Processo C‑683/21
Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos
contra
Valstybinė duomenų apsaugos inspekcija
(pedido de decisão prejudicial,
apresentado pelo Vilniaus apygardos administracinis teismas)
Acórdão do Tribunal de Justiça (Grande Secção) de 5 de dezembro de 2023
«Reenvio prejudicial — Proteção de dados pessoais — Regulamento (UE) 2016/679 — Artigo 4.°, pontos 2 e 7 — Conceitos de “tratamento” e “responsável pelo tratamento” — Desenvolvimento de uma aplicação informática móvel — Artigo 26.° — Responsabilidade conjunta pelo tratamento — Artigo 83.° — Aplicação de coimas — Condições — Exigência do caráter intencional ou negligente da violação — Responsabilidade do responsável pelo tratamento pelo tratamento de dados pessoais efetuado por um subcontratante»
1. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento n.° 2016/679 — Conceito de responsável pelo tratamento — Entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel, sem ter procedido a operações de tratamento, sem ter dado explicitamente o seu acordo para a realização das mesmas ou para disponibilizar ao público essa aplicação, e sem a ter adquirido — Inclusão — Condição — Participação efetiva na determinação das finalidades e dos meios do tratamento — Exceção
(Regulamento n.° 2016/679 do Parlamento Europeu e do Conselho, considerando 74 e artigo 4.°, ponto 7)
(cf. n.os 30‑38, disp. 1)
2. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento n.° 2016/679 — Responsabilidade conjunta pelo tratamento — Condição — Determinação conjunta das finalidades e dos meios do tratamento — Exigência de um acordo entre os responsáveis conjuntos pelo tratamento quanto à determinação das finalidades e dos meios do tratamento — Falta
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 79 e artigos 4.°, ponto 7, e 26.°, n.° 1)
(cf. n.os 41‑46, disp. 2)
3. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Conceito de tratamento — Utilização dos dados pessoais para efeitos de testes informáticos de uma aplicação móvel — Inclusão — Condição — Tratamento que visa dados pessoais — Tratamento dos dados anónimos ou fictícios — Exclusão — Tratamento dos dados pessoais que foram submetidos a pseudonimização e que podem ser atribuídos a uma pessoa singular mediante a utilização de informações pessoais suplementares — Inclusão
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerando 26 e artigo 4.°, n.os 1, 2 e 5)
(cf. n.os 50‑59, disp. 3)
4. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Aplicação de coimas — Condições — Falta de margem de manobra dos Estados‑Membros para preverem condições substantivas relativas à aplicação, a um responsável pelo tratamento, de uma coima — Exigência de uma violação cometida pelo responsável pelo tratamento intencionalmente ou por negligência
(Artigo 288.° TFUE; Regulamento 2016/679 do Parlamento Europeu e do Conselho, considerandos 10, 129 e 148 e artigos 58.°, 83.° e 84.°)
(cf. n.os 64‑82, 86, disp. 4)
5. Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento 2016/679 — Aplicação de coimas — Possibilidade de aplicar essa coima a um responsável pelo tratamento pelo tratamento efetuado por um subcontratante — Exceções
(Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigos 4.°, ponto 8, 28.°, n.° 10 e 83.°)
(cf. n.os 83‑86, disp. 4)
Resumo
Em 2020, para melhor gerir a pandemia de COVID‑19, as autoridades lituanas decidiram organizar a aquisição de uma aplicação informática móvel. Esta aplicação devia contribuir para um acompanhamento epidemiológico, permitindo registar e acompanhar dados das pessoas expostas ao vírus da COVID‑19.
Para o efeito, o Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos (Centro Nacional de Saúde Pública do Ministério da Saúde, Lituânia, a seguir «CNSP»), encarregado desta aquisição, contactou a sociedade UAB «IT sprendimai sėkmei» (a seguir «sociedade ITSS»), pedindo‑lhe para proceder à criação dessa aplicação móvel. Em seguida, foram enviadas a essa sociedade, pelos funcionários do CNSP, mensagens de correio eletrónico relativas nomeadamente às questões que deviam constar nessa aplicação.
