CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2024:7

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Terceira Secção)

11 de janeiro de 2024 (*)

«Reenvio prejudicial — Aproximação das legislações — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados) — Regulamento (UE) 2016/679 — Artigo 4.o, ponto 7 — Conceito de “responsável pelo tratamento” — Jornal oficial de um Estado‑Membro — Obrigação de publicar, tal como são comunicados, atos das sociedades preparados por estas ou pelos seus representantes legais — Artigo 5.o, n.o 2 — Tratamento sucessivo, por várias pessoas ou entidades distintas, dos dados pessoais que figuram nesses atos — Determinação das responsabilidades»

No processo C‑231/22,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pela cour d’appel de Bruxelas (Tribunal de Recurso de Bruxelas, Bélgica), por Decisão de 23 de fevereiro de 2022, que deu entrada no Tribunal de Justiça em 1 de abril de 2022, no processo

État belge

contra

Autorité de protection des données,

sendo intervenientes:

LM,

O TRIBUNAL DE JUSTIÇA (Terceira Secção),

composto por: K. Jürimäe, presidente de secção, N. Piçarra, M. Safjan (relator), N. Jääskinen e M. Gavalec, juízes,

advogado‑geral: L. Medina,

secretário: C. Strömholm, administradora,

vistos os autos e após a audiência de 23 de março de 2023,

vistas as observações apresentadas:

– em representação da Autorité de protection des données, por F. Biebuyck, P.Van Muylder, avocates, e E. Kairis, advocaat,

– em representação do Governo Belga, por P. Cottin, J.‑C. Halleux e C. Pochet, na qualidade de agentes, assistidos por S. Kaisergruber e P. Schaffner, avocats,

– em representação do Governo Húngaro, por Zs. Biró‑Tóth e M. Z. Fehér, na qualidade de agentes,

– em representação da Comissão Europeia, por A. Bouchagiar, H. Kranenborg e A.‑C. Simon, na qualidade de agentes,

ouvidas as conclusões da advogada‑geral na audiência de 8 de junho de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 4.^o, n.^o 7, e do artigo 5.^o, n.^o 2, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe o État belge (Estado belga) à Autorité de protection des données (Autoridade de Proteção de Dados, Bélgica, a seguir «APD»), que é a autoridade de controlo instituída na Bélgica nos termos do artigo 51.^o do RGPD, a respeito de uma decisão pela qual esta autoridade ordenou à autoridade que gere o Moniteur belge, que é o jornal oficial que assegura, nesse Estado‑Membro, a produção e a difusão de um vasto leque de publicações oficiais e públicas em papel e por via eletrónica, a dar seguimento ao exercício, por uma pessoa singular, do seu direito ao apagamento relativo a vários dados pessoais que figuram num ato publicado neste jornal oficial.

Quadro jurídico

Direito da União

3 O artigo 4.^o, pontos 2 e 7, do RGPD dispõe:

«Para efeitos do presente regulamento, entende‑se por:

[…]

2) “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

7) “Responsável pelo tratamento”, a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado‑Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado‑Membro;

[…]»

4 O artigo 5.^o do RGPD estabelece:

«1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.^o, n.^o 1 (“limitação das finalidades”);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (“exatidão”);

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.^o, n.^o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados (“limitação da conservação”);

f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (“integridade e confidencialidade”);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

5 O artigo 17.^o do RGPD tem a seguinte redação:

«1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

a) Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

b) O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.^o, n.^o 1, alínea a), ou do artigo 9.^o, n.^o 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;

c) O titular opõe‑se ao tratamento nos termos do artigo 21.^o, n.^o 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe‑se ao tratamento nos termos do artigo 21.^o, n.^o 2;

[…]

3. Os n.^os 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:

[…]

b) Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado‑Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;

[…]

d) Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.^o, n.^o 1, na medida em que o direito referido no n.^o 1 seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; […]

[…]»

6 Nos termos do artigo 26.^o do RGPD:

«1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.^o e 14.^o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado‑Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2. O acordo a que se refere o n.^o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o n.^o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.»

7 O artigo 51.^o do RGPD dispõe, nomeadamente, que os Estados‑Membros devem prever uma ou mais autoridades públicas independentes responsáveis pela fiscalização da aplicação do presente regulamento.

