Pedido de decisão prejudicial apresentado pelo Bundesverwaltungsgericht (Alemanha) em 14 de abril de 2016 – Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein / Wirtschaftsakademie Schleswig-Holstein GmbH

(Processo C-210/16)

Língua do processo: alemão

Órgão jurisdicional de reenvio

Bundesverwaltungsgericht

Partes no processo principal

Recorrido e recorrente: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Recorrente e recorrida: Wirtschaftsakademie Schleswig-Holstein GmbH

Interveniente: Facebook Ireland Limited

Participante: Vertreter des Bundesinteresses beim Bundesverwaltungsgericht

Questões prejudiciais

Deve o artigo 2.°, alínea d) da Diretiva 95/46/CE¹ ser interpretado no sentido de que regula de modo taxativo e exaustivo a responsabilidade pela violação da proteção de dados, ou, no âmbito das «medidas adequadas» a que se refere o artigo 24.° da Diretiva 95/46/CE e dos «poderes efetivos de intervenção» referidos no artigo 28.°, n.° 3, segundo travessão, da mesma diretiva, nas relações de prestação de informações em diversas etapas, pode ser imputada a responsabilidade a um organismo que não é responsável pelo tratamento dos dados, na aceção do artigo 2.°, alínea d), da Diretiva 95/46/CE, pela escolha do operador que assegurará a sua oferta de informação?

Resulta «a contrario sensu» da obrigação que incumbe aos Estados-Membros por força do artigo 17.°, n.° 2, da Diretiva 95/46/CE, de, em caso de tratamento por sua conta, estabelecerem que o responsável pelo tratamento «deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efetuar», que, no caso de outras relações contratuais de utilização, não relacionadas com o tratamento de dados subcontratado, na aceção do artigo 2.°, alínea e) da Diretiva 95/46/CE, não há nem pode ser fundada no direito nacional qualquer obrigação de escolha diligente?

Nos casos em que uma sociedade-mãe de um grupo, sediada fora da União Europeia, detém estabelecimentos juridicamente independentes (filiais) em diversos Estados-Membros, a autoridade de controlo de um Estado-Membro (neste caso, a Alemanha), nos termos do artigo 4.° e do artigo 28.°, n.° 6, da Diretiva 95/46/CE, também pode exercer os poderes que lhe são atribuídos pelo artigo 28.°, n.° 3, da Diretiva 95/46/CE em relação ao estabelecimento situado no seu próprio território, quando este estabelecimento só é responsável pela promoção das vendas de publicidade e outras medidas de marketing orientadas para os residentes neste Estado-Membro, ao passo que o estabelecimento independente (filial) situado noutro Estado-Membro (neste caso, a Irlanda), de acordo com a distribuição interna das funções do grupo, é a única responsável pela recolha e tratamento de dados pessoais em todo o território da União Europeia e, portanto, também no outro Estado-Membro (neste caso, a Alemanha), e quando a decisão sobre o tratamento dos dados é efetivamente tomada pela sociedade-mãe do grupo?

Devem o artigo 4.°, n.° 1, alínea a), e o artigo 28.°, n.° 3, da Diretiva 95/46/CE ser interpretados no sentido de que, nos casos em que o responsável pelo tratamento tem um estabelecimento situado no território de um Estado-Membro (neste caso, a Irlanda) e há outro estabelecimento juridicamente independente no território de outro Estado-Membro (neste caso, a Alemanha), que é responsável, nomeadamente, pela venda de espaços publicitários e cuja atividade se orienta para os residentes deste Estado, a autoridade de controlo competente deste outro Estado-Membro (neste caso, a Alemanha) também pode tomar medidas e dirigir ordens a fim de garantir o direito à proteção de dados ao outro estabelecimento (neste caso, na Alemanha) que, nos termos da distribuição interna de funções e responsabilidades do grupo, não é responsável pelo tratamento de dados, ou essas medidas e ordens só podem ser decretadas pela autoridade de controlo do Estado-Membro (neste caso, a Irlanda) em cujo território se encontra sediado o organismo responsável dentro do grupo?

Devem o artigo 4.°, n.° 1, alínea a) e o artigo 28.°, n.os 3 e 6 da Diretiva 95/46/CE ser interpretados no sentido de que, nos casos em que a autoridade de controlo de um Estado-Membro (neste caso, a Alemanha) intervém junto de uma pessoa ou de um serviço, nos termos do artigo 28.°, n.° 3, da Diretiva 95/46/CE, por não ter tido o cuidado necessário na seleção de um terceiro envolvido no processo de tratamento de dados (neste caso, a Facebook), porquanto este terceiro infringe a legislação relativa à proteção de dados, a autoridade de controlo que intervém (neste caso, a Alemanha) está vinculada à apreciação da autoridade de controlo da proteção de dados do outro Estado-Membro, no qual o terceiro responsável pelo tratamento de dados tem a sua sede (neste caso, a Irlanda), não podendo fazer qualquer apreciação jurídica divergente daquela, ou pode a autoridade de controlo que intervém (neste caso, a Alemanha) examinar ela própria a legalidade do tratamento de dados pelo terceiro estabelecido no outro Estado-Membro (neste caso, a Irlanda) como questão prévia à sua própria ação?

Na medida em que a autoridade de controlo que intervém (neste caso, a Alemanha) possa proceder a uma verificação autónoma: deve o artigo 28.°, n.° 6, segundo período, da Diretiva 95/46/CE ser interpretado no sentido de que esta autoridade de controlo só pode exercer os poderes efetivos de intervenção que lhe são atribuídos pelo artigo 28.°, n.° 3, da Diretiva 95/46/CE contra uma pessoa ou um serviço estabelecido no seu território que seja corresponsável pela violação da proteção de dados cometida por um terceiro estabelecido no outro Estado-Membro, se tiver pedido previamente à autoridade de controlo deste outro Estado-Membro (neste caso, a Irlanda) que exercesse os seus poderes?

____________

¹ Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31).