãos de 17 de dezembro de 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, n.^o 3), e de 8 de setembro de 2010, Winner Wetten (C‑409/06, EU:C:2010:503, n.^o 61).

89 V., a título de exemplo, Acórdãos de 29 de setembro de 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, n.^o 45), e de 28 de outubro de 2020, Bundesrepublik Deutschland (Determinação das taxas das portagens pela utilização das autoestradas) (C‑321/19, EU:C:2020:866, n.^o 55).

90 V., igualmente, Lenaerts, K., Maselis, I., e Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014, ponto 6.34, p. 247.

91 V., a título de exemplo, Acórdão de 16 de setembro de 2020, Romenergo e Aris Capital (C‑339/19, EU:C:2020:709, n.^o 49 e jurisprudência referida).