Direito belga

8 O artigo 472.^o da loi‑programme du 24 décembre 2002 (Lei‑Quadro de 24 de dezembro de 2002) (Moniteur belge de 31 de dezembro de 2002, p. 58686) dispõe:

«O Moniteur belge é uma publicação oficial editada pela Direção do Moniteur belge, que reúne todos os textos para os quais é ordenada a publicação neste jornal oficial belga.»

9 O artigo 474.^o desta Lei‑Quadro indica:

«A publicação no Moniteur belge efetuada pela Direção do Moniteur belge é feita em quatro exemplares impressos em papel.

[…]

Uma cópia é armazenada eletronicamente. O Rei determina as modalidades do armazenamento eletrónico […]»

10 O artigo 475.^o da referida Lei‑Quadro tem a seguinte redação:

«Qualquer outra disponibilização ao público é feita através do sítio Internet da Direção do Moniteur belge.

As publicações disponibilizadas nesse sítio Internet são a reprodução exata, em formato eletrónico, dos exemplares em papel referidos no artigo 474.^o»

11 Nos termos do artigo 475.^o‑A da mesma Lei‑Quadro:

«Qualquer cidadão pode obter junto do Moniteur belge, através de uma linha telefónica de apoio gratuita, uma cópia a preço de custo dos atos e dos documentos publicados no Moniteur belge. Este serviço é igualmente responsável por prestar aos cidadãos um serviço de apoio à pesquisa de documentos.»

12 O artigo 475.^o‑B da Lei‑Quadro de 24 de dezembro de 2002 prevê:

«Por Decreto Real aprovado pelo Conselho de Ministros são adotadas outras medidas de acompanhamento para assegurar a difusão e o acesso mais amplos que possível às informações contidas no Moniteur belge.»

Litígio no processo principal e questões prejudiciais

13 Na Bélgica, uma pessoa singular detinha a maioria das participações de uma sociedade privada de responsabilidade limitada. Tendo os sócios desta sociedade decidido proceder a uma redução do capital desta, os estatutos da referida sociedade foram alterados por decisão da sua assembleia extraordinária de 23 de janeiro de 2019.

14 Em conformidade com o Código das Sociedades, na sua versão resultante da Lei de 7 de maio de 1999 (Moniteur belge de 6 de agosto de 1999, p. 29440), o notário dessa pessoa singular elaborou um excerto dessa decisão antes de o ter transmitido à secretaria do tribunal competente, a saber, o tribunal da empresa em cuja área de jurisdição essa sociedade tem a sua sede. Por força das disposições legais pertinentes, o tribunal comunicou esse excerto para publicação à Direção do Moniteur belge.

15 Em 12 de fevereiro de 2019, o referido excerto foi publicado tal qual, ou seja, sem controlo do respetivo conteúdo, nos anexos do Moniteur belge, em conformidade com as disposições legais aplicáveis.

16 O referido excerto contém a deliberação de redução do capital da empresa, o montante inicial do capital, o montante da redução em causa, o novo montante do capital social e a nova redação dos estatutos da mesma sociedade. Contém igualmente uma passagem na qual são indicados os nomes dos dois sócios desta última, entre os quais o da pessoa singular mencionada no n.^o 13 do presente acórdão, os montantes que lhes foram reembolsados e os respetivos números de conta bancária (a seguir «passagem em causa no processo principal»).

17 Tendo constatado que o seu notário tinha cometido um erro ao incluir no excerto mencionado no n.^o 14 do presente acórdão a passagem em causa no processo principal apesar de tal não ser exigido por lei, essa pessoa singular iniciou, por intermédio desse notário e do encarregado da proteção de dados deste último, diligências para obter a supressão dessa passagem, em conformidade com o seu direito ao apagamento previsto no artigo 17.^o do RGPD.

18 O service public fédéral Justice (Serviço Público Federal da Justiça, a seguir «SPF Justice»), sob cuja dependência se encontra a Direção do Moniteur belge, recusou, nomeadamente por Decisão de 10 de abril de 2019, dar seguimento a esse pedido de apagamento.

