Processo C‑33/22
Österreichische Datenschutzbehörde
contra
WK,
[pedido de decisão prejudicial apresentado pelo Verwaltungsgerichtshof (Áustria)]
Acórdão do Tribunal de Justiça (Grande Secção) de 16 de janeiro de 2024
«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Artigo 16.° TFUE — Regulamento (UE) 2016/679 — Artigo 2.°, n.° 2, alínea a) — Âmbito de aplicação — Exclusões — Atividades não sujeitas à aplicação do direito da União — Artigo 4.°, n.° 2, do TUE — Atividades que se prendem com a segurança nacional — Comissão de inquérito instituída pelo Parlamento de um Estado‑Membro — Artigo 23.°, n.° 1, alíneas a) e h), artigos 51.° e 55.° do Regulamento (UE) 2016/679 — Competência da autoridade de controlo responsável pela proteção de dados — Artigo 77.° — Direito de apresentar reclamação a uma autoridade de controlo — Efeito direto»
1. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Âmbito de aplicação — Derrogações — Tratamento de dados no âmbito de uma atividade não sujeita à aplicação do direito da União — Atividade exercida por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo — Exclusão — Aplicação do regulamento
[Artigo 16.°, n.° 1, primeira frase, TFUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 16 e artigo 2.°, n.° 2, alínea a)]
(cf. n.os 37‑43, disp. 1)
2. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Âmbito de aplicação — Derrogações — Tratamento de dados no âmbito de uma atividade não sujeita à aplicação do direito da União — Atividade que visa preservar a segurança nacional ou que se enquadra nesta categoria — Conceito — Atividade exercida por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo — Inquérito sobre a existência de uma eventual influência política em relação a uma autoridade policial de proteção do Estado — Exclusão
[Artigo 4.°, n.° 1, TUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 16 e artigos 2.°, n.os 1 e 2, alínea a), e 23.°]
(cf. n.os 46, 50‑57, disp. 2)
3. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Autoridades nacionais de controlo — Direito de um Estado‑Membro instituir uma única autoridade de controlo — Competência da autoridade de controlo conferida pelo regulamento — Limitação da competência decorrente das disposições nacionais de ordem constitucional — Inadmissibilidade — Primado e efeito direto do direito da União
(Regulamento n.° 2016/679 do Parlamento Europeu e do Conselho, considerando 117 e artigos 51.°, n.° 1, 55.°, n.os 1 e 3, e 77.°, n.° 1)
(cf. n.os 62‑72, disp. 3)
Resumo
Chamado a pronunciar‑se a título prejudicial pelo Verwaltungsgerichtshof (Supremo Tribunal Administrativo, Áustria), o Tribunal de Justiça, reunido em Grande Secção, declara que uma atividade de uma comissão parlamentar de inquérito não está fora do âmbito de aplicação do RGPD (1).
Para examinar uma eventual influência política sobre o Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (Serviço Federal para a Proteção da Constituição e a Luta contra o Terrorismo, Áustria) (2), a Nationalrat (Assembleia Nacional, Áustria) constituiu uma comissão de inquérito (a seguir «comissão de inquérito BVT»). Esta comissão ouviu WK como testemunha. Apesar do seu pedido de anonimização, a ata da sua audição, que mencionava os seus apelidos e nomes próprios completos, foi publicada no sítio Internet do Parlament Österreich (Parlamento austríaco). Alegando que essa divulgação da sua identidade era contrária ao RGPD e à legislação austríaca (3), WK apresentou uma reclamação na Österreichische Datenschutzbehörde (Autoridade para a Proteção de Dados, Áustria) (a seguir «Datenschutzbehörde»). Por Decisão de 18 de setembro de 2019, a Datenschutzbehörde declarou‑se incompetente para se pronunciar sobre a reclamação, explicando que o princípio da separação de poderes excluía que, enquanto órgão do poder executivo, pudesse fiscalizar a comissão de inquérito BVT, que faz parte do poder legislativo.
Na sequência da decisão do Bundesverwaltungsgericht (Tribunal Administrativo Federal, Áustria), que deu provimento ao recurso de WK e anulou a decisão da Datenschutzbehörde, esta última interpôs, no Supremo Tribunal Administrativo, um recurso de «Revision» da decisão do Tribunal Administrativo Federal.
Neste contexto, o órgão jurisdicional de reenvio interrogou o Tribunal de Justiça sobre a questão de saber se as atividades de uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro estão abrangidas pelo âmbito de aplicação do RGPD e se este regulamento é aplicável quando essas atividades dizem respeito à proteção da segurança nacional. Além disso, pediu ao Tribunal de Justiça que se pronunciasse sobre a questão de saber se o RGPD confere a uma autoridade nacional de controlo como a Datenschutzbehörde competência para conhecer das reclamações relativas a tratamentos de dados pessoais efetuados por uma comissão de inquérito no âmbito das suas atividades.
Apreciação do Tribunal de Justiça
Em primeiro lugar, o Tribunal de Justiça recorda que o artigo 2.°, n.° 2, alínea a), do RGPD, que prevê que este regulamento não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, tem por único objetivo excluir do seu âmbito de aplicação os tratamentos efetuados pelas autoridades estatais no âmbito de uma atividade que visa preservar a segurança nacional ou que se enquadra na mesma categoria. Assim, o simples facto de uma atividade ser própria do Estado ou de uma autoridade pública não é suficiente para que esta exceção seja automaticamente aplicável a tal atividade (4).
Esta interpretação, que decorre da falta de distinção em função da identidade do autor do tratamento em causa, é confirmada pelo artigo 4.°, ponto 7, do RGPD (5).
