Processo C‑439/19
B
(pedido de decisão prejudicial apresentado pela Latvijas Republikas Satversmes tiesa)
Acórdão do Tribunal de Justiça (Grande Secção) de 22 de junho de 2021
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigos 5.°, 6.° e 10.° — Legislação nacional que prevê o acesso do público aos dados pessoais relativos aos pontos de penalização por infrações rodoviárias — Licitude — Conceito de “dados pessoais relativos a condenações penais e infrações” — Divulgação com o objetivo de melhorar a segurança rodoviária — Direito de acesso do público aos documentos oficiais — Liberdade de informação — Conciliação com os direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais — Reutilização dos dados — Artigo 267.° TFUE — Efeitos no tempo de uma decisão prejudicial — Possibilidade de o tribunal constitucional de um Estado‑Membro manter os efeitos jurídicos de uma legislação nacional incompatível com o direito da União — Princípios do primado do direito da União e da segurança jurídica» — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigos 5.°, 6.° e 10.° — Legislação nacional que prevê o acesso do público aos dados pessoais relativos aos pontos de penalidade impostos por infrações rodoviárias — Licitude — Tratamento de dados pessoais relacionados com condenações penais e infrações — Divulgação com vista a melhorar a segurança rodoviária — Tratamento e acesso do público aos documentos oficiais — Troca de informações — Quanto aos direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais — Utilização dos dados — Artigo 267.° TFUE — Efeitos no tempo de uma decisão prejudicial — Possibilidade de um órgão jurisdicional constitucional de um Estado‑Membro manter os efeitos jurídicos de uma legislação nacional não compatível com o direito da União — Princípios do primado do direito da União e da segurança jurídica»
1. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Âmbito de aplicação — Derrogações — Tratamento de dados no contexto de uma atividade que se encontra fora do âmbito de aplicação do direito da União — Atividade que tem por finalidade preservar a segurança nacional ou que pode ser classificada nessa categoria — Conceito — Atividade que tem por finalidade melhorar a segurança rodoviária — Exclusão
[Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 16 e artigo 2.°, n.° 2, alínea a)]
(cf. n.os 61‑68)
2. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Âmbito de aplicação — Derrogações — Tratamento de dados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais — Conceito de autoridade competente — Necessidade de um nexo com a proteção dos dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial — Autoridade pública nacional que comunica ao público dados pessoais relativos aos pontos de penalização por infrações rodoviárias — Exclusão
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 19 e artigo 2.°, n.° 2, alínea d); Diretiva 2016/680 do Parlamento Europeu e do Conselho, considerandos 10 e 11 e artigo 3.°, n.° 7)
(cf. n.os 69‑72)
3. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Tratamento de dados pessoais relativos a condenações penais e infrações — Conceito de dados relativos a infrações — Dados relativos a pontos de penalização — Inclusão — Conceito de infração — Caráter penal — Critérios de apreciação — Infrações rodoviárias que dão lugar à aplicação de pontos de penalização — Inclusão
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 10.°; Diretiva 2016/680 do Parlamento Europeu e do Conselho, considerando 13)
(cf. n.os 77‑93, disp. 1)
4. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Requisitos de licitude do tratamento de dados pessoais — Tratamento necessário para o exercício de funções de interesse público ou o exercício da autoridade pública — Legislação nacional que torna obrigatório o acesso do público aos dados pessoais relativos aos pontos de penalização e que autoriza a comunicação desses dados a operadores económicos para efeitos de reutilização — Objetivo de interesse geral de melhoria da segurança rodoviária — Desnecessidade desse tratamento de dados pessoais — Inadmissibilidade — Direitos de acesso do público aos documentos oficiais e à liberdade de informação — Falta de incidência — Primado dos direitos fundamentais ao respeito pela vida privada e à proteção dos dados pessoais
(Regulamento n.° 2016/679 do Parlamento Europeu e do Conselho, considerandos 39 e 154 e artigos 5.°, n.° 1, 6.°, n.° 1, alínea e), 10.°, 85.° e 86.°)
(cf. n.os 99, 106, 108‑113, 120‑122, 126, 129, disp 2 e 3)
5. Questões prejudiciais — Interpretação — Efeitos no tempo dos acórdãos interpretativos — Efeito retroativo — Limitação pelo Tribunal de Justiça — Princípios do primado do direito da União e da segurança jurídica — Possibilidade de o tribunal constitucional de um Estado‑Membro manter os efeitos jurídicos de uma legislação nacional considerada incompatível com o direito da União até à data da prolação do acórdão pelo qual decide definitivamente esse recurso constitucional — Inexistência
(Artigo 267.° TFUE)
(cf. n.os 132‑137, disp. 4)
Resumo
O direito da União sobre a proteção de dados opõe‑se à legislação letã que obriga a Autoridade de Segurança Rodoviária a tornar acessíveis ao público os dados relativos aos pontos de penalização aplicados aos condutores por infrações rodoviárias
Não está demonstrada a necessidade deste regime para garantir o objetivo pretendido, ou seja, a melhoria da segurança rodoviária
B é uma pessoa singular a quem foram aplicados pontos de penalização pela prática de uma ou várias infrações rodoviárias. Esses pontos de penalização foram registados pela Ceļu satiksmes drošības direkcija (Direção da Segurança Rodoviária, Letónia) (a seguir «CSDD») no registo nacional de veículos e condutores.