19 Em 21 de janeiro de 2020, a referida pessoa singular apresentou à APD uma queixa contra o SPF Justice e pediu que fosse declarado que este pedido de apagamento era fundado e que estavam reunidas as condições para o exercício do direito ao apagamento previstas no artigo 17.^o, n.^o 1, do RGPD.

20 Por Decisão de 23 de março de 2021, a APD dirigiu uma «repreensão» ao SPF Justice e instou‑o a dar seguimento ao referido pedido de apagamento o mais rapidamente possível, o mais tardar no prazo de 30 dias a contar da notificação dessa decisão.

21 Em 22 de abril de 2021, o État belge interpôs recurso na cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas, Bélgica), que é o órgão jurisdicional de reenvio, com vista a obter a anulação da referida decisão.

22 Este órgão jurisdicional salienta que as partes discordam quanto à questão de saber de que forma deve ser interpretado, no processo principal, o conceito de «responsável pelo tratamento» que figura no artigo 4.^o, ponto 7, do RGPD, uma vez que os dados pessoais que figuram na passagem em causa no processo principal, cuja publicação não era exigida por lei, foram objeto de tratamento por vários potenciais responsáveis de tratamento «sucessivos». Estes são, em primeiro lugar, o notário que redigiu o excerto que contém a passagem em causa no processo principal, nele inserindo por erro esses dados, em segundo lugar, a secretaria do tribunal onde esse excerto foi posteriormente depositado antes de ser transmitido ao Moniteur belge para publicação e, em terceiro lugar, o Moniteur belge que, em conformidade com as disposições legais que regulam o seu estatuto e as suas missões, o publicou como tal, ou seja, sem poder de fiscalização e de alteração, após receção por parte desse tribunal.

23 Neste contexto, o órgão jurisdicional de reenvio interroga‑se sobre se o Moniteur belge pode ser qualificado de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD. Em caso de resposta afirmativa e salientando que as partes no processo principal não invocam a responsabilidade conjunta prevista no artigo 26.^o do RGPD, este órgão jurisdicional pretende igualmente saber se se deve considerar que o Moniteur belge é o único responsável, por força do artigo 5.^o, n.^o 2, deste regulamento, pelo respeito dos princípios enunciados no artigo 5.^o, n.^o 1, do referido regulamento, ou se essa responsabilidade incumbe também cumulativamente às instâncias públicas que trataram a montante os dados que figuram na passagem em causa no processo principal, a saber, o notário que redigiu o excerto que inclui essa passagem e o tribunal da empresa em cuja circunscrição territorial a sociedade privada de responsabilidade limitada em causa tem a sua sede social.

24 Nestas circunstâncias, a cour d’appel de Bruxelles (Tribunal de Recurso de Bruxelas) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 4.^o, ponto 7), do [RGPD] ser interpretado no sentido de que um jornal oficial de um Estado‑Membro — investido da missão de serviço público de publicar e de arquivar documentos oficiais, que, por força da legislação nacional aplicável, é encarregado da publicação de atos e documentos oficiais ordenada por entidades públicas terceiras, tais como são comunicados por estas entidades depois de as próprias terem tratado os dados pessoais contidos nesses atos e documentos, sem ser investido pelo legislador nacional de um poder de apreciação quanto ao conteúdo dos documentos a publicar e quanto à finalidade e aos meios da publicação — tem a qualidade de responsável pelo tratamento?

2) Em caso de resposta afirmativa à primeira questão, deve o artigo 5.^o, ponto 2), do [RGPD] ser interpretado no sentido de que só o jornal oficial em causa deve cumprir as obrigações que impendem sobre o responsável pelo tratamento nos termos desta disposição, com exclusão das entidades públicas terceiras que trataram previamente os dados contidos nos atos e documentos oficiais cuja publicação é pedida, ou essas obrigações recaem cumulativamente sobre cada um dos sucessivos responsáveis pelo tratamento?»

Quanto às questões prejudiciais

Quanto à primeira questão

25 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 4.^o, ponto 7, do RGPD deve ser interpretado no sentido de que a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, que está nomeadamente obrigado, por força da legislação desse Estado, a publicar tal como lhe são comunicados atos e documentos oficiais que são preparados por terceiros sob a respetiva e própria responsabilidade no respeito das regras aplicáveis, que são posteriormente apresentados a uma autoridade judiciária que os envia para publicação, pode ser qualificado de «responsável pelo tratamento» dos dados pessoais que figuram nesses atos e documentos, na aceção desta disposição.