Entre abril e maio de 2020 a aplicação móvel criada pela sociedade ITSS foi colocada à disposição do público. Por conseguinte, 3 802 pessoas utilizaram‑na e forneceram diferentes dados que lhes diziam respeito pedidos pela mesma. No entanto, devido a falta de financiamento, o CNSP não adjudicou à sociedade ITSS nenhum contrato público de aquisição da sua aplicação móvel e pôs termo ao respetivo procedimento.
Entretanto, a autoridade nacional de controlo iniciou uma investigação relativa ao tratamento de dados pessoais resultante da utilização dessa aplicação. Por decisão desta autoridade, adotada no fim da investigação, as coimas foram aplicadas quer ao CNSP quer à sociedade ITSS, considerada responsável conjunta pelo tratamento.
O CNSP contestou esta decisão no Vilniaus apygardos administracinis teismas (Tribunal Administrativo Regional de Vílnius, Lituânia). Por ter dúvidas quanto à interpretação de várias disposições do RGPD (1), este órgão jurisdicional submeteu ao Tribunal de Justiça um pedido de decisão prejudicial.
No seu acórdão, o Tribunal de Justiça, reunido em Grande Secção, fornece esclarecimentos sobre os conceitos de «responsável pelo tratamento», de «responsáveis conjuntos pelo tratamento» e de «tratamento» (2), e pronuncia‑se sobre a possibilidade de aplicar uma coima a um responsável pelo tratamento (3) quando a violação das disposições do RGPD sancionada não foi cometida intencionalmente ou por negligência.
Apreciação do Tribunal de Justiça
Em primeiro lugar, o Tribunal de Justiça salienta que uma entidade que encarregou uma empresa de desenvolver uma aplicação informática móvel e que, nesse contexto, participou na determinação das finalidades e dos meios do tratamento dos dados pessoais realizado através desta aplicação pode ser considerada responsável pelo tratamento (4). Esta consideração não pode ser posta em causa pelo facto de a entidade não ter procedido, ela própria, a operações de tratamento de tais dados, não ter dado explicitamente o seu acordo para a realização das operações concretas desse tratamento ou para a disponibilização ao público da referida aplicação móvel e não ter adquirido esta mesma aplicação móvel, a menos que, antes dessa disponibilização ao público, a referida entidade se tenha expressamente oposto a ela e ao tratamento dos dados pessoais que daí resultou.
Em segundo lugar, o Tribunal de Justiça observa que a qualificação de duas entidades como sendo responsáveis conjuntas pelo tratamento não pressupõe nem a existência de um acordo entre essas entidades quanto à determinação das finalidades e dos meios do tratamento dos dados pessoais em causa, nem a existência de um acordo que fixe as condições relativas à responsabilidade conjunta pelo tratamento. É certo que, por força do RGPD (5), os responsáveis conjuntos pelo tratamento devem, por acordo entre si, determinar de modo transparente as respetivas responsabilidades pelo cumprimento deste regulamento. Todavia, a existência de semelhante acordo não constitui uma condição prévia para que duas ou mais entidades sejam qualificadas de «responsáveis conjuntas pelo tratamento», antes constituindo uma obrigação que o RGPD impõe aos responsáveis conjuntos pelo tratamento, uma vez assim qualificados, para assegurar o respeito pelas exigências desse regulamento que sobre elas impendem. Assim, esta qualificação decorre do mero facto de várias entidades terem participado na determinação das finalidades e meios do tratamento.
Quanto à determinação conjunta, pelas entidades em causa, das finalidades e dos meios do tratamento, o Tribunal de Justiça especifica que a sua participação nesta determinação pode assumir diferentes formas e resultar quer de uma decisão comum quer de decisões convergentes dessas entidades. Ora, neste último caso, estas decisões devem complementar‑se de tal forma que cada uma delas tenha um efeito concreto na determinação das finalidades e meios do tratamento.