Por força da legislação letã sobre a circulação rodoviária (1), as informações relativas aos pontos de penalização aplicados aos condutores de veículos inscritos nesse registo são acessíveis ao público e são comunicadas pela CSDD a qualquer pessoa que o solicite, sem que esta tenha de demonstrar um interesse específico em obter essas informações, incluindo a operadores económicos para efeitos de reutilização. Interrogando‑se sobre a legalidade desta legislação, B interpôs um recurso constitucional na Latvijas Republikas Satversmes tiesa (Tribunal Constitucional, Letónia), para que este examine a conformidade dessa regulamentação com o direito ao respeito pela vida privada.
O Tribunal Constitucional considerou que, no âmbito da sua apreciação deste direito constitucional, deve ter em conta o Regulamento Geral de Proteção de Dados (a seguir «RGPD») (2). Nesta medida, pediu ao Tribunal de Justiça uma clarificação sobre o alcance de várias disposições do RGPD com o objetivo de determinar a compatibilidade da legislação letã sobre a circulação rodoviária com esse regulamento.
No seu acórdão, proferido em Grande Secção, o Tribunal de Justiça declara que o RGPD se opõe à legislação letã. Conclui que não está demonstrada a necessidade, nomeadamente à luz do objetivo da melhoria da segurança rodoviária invocado pelo Governo letão, de uma comunicação de dados pessoais relativos aos pontos de penalização aplicados por infrações rodoviárias. Além disso, segundo o Tribunal de Justiça, nem o direito do público de aceder aos documentos oficiais nem o direito à liberdade de informação justificam essa legislação.
Apreciação do Tribunal de Justiça
Em primeiro lugar, o Tribunal de Justiça declara que o tratamento de dados pessoais relativos aos pontos de penalização constitui um «tratamento de dados pessoais relativos a condenações penais e a infrações» (3), para o qual o RGPD prevê uma proteção acrescida devido à particular sensibilidade dos dados em causa.
Neste contexto, observa, a título preliminar, que as informações relativas aos pontos de penalização configuram dados pessoais e que a sua comunicação pela CSDD a terceiros constitui um tratamento abrangido pelo âmbito de aplicação material do RGPD. Com efeito, este âmbito de aplicação é muito amplo, e este tratamento não é abrangido pelas exceções à aplicabilidade deste regulamento.
Assim, por um lado, este tratamento não está abrangido pela exceção relativa à não aplicação do RGPD a um tratamento efetuado no exercício de uma atividade não sujeita à aplicação do direito da União (4). Deve considerar‑se que esta exceção tem por único objetivo excluir do âmbito de aplicação deste regulamento os tratamentos de dados pessoais efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou de uma atividade que pode ser classificada na mesma categoria. Estas atividades abrangem, em especial, as que tem por objeto proteger as funções essenciais do Estado e os interesses fundamentais da sociedade. Ora, as atividades relacionadas com a segurança rodoviária não prosseguem esse objetivo e não podem, por conseguinte, ser classificadas na categoria das atividades que têm por finalidade a preservação da segurança nacional.
Por outro lado, a comunicação de dados pessoais relativos aos pontos de penalização também não constitui um tratamento abrangido pela exceção que prevê a não aplicação do RGPD aos tratamentos de dados pessoais efetuados pelas autoridades competentes em matéria penal (5). Com efeito, o Tribunal de Justiça declara que, quando efetua essa comunicação, a CSDD não pode ser considerada essa «autoridade competente» (6).