26 A título preliminar, há que precisar que o conceito de «responsável pelo tratamento», previsto no artigo 4.^o, ponto 7, do RGPD, pressupõe a existência de um «tratamento» de dados pessoais, na aceção do artigo 4.^o, ponto 2, deste regulamento. No caso em apreço, resulta da decisão de reenvio que os dados pessoais que figuram na passagem em causa no processo principal foram objeto de tratamento pelo Moniteur belge. Embora o órgão jurisdicional de reenvio não exponha detalhadamente esse tratamento, resulta das observações escritas concordantes da APD e do Governo Belga que esses dados foram pelo menos recolhidos, registados, conservados, comunicados por transmissão e difundidos pelo Moniteur belge, constituindo tais operações um «tratamento», na aceção do artigo 4.^o, ponto 2, do referido regulamento.

27 Ao abrigo desta precisão preliminar, importa recordar que, nos termos do artigo 4.^o, ponto 7, do RGPD, o conceito de «responsável pelo tratamento» abrange as pessoas singulares ou coletivas, as autoridades públicas, as agências ou outros organismos que, isoladamente ou em conjunto com outrem, determinam as finalidades e os meios de tratamento. Esta disposição enuncia igualmente que, sempre que as finalidades e os meios desse tratamento sejam determinados, nomeadamente pelo direito de um Estado‑Membro, o responsável pelo tratamento possa ser designado ou os critérios específicos aplicáveis à sua designação podem ser previstos por esse direito.

28 A este respeito, importa recordar que, segundo a jurisprudência do Tribunal de Justiça, esta disposição visa assegurar, através de uma definição ampla do conceito de «responsável pelo tratamento», uma proteção eficaz e completa das pessoas em causa (v., neste sentido, Acórdãos de 5 de dezembro de 2023, Nacionalinis visuomenės sveikatkos centras, C‑683/21, EU:C:2023:949, n.^o 29, e de 5 de dezembro de 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, n.^o 40 e jurisprudência referida).

29 Tendo em conta a redação do artigo 4.^o, ponto 7, do RGPD, lido à luz deste objetivo, afigura‑se que, para determinar se uma pessoa ou uma entidade deve ser qualificada de «responsável pelo tratamento», na aceção desta disposição, há que averiguar se essa pessoa ou essa entidade determina, individualmente ou em conjunto com outras, as finalidades e os meios do tratamento ou se estes são determinados pelo direito nacional. Quando tal determinação é efetuada pelo direito nacional, importa então verificar se esse direito designa o responsável pelo tratamento ou prevê os critérios específicos aplicáveis à sua designação.

30 A este respeito, importa precisar que, tendo em conta a definição ampla do conceito de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD, a determinação das finalidades e dos meios do tratamento e, se for caso disso, a designação desse responsável pelo direito nacional podem ser não só explícitas mas também implícitas. Neste último caso, exige‑se, no entanto, que esta determinação decorra de maneira suficientemente certa do papel, da missão e das atribuições conferidas à pessoa ou à entidade em causa. Com efeito, seria diminuir a proteção dessas pessoas se o artigo 4.^o, ponto 7, do RGPD fosse interpretado de forma restritiva para abranger apenas os casos em que as finalidades e os meios de um tratamento de dados efetuado por uma pessoa, uma autoridade pública, uma agência ou um organismo são expressamente determinados pelo direito nacional, mesmo quando essas finalidades e esses meios resultem, em substância, das disposições legais que regulam a atividade da entidade em causa.

31 No caso em apreço, primeiro, o órgão jurisdicional de reenvio especifica que, no processo principal, o Moniteur belge não parece estar investido pelo direito nacional de poder para determinar as finalidades e os meios de tratamento de dados que efetua, partindo a primeira questão prejudicial submetida desta premissa. Por outro lado, resulta das explicações concordantes da APD e do Governo Belga apresentadas na audiência que a autoridade pública que gere o Moniteur belge, a saber, o SPF Justice, também não parece estar investida desse poder pelo direito nacional.