O Tribunal de Justiça precisa que a natureza parlamentar da comissão de inquérito BVT não implica que as suas atividades estejam excluídas do âmbito de aplicação do RGPD. Com efeito, a exceção prevista no artigo 2.°, n.° 2, alínea a), deste regulamento refere‑se apenas a categorias de atividades que, em razão da sua natureza, não estão abrangidas pelo âmbito de aplicação do direito da União, e não a categorias de pessoas. Por conseguinte, a circunstância de o tratamento de dados pessoais ser efetuado por uma comissão de inquérito instituída pelo Parlamento de um Estado‑Membro no exercício do seu poder de fiscalização do poder executivo não permite, enquanto tal, demonstrar que esse tratamento é efetuado no contexto de atividades não sujeitas à aplicação do direito da União.
Em segundo lugar, o Tribunal de Justiça recorda que, embora incumba aos Estados‑Membros definirem os seus interesses essenciais de segurança e adotarem as medidas adequadas para a salvaguardar (6), o simples facto de uma medida nacional ter sido adotada para efeitos da proteção da segurança nacional não pode levar à inaplicabilidade do direito da União e dispensar os Estados‑Membros do respeito necessário desse direito. Ora, a exceção prevista no artigo 2.°, n.° 2, alínea a), do RGPD refere‑se apenas a categorias de atividades que, em razão da sua natureza, não estão abrangidas pelo âmbito de aplicação do direito da União. A este respeito, a circunstância de o responsável pelo tratamento ser uma autoridade pública cuja atividade principal é assegurar a segurança nacional não basta, enquanto tal, para excluir do âmbito de aplicação do RGPD os tratamentos de dados pessoais que efetua no âmbito das suas outras atividades.
No caso em apreço, a fiscalização política efetuada pela comissão de inquérito BVT não parece constituir, enquanto tal, uma atividade que visa preservar a segurança nacional ou que se enquadra na mesma categoria. Por conseguinte, sem prejuízo de verificação pelo órgão jurisdicional de reenvio, esta atividade não está fora do âmbito de aplicação do RGPD.
No entanto, uma comissão de inquérito parlamentar pode ter acesso a dados pessoais que, por razões de segurança nacional, devem beneficiar de uma proteção especial. A este respeito, podem ser estabelecidas limitações, através de medidas legislativas, às obrigações e aos direitos decorrentes do RGPD, para assegurar, designadamente, a segurança do Estado (7). Assim, com este fundamento, podem ser justificadas limitações no que respeita à recolha de dados pessoais, à informação dos titulares dos dados e ao seu acesso aos referidos dados ou ainda à divulgação desses dados, sem o consentimento dos titulares dos dados, a pessoas que não sejam o responsável pelo tratamento, desde que respeitem a essência dos direitos e liberdades fundamentais dos titulares dos dados e constituam uma medida necessária e proporcionada numa sociedade democrática.
O Tribunal de Justiça observa, todavia, que não resulta das informações postas à sua disposição que a comissão de inquérito BVT tenha alegado que a divulgação dos dados pessoais em causa era necessária para a salvaguarda da segurança nacional e se baseava numa medida legislativa nacional prevista para esse efeito, o que incumbe, sendo caso disso, ao órgão jurisdicional de reenvio verificar.
Em terceiro e último lugar, o Tribunal de Justiça salienta que as disposições do RGPD relativas à competência das autoridades de controlo nacionais e ao direito de reclamação (8) não necessitam da adoção de medidas nacionais de aplicação e são suficientemente claras, precisas e incondicionais para produzirem efeito direto. Daqui se conclui que, embora o RGPD reconheça uma margem de apreciação aos Estados‑Membros quanto ao número de autoridades de controlo a instituir (9), fixa, em contrapartida, o alcance das suas competências para fiscalizar a aplicação do RGPD. Assim, no caso de um Estado‑Membro decidir instituir uma única autoridade nacional de controlo, esta dispõe necessariamente da totalidade das competências previstas neste regulamento. Qualquer outra interpretação poria em causa o efeito útil destas disposições e poderia enfraquecer o efeito útil de todas as outras disposições do RGPD suscetíveis de ser afetadas por uma reclamação.
No que respeita à circunstância de as disposições nacionais de ordem constitucional excluírem a possibilidade de uma autoridade de controlo que depende do poder executivo fiscalizar a aplicação do RGPD por um organismo do poder legislativo, o Tribunal de Justiça sublinha que é precisamente no respeito da estrutura constitucional dos Estados‑Membros que o RGPD se limita a exigir destes últimos que instituam pelo menos uma autoridade de controlo, dando‑lhes a possibilidade de instituírem várias. Este regulamento reconhece assim aos Estados‑Membros uma margem de apreciação que lhes permite criar tantas autoridades de controlo quantas sejam requeridas, nomeadamente, pelas exigências relativas à sua estrutura constitucional.
Além disso, a invocação de disposições de direito nacional por um Estado‑Membro não pode afetar a unidade e a eficácia do direito da União. Efetivamente, os efeitos associados ao princípio do primado do direito da União impõem‑se a todos os órgãos de um Estado‑Membro, sem que, nomeadamente, as disposições internas, incluindo de ordem constitucional, o possam impedir (10).
Assim, quando um Estado‑Membro tenha optado por instituir uma única autoridade de controlo, não pode invocar disposições de direito nacional, ainda que sejam de ordem constitucional, para excluir do controlo dessa autoridade tratamentos de dados pessoais abrangidos pelo âmbito de aplicação do RGPD.