Para determinar se o acesso aos dados pessoais relativos às infrações rodoviárias, como os pontos de penalização, constitui um tratamento de dados pessoais relativos a «infrações» (7), que beneficiam de proteção acrescida, O Tribunal de Justiça declara, baseando‑se nomeadamente na génese do RGPD, que este conceito remete exclusivamente para as infrações penais. Todavia, o facto de, no sistema jurídico letão, as infrações rodoviárias serem consideradas infrações administrativas não é determinante para apreciar se essas infrações estão abrangidas pelo conceito de «infração penal», na medida em que se trata de um conceito autónomo do direito da União que exige, em toda a União, uma interpretação autónoma e uniforme. Assim, após ter recordado os três critérios pertinentes para apreciar o caráter penal de uma infração, a saber, a qualificação jurídica da infração no direito interno, a natureza da infração e o grau de severidade da sanção em que incorre, o Tribunal de Justiça considera que as infrações rodoviárias em causa estão abrangidas pelo conceito de «infração» na aceção do RGPD. Quanto aos dois primeiros critérios, o Tribunal de Justiça declara que, mesmo que as infrações não sejam qualificadas como «penais» no direito nacional, tal caráter pode resultar da natureza da infração, nomeadamente da finalidade repressiva prosseguida pela sanção que a infração é suscetível de desencadear. Ora, no caso em apreço, a atribuição de pontos de penalidade por infrações rodoviárias, tal como as outras sanções que a sua prática pode implicar, prosseguem, entre outros, uma finalidade repressiva desse tipo. Quanto ao terceiro critério, o Tribunal observa que só infrações rodoviárias de uma certa gravidade implicam a atribuição de pontos de penalização e que, portanto, essas infrações são suscetíveis de dar lugar a sanções de uma certa gravidade. Além disso, a aplicação desses pontos acresce geralmente à sanção aplicada, e a cumulação destes pontos tem consequências jurídicas que podem mesmo ir até à proibição de conduzir.
Em segundo lugar, o Tribunal de Justiça declara que o RGPD se opõe à legislação letã que obriga a CSDD a tornar acessíveis ao público os dados relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias, sem que a pessoa que pede o acesso tenha de demonstrar um interesse específico em obtê‑los.
Neste contexto, o Tribunal de Justiça sublinha que a melhoria da segurança rodoviária, pretendida pela legislação letã, constitui um objetivo de interesse geral reconhecido pela União e que, por conseguinte, os Estados‑Membros podem qualificar a segurança rodoviária como um «exercício de funções de interesse público» (8). No entanto, não está demonstrada a necessidade do regime letão de comunicação dos dados pessoais relativos aos pontos de penalização para assegurar o objetivo visado. Com efeito, por um lado, o legislador letão dispõe de uma multiplicidade de vias de atuação que lhe teriam permitido atingir esse objetivo por outros meios menos atentatórios dos direitos fundamentais dos titulares dos dados. Por outro lado, importa ter em conta o caráter sensível dos dados relativos aos pontos de penalização e o facto de a sua comunicação ao público ser suscetível de constituir uma ingerência grave nos direitos ao respeito pela vida privada e à proteção dos dados pessoais, uma vez que pode suscitar a desaprovação social e a estigmatização da pessoa em causa.
Além disso, o Tribunal de Justiça considera que, tendo em conta o caráter sensível destes dados e a gravidade dessa ingerência nestes dois direitos fundamentais, estes direitos prevalecem tanto sobre o interesse do público em aceder a documentos oficiais, como o registo nacional de veículos e condutores, como sobre o direito à liberdade de informação.
Em terceiro lugar, por razões idênticas, o Tribunal de Justiça declara que o RGPD se opõe igualmente à legislação letã na medida em que autoriza a CSDD a comunicar os dados relativos aos pontos de penalização aplicados aos condutores de veículos por infrações rodoviárias a operadores económicos para que estes últimos os possam reutilizar e comunicar ao público.
Em quarto e último lugar, o Tribunal de Justiça declara com precisão que o princípio do primado do direito da União se opõe a que o órgão jurisdicional de reenvio, chamado a pronunciar‑se num recurso da legislação letã, qualificada pelo Tribunal de Justiça como incompatível com o direito da União, decida manter os efeitos jurídicos dessa legislação até à data da prolação do acórdão pelo qual decide definitivamente esse recurso constitucional.