32 Segundo, resulta dos elementos dos autos de que dispõe o Tribunal de Justiça que os dados pessoais que figuram nos atos e documentos transmitidos ao Moniteur belge para publicação são essencialmente recolhidos, registados, conservados e publicados enquanto tais para informar oficialmente o público da existência desses atos e documentos e torná‑los oponíveis a terceiros.

33 Além disso, resulta das explicações prestadas pelo órgão jurisdicional de reenvio que o tratamento é efetuado essencialmente com o auxílio de meios automatizados: nomeadamente, os dados em causa são reproduzidos em exemplares impressos em papel, um dos quais é conservado eletronicamente, os exemplares em papel são reproduzidos em formato eletrónico para o sítio Internet do Moniteur belge e pode ser obtida uma cópia por intermédio de um serviço telefónico encarregado, além disso, de fornecer aos cidadãos um serviço de apoio à pesquisa de documentos.

34 Decorre, assim, dos elementos dos autos de que o Tribunal de Justiça dispõe que o direito belga determinou, pelo menos implicitamente, as finalidades e os meios do tratamento dos dados pessoais efetuado pelo Moniteur belge.

35 Nestas circunstâncias, há que salientar que se pode considerar que o Moniteur belge, enquanto agência ou organismo encarregado de tratar os dados pessoais que figuram nas suas publicações em conformidade com as finalidades e os meios de tratamento prescritos pela legislação belga, é o «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD.

36 Esta conclusão não é posta em causa pela circunstância de o Moniteur belge, enquanto subdivisão do SPF Justice, não ser dotado de personalidade jurídica. Com efeito, resulta da redação clara desta disposição que um responsável pelo tratamento pode ser não só uma pessoa singular ou coletiva mas também uma autoridade pública, uma agência ou um organismo, não sendo essas entidades necessariamente dotadas de personalidade jurídica em função do direito nacional.

37 Do mesmo modo, o facto de, por força do direito nacional, o Moniteur belge não controlar, antes da sua publicação neste jornal oficial, os dados pessoais que figuram nos atos e documentos recebidos pelo referido jornal não pode ter incidência na questão de saber se o Moniteur belge pode ser qualificado de responsável pelo tratamento.

38 Com efeito, embora seja certo que o Moniteur belge deve publicar o documento em causa conforme este lhe é comunicado, só o Moniteur belge assume esta tarefa e, em seguida, difunde o ato ou o documento em causa. Por um lado, a publicação destes atos e documentos sem possibilidade de controlo ou de alteração do seu conteúdo está intrinsecamente ligada às finalidades e aos meios de tratamento determinados pelo direito nacional, uma vez que a função de um jornal oficial como o Moniteur belge se limita a informar o público da existência desses atos e documentos, conforme são transmitidos a esse jornal oficial sob a forma de cópia em conformidade com o direito nacional aplicável, para torná‑los oponíveis a terceiros. Por outro lado, seria contrário ao objetivo do artigo 4.^o, ponto 7, do RGPD, referido no n.^o 28 do presente acórdão, excluir do conceito de «responsável pelo tratamento» o jornal oficial de um Estado‑Membro pelo facto de este último não exercer controlo sobre os dados pessoais que figuram nas suas publicações (v., por analogia, Acórdão de 13 de maio de 2014, Google Spain e Google, C‑131/12, EU:C:2014:317, n.^o 34).

39 Tendo em conta os fundamentos anteriores, há que responder à primeira questão que o artigo 4.^o, ponto 7, do RGPD deve ser interpretado no sentido de que a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, que está nomeadamente obrigado, por força da legislação desse Estado, a publicar tal como lhe são comunicados atos e documentos oficiais que são preparados por terceiros sob a respetiva e própria responsabilidade no respeito das regras aplicáveis, que são posteriormente apresentados a uma autoridade judiciária que os envia para publicação, pode, não obstante não ser dotado de personalidade jurídica, ser qualificado de «responsável pelo tratamento» dos dados pessoais que figuram nesses atos e documentos, quando o direito nacional em causa determine as finalidades e os meios do tratamento dos dados pessoais efetuado por esse jornal oficial.

Quanto à segunda questão

40 Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 5.^o, n.^o 2, do RGPD deve ser interpretado no sentido de que a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, qualificado de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, do RGPD, deve ser considerado o único responsável pelo respeito dos princípios previstos no artigo 5.^o, n.^o 1, do RGPD ou se esse respeito incumbe cumulativamente a essa agência ou a esse organismo e às entidades públicas terceiras que trataram previamente os dados pessoais que figuram nos atos e documentos publicados por esse jornal oficial.

41 Antes de mais, há que recordar que, por força do artigo 5.^o, n.^o 2, do RGPD, o responsável pelo tratamento é responsável pelo respeito dos princípios previstos sob a forma de obrigações no n.^o 1 deste artigo e deve poder demonstrar que esses princípios são respeitados.

42 No caso em apreço, resulta dos autos de que dispõe o Tribunal de Justiça que o tratamento dos dados pessoais em causa no processo principal que foi confiado ao Moniteur belge é simultaneamente posterior ao tratamento efetuado pelo notário e pela secretaria do tribunal competente e é tecnicamente diferente do tratamento efetuado por essas duas entidades uma vez que se lhe vem juntar. Com efeito, as operações efetuadas pelo Moniteur belge são‑lhe confiadas pela legislação nacional e implicam, designadamente, a transformação digital dos dados que figuram nos atos ou excertos de atos que lhe são submetidos, a sua publicação, a sua disponibilização a um grande público e a sua conservação.

43 Por conseguinte, deve considerar‑se que o Moniteur belge é, por força do artigo 5.^o, n.^o 2, do RGPD, responsável pelo respeito dos princípios referidos no n.^o 1 deste artigo, no que respeita aos tratamentos que é obrigado a efetuar por força do direito nacional e, por conseguinte, do conjunto das obrigações impostas ao responsável pelo tratamento pelo RGPD.

44 Em seguida, tendo em conta as interrogações do órgão jurisdicional de reenvio quanto à questão de saber se esse jornal oficial é o único responsável por esses tratamentos, importa recordar que, como resulta da redação do artigo 4.^o, ponto 7, do RGPD, esta disposição prevê não apenas que as finalidades e os meios de um tratamento de dados pessoais podem ser determinados conjuntamente por várias pessoas enquanto responsáveis pelo tratamento, mas também que o direito nacional pode ele próprio determinar essas finalidades e esses meios e designar o responsável pelo tratamento ou os critérios específicos aplicáveis à sua designação.

45 Assim, no âmbito de uma cadeia de tratamentos efetuados por diferentes pessoas ou entidades e que tenham por objeto os mesmos dados pessoais, o direito nacional pode determinar as finalidades e os meios de todos os tratamentos efetuados sucessivamente por essas diferentes pessoas ou entidades, para que estas sejam conjuntamente consideradas responsáveis pelo tratamento.

46 Por outro lado, há que recordar que o artigo 26.^o, n.^o 1, do RGPD prevê uma responsabilidade conjunta quando dois ou mais responsáveis pelo tratamento determinam conjuntamente as finalidades e os meios de um tratamento de dados pessoais. Esta disposição enuncia igualmente que os responsáveis conjuntos pelo tratamento devem definir de forma transparente, mediante acordo entre si, as respetivas obrigações, a fim de assegurar o cumprimento dos requisitos deste regulamento, exceto se e na parte em que as respetivas obrigações estejam definidas no direito da União ou no direito do Estado‑Membro a que estão sujeitos.

47 Resulta assim da referida disposição que as obrigações respetivas dos responsáveis conjuntos de um tratamento de dados pessoais não dependem necessariamente da existência de um acordo entre os diferentes responsáveis (v., neste sentido, Acórdão de 5 de dezembro de 2023, nacionalics visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.^os 44 e 45), mas podem decorrer do direito nacional.