Em terceiro lugar, o Tribunal de Justiça indica que a utilização de dados pessoais para efeitos de testes informáticos de uma aplicação móvel constitui um tratamento (6). No entanto, não é assim se tais dados tiverem sido tornados anónimos de modo que a pessoa à qual tais dados dizem respeito não seja ou já não seja identificável ou se estiverem em causa dados fictícios que não dizem respeito a uma pessoa singular existente.
Com efeito, por um lado, a questão de saber se são utilizados dados pessoais para testes informáticos ou para outro fim é irrelevante para a qualificação da operação de «tratamento». Por outro lado, só um tratamento que vise dados pessoais pode ser qualificado de «tratamento», na aceção do RGPD. Ora, os dados fictícios ou anónimos não constituem dados pessoais.
Em quarto lugar, o Tribunal de Justiça declara que, nos termos do artigo 83.° do RGPD, só pode ser aplicada uma coima a um responsável pelo tratamento se se demonstrar que cometeu, intencionalmente ou por negligência, uma violação das regras contidas nesse regulamento (7).
A este respeito, o Tribunal de Justiça especifica que o legislador da União não deixou aos Estados‑Membros uma margem de apreciação no que respeita às condições substantivas que devem ser respeitadas por uma autoridade de controlo quando decide aplicar uma coima a um responsável pelo tratamento ao abrigo desta disposição. O facto de o RGPD dar aos Estados‑Membros a possibilidade de preverem exceções em relação às autoridades e organismos públicos estabelecidos no seu território (8), e exigências relativas ao procedimento a seguir pelas autoridades de controlo para aplicar uma coima (9) não significa de modo nenhum que esses Estados estão também habilitados para prever tais condições substantivas.
No que respeita a estas condições, o Tribunal de Justiça observa que entre os elementos enumerados no RGPD à luz dos quais a autoridade de controlo aplica uma coima ao responsável pelo tratamento figura «[o] caráter intencional ou negligente da infração» (10). Em contrapartida, nenhum destes elementos prevê qualquer possibilidade de responsabilizar o responsável pelo tratamento na ausência de um comportamento culposo da sua parte. Assim, só as violações das disposições do RGPD cometidas intencionalmente ou por negligência podem conduzir a que lhe seja aplicada uma coima nos termos do artigo 83.° deste regulamento.
O Tribunal de Justiça acrescenta que esta interpretação é corroborada pela sistemática geral e pela finalidade do RGPD. Neste contexto, especifica que a existência de um sistema de sanções ao abrigo do RGPD que permite aplicar, quando as circunstâncias específicas de cada caso em apreço o justifiquem, uma coima gera, para os responsáveis pelo tratamento e os subcontratantes, um incentivo ao cumprimento deste regulamento e que, através do seu efeito dissuasivo, as coimas contribuem para o reforço da proteção das pessoas em causa. No entanto, o legislador da União não considerou necessário prever a aplicação de coimas na ausência de culpa. Atendendo ao facto de o RGPD visar um nível de proteção simultaneamente equivalente e homogéneo e que deve, para esse fim, ser aplicado de forma coerente em toda a União, seria contrário a esta finalidade permitir aos Estados‑Membros preverem tal regime de aplicação de uma coima.
Além disso, o Tribunal de Justiça conclui que uma coima pode ser aplicada a um responsável pelo tratamento relativamente a operações de tratamento de dados pessoais realizadas por um subcontratante por sua conta, salvo se, no âmbito dessas operações este subcontratante tiver realizado tratamentos para finalidades que lhe são próprias ou tiver tratado esses dados de maneira incompatível com o quadro ou com as modalidades de tratamento conforme tinham sido determinadas pelo responsável pelo tratamento, ou de tal forma que não se possa razoavelmente considerar que a pessoa responsável teria dado o seu consentimento. Nesta hipótese, o subcontratante deve ser considerado responsável pelo tratamento.