48 Além disso, o Tribunal de Justiça declarou, por um lado, que basta que uma pessoa influencie, para fins que lhe são próprios, o tratamento de dados pessoais, participando assim na determinação das finalidades e dos meios desse tratamento para poder ser conjuntamente considerada responsável pelo tratamento e, por outro, que a responsabilidade conjunta de vários intervenientes pelo mesmo tratamento não pressupõe que cada um deles tenha acesso aos dados pessoais em causa (v., neste sentido, Acórdão de 5 de dezembro de 2023, nacionalics visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, n.^os 40 a 43 e jurisprudência referida).

49 Resulta dos n.^os 44 a 48 do presente acórdão que, por força das disposições conjugadas do artigo 26.^o, n.^o 1, e do artigo 4.^o, ponto 7, do RGPD, a responsabilidade conjunta de vários intervenientes numa cadeia de tratamento dos mesmos dados pessoais pode ser estabelecida pelo direito nacional, desde que as diferentes operações de tratamento estejam unidas por finalidades e meios determinados por esse direito e que este defina as obrigações respetivas de cada um dos responsáveis conjuntos pelo tratamento.

50 Importa especificar que tal determinação das finalidades e dos meios que unem os diferentes tratamentos efetuados por vários atores de uma cadeia, bem como das respetivas obrigações, pode ser efetuada não só de forma direta mas também de forma indireta pelo direito nacional, desde que, neste último caso, se possa deduzir de forma suficientemente explícita das disposições legais que regem as pessoas ou entidades em causa, bem como o tratamento dos dados pessoais que operam no âmbito da cadeia de tratamentos imposta por esse direito.

51 Por último, e para todos os efeitos úteis, há que referir que, no caso de o órgão jurisdicional de reenvio chegar à conclusão de que a agência ou o organismo encarregado do Moniteur belge não é o único responsável, sendo conjuntamente responsável com outros pelo respeito dos princípios referidos no artigo 5.^o, n.^o 1, do RGPD no que respeita aos dados que figuram na passagem em causa no processo principal, tal conclusão em nada prejudica a questão de saber se, à luz, nomeadamente, das exceções previstas no artigo 17.^o, n.^o 3, alíneas b) e d), do RGPD, há que deferir o pedido de apagamento apresentado pela pessoa singular mencionada no n.^o 13 do presente acórdão.

52 Tendo em conta os motivos precedentes, há que responder à segunda questão que o artigo 5.^o, n.^o 2, do RGPD, lido em conjugação com o artigo 4.^o, ponto 7, e com o artigo 26.^o, n.^o1, do mesmo, deve ser interpretado no sentido de que a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, qualificado de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, deste regulamento, é o único responsável pelo respeito dos princípios previstos no artigo 5.^o, n.^o 1, deste no que respeita às operações de tratamento de dados pessoais que é obrigado a efetuar por força do direito nacional, a menos que desse direito decorra uma responsabilidade conjunta com outras entidades relativamente a essas operações.

Quanto às despesas

53 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Terceira Secção) declara:

1) O artigo 4.^o, ponto 7, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que

a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, que está nomeadamente obrigado, por força da legislação desse Estado, a publicar tal como lhe são comunicados atos e documentos oficiais que são preparados por terceiros sob a respetiva e própria responsabilidade no respeito das regras aplicáveis, que são posteriormente apresentados a uma autoridade judiciária que os envia para publicação, pode, não obstante não ser dotado de personalidade jurídica, ser qualificado de «responsável pelo tratamento» dos dados pessoais que figuram nesses atos e documentos, quando o direito nacional em causa determine as finalidades e os meios do tratamento dos dados pessoais efetuado por esse jornal oficial.

2) O artigo 5.^o, n.^o 2, do Regulamento 2016/679, lido em conjugação com o artigo 4.^o, ponto 7, e com o artigo 26.^o, n.^o 1, do mesmo,

deve ser interpretado no sentido de que:

a agência ou o organismo encarregado do jornal oficial de um Estado‑Membro, qualificado de «responsável pelo tratamento», na aceção do artigo 4.^o, ponto 7, deste regulamento, é o único responsável pelo respeito dos princípios previstos no artigo 5.^o, n.^o 1, deste, no que respeita às operações de tratamento de dados pessoais que é obrigado a efetuar por força do direito nacional, a menos que desse direito decorra uma responsabilidade conjunta com outras entidades relativamente a essas operações.

Assinaturas

* Língua do processo